疑難排解的 Active Directory 網域服務 (新增) 管理


摘要


本文將介紹一些當您管理 ADDS 物件和其解析度時,可能會遇到的問題。

如果使用者未登出可能會造成這個問題,,重新開機,或取得新的語彙基元,擁有群組成員資格不重新啟動電腦。

解決方案


若要修正這個問題,登出使用者帳戶,然後再登入。為電腦帳戶,重新啟動電腦

已修正的問題


如果 AD 複寫延遲造成群組成員資格不 symphonized 到每個 DC,可能會造成這個問題。

解決方案


請檢查是否有任何複寫錯誤。您可以執行repadmin /ShowATTR命令到不同的 DC,來尋找複寫錯誤。做為範例,請參閱下列的輸出。

完整 DC 康得股份有限公司對執行repadmin /ShowATTR命令-dc01.contoso.com:

完整 DC 康得股份有限公司對執行repadmin /ShowATTR命令-dc01.contoso.com:

您可以在稍後的結果中找到缺乏MemberOF屬性。

這個問題可能被因下列原因之一:

  1. 使用者帳戶是位置的權限並未不繼承到 OU 中。
  2. 使用者帳戶並沒有繼承設定使其不包含委派的權限。

解決方案


重新啟用繼承,以傳播所需的物件的權限,如果執行這項操作。

已修正的問題


這個問題可能被因下列原因之一:

  1. 問題導致無法執行 AD 複寫。
  2. 複寫失敗會導致 DACL,不必將複寫到網域控制站嘗試重設的位置。

修正任何 AD 複寫問題,以防止在複寫屬性

範例


並未複寫到次要的網域控制站的權限的範例

下面是輸出的repadmin /showobjmeta * DN_OF_OBJECT命令。

這會顯示 ntSecurityDescriptor 屬性上 [康得股份有限公司 DC01 修改,但是尚未複寫環境中的第二個網域控制站。當執行作業時,對第二個 DC 時,表示作業就會失敗。

正在執行repadmin指令完整 DC contoso dc01.contoso.com 28 項目。

執行repadmin命令,針對完整 DC 057a0713-fa86-41f2-8 d 75-f6d68ecf3968._msdcs.contoso.com:

以下是進行 repadmin命令顯示失敗的範例

注意此失敗是自身傳入複寫現狀關閉的麥克風

CMD

這個問題可能被因下列原因之一:

  1. 使用者帳戶不是指派權限執行的動作群組的成員,或它們未登入後帳戶已加入至安全性群組。
  2. 包含了明確或隱含拒絕 」 權限的帳戶有問題

解決方案


新增使用者擁有與嘗試將密碼變更為正確的安全性群組。在那之後,登出再登入所需與新的群組的新語彙基元。

解決此問題?


這個問題可能被因下列原因之一:

  1. 自動化指令碼 「 清除 」 並沒有目前的lastLogonTime屬性的舊帳號] 或 [在長的時間尚未變更的密碼。
  2. 應用程式讓它認為是正確的值"與"的變更。
  3. 任何其他的系統管理員不知情的情況下變更它的系統管理員

解決方案


以下的解析度而定誰及什麼對帳戶所做的變更。這可以介於修正的值應該是若要關閉 [指令碼錯誤的應用程式概念。您需要追蹤使用repadmin命令和稽核的事件為組件尋找誰做的變更帳戶,以進行變更的 DC。

Congratulation,您已經解決了問題。

很抱歉問題仍然存在。我們非常感謝它如果您填寫問卷問題的詳細資料。