weixin_67900048的博客

通常DC每隔12小时会做一次garbage collection，该过程就是在整理数据库，同时将删除时间超过了墓碑时间的180天的对象清理掉，该。还有一种脱机进行碎片整理数据的方法，不太推荐操作，因为操作过程中需要将AD数据库移动到新的位置，若操作不当产生的影响会很大。可以根据该事件日志去查看该过程是否有正常完成，若记录正常没有其它错误，那么说明我们的域控制器是正常的在做数据清理。） 的大小，而是优化数据库中的数据存储，并为新对象回收目录中的空间，它可以防止数据存储问题。联机碎片整理不会减小数据库文件 （

请注意，我们中间跳过了esentutl /p 来修复数据库的命令，因为这个操作可能对当前的数据库产生负面影响，导致域控无法正常启动。3、展开到boot,在boot options中选中Safe mode->Active directory repair。14、运行msconfig，展开到boot,在boot options中取消Safe mode，重启计算机。5、用还原模式的帐号登录：.\administrator；1、用域管理员帐户登录域控，运行msconfig。如果完整性检查没有问题，跳到步骤13；

Mandatory profile是一种roaming profile，可以通过计算机的配置将新登录的用户账户的配置文件全部重定向到指定的共享路径。6.在“复制到”的“将配置文件复制到”字段中，输入要存储必需配置文件的路径和文件夹名称。4.在“配置文件”选项卡的“配置文件路径”字段中，输入不带扩展名的共享文件夹的路径。3.在“用户配置文件”中，单击“默认配置文件”，然后单击“复制到”。“高级”系统设置“，然后单击”用户配置文件“部分中的”设置”。4.在“复制到”中的“允许使用”下，单击“更改”。

而对于加域客户端，域用户是无法创建PIN码的，该功能默认对非Azure-AD joined 设置是关闭的，如果对domain joined的设备开启该功能，需要额外开启“需要注意的一点是，Windows Hello(Convenience PIN)和Windows Hello for Business的设置是互斥的，因此如果计算机上有任何Windows Hello for Business的配置，Windows Hello都无法配置成功。3. 然后导航到计算机配置>策略>管理模板>系统>登录。

StartTime=$Date } -ComputerName <需要获取的计算机hostname> | where {($_.Id -eq 4624 -and $_.properties[8].value -eq 2) -or ($_.Id -eq 4634 -and $_.properties[4].value -eq 2) } //筛选日志以及属性。1、开启审核登陆、审核注销以及锁屏以及解锁事件，通过在事件查看器中筛选4624、4634、4800、4801事件以及用户来查看相应的事件进行计算;

3、进入设置界面，填写设置名（Name）,设置优先级（Precedence,此处主要是控制多个策略链接到同一个对象时的优先级），选择强制最小密码强度选项然后填写密码长度，可以选择性的在Description中添加描述信息以便公司其他管理员得知该策略作用，最后在Directly Applies To中点击Add;FGPP是管理账户密码的一种高级方法，FGPP 的优先级高于密码组策略，默认策略上的密码策略和FGPP的配置都会生效，但是在配置了FGPP的安全组中的成员，FGPP的设置会覆盖默认域策略的设置。

3. 可以看到此文件中有许多add key内容，请在任意add key下添加<add key="MaxGroupOrMemberEntries" value="200000" />。这边数值根据用户数量填写，这边示例数量为20万，所以将MaxGroupOrMemberEntries修改成20万，如果超过20万，请您再进行调整。1. 登录到需要做查询的域控制器上，然后转到C:\Windows\ADWS。如果需要获取组的所有成员，包括任何子组的成员，运行。6. 如果已经解除限制，可以运行。

在使用LDAP协议对接域控器的时候需要遵循域的LDAP policy，其中规定了LDAP查询过程中的一些限制，一般在域控使用常规方法进行调整是全域范围内的，下述内容提供了仅更改单台LDAP policy的方法。4、点击下一步后，点击更多属性，选择IDAPAdminLimits属性添加LDAP policy,您可以对照默认的属性对象设置，然后修改需要的条目。在没有特定域控制器或站点查询策略的情况下，域控制器使用名为“默认查询策略”的默认查询策略。设置完成后点击确定，然后在生成的对象中可以查看到对象的设置。

1、在域控上打开组策略编辑器，新建或在原有组策略上编辑（因为该策略是计算机策略，把该策略链接到包含需要应用的计算机的OU中），示例是在中在默认域控策略中编辑的，组策略路径为。域账号如果登陆到客户端，Windows 在本地缓存以前用户的登录信息，以便在以后的登录尝试期间登录服务器不可用时，可以继续登陆，这是设计使然，3、设置好后点击应用然后点击确定，等组策略后台刷新，或者去客户端用域成员账号登录并以管理员身份打开power shell输入以下命令。所以域账户的账户信息需要联系域控获取。每次用户登录到域时，

发生在在运行 Windows 7、Windows Server 2008 R2的工作组计算机上，Windows 时间服务在系统启动后立即停止。即使启动类型从“手动”更改为“自动”，也会出现此问题。这是由于，windows time服务是trigger-start服务。也就是说，Service Control Manager会根据特定系统事件来启动和停止服务。分享一个之前处理过的在windows系统出现过的时间同步的问题，这个问题是微软的已知问题，

环境：我新建了一个名字为“Cc”的安全组，将两台计算机加入组内，新建了一个名字为Test的组策略；安全筛选（但是基于一一些特殊的组策略是一定需要电脑重新才能生效比如软件策略、文件重定向等设置）；测试结果表明上述操作不能直接使组策略生效，成员组的身份也并未刷新；查看本地Kerberos 票证缓存查看票证时间是否更新；更新组策略的同时会下发新的本地Kerberos 票证；票证生存时间过期来更新成员组身份并使组策略生效；票证缓存来刷新成员组身份使之通过组策略安全筛选；票证生存时间过期了但是组策略仍然不生效；