Kristof Tak's questions

背景

在过去的几周里，我试图修改我们公司的 Active Directory 和用户组设置。但是，由于缺乏适当的文档，在进行更改后，意外的副作用开始出现。

我遇到的最后一个问题是关于网络共享。

由于多代 IT 人员在这家公司工作过，他们每一个人都对 Active Directory 进行了更改，但他们都没有编写文档。因此，Active Directory 和 GPO 已经发展到变得混乱的地步。我决定解开这个烂摊子并开始研究它。

基础设施

有一台域控制器和一台终端服务器。我们使用终端服务。用户通过远程桌面连接连接到终端服务器并在那里完成大部分工作。

用户可以访问从域控制器共享的一些网络共享。

问题

我将通过示例说明问题： UserA是 Group 的成员X。我A从组中删除X。然后用户无法访问网络中共享的文件夹。

我检查了Properties这个文件夹。

• Sharingtab --> Advanced Sharing--> Permissions: 包括组Everyone和Administrators[1]
• Security选项卡 --> 在Groups or Username部分下，列出了SYSTEM和Administrators组X。[2]

那么为什么当我A从组中删除用户时X，A无法访问此共享文件夹。用户不A被视为Everyone用户组的一部分。他不应该通过Everyone组拥有所有权限吗？

概括我的问题。相互之间如何Sharing Permissions合作Security Permissions？它们之间有什么依赖关系。

基本上，这是否意味着当我想与某个用户组共享一个文件夹时，该组必须同时在Shared Permissions [1]和中列出Security Permissions [2]？

经过大量测试和数百次尝试和投入数小时后，我决定在这里咨询您的专家。

概述：

我想为我们的用户应用一些 GPO，这会将一些特定站点添加到所有用户的 Internet Explorer 设置中的受信任站点中。但是，我尝试的越多，结果就越混乱。GPO 要么应用于一组用户，要么应用于另一组用户。最后，我得出的结论是，这种奇怪的行为是由 Active Directory 中的用户和组中糟糕的组织引起的。因此，我想从根本上解决问题：重新设计 Active Directory 用户和组。

设想：

有一个域控制器，我们使用终端服务（所以也有一个终端服务器）。用户通常使用远程桌面登录到终端服务器来执行他们的日常任务。我将按以下方式对用户进行分类：

• IT：管理员，软件开发
• 业务：行政，管理

Active Directory 用户和组的当前结构是以前 IT 管理的结果。该公司使用了 Small Business Server，它创建了多个默认用户组和容器。

不幸的是，在我之前工作的人根本没有任何文件。现在，当我继承这个结构时，我在无人区。不知道先往哪个方向走。

如您所见，Active Directory 用户和组变得有些混乱。不再有 SBS，但是当从 SBS 迁移到当前的 Windows Server 2008 R2 环境时，我之前的人只是简单地复制了相同的结构。

真正的问题：

我应该从哪里开始清理，以确保我不会完全破坏当前的基础设施？对于我上面解释的场景，什么是好的组织？

有关当前结构的可能有用信息：

1. Computers文件夹包含Terminal Services Computers用户组

   • 成员：TerminalServer位于Server -> TerminalserverOU的计算机
   • 成员：无

2. Foreign Security Principals： 空的

3. Managed Service Accounts： 空的

4. Microsoft Exchange Security Groups: 不确定是否需要，我们的电子邮件由外部服务提供商管理

5. Distribution Groups: 不确定是否需要

6. Security Groups: 有几组需要

7. SBS users: 包含所有用户

8. Terminalserver: 仅包含 TerminalServer 机器

在我们的工作场所，我们设置了一个由 Symantec Backup Exec 2010 R3 和 Synology NAS 组成的备份系统

备份计划如下

Symantec Backup Exec---[1]---> Synology Rack ---[2]--->external usb

部分1包含以下后台任务：

1. 系统备份 - 每天 @ 18:00
2. 数据备份 - 每天 @ 23:00
3. 系统设置备份 - 每周（周六）@ 20:00

部分1似乎工作正常；部分问题出现了2，其中仅包含一项备份任务。

1. LUN 备份 - 每周（周二）@ 06:00

每个星期二我们都会收到以下自动生成的电子邮件USB disk 1 on your NAS device is running out of space; please take corrective action：

后面是这封电子邮件：Local LUN Backup on your NAS device has failed. Please check the backup log for further information

有没有解决这种情况的聪明方法。我想到的第一件事就是以某种方式清空外部 USB 驱动器，但如何自动执行此操作？

我是新手，欢迎提出任何建议。

我们的工作场所有两台不同的服务器机器，它们是：

1. 戴尔 - PowerEdge T620 - 运行 drac 7（版本 1.35.35）
2. 戴尔 - PowerEdge 2950 - 运行 drac 5（版本 1.65）

我是否可以确定每台机器需要哪个 Java 版本才能使用虚拟控制台？

谢谢

我们的终端服务器硬盘空间不足，占空间最多的主要文件是Outook的*.ost文件，这些文件来自一直通过远程桌面使用终端服务器的用户。Outlook 安装在终端服务器上，各种用户都可以使用它。

在这种情况下会有什么解决方案。有没有办法限制 *.ost 文件的大小？我在论坛中读到，在缓存 Exchange 模式下设置 Outlook 2010 并不是硬盘空间是主要限制的环境的最佳做法。

我想到的第一件事是使用文件夹重定向，并将 ost 文件（与 AppData forlder 一起）放在网络共享中，但这无济于事，因为 ost 文件保存在 AppData 文件夹的一部分不能被重定向。

然后我想是否可以限制ost文件的大小？或者限制它保持电子邮件缓存的时间，比如过去 6 个月的电子邮件就足够了。

我想到的另一种解决方案是将 ost 文件移动到其他地方，这需要删除旧的 ost 文件并创建一个新文件。我不太确定新的 OST 文件是否仍会缓存旧 ost 中可用的电子邮件，还是会从另一个文件离开的地方开始缓存。

你有什么建议？