roaima's questions

我在基于 Windows Active Directory 的网络（带有本地域控制器）中有一个计算机 GPO，该网络当前从\\MYDOMAIN\NETLOGON\...\application.msi启动时安装应用程序。这适用于我所有在启动时连接网络的机器，但我有越来越多的 Windows 用户通过 VPN 连接，这意味着机器直到用户登录后的某个时间点才连接网络。

在没有任何明显的最佳实践替代方案的情况下，我建议的解决方案是将 复制application.msi到隐藏的专用文件夹C:\localapps并从那里安装。

顶级文件夹创建效果很好。复制配置文件效果很好。文件夹树上的继承权限运行良好。不起作用的是application.msi文件无法复制。

令人沮丧的是，如果我重命名application.msi为application.msi.zzz相同的 GPO 可以 - 并且确实 - 非常高兴地将文件复制到本地计算机。

进一步研究，psexec -i -s explorer.exe给了我一个作为 GPO 的 SYSTEM 帐户运行的资源管理器窗口。事实上，我可以导航到适当的位置，\\MYDOMAIN\NETLOGIN并且可以从那里复制文件，除非它们被命名为可执行文件或安装程序。文件夹中的所有文件都继承了权限，我已经确认它们是相同的。所有文件都“解锁”。所有文件都具有相同的所有者 ( MYDOMAIN\Administrators)。我不是试图从网络共享执行 MSI，只是为了复制它。

经验结论：GPO 使用的SYSTEM 帐户无法从共享中复制*.msi或文件。*.exe\\MYDOMAIN\NETLOGON\

这似乎不是一个合理的事态，所以我如何让我的 GPO 照application.msi原样复制，以便下次有机会可以从本地磁盘安装它？

我正在尝试重命名上周加入我们域的工作站。从那时起，它至少重新启动了一次。

我的域基于 Windows 2012 R2，并且相关成员正在运行 Windows 10 Pro。如果它是有用的信息，我有三个 DC（是的，它们是同步的）。

重命名大部分时间都有效：

$aa = Get-Credential [email protected]
Rename-Computer -ComputerName mynewpc -NewName alpc001 -DomainCredential $aa
WARNING: The changes will take effect after you restart the computer mynewpc.

但是我有几台机器顽固地拒绝允许重命名：

Rename-Computer -ComputerName otherhp -NewName alpc005 -DomainCredential $aa
Rename-Computer : Fail to rename computer 'otherhp' to 'alpc005' due to the following exception: Cannot create a file when that file already exists.
At line:1 char:1
+ Rename-Computer -ComputerName otherhp -NewName alpc005 -DomainCredent ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (otherhp:String) [Rename-Computer], InvalidOperationException
    + FullyQualifiedErrorId : FailToRenameComputer,Microsoft.PowerShell.Commands.RenameComputerCommand

这是另一个尝试：

netdom renamecomputer otherhp /newname:alpc005 /ud:contoso\administrator /pd:*
Type the password associated with the domain user:

This operation will rename the computer otherhp
to alpc005.

Certain services, such as the Certificate Authority, rely on a fixed machine
name. If any services of this type are running on otherhp,
then a computer name change would have an adverse impact.

Do you want to proceed (Y or N)?
y
Cannot create a file when that file already exists.

The command failed to complete successfully.

没有具有此新名称的计算机（或其他帐户），并且 AD DNS 中也没有它的条目。

来自评论中要求的附加错误报告$error[0] | fl -f如下：

writeErrorStream      : True
Exception             : System.InvalidOperationException: Fail to rename computer 'otherhp' to 'alpc005' due to the following exception: Cannot create a file when that file already exists.
TargetObject          : otherhp
CategoryInfo          : OperationStopped: (otherhp:String) [Rename-Computer], InvalidOperationException
FullyQualifiedErrorId : FailToRenameComputer,Microsoft.PowerShell.Commands.RenameComputerCommand
ErrorDetails          :
InvocationInfo        : System.Management.Automation.InvocationInfo
ScriptStackTrace      : at <ScriptBlock>, <No file>: line 1
PipelineIterationInfo : {0, 1}
PSMessageDetails      :

我在用户办公室没有任何 IT 支持，所以我们尽可能远程进行。如果一切都失败了，我想我可以向最终用户授予足够的权限来取消他们的 PC，重命名它，然后重新加入。但如果有一个现实的选择，我真的不想这样做。

建议收到，谢谢。

我被要求提供NETDOM QUERY /Domain:{domain} WORKSTATION每个 DC 的输出。PC 出现在所有三个列表中；这是结果的一个片段：

PS C:\Windows\system32> NETDOM QUERY /Domain:contoso.com /Server:DC1 WORKSTATION
List of workstations with accounts in the domain:

ALPC004      ( Workstation or Server )
...
OTHERHP
...

有问题的 PC ( OTHERPC) 没有该( Workstation or Server )子句 - 但我的许多 PC 也没有这个子句。

我有一个作为 VM 运行的 Windows 2012 R2 服务器（在 KVM/Libvirt 之上）。它有一个额外的“内部”磁盘定义为F:

如果我对基于 Linux 的主机的逻辑卷表示快照F:并将其挂载到主机上，我会得到许多文件标记为不支持的重解析点。

我想做的是从主机备份文件系统，这就是我从这里开始的原因。

这是一个从主人的角度来看的例子

lvcreate --name shares-snap --size 10G --snapshot /dev/crypt_md3/shares
mount -o ro,offset=$((129*1024*1024)) /dev/crypt_md3/shares-snap /mnt/dsk
ls -l /mnt/dsk/mfc70.dll
lrwxrwxrwx 1 root root 26 Jan  5  2002 /mnt/dsk/mfc70.dll -> unsupported reparse point

在 Windows 客户机中，文件属性对话框显示其大小为 952KB，但磁盘上的大小为 0 字节。这对于重解析点来说是经典的。高级属性是APL，L确认文件确实是一个重解析点。

复制文件会从副本中删除P和L属性。

四处搜索将我带到如何找到使用 mklink 创建的符号链接的目标及其接受的答案。我已经下载了junction 1.06和NTFSLinksView。

跑步junction对我没有任何用处：

F:\> c:\local\bin\junction mfc70.dll

Junction v1.06 - Windows junction creator and reparse point viewer
Copyright (C) 2000-2010 Mark Russinovich
Sysinternals - www.sysinternals.com

F:\mfc70.dll: UNKNOWN MICROSOFT REPARSE POINT

跑步dir /L也没有什么用处：

F:\>dir /L mfc70.dll
 Volume in drive F is Folder shares
 Volume Serial Number is B600-69DE

 Directory of F:\

05/01/2002  04:48           974,848 mfc70.dll
               1 File(s)        974,848 bytes
               0 Dir(s)  233,785,053,184 bytes free

运行dir /A:L确实包含该文件，因此它绝对是某种重新分析点。

NTFSLinksView根本没有列出文件。

在所有这些背景信息之后，问题真的很简单：

1. 如何找出重解析点的详细信息？
2. 我ntfs-3g在主机上告诉什么来重新映射连接点以便它们解决？

由于各种原因，我们的大量 Windows PC 未加入我们的 Windows 2012 R2 Active Directory 域。我们正在纠正这个问题，并在每个办公室的基础上加入 PC。

我们的一些员工现在拥有 Windows 8.1 PC，并且在购买时，他们尽职尽责地遵循 Microsoft 的要求，创建与 PC 相关联的 Microsoft Live 帐户。用户名采用 UPN 的形式，就本问题而言，我将其视为 Microsoft 的演示域，即 [email protected]。这些电脑是由我们的远程员工善意配置的；直到现在，我才能将它们带到我们的领域。

不出所料，我们的员工选择的 UPN 与我们为域提供的真实 UPN 一致，因此用户使用他们的电子邮件地址 (UPN) 登录 PC，然后也使用相同的帐户名登录中央服务。（这不是 SSO，因为 Microsoft Live 和我们的域之间没有信任关系。）

我可以很容易地将 PC 加入 CONTOSO 域，并且 UPN 可以在其他任何地方工作。我还准备了一个 GPO，它将说服这些 Windows PC 默认使用不合格的用户名登录我们的域而不是 Microsoft Live。但是，Windows 8.1 区分真正的本地帐户、Microsoft Live 链接帐户和域帐户的方式似乎是本地帐户使用非限定名称，Live 帐户使用 UPN，而域帐户被推回使用域\用户名样式。作为我们将电子邮件服务并行迁移到 Office 365 的一部分，我们在一年前从 CONTOSO\Username 表单中移出，我希望继续让用户在任何地方使用 UPN 登录。

我知道我可以使用 Forensit用户配置文件迁移向导之类的工具将用户的本地配置文件迁移到域配置文件，以便处理数据。

但是，是否有任何明智的方法可以将这些 PC 上的 UPN 登录形式从 Microsoft Live 迁移到我们的域？我真的不希望某些人能够使用 UPN 登录，但其他人必须记住使用旧的 DOMAIN\Username 格式。