где этот каунт ms-ds-machineaccountquota для конкретного юзера

это атрибут домена, как я понимаю он един для всех

это атрибут домена, как я понимаю он един для всех

а как он понимает что именно abc@corp.domain.com израсходовал?

я понимаю что он с точки зрения политики един. как понимается что этот уже всё израсходовал а у этого еще 2 джойна есть?

а ссылку юзаю эту http://event.on24.com/eventRegistration/console/EventConsoleApollo.jsp?&eventid=1481799&sessionid=1&username=&partnerref=&format=fhaudio&mobile=false&flashsupportedmobiledevice=false&helpcenter=false&key=E382CADC84C9AFD87D5ABA011BE20E0F&text_language_id=ru&playerwidth=1000&playerheight=650&overwritelobby=y&eventuserid=179104437&contenttype=L&mediametricsessionid=143759429&mediametricid=2127407&usercd=179104437&mode=launch#

на пару сек показывает окно где проигрыватели и сразу редиректит на сюрвай

а как он понимает что именно abc@corp.domain.com израсходовал?

ааа понял вопрос

ааа понял вопрос

есть мысли на этот счёт?

Configuration Manager news: Launching a task Sequence using an Application link in ConfigMgr 1706 http://ccmexec.com/2017/09/launching-a-task-sequence-using-an-application-link-in-configmgr-1706/ Using Azure Information Protection (AIP) http://www.windowsmanagementexperts.com/using-azure-information-protection-aip/using-azure-information-protection-aip.htm Use PowerShell to take automated screencaps https://foxdeploy.com/2017/09/09/use-powershell-to-take-automated-screencaps/

есть мысли на этот счёт?

С телефона особо не почитаешь, но тут чего-то расписано http://www.techrepublic.com/blog/tr-dojo/increase-the-number-of-workstations-a-user-can-join-to-a-domain/ у нас проще - всё или ничего)))

С телефона особо не почитаешь, но тут чего-то расписано http://www.techrepublic.com/blog/tr-dojo/increase-the-number-of-workstations-a-user-can-join-to-a-domain/ у нас проще - всё или ничего)))

спасибо, это уже было изучено

но оно не дает ответа на вопрос "как оно понимает что у этой учетки осталось 7 джойнов". Сложности поменять это на уровне домена через ADSI или через делегирование - нет

можно ли это как то на уровне конкретной учетки пользователя раскурочить

можно ли это как то на уровне конкретной учетки пользователя раскурочить

тока опыт, смотри какие параметры меняются у учетки, а параметров там масса...

тока опыт, смотри какие параметры меняются у учетки, а параметров там масса...

в том то и дело что у самой учетки в списке атрибутов я не вижу этого

но бай дизайн, такое не предусмотренно, ты или админ и у тебя нет лимитов, или нет, тогда есть лимит, но его можно снять совсем...

в том то и дело что у самой учетки в списке атрибутов я не вижу этого

а с каким фильтром смотришь?

а с каким фильтром смотришь?

все включил, у тебя есть чоль?

все включил, у тебя есть чоль?

я смотрел с параметрами доступными для записями

я смотрел с параметрами доступными для записями

и есть?

и есть?

неа

и есть?

но например есть replPropertyMetaData, что там в хексе нахуеверчено7

и есть?

или userAccountControl, мб там один из битов за это отвечает

@alseg а в чем кейс то? дать кому то права на ввод машины в домен? а зачем? есл у учетки произвольной и так есть такие права

@alseg а в чем кейс то? дать кому то права на ввод машины в домен? а зачем? есл у учетки произвольной и так есть такие права

права есть, есть 10 джойнов у каждого

просто интересно было бы понять как он проверяет этот счетчик

просто интересно было бы понять как он проверяет этот счетчик

Блин, вот ты спросил, и мне стало интересно.. Пришлось найти http://www.msresource.net/index2.php?option=com_content&do_pdf=1&id=59 вторая страница в общем-то выдает "весь соль и боль" если я правильно прочитал. То есть завести юзер может хоть сотню при листик десять, если заменить creatorSID

Какой листик.. Лимите же)))

Блин, вот ты спросил, и мне стало интересно.. Пришлось найти http://www.msresource.net/index2.php?option=com_content&do_pdf=1&id=59 вторая страница в общем-то выдает "весь соль и боль" если я правильно прочитал. То есть завести юзер может хоть сотню при листик десять, если заменить creatorSID

тож читал

Ну то есть счетчика в привычном понимании нет, получается, вместо него костыль

вощим то оно конечно нафиг не сдалось, чисто практический интерес. но заменять cSID тож такое себе

тож читал

хм, там же написано Domain Controller searches the domain for any computer objects where the ms-DS-CreatorSID equals the objectSID of the user performing the operation

вычисляемый параметр....его просто нет у пользователя

Да там и запрос написан, который реализует это описание.. Бяда, конечно, поскольку нельзя как-то тонко настроить права, только выдавая права на определенные OU для prestage,

Да там и запрос написан, который реализует это описание.. Бяда, конечно, поскольку нельзя как-то тонко настроить права, только выдавая права на определенные OU для prestage,

а как бы ты хотел более точно настроить?

у меня фантазия дальше выдачи прав на ою не идет

а как бы ты хотел более точно настроить?

Чтобы саппорт не плодил новые УЗ для перезаливаемых))) хотя в целом решаемо, конечно, но скорее стоя над душой)))))

Чтобы саппорт не плодил новые УЗ для перезаливаемых))) хотя в целом решаемо, конечно, но скорее стоя над душой)))))

так есть на ою будет даны права пользователю, ему будет пофиг же, зачем создавать то?

вычисляемый параметр....его просто нет у пользователя

ну подожди, разве это не тот самый пользователь который можно указать когда ручками учетку нового компа создаешь и указваешь кто может заждойнить?

причем тут значение того самого счетчика?

Мой саппорт не любит перезаливать по уму, они любят плодить учетки - это вообще в целом меньшая из бед)))))

ну подожди, разве это не тот самый пользователь который можно указать когда ручками учетку нового компа создаешь и указваешь кто может заждойнить?

если права на джоин есть, то счетчик побоку, а если нет...то тогда его считают

если права на джоин есть, то счетчик побоку, а если нет...то тогда его считают

ок, где происходит его инкремент?

это и есть ответ

ок, где происходит его инкремент?

а нигде, каждый раз при джоине, если нет прав дц его считает

а нигде, каждый раз при джоине, если нет прав дц его считает

ок, где это значение для пользователя васи конкретного?

у васи было 10 джойнов, 2 джойна он израсходовал, осталось 8

Пользователь тот как раз, по идее можно создать новых учеток от другого и дать прав на изменение объекта

Пользователь тот как раз, по идее можно создать новых учеток от другого и дать прав на изменение объекта

можно конечно, речи нет

Нигде, считается онлайн во время джойна

ок, где это значение для пользователя васи конкретного?

нет его. дц считает все компы в домене, у кого пользователь указан как создатель

Нигде, считается онлайн во время джойна

но оно же должно куда то сохраниться?

но оно же должно куда то сохраниться?

Зачем?

у васи было 10 джойнов, 2 джойна он израсходовал, осталось 8

если те старых две учетки компа удалить снова станет 10

если те старых две учетки компа удалить снова станет 10

В этом есть плюс существенный

нет его. дц считает все компы в домене, у кого пользователь указан как создатель

а пользователь не указан как создатель в том то и дело. всё по дефолту

кейс когда нет заранее созданной УЗ компа

просто джойнишь комп под васей бухгалтером и всё

и у него из его 10 попыток минус 1

а пользователь не указан как создатель в том то и дело. всё по дефолту

хрр, ща проверю

просто не создавай заранее УЗ компа и просто приджойнь комп под бухгалтером

так то конечно, если бы вопрос был только в том "либо есть права создания либо нет" - совсем другая песня

Хотите размять мозги? Помогите коллегам найти выход из сложной ситуации. Вопросы без ответов с social.technet.microsoft.com/Forums/ru-RU/home?forum=smsru - SCCM 2012 перестал собирать информацию по основному устройству. - Установка *.msu пакетов. - Unintal skype for business 2015 - Не подцепляется сертификат - Ошибка при установке - Не удалось внести изменения в программное обеспечение - SCCM 1606:Перенастройка Интегрированного магазина Windows для Бизнеса - Папка отчетов пустая

ну это ты заждойнил под ним получается

ну это ты заждойнил под ним получается

да, указал учетки при джоине

хотя она там всегда указывается, просто это обычный пользователь

у тебя было 10 джойнов, стало 9. Где лежит это значение? Или ты хо сказать что я приджойнил 10, потом 2 удалил и могу еще 2 приджойнить?

ERROR: S client not available

у тебя было 10 джойнов, стало 9. Где лежит это значение? Или ты хо сказать что я приджойнил 10, потом 2 удалил и могу еще 2 приджойнить?

нигде не лежит

дц его считает при джоине

т.е. приджойнил 10 - пропрообвал 11 - низя. удалил 1 УЗ компа приджойненного ранее - и стало можно добавить еще 1?

т.е. приджойнил 10 - пропрообвал 11 - низя. удалил 1 УЗ компа приджойненного ранее - и стало можно добавить еще 1?

типа того

дц его считает при джоине

по всем хуячит и считает сколько тех УЗ компов у которых данный сид?

херасе

достаточно ms-DS-CreatorSID оучистить

по всем хуячит и считает сколько тех УЗ компов у которых данный сид?

угу

как я понял

это надо проверить на стенде

это надо проверить на стенде

ксттаи ms-DS-CreatorSID через гуй не меняется....

https://technet.microsoft.com/en-us/library/hh852326(v=wps.630).aspx и replace в помощь

Проверил

да, действительно так

вводишь 10 станций, 11 не дает, удаляешь 1ую - можно приджойнить 11ую. Ну теперь понятненько

всем спасибо!)))

https://technet.microsoft.com/en-us/library/hh852326(v=wps.630).aspx и replace в помощь

чет я не отдупляю PS C:\Users\user> set-ADObject -Identity 89797c46-25a3-4232-8c31-acb2ff9e651f -Replace @{mS-DS-CreatorSID=""} >> ; >> че ему надо то?

Гы, он как идентити дн ждет

Гы, он как идентити дн ждет

хрен, он это поле не меняет

так же как и имя например Исключение при задании "Name" : "Адаптеру не удалось настроить значение свойства "Name"." строка:1 знак:1 + $MyComp.Name = "testksc3" + ~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (:) [], SetValueInvocationException + FullyQualifiedErrorId : CatchFromBaseAdapterSetValue

PS C:\WINDOWS\system32> Get-ADObject -Filter { cn -eq 'TESTKSC1'} -Properties name, ObjectClass, ObjectGUID, mS-DS-CreatorSId | set-ADObject -Replace @{'mS-DS-CreatorSId' = "0"} set-ADObject : Этот атрибут не может быть изменен, т.к. он принадлежит системе

Сходу не нашёл, можно ли вообще поменять такие параметры - может это хардкод

А зачем это менять? Xyz проблема какая-то?

А зачем это менять? Xyz проблема какая-то?

просто так, чисто из любопытства этот параметр учитывается при возможности ввода машину в домен, типа как стандартный счетчик обойти, в домене уже есть 10 машин введенных васей. а надо 11 ввести....обязательно васей..

Ну проще взять спецучетку для вгона в домен, да прописать переменными на коллекции

Ну проще взять спецучетку для вгона в домен, да прописать переменными на коллекции

угу, но чет нас занесло хрен пойми куда...

Бло

Есть атрибут в ад

Ограничивающий сколько может ввести юзер тачек в домен

Ограничивающий сколько может ввести юзер тачек в домен

да тут странного хотели просто...

Есть атрибут в ад

есть

Подменить создателя?