Questions tagged «active-directory»

构成LDAP目录服务的一项Microsoft技术,具有对多个Windows服务器和台式机的用户帐户,计算机帐户,组和配置管理进行集中管理的功能。


2
什么是Active Directory域服务,它如何工作?
这是有关Active Directory域服务(AD DS)的规范问题。 什么是Active Directory?它是做什么的,它是如何工作的? Active Directory的组织方式:林,子域,树,站点或OU 我发现自己几乎每天都在解释一些我认为是常识的知识。希望该问题可以作为最基本的Active Directory问题的规范问题和答案。如果您认为可以改善该问题的答案,请进行编辑。




8
如何找出我的LDAP连接字符串?
我们位于运行活动目录的公司网络上,我们想测试一些LDAP内容(实际上是活动目录成员资格提供程序),到目前为止,我们还没人能弄清楚我们的LDAP连接字符串是什么。有谁知道我们如何找到它?我们唯一知道的是我们所在的域。

5
Windows Active Directory命名最佳做法?
这是有关Active Directory域命名的规范问题。 在虚拟环境中试用Windows域和域控制器后,我意识到,将活动目录域命名为与DNS域相同是一个坏主意(意味着example.com当我们拥有example.com域名时,将其作为Active Directory名称是不好的注册用作我们的网站)。 这个相关的问题似乎支持该结论,但是我仍然不确定围绕Active Directory域命名的其他规则。 是否有关于Active Directory名称的最佳实践?

1
什么是ADFS(Active Directory联合身份验证服务)?
因此,有人告诉我我们的PHP应用程序可能需要支持使用ADFS进行身份验证。 对于非Microsoft人员,ADFS是什么? 与LDAP之类的东西有什么不同? 它是如何工作的?向ADFS服务器发送的典型请求中将包含哪些信息?它设计用于身份验证和授权吗? 通常可以从Internet访问ADFS服务器(而不能通过公司AD域控制器访问)吗? 我曾尝试阅读一些Technet文档,但是充满微软语言,并没有太大帮助。 Wikipedia更好(请参见下文),但也许ServerFault社区中的某些人可以填补其中的空白。 Active Directory联合身份验证服务(ADFS)是由Microsoft开发的软件组件,可以安装在Windows Server操作系统上,以为用户提供跨组织边界的系统和应用程序的单点登录访问。它使用基于声明的访问控制授权模型来维护应用程序安全性并实现联合身份。 基于声明的身份验证是基于有关可信令牌中包含的其身份的一组声明对用户进行身份验证的过程。 在ADFS中,通过在两个安全领域之间建立信任关系来在两个组织之间建立身份联盟。一侧(帐户一侧)的联合服务器通过Active Directory域服务中的标准方法对用户进行身份验证,然后发出令牌,其中包含有关用户的一系列声明,包括其身份。另一方面,在资源方面,另一个联合服务器验证令牌并为本地服务器发出另一个令牌以接受声明的身份。这允许系统向属于另一个安全领域的用户提供对其资源或服务的受控访问,而无需用户直接向系统进行身份验证,并且两个系统无需共享用户身份或密码的数据库。 实际上,这种方法通常被用户认为如下: 用户登录到本地PC(早上开始工作时通常会这样做) 用户需要在合作伙伴公司的Extranet网站上获取信息-例如,获取价格或产品详细信息 用户导航到合作伙伴公司Extranet网站-例如:http : //example.com 合作伙伴网站现在不需要输入任何密码-而是使用AD FS将用户凭据传递到合作伙伴Extranet站点 用户现在已登录到合作伙伴网站,并且可以与“已登录”网站互动 来自https://en.wikipedia.org/wiki/Active_Directory_Federation_Services



14
获取用户所属的广告组列表
假设我在Active Directory中有一个用户的用户ID。我想获取该用户当前所属的所有AD组的列表。如何从Windows命令行执行此操作? 我尝试了以下方法: dsget user "DC=jxd123" -memberof 错误: dsquery failed:'-memberof' is an unknown parameter. type dsquery /? for help.

7
如果Windows商店将“一切”移到云中,它是否仍需要Active Directory?
摆脱这个问题:我真的需要MS Active Directory吗?朝着2014年的新方向发展。 考虑基本的Windows基础结构: 域控制器 Exchange 2007/2010/2013 共享点 的SQL 文件服务器/打印服务器 AD集成DNS 经过AD身份验证的第三方设备(例如,用于联网的802.1X以及某些内容过滤等) IT应用程序/硬件/等上具有AD / LDAP身份验证的“管理”功能。 也许一些KMS的东西 如果愿意,可以加入CA 本地应用 第三方内部应用 现在,让我们将其全部撕掉,并决定我们要进入云计算。我们已经签订了将Exchange / Sharepoint /文件服务迁移到Office 365的合同。SQL现在也将托管在类似Azure的东西上。我们摆脱了对AD-DNS的需求,只需通过简单的Windows DNS服务器运行所有内容即可。我们仍然需要802.1X,如果可能,我们希望对各种云应用程序使用SSO。自行开发和第三方的内部应用程序可能会保留,但可以使用内部用户数据库代替AD身份验证 问题是...我们真的需要Active Directory吗? 甚至更重要的是,AD本地部署,甚至通过Azure或类似的(ADFS)托管,或者通过Azure或类似的托管的VM运行ADDS。能否/我们应该寻找其他类似第三方的SSO选项,例如http://www.onelogin.com/partners/app-partners/office-365/或类似的东西,即使它简单,也可以提供SSO功能每个用户的LastPass或类似内容? 如果云中的其他所有内容都满足AD的什么样的合法需求? 如果将以MS为中心的基础架构将以前依赖于AD的所有内容转移到不依赖AD身份验证的SaaS产品中,是否可以完全不用AD?

8
我是否应该将Active Directory公开给远程用户使用?
我有一个客户,其员工完全由使用Apple和Windows 7 PC /笔记本电脑的远程员工组成。 用户目前不针对某个域进行身份验证,但是出于多种原因,组织希望朝该方向发展。这些是公司拥有的机器,公司寻求对帐户停用,组策略和某些轻量数据丢失的预防(禁用远程媒体,USB等)进行某种控制。他们担心需要VPN身份验证才能访问AD这将很麻烦,尤其是在终止员工和远程计算机上缓存的凭据的交集处。 组织中的大多数服务都是基于Google的(邮件,文件,聊天等),因此唯一的域服务是DNS和Cisco ASA VPN的身份验证。 客户想了解为什么将其域控制器公开给公众是不可接受的。此外,对于分布式远程劳动力,什么是更可接受的域结构? 编辑: Centrify用于少数Mac客户端。



By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.