Questions tagged «active-directory»

如何从Linux计算机列出Active Directory用户属性？Linux计算机已加入域。我可以使用“ getent”来获取用户和组信息，但是它不会显示完整的活动目录用户属性。

13 linux  active-directory  attributes 

我可以使用任何方法为NTP提供自动发现吗？我最近转到了一家新公司，该公司的母公司最近开始提供Active Directory。我一直在实现针对AD的SSSD和其他身份验证，以及设置NTP。但是，它们具有大量的Active Directory服务器（我必须直接指向服务器），并且有时可以更改。 是否可以设置诸如LDAP发现或ActiveMQ之类的多播和其他应用程序的任何方法？如果没有其他建议，除了试图让母公司维护更好的服务器列表，以及它们的作用域是什么？ 谢谢！

12 active-directory  ntp  sssd  ntpd  autodiscovery 

为什么不恢复六个月前备份的DC？ 当我学习Active Directory域服务时，我在一个博客中遇到了这个问题，但是我找不到详细的答案。因此，请任何人向我解释这个概念。

12 active-directory  domain-controller  azure-active-directory 

我一直都知道有五个FSMO角色，但是有时候我看到有些东西说有七个。真的有几个？

12 active-directory  samba4  fsmo 

我在Windows Server 2012上，Active Directory处于运行状态。我们管理的所有项目都有2个专门的小组，一个小组供经理访问所有相关文件（包括发票，时间表以及他们管理项目所需的任何东西），或者至少我想，对于我来说，这可能是一堆动画gif知道），并为实际从事该项目的人员提供一个权限，该人员只能访问项目本身的文件。 我需要让一些项目经理控制允许文件访问其项目的组的成员身份。他们应该不能编辑组的任何其他方面。理想情况下，它应该使用某种GUI，因为用这种方式很难解释它，但是在最坏的情况下，我可以编写一个。 我将管理组添加到管理组的“管理者”选项卡，并启用了“经理可以更新成员资格列表”，这看起来很容易。但.. 我应该让管理组看到整个用户列表吗？如果是这样，怎么办？ 管理组成员应如何以及在何处登录以编辑组成员身份？

12 active-directory  group-policy  windows-server-2012-r2  groups 

Active Directory用户对象包括许多可以视为标识符的字段。下面列出了其中一些标签及其在ADUC中的标签及其属性名称： 全名-cn ？- 名称 用户sAMAccountName登录-sAMAccountName 用户UPN登录：userPrincipalName ？- 专有名称 我试图让我们的开发人员在编写针对AD进行身份验证的自定义代码时仅使用其中之一进行标准化-问题是我不确定哪一个是“正确的”代码，或者如果不同的代码是正确的代码情况。我什至不确定要使用上述任何字段！ 有没有其他人选择使用它，是什么影响了您的决定？有任何文件可以澄清问题吗？

12 active-directory  ldap  authentication 

我们限制exe在整个组织中的运行。但是根据理由和批准，我们会将用户添加到（特定的）广告组中24小时。 当前，在X个小时后将用户从这些AD组中删除的过程是手动的。我正在尝试以某种方式使其自动化。但是我想知道在AD 2003中是否有任何本机处理方法。编写脚本（powershell / vbs）是处理此问题的唯一方法吗？

12 active-directory  groups 

我们正在建立一个暑假后使用的培训环境。管理层希望我们现在在假期之前建立客户。由于客户要被运走，他们将离线，直到培训开始。这意味着客户将在大约15周的时间内与广告保持联系。另外，由于没人在这里，因此服务器将关闭大约六到八周。逻辑删除寿命设置为180天。 这15周的时间可以为客户带来任何问题吗？我们是否应该说服管理层将客户端安装推迟到休假之后？

12 windows-server-2003  active-directory  windows-xp 

我目前正在评估Server 2012，以在Linux和Windows工作站与服务器的小型异构网络中充当域控制器，所有这些最终都将加入该域。这是一个100％的双堆栈网络；每个设备都具有IPv4和IPv6连接。路由器是运行radvd 1.9.1和其他各种必需品的Linux服务器。 我刚刚安装了第一个域控制器；它的域名是ad.businessname.com（businessname.com由外部DNS服务器处理；该域还具有公共网站，电子邮件等，这些现在将不加入该域）。它是安装有AD DS和DNS角色的服务器核心。一切似乎都很好，我准备设置第二个DC并开始加入计算机，但是... 现在，我的网络上有额外的IPv6路由器广告，广告“ 唯一本地地址”。它也是广告的本地IPv6前缀实际路由器是广告。起初我以为这些RA源自域控制器，因为当我关闭它们时它们消失了，但是运行Wireshark之​​后，我看到它们来自我的实际IPv6路由器。Wireshark显示，此版本的RA很快就遵循了来自DC的fd4a：e7ab：34a5 :: 1的邻居请求。 奇怪的是，当域控制器不在网络上时，路由器也会发送它通常发送的原始路由公告。此版本的RA匹配/etc/radvd.conf（下面是副本）。与Wireshark的快速对话证实了路由器通告的两个版本都来自运行Linux路由器的MAC地址radvd。 到目前为止，这些似乎无害，因为我的IPv6连接并没有被额外RA中断。但是由于我已经具有全球IPv6连接，因此ULA似乎是不必要的。 昨晚和今天，我花了很多时间在Internet上搜索，试图找出正在发生的事情，但是除了暗示它可能与IP Helper Service有关的暗示外，几乎没有其他任何解释（以及模糊的警告提示）。把它关掉）。但是据我所知，当本机IPv6可用时，禁用此服务应该是安全的。 所以我的问题是： Windows为什么要发送ULA网络的邻居请求？ 为什么发送这些RA，显然是为了响应？ 他们为什么除了我的本机地址外还宣传ULA？ 这样会不会在以后引起IPv6路由问题？ 我必须忍受这一点吗，或者如何使Windows和radvd表现良好？ 各种配置信息如下： 这是发送的捕获的RA（如图所示，radvdump与wireshark的输出相比，IMO更易于阅读）。您可以看到它同时在宣传ULA和公共前缀（在此处模糊）。当我关闭域控制器时，此版本的RA停止出现在网络上。 # # radvd configuration generated by radvdump 1.9.1 # based on Router Advertisement from fe80::20c:29ff:fef4:66f1 # received by interface eth0 # interface eth0 { AdvSendAdvert on; # Note: …

12 domain-name-system  active-directory  ipv6  windows-server-2012  radvd 

我是Windows管理员，因此与Windows集成的人员可能会很有帮助。在这一点上，我面临的主要挑战只是文件共享，但是随着SharePoint使用的增加，这只会使这一工作变得更加困难。 我已经设置了所有目录，并允许使用需要最少访问权限的策略来设置许多安全组。我的问题是出于人力资源和合规性原因而对所有这些进行跟踪。 用户A需要获得对资源1的许可。他需要获得资源1的经理的批准，然后经理的经理也需要批准此访问权限。完成所有这些操作后，我就可以进行更改。在这一点上，我们只是在纸​​上进行跟踪，但这是一个负担，当重新分配用户A并且在其他情况下不再应该访问资源1时，它可能会失去合规性。 我知道我要寻找的东西应该已经存在，但我不知道在哪里寻找，我正在与社区建立联系。 编辑： 感谢您的答复。我认为他们涉及技术方面，希望我的问题不是题外话。我本该明确自己的目标。您使用什么系统向审核员显示X在日期X上用户A已添加/删除权限并获得了经理Y的批准？我目前有一个基本的票务系统，但是我看不到它能以一种易于理解的格式提供我所需要的东西。 在我的脑海中，我想像的是某个报告，该报告将对用户A进行报告，其中将显示对其权限所做的所有更改。理想情况下，链接到Active Directory的东西将是理想的选择，但在这一点上，我希望找到更基本的东西。我希望有一个专门用于此的应用程序。 谢谢！

12 windows  active-directory  audit 

除了列出对象的实际位置以外，Active Directory中的“位置”字段是否用于其他目的？ 我很感兴趣，如果这只是一个用户友好的字段来帮助人们找到打印机等，或者对该字段进行更改是否还会有其他效果。

12 active-directory 

这个星期六晚上，我们将用Windows Server 2008 R2域控制器/ dns服务器替换现有的Windows Server 2003域控制器/ dns服务器。当前的林和域功能级别是Windows Server 2003，我已经在现有架构操作主机上通过W2K8R2媒体运行了adprep / forestprep和adprep / domainprep / gprep。我还在新服务器上安装了AD DS位，但尚未运行DCPROMO。我们的AD DNS区域是AD集成的。 是否有任何理由不进一步，现在就运行DCPROMO来“预备”新服务器？我们要等到这个星期六晚上再向他们请教，但是在此之前尽可能近距离地进行准备工作对我没有任何危害。

12 windows  windows-server-2008  active-directory 

当用户出于任何原因更改其帐户密码（读取：已过期）时，旧密码存储在通过EAS连接的移动设备中。这将导致其帐户几乎立即被锁定-就像根据广告中定义的锁定策略一样。很容易弄清楚那部分。困难的部分是阻止它发生。我到处看。没有。基本上，这个难题包括四个部分：EAS设备，TMG（ISA）服务器，EAS协议以及最后是AD。他们都没有办法阻止EAS设备无法通过身份验证。所以我认为我必须想出一个聪明的解决方法。我唯一能想到的就是为所有EAS用户创建一个组，并将他们从锁定策略中排除，这显然违反了策略的整个目的， 问题：您能想到其他方法来防止EAS锁定帐户吗？ 环境：大多数iOS设备都通过EAS。TMG2010。Exchange2007。AD2008 R2。

12 active-directory  exchange  group-policy  activesync  microsoft-ftmg-2010 

我当前正在运行Windows Server 2008 R2，谁能告诉我如何将活动目录复制到使用Server Core安装已安装的另一台服务器上。

12 active-directory  windows-server-2008-r2 

我们是一家相对较小的商店（就系统管理员数量而言），其中包含RHEL，Solaris，Windows 2003和Windows 2008服务器。总共约200台服务器。 对于我们的管理员帐户（root在Linux和admnistratorWindows中），我们有一个密码方案，该方案取决于数据中心位置和服务器的其他两个记录的属性。 在Linux上，我们目前的做法是创建一个共享的非特权帐户在那里我们可以su来root。在基于Windows的系统上，我们创建一个具有管理员特权的附加帐户。这两个帐户共享相同的密码。 事实证明这是非常低效的。当有人离开我们的商店时，我们必须： 更改管理员帐户的密码方案 为每台服务器生成一个新的管理员密码 提出新的非管理员帐户密码 触摸每台服务器并更改密码 我想知道在类似环境中是否有人可以建议一种更合理的方式来管理这些凭据。一些相关信息： 尽管我们的大多数服务器都属于AD域，但并非全部。 我们使用Puppet管理所有Linux服务器（我想到了密钥身份验证，但是只能解决上面提到的＃3问题）。 我们为Cobbler提供Linux服务器。 我们大约有10％的硬件专用于VMWare。在这些情况下，我们使用VMWare模板进行服务器构建。 任何想法或建议将不胜感激。这个问题已经存在了一段时间，我终于想解决它。

12 linux  windows-server-2008  security  active-directory  puppet