Questions tagged «active-directory»

一个简单的现实问题，受到此处评论的启发： 自Windows 2000首次引入以来，Active Directory就支持使用SMTP而不是直接RPC进行站点间复制。 但是，有人真正使用过它吗？ 如果是，为什么选择它？ 设置和维护很容易还是很麻烦？ 它可靠吗？

12 active-directory  smtp  replication 

我已经设置了具有AD集成和启用ACL的文件系统的Samba 3主机。使用Windows客户端，我可以设置用户和组权限。 到目前为止，Samba只是映射到POSIX ACL的rwx权限，这使我无法在Windows上使用“修改”或“完全控制”权限。我还阅读了一些有关xattrs和ZFS ACL支持的信息。 有人可以暗示什么是超越POSIX ACL完全类似于Windows ACE的最佳方法吗？

12 active-directory  samba  access-control-list  file-permissions  posix 

我有Windows服务帐户。我需要授予它权限来模拟另一个受信任域上组中的另一个帐户，而无需委派。如此有效，我的服务帐户现在说“哦，我是Barnie@otherdomain.com”。我知道这是有可能的，因为它是为另一个域设置的-但是在我加入之前，我不知道他们是如何做到的！ 我是开发人员，但是我所在的目录管理员似乎不知道该怎么办。任何帮助将不胜感激！

12 active-directory  impersonation 

我正在寻找基于Web的界面GUI，或某种将显示域复制状态的监视工具。 我知道我可以在命令行上使用带有各种选项的repadmin来查询状态。我考虑过创建一个脚本，当他们对状态感兴趣时可以运行它们，但是他们可能会对某种状态页面更感兴趣。

12 windows  windows-server-2008  replication  active-directory  network-monitoring 

我在Windows Server 2003盒子上有一组私有Subversion存储库，开发人员可以通过svn：//协议通过SVNServe访问。目前，我们一直在使用每个存储库的authz和passwd文件来控制访问，但是随着存储库和开发人员的数量不断增加，我正在考虑使用ActiveDirectory中的凭据。我们在一家全Microsoft商店中运行，并且在所有Web服务器上使用IIS而不是Apache，因此，如果可能的话，我希望继续使用SVNServe。 除了可能之外，我还担心如何迁移我们的存储库，以便现有用户的历史记录映射到正确的ActiveDirectory帐户。还请记住，我不是网络管理员，并且对ActiveDirectory并不陌生，因此如有必要，我可能必须经过其他人员才能在ActiveDirectory中进行更改。 我有什么选择？ 更新1：从SVN文档中可以看出，通过使用SASL，我应该能够使SVNServe使用ActiveDirectory进行身份验证。澄清一下，我正在寻找的答案是如何配置SVNServe（如果可能）以使用ActiveDirectory进行身份验证，然后如何修改现有存储库以将现有svn用户重新映射到其ActiveDirectory域登录帐户。 更新2：似乎SVNServe中的SASL支持基于插件模型起作用，并且该文档仅作为示例显示。从Cyrus SASL库看，它似乎支持多种身份验证“机制”，但是我不确定用于ActiveDirectory支持的是哪一种，也无法找到有关此类问题的任何文档。 更新3：好了，好了，它看起来像，以便与ActiveDirectory中我沟通在找使用saslauthd而不是sasldb的为auxprop_plugin财产。不幸的是，根据某些帖子（可能是过时和不准确的），saslauthd似乎无法在Windows上构建，并且这种努力被视为正在进行中。 更新4：我在此主题上找到的最新文章听起来似乎可以通过MIT Kerberos库获得适当的二进制文件（），但这听起来像是这篇文章的作者在Nabble.com上仍存在问题，无法正常工作。 更新5：从TortoiseSVN讨论以及svn.haxx.se上的帖子看来即使sas​​lgssapi.dll或任何必需的二进制文件在Windows服务器上可用并已配置，客户端也将需要相同的自定义才能使用这些存储库。如果是这样，则只有在对这些客户端进行了更改（例如TortoiseSVN和客户端二进制文件的CollabNet构建以支持此类身份验证方案）的情况下，我们才能从Windows客户端获得ActiveDirectory支持。尽管这是这些帖子的建议，但这与我最初从其他阅读中得出的假设是矛盾的，因为与SASL兼容应该不需要在客户端上进行任何更改，而只需设置服务器以处理身份验证机制即可。在仔细阅读Subversion中有关Cyrus SASL的文档后第5节指出：“只要支持的至少一种机制也受客户端支持，具有Cyrus SASL支持的1.5+客户端将能够针对启用了SASL的1.5+服务器进行身份验证。” 因此，显然必须在客户端和服务器内提供GSSAPI支持（我知道Active Directory必需）。 我不得不说，我对Subversion如何处理身份验证的内部知识的了解比我想了解的要多。不幸的是，我只是在寻找有关在Windows服务器上使用SVNServe并从Windows客户端访问它时是否可以使用Active Directory身份验证支持的答案。根据官方文档，这似乎是有可能的，但是您可以看到，即使有可能，配置也不是一件容易的事。 更新：6：由于Subversion 1.7的开发工作即将结束，因此有人可以在使SVNServe使用Active Directory进行身份验证的情况下添加有关Subversion 1.7是否会有所改善的信息吗？

12 windows  active-directory  svn  ldap  svnserve 

抱歉，如果我在这里滥用条款；我实际上对Active Directory和相关技术了解不多。基本上，我有一台Linux计算机，并且希望它（或该计算机上的用户）与域上的用户相关联，以便我可以浏览网络以及所有包含Windows的东西。 这可行吗？做这样的事情我需要研究什么？

12 linux  windows  active-directory 

客户端加入AD域时会对其应用哪些更改？ 域成员断开网络连接后应该如何表现？用户可以登录吗？不在网络上时，域用户策略是否仍然适用？ 如果您知道提供Active Directory全面介绍的综合资源，请发布它们。 谢谢

12 active-directory 

有没有一种方法可以设置默认的UPN后缀，以便为Active Directory创建新用户？ 例如，如果我将corp.mydomain.com作为我的AD域，并且在“域和信任关系”下添加了一个备用的UPN后缀，即mydomain.com，那么在创建新域时是否有任何方法可以将该域设置为默认域用户？ 我知道我可以创建一个模板用户，然后在复制它时，它将具有正确的默认后缀，但是很好奇是否有一个隐藏的设置可以控制它。

12 active-directory 

这与此问题有关： 域管理员组拒绝访问d：驱动器 我在全新的AD实验室环境中有一个成员服务器。 我有一个Active Directory用户ADMIN01，该用户是该Domain Admins组的成员 该Domain Admins全局组是成员服务器的本地成员Administrators组 服务器成为域成员后，在D:添加的新驱动器的根目录上配置了以下权限： 所有人-特殊权限-仅此文件夹 遍历文件夹/执行文件 列出文件夹/读取数据 读取属性 读取扩展属性 创建者所有者-特殊权限-仅子文件夹和文件 完全控制 SYSTEM-此文件夹，子文件夹和文件 完全控制 管理员-此文件夹，子文件夹和文件 完全控制 在上述ACL的作用下，域用户ADMIN01可以登录和访问D:驱动器，创建文件夹和文件，一切都很好。 如果我Everyone从该驱动器的根目录中删除该权限，则属于Domain Admins（eg ADMIN01）组成员的非内置用户将无法再访问该驱动器。域Administrator帐户很好。 本地计算机Administrator和Domain Admin“管理员”帐户仍具有对驱动器的完全访问权限，但是Domain Admins拒绝添加任何已添加到其中的“常规”用户。 无论我是否创建了卷并删除了Everyone以本地计算机登录的权限，Administrator还是我以Domain Admin“管理员”帐户登录的权限，都会发生这种情况。 正如我在上一个问题中提到的，解决方法是在成员服务器上本地或通过域级GPO 禁用“用户帐户控制：以管理员批准模式运行所有管理员”策略。 为什么Everyone从D:具有A身份的非内置用户的ACL 中删除帐户会导致此问题Domain Admins？ 同样，为什么不提示这些类型的非内置Domain Admin用户提升其权限，而不仅仅是拒绝访问驱动器？

12 windows  windows-server-2008  active-directory 

我们有一个域帐户已通过2台服务器中的1台被锁定。内置审核仅告诉我们很多信息（已从SERVER1，SERVER2锁定）。 该帐户在5分钟内被锁定，似乎每分钟大约有1个请求。 最初，我尝试从sysinternals运行procmon，以查看在解锁帐户后是否产生了任何新的PROCESS START。没有可疑的东西出现。我的工作站上运行procmon中并提升到一个UAC外壳（conscent.exe）之后，它似乎是从堆栈中ntdll.dll和rpct4.dll当您试图权威性针对AD（不知道）被调用。 无论如何，是否可以缩小导致DC进行身份验证请求的过程？它始终是相同的DC，因此我们知道它必须是该站点中的服务器。我可以尝试在Wireshark中查找呼叫，但是我不确定这是否会缩小实际触发它的进程。 没有服务，驱动器映射或计划的任务都在使用该域帐户-因此它必须是存储了域凭据的内容。在任何服务器上（我们选中），都没有与该域帐户打开的RDP会话。 进一步说明 是的，有问题的DC启用了“成功/失败”登录审核-直到帐户被实际锁定之前，不会记录任何失败事件。 进一步的挖掘表明，一旦帐户解锁，LSASS.exe就会KERBEROS呼叫有问题的DC。它（通常）以java开头（似乎被称为vpxd.exevCenter进程）。但是，当我查看另一个（也可能是）帐户锁定的“ server2”时，我再也看不到调用，lsass.exe并且仅生成了apache进程。两者之间的唯一关系是SERVER2是SERVER1的vSphere群集的一部分（server1是vSphere OS）。 DC错误 因此，AD似乎只能告诉我这是预身份验证Kerberos错误。我检查了一下，没有票，klist反正还是为了防万一而冲洗了一下。仍然不知道是什么导致此kerberos错误。 Index : 202500597 EntryType : FailureAudit InstanceId : 4771 Message : Kerberos pre-authentication failed. Account Information: Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848 Account Name: USER Service Information: Service Name: krbtgt/DOMAIN Network Information: Client Address: ::ffff:x.x.x.x Client Port: 61450 Additional Information: …

12 windows  windows-server-2008  active-directory  kerberos 

通常，您可以告知AD帐户何时被锁定，因为它会在复选框旁边告诉您“解锁”所述帐户。 虽然，我想知道是否有任何理由在帐户未锁定时将其选中吗？如果是这样，“解锁”此帐户会做什么？

11 windows  active-directory 

我正在搜索有关如何将U2F（使用YubiKey或类似设备）集成到Active Directory Windows域（将是Windows 2016 Server）的信息。特别是我对确保Windows登录到工作站/服务器的安全性感兴趣，要求将U2F令牌作为第二个因素（仅密码根本不起作用）。 简而言之，目标是通过密码+ U2F令牌或使用kerberos令牌来完成每个身份验证。 在哪里可以找到有关此特定方案的更多信息或所汲取的经验教训的任何提示都是不错的选择。

11 active-directory  authentication  windows-server-2016  two-factor-authentication 

我希望在公司网络上使用我的Linux工作站，但是我遇到了一些问题，特别是802.1xi认为。 我在我的计算机和Windows域管理员上都是root用户，因此我应该能够访问我需要的所有内容才能使它工作。目前，我的Linux机器的连接受到限制，这使我相信它已被放入非802.1x客户端的默认VLAN中。 我想我的总体问题是：如何使我的linux计算机在有线Windows网络上使用802.1x？该网络是典型的Windows域，使用计算机帐户和用户帐户。 这是我到目前为止所知道和尝试过的： 我相信我将需要为计算机获取有效的客户端计算机证书，域的CA证书以及客户端的私钥 想法1，从Windows机器/域ca机器上获取有效密钥我在linux机器上运行了Windows VM，并将其加入到域中，认为这将产生一个我可以为linux机器获取的有效客户端证书。-为此，我随后从Windows ca服务器中导出了客户端证书和ca证书，然后将它们转换为PEM格式，准备在Linux上用于网络管理器（假设需要PEM而不是DER）。-然后，我尝试使用certmgr在Windows VM本身上导出私钥，但是将其标记为不可导出：-( 想法2是powerbroker ...-我使用powerbroker open（同样也是如此）将linux机器加入域，getent passwd现在显示所有域用户。-我的想法是，这会将客户端证书和私钥放在系统的某个位置（/ etc / ssl / certs？），但我什么也找不到 想法3，问一个知道自己在做什么的人。 我应该指出，最初这台linux机器上有Windows（我在linux安装时p2vd），所以我知道网络交换机已正确设置，并且MAC等在网络上被接受；我很确定这只是802.1x问题 编辑：完全忘了提及它的fedora 21 xfce自旋，64位。

11 linux  windows  active-directory  802.1 

与我的上一个问题有关，为什么使用根域名作为Active Directory林的名称是个坏主意... 我有一个雇主，为简单起见（诚实），我将其称为ITcluelessinc。该雇主拥有一个外部托管的网站www.ITcluelessinc.com和一些Active Directory域。他们对IT一无所知，很多年前，他们在名为的Active Directory林中建立了自己ITcluelessinc.prv，并对它执行了难以言喻的暴行。这些无法形容的暴行最终追上了他们，周围的一切都崩溃了，他们决定向某人支付一大笔钱来“修复它”，其中包括从可怕的ITcluelessinc.prv森林中迁移。 当然，由于对IT一无所知，他们在听到信息时并不知道好的建议，而是接受了为他们的新AD林命名的建议ITcluelessinc.com，而不是他们也得到的明智建议，并开始在上面添加内容。快进到几个小时前，我们有一家公司，其大部分内容已加入并使用旧的ITcluelessinc.prvActive Directory林，并且有相当数量的新内容已加入和/或使用该ITcluelessinc.com林。为了使这项工作相对无缝地进行，我使用了DNS中的条件转发器将ITcluelessinc.com流量发送到ITcluelessinc.prv，反之亦然。 （corp.ITcluelessinc.com和eval.ITcluelessinc.com域是我刚进入并稍后设置的正确命名的域，目前还不相关。） 回到几小时前，ITcluelessinc的非技术人员注意到她无法从工作站（在ITcluelessinc公司网络内部）浏览到www.ITcluelessinc.com，并确定这是一个问题，因此她联系了ITcluelessinc的VIP员工，他认为必须解决大多数Ricky-tick问题。通常，这不是什么大不了的事，只要www在DNS区域下添加的A记录，ITcluelessinc.com就可以浏览该站点，只要您不尝试使用裸链接即可。 因此，似乎所有设置均正确。转发器，wwwDNS中的主机条目，以及使用ITcluelessinc.prv域控制器作为DNS服务器的客户端在尝试浏览到www.ITcluelessinc.com而不是从我的家庭网络获得的网页时，会获得连接超时。 考虑到Active Directory目录林及其需要的条件转发器，是否有人对我如何允许ITcluelessinc.prv域的内部客户端浏览www.ITcluelessinc.com有所想法ITcluelessinc.com？或者，是否有人[else]确信使它起作用的唯一方法是摆脱ITcluelessinc.comActive Directory林？ 它看起来像安装我现在要工作，但它显然不是的，我不知道在哪里我会购买一个测试环境中，这搞砸进行试验。对于它的价值，我有礼貌地建议，解决此问题的唯一方法是迁移到我设置的名称正确的林中，如果答案还不够好，请计划在所有站点上托管该网站的镜像我们的ITcluelessinc.com域控制器直到破坏一切。

11 domain-name-system  active-directory 

我想删除Windows域控制器的DNS功能，并将DNS服务器指向我们的BIND9服务器。 我知道可以设置共存，但这需要数量与网络中域控制器数量相等的额外Windows DNS服务器。 Active Directory需要_msdcs区域以及_tcp，_udp等其他内容；等等 主要问题是：如何使BIND9处理所有这些AD特定数据？并通过动态更新使广告更加愉快。 谢谢， PS：将BIND9指向Windows DNS服务器以解决Active Directory特定区域不是一个选择。我们已经做到了... 编辑：今天，我没有Windows DNS运行。我正在编写有关如何执行此操作的指南，并将更新此主题。

11 linux  windows  domain-name-system  active-directory  bind