Questions tagged «active-directory»

我刚刚实现了ADFS服务器，以通过SAML 2.0将第三方聊天工具与Active Directory连接起来。 到目前为止，一切正常，但是有一个小问题：用户登录后，聊天工具会自动为他创建一个帐户。这是一个问题，因为每个帐户都会产生费用。 有什么方法可以将ADFS的使用限制为AD组？

11 active-directory  adfs 

在我们的广告设置中，有很多安全组，但只有1个通讯组（由先前的管理员创建）。 两种类型的组都包含域对象的列表（我正在查看的用户中的用户）。 安全组和通讯组有什么区别？

11 windows-server-2003  active-directory  groups 

我注意到通过组策略部署打印机的两个选项： 在GP管理中创建并链接组策略，然后通过用户配置>首选项>控制面板设置>打印机添加打印机。 转到“打印管理” mmc，右键单击打印机共享，然后选择“使用组策略部署”。然后选择您要使用的GPO名称。 这些是首选还是推荐的？看来它们的工作方式有所不同...我目前使用第二个选项来部署打印机，但是我无法进入将它们部署到的GPO并进行修改（它是空白的）。

11 active-directory  group-policy 

我实质上是在Active Directory的任何OctetString属性中存储一个私钥（Hash）。 我的问题是，默认情况下哪个属性是安全的，并且在其中保留私有数据有意义？该值应被视为类似于密码，即使当前的AD密码，即使是管理员也无法访问（如果可能）。 这是Windows 2008R2 + Exchange 2010域上默认启用的属性列表的开头。 更新： 有人知道八位字节字符串属性默认情况下不会向域中的所有用户公开“读取”权限吗？我不想公开存储我的哈希，不希望有人基于哈希构建彩虹表。

11 security  active-directory  schema 

这个问题是关于是否需要Active Directory来运行终端服务的讨论。但是一连串的答案和评论（主要是我本人）提出了有关域控制器的一个相关问题。 显然，在AD环境中仅拥有一个域控制器是不明智的做法。显然，最好的做法是将每个域控制器都放在单独的（物理或虚拟）单功能服务器上。但是，并非所有人都能始终遵循最佳做法。 可以使用充当其他角色的服务器作为域控制器吗？ 在确定是否“双重用途”服务器时应考虑哪些事项？ 域控制器角色是否会更改Windows操作文件系统或硬件的方式？ Windows Server的版本之间有区别吗？

11 active-directory 

也许我的标题不正确，但此时我不知道该如何命名。 如果我使用主AD域管理员帐户登录Windows 10计算机，则在进入语言设置应用程序时会收到错误消息。 （我的Windows使用另一种语言，所以这不是英文的实际字符串，而只是我的翻译：） c:\windows\system32\SystemSettingsAdminFlows.exe Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item. 看来我可以将更改做得很好，甚至可以保存更改，我只需要保持单击错误消息至少5至6次即可。 当我在同一台计算机上使用本地管理员帐户登录时，不会出现此问题。 我检查了本地管理员组，AD域管理员是其中的一部分。我真的可以做其他所有事情。 我什至不能在这里提供一个很好的问题，我只是想了解正在发生的事情，以及是否错过了配置中的某些内容。 更新： C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F) VORDEFINIERT\Administratoren:(RX) NT-AUTORITÄT\SYSTEM:(RX) VORDEFINIERT\Benutzer:(RX) ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX) 1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist …

11 active-directory  samba4  windows-10 

我已经用谷歌搜索，但是在活动目录设置中找不到正确的用户名限制集。 请帮助我说明Active Directory用户名设置中不允许使用的特殊字符。 是否允许单引号（'）。

11 windows  networking  active-directory 

根据我读过的一些文档，当数据库引擎启动时，SQL Server的服务帐户将创建一个SPN，从而允许进行kerberos身份验证。我找不到任何说明帐户创建SPN所需权限的文档。因此，为了创建SPN，帐户需要具有什么权限（如果可能，则禁止域管理员）？

11 active-directory  permissions  kerberos  spn 

增强型GPO的优先顺序是什么，我真的找不到任何能提供精确答案的MS文章。 我目前的理解如下： 假设我们有5个GPO-GPO1至GP05。我将使用一个考试问题来说明问题。 GPO Linked to Enforced GP01 - contoso.com - No GP02 - contoso.com - Yes GP03 - Site 1 - Yes GP04 - OU1 - No GP05 - OU1 - Yes 现在，我的理解是，它们将按照从头到尾的顺序（因此优先级最高的顺序）应用。 GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on …

11 active-directory  group-policy 

为什么在域控制器上创建的用户始终是域的一部分？ 当我想在域控制器上创建本地用户时net user <username> <password> /add，我发现该用户自动包含在该Domain Users组中。 我想在域控制器而不是域的一部分上创建一个本地管理员帐户，该帐户能够交互登录到域控制器并执行管理任务。 这可能吗？

10 windows  active-directory 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 3年前关闭。 尝试在Windows 2012服务器上创建长度超过16个字符的密码时，由于密码太长而被拒绝。我试图寻找一个名为“最大密码长度”的GPO-我找不到。问题可能出在：PwdFilt或PCNSFLT。我也看过的regedit屏幕截图。1个 问题是我们在要安装的SQL 2014服务器上需要36个char密码来进行加密。 有什么建议？

10 windows  active-directory  group-policy  sql  password 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 3年前关闭。 我在一家为小型企业客户提供IT支持的公司里工作。我的任务之一是执行服务检查，其中包括检查事件查看器是否存在严重错误/警告以及DHCP和DNS管理控制台。还检查了客户端工作站的事件查看器，但没有定期检查。 是否有一个现有的解决方案可以集中查看所有这些日志，从而使我不必远程访问每个服务器并为每个客户端重复做同样的事情？ 每个客户端都有一些版本的Windows服务器-从2003到2012 R2。

10 windows-server-2008  active-directory  windows-server-2003  windows-server-2012-r2  system-monitoring 

我已经读过，在域中尤其是Microsoft Windows服务器中使用.local并不可行。我还阅读了有关ServerFault的Windows Active Directory命名最佳实践文章，该文章很有帮助，但并没有完全回答我有关“本地”的问题，我认为这是保留关键字，会带来问题。 我拥有该域keiboom.com，并将Active Directory域设置为local.keiboom.com。这会造成问题吗？

10 domain-name-system  active-directory  windows-server-2012  subdomain 

Windows Server 2016支持DNS策略，该策略在其他情况下提供对裂脑DNS的支持： 您可以配置DNS策略以指定DNS服务器如何响应DNS查询。DNS响应可以基于客户端IP地址（位置），一天中的时间以及其他几个参数。DNS策略启用了位置感知DNS，流量管理，负载平衡，裂脑DNS和其他方案。 我已经阅读了“ DNS策略概述”页面，但在并非所有DC都为Server 2016的情况下，我似乎找不到任何有关此文档如何在AD集成区域中工作的文档。 我无法想象它会很好地工作，因为下层服务器不知道如何解释策略并采取相应的行动，但是由于信息是在AD中复制的，因此我可以预见旧DC会忽略新属性并做出响应的情况以某种“默认”方式（未应用任何策略），而新的DC将根据策略进行响应。 我认为在某些情况下可以（或已经这样做）让客户指向DC的子集，这是可以的，因为这可以提供一种使用新功能而无需立即升级所有DC的方式。 但是，我找不到有关所描述的内容是它实际工作方式的信息，还是在混合环境中根本无法使用这些新功能，或介于两者之间的任何信息。 警告 我最近发现-WhatIf，-Verbose和-ErrorAction参数上的DNS策略cmdlet破裂; 在这里投票解决问题。小心点！

10 domain-name-system  active-directory  windows-server-2016  split-dns  dns-policies 

我们有一个稍微复杂的IDAM设置： 也就是说，最终用户的机器和浏览器与父AD位于一个网络中，而基于Jetty的应用程序和可以与之通信的AD（本地AD）位于另一个网络中。 两个广告之间存在双向信任。父网络中的浏览器在受信任的站点中具有本地域。 Jetty服务器的设置如下： 它使用针对本地AD中的主体生成的keytab文件 它在本地AD中定义的用户下作为Windows服务运行 根据本地AD的域定义领域，领域-领域映射和kdc 它使用spnego-isInitiator设置为false；doNotPrompt为true；storeKey为true 问题是： 作为测试，从本地网络（即链接到本地AD）内的浏览器访问服务器的工作原理 - Kerberos的调试信息出现在日志中，我可以看到的HTTP流量正确的Kerberos协商，并且用户在自动签署。辉煌。 但是，无法从父网络内部的浏览器访问服务器（这是我们的用户执行操作的方式）！浏览器将返回401取消身份验证，但随后会提示您输入凭据，输入凭据后将显示空白屏幕。然后，单击地址栏并单击Enter，将执行以下两项操作之一，具体取决于凭据是用于远程AD还是本地AD： 本地AD凭据，然后使用Kerberos从头开始在日志中正常登录（GET请求，401取消身份验证响应，Kerberos头请求等） 远程AD证书不登录（GET请求，401 UNAUTH响应，看起来像一个NTLM头：Authorization: Negotiate <60 or so random chars>） 无论哪种方式，提示的事实都是错误的！ 这些症状有解释吗？我们可以进行设置吗？ 就上述描述而言，可能是错误的：我提到的有关Jetty服务器的任何配置都应该是准确的，就像我所做的那样。很高兴提供更多详细信息。有关AD或父网络浏览器的任何配置都可能受到怀疑，因为它不在我的控制之下，而且我已经向我报告了该配置，而不是亲自查看。

10 active-directory  kerberos  jetty  spnego