Questions tagged «active-directory»

在Exchange 2010中，通讯组必须是通用的。这由文档支持 您只能创建或启用通用通讯组的邮件。 我试图创建一个基于角色的安全组结构，这样，如果有人离开或更改工作，您只需更改用户的“角色”（其中角色只是另一个安全组）即可。在最简单的形式中，角色将拥有用户作为成员，而角色本身将成为其他以资源为中心的安全组（例如，共享的读写组）的成员。该模型的功能不只此而已，但就此问题而言，应该足够了。 问题出在我想将这些角色组添加为分发成员时。如果我尝试在“ marketing@domain.com”通讯组列表中添加“ Marketing Manager”角色，除非角色安全组是通用的，否则它将不会将邮件转发给角色成员。 但是，通用组不能成为全局组的成员。因此，如果我想将角色组转换为通用角色组，以便我可以通过邮件启用它们，那么我还必须更改角色本身也是成员的组。这意味着我将在AD中将几乎所有安全组都转换为通用安全组，以支持我建议的结构。 我们是一个拥有约1000个用户的单一域林，我希望一旦所有与此相关的组都拥有1000+。域的功能级别为2008R2 老实说，我不知道这可能会对我们的活动目录环境产生影响。如果我想将自己的角色添加到通讯组中，是否使所有组通用才是实现此目的的唯一方法？如果我希望将它们用于邮件，答案似乎是肯定的。我确实希望这样做，这样帮助台用户不必担心用户需要哪些组。他们只需要知道他们的“角色”即可。 链接的问题回答了为什么我不能只拥有简单的安全组，但是我想知道我提议的结构（这意味着我将几乎所有组转换为通用安全组）是否有负面影响或被认为是不好的做法。

10 active-directory  exchange  exchange-2010  groups 

（经过编辑以匹配答案作者的理解-此处发布了新的，干净的新问题：Active Directory + Google Authenticator-Windows Server中的本机支持？） 到目前为止的研究 有一篇technet文章，介绍如何将Google身份验证器与Active Directory联合服务（AD FS）结合使用：https : //blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time在ad-fs-3-0中进行多重验证的密码/ 奇怪的是，它似乎是开发项目，需要一些代码和自己的SQL DB。 我们在这里不专门讨论AD FS。当您使用2FA时，我们希望它可以支持AD中内置的Google Authenticator RFC。

10 windows  active-directory  authentication 

我已经在组策略中配置了BitLocker和TPM设置，以便设置所有选项并将恢复密钥存储在Active Directory中。我们所有的计算机都运行带有标准公司映像的Windows 7，并在BIOS中启用并激活了它们的TPM芯片。 我的目标是做到这一点，以便用户只需单击“启用BitLocker”就可以了。Microsoft甚至提供了可以通过脚本部署的自动化示例。但是，要使此过程顺利进行，有一个小的障碍。 在GUI中，当用户启用BitLocker时，必须使用自动生成的所有者密码初始化TPM。但是，将向用户显示恢复密码，并提示他们将其保存到文本文件。我似乎无法隐藏此对话框，因此无法跳过该步骤。由于密钥已成功备份到AD，因此这是不需要的（也是不必要的）提示。 如果对部署进行脚本编写，则在初始化TPM时必须在脚本中提供所有者密码，并且希望以GUI的方式随机生成它。 有什么方法可以使BitLocker部署真正实现我想要的零接触？

10 windows  active-directory  group-policy  bitlocker  tpm 

你想做什么？ 我正在尝试在具有约一百个陈旧DNS记录的DNS区域上启用DNS清除。 您尝试了什么来实现它？ 我为每个人最喜欢的TechNet博客文章设置了DNS清除：不要害怕DNS清除。耐心一点。 首先，我在所有域控制器上禁用了清除功能： DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2 然后，我在DNS区域上启用了自动清除功能： 然后，我在其中一个域控制器上启用了DNS清除： 然后，我找到了几年前希望通过timstamps删除的一些记录，并确保Delete this record when it becomes stale确实设置了时间戳记和时间戳记： 最后，我重新加载了区域并等待了14天（“刷新+不刷新”时间的总和）。 您期待什么结果？ 我希望在DNS服务器日志中看到一个2501事件，指出一堆DNS记录的删除。 实际发生了什么？ 什么都没有发生。区域老化/清除属性显示，该区域可以在上周的6/12/2014 10:00:00 AM之后被清除。没有记录2501/2502事件。所有带有“已老化”时间戳记的记录仍然存在。 在又增加7天达到6/18/2014 10:00:00 AM后可以清除区域的日期。 据我了解，直到该日期至少过去14天，任何东西都没有资格进行清除，更不用说实际清除了。 事件日志中记录的唯一2501个事件是我右键单击并选择“清除陈旧资源记录”而触发的事件。他们指出，清除操作将在今天早上的168小时内尝试再次运行。 我启用了DNS清除功能已有几个月，并且耐心等待发生的事情。我已多次重新加载区域（这会重置此时间戳）。 我在这里想念什么？

10 windows  windows-server-2008  domain-name-system  active-directory 

为什么降级的域控制器仍在对用户进行身份验证？ 每当用户使用域帐户登录工作站时，降级的DC都会对其进行身份验证。其安全日志显示其登录，注销和特殊登录。我们新的DC的安全日志显示了一些计算机的登录和注销，但与域用户无关。 背景 server1（Windows Server 2008）：最近降级的DC文件服务器 server3（Windows Server 2008 R2）：新DC server4（Windows Server 2008 R2）：新DC 日志 安全日志事件：http : //imgur.com/a/6cklL。 来自server1的两个示例事件： Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: MYDOMAIN\auser …

10 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 

我有2个域，每个域都有2个域控制器： company.local ad.company.com.au 两个域都在同一个林中，并且具有双向信任设置。ad.company.com.au目前，我们正在迁移到，但是对于需要查询LDAP的系统存在一些问题。 当对其中任何一个域控制器进行LDAP搜索时，ad.company.com.au我们得到一个不受company.com.auAD控制的引用： $ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <DC=company,DC=com,DC=au> with scope subtree # filter: (objectclass=*) # requesting: ALL # with manageDSAit control # # search result search: 2 result: 10 Referral text: …

10 active-directory  windows-server-2008-r2  ldap  domain-controller 

我是Active Active Directory网络的自学管理员，该网络用于在约30台PC上进行Windows登录。我从没有接受过任何直接Microsoft培训的其他人那里继承了该系统，因此，我在两件事上一无所知。 网络本身只有一台Windows Server 2008 R2计算机，可以充当域控制器，DNS，文件共享等。登录可以正常工作，但是我在禁用旧帐户的同时浏览用户列表，并且发现一些我不太了解的内容。 以下是几个示例用户帐户： 登录名：john 名字：John 姓氏：Smith 显示名称：John Smith Canonical对象的名称：domain.com/Users/john 登录名：bob 名：Bob 姓：法语 显示名：Bob法语 规范对象名称：domain.com/Users/Bob法语 当前的域控制器已从另一个用于运行Windows Server 2003的域控制器换入。第一个示例帐户是在Server 2003框为DC时创建的，第二个示例帐户是在较新的Server 2008 R2框为DC时创建的。为什么“规范名称”不同，并且有什么不同？ 我在活动目录浏览器中的用户列表中有一半的帐户为“姓氏”，一半的帐户为“名姓”，这使我大为恼火。 我可以做些什么使它们全部相同而又不会中断工作帐户吗？

10 windows-server-2003  active-directory  windows-server-2008-r2 

由于我无法控制的原因，我的任务是设置GPO / GPP，以将我们的100多台打印机部署到我们的1000多台客户端。 好消息是，我们有十几个站点，在大多数情况下，我被允许将站点X的所有打印机推送到站点X的所有客户端PC。 坏消息是，我知道怎么做的两种方式（“从打印服务器部署组策略...”和使用GPP /组策略首选项）涉及的手动工作要比我愿意做的要多得多。这么多的打印机，例如，我什至似乎都无法选择打印服务器上的所有打印机并使用该Deploy with Group Policy...选项-它希望我一步一步地做到这一点，这不会发生。GPP更加糟糕，因为它希望我从打印服务器中选择打印机的路径，然后手动打入一堆应该能够从打印机连接中获取的信息（例如打印机IP）。 我的Google-Fu脚本将打印服务器上的所有打印机添加到GPO / GPP时显示为空，我似乎看不到另一种以半自动方式执行此操作的方法，但我坚持相信我会丢失某些东西，因为任何理智的人都不会选择将几百台打印机手动添加到GPO中。 理想情况下，我想找到一种编程方式来使用GPP，但是在这种情况下，任何不涉及数十小时手动添加打印机的解决方案都很好。 有没有人可以做到这一点，或者我是否需要构建PowerShell脚本和/或欺骗下属来做到这一点？

10 active-directory  scripting  network-printer  group-policy 

我有两个错误创建的广告组，而应该只有一个组。他们包含完全相同的用户。但是，已经为这些组分配了各种资源（如文件共享）的权限，我无法跟踪所有组并将它们重置为仅引用一个组。 如果删除其中两个组并将其SID放在另一组的SID历史记录中，是否可以“合并”这两个组？这是否将允许其余组的成员访问已为其授予已删除权限的资源？ 更新： 似乎没有简单的方法可以将SID添加到用户或组的SID历史记录中。至少，ADUC和ADSIEdit均无法执行此操作。如果上述技巧有效，那么如何实际完成呢？

10 active-directory  access-control-list  groups  sid 

我需要创建一个包含打印机的Active Directory实验室，并测试各种与打印机相关的功能（在AD中添加打印机，将客户端连接到打印机，打印机等） 有没有一种很好的方法来正确模拟网络上的打印机？还是即使最终没有输出，也需要在最终连接的地方安装真正的物理打印机。 您将如何解决这个问题？

10 windows  active-directory  network-printer 

我有一个由2个林组成的Active Directory设置： 1个多域目录林，其中包含1个目录林根域和2个直接子域 1个用于DMZ发布的单域林 我在DMZ域中创建了3个传出信任，对目录林根域创建了1个可传递林信任，以及2个外部非传递信任（也称为快捷信任）。 所有四个域中的所有DC都是Global Catalog服务器。 我尝试将其可视化如下： 现在，这就是问题所在。当我授予对域中dmzRoot.tld安全组的资源的访问权限时，该资源适用于属于安全组成员的用户，但不适用于域中的用户，即使他们是中的安全组的成员也是如此。childAchildAchildBchildA 例如，假设要授予本地管理员对成员服务器的访问权限dmzRoot.tld。我将添加childA.ForestRoot.tld\dmzAdministrators到成员服务器上的本地内置Administrators组中。 childA.ForestRoot.tld\dmzAdministrators 具有以下成员： childA \ dmzAdmin childB \ superUser 现在，如果我以身份验证childA\dmzAdmin，则可以以本地管理员身份登录到成员服务器，并且如果查看的输出whoami /groups，则该childA.ForestRoot.tld\dmzAdministrators组将清晰列出。 childB\superUser但是，如果我通过身份验证，则会收到一条消息，指出该帐户无权进行远程登录。如果我检查whoami /groups该childB\superUser帐户，则该childA.ForestRoot.tld\dmzAdministrators组未列出。 即使所有DC都是GC，似乎childA在对childB用户进行身份验证时也从未将组SID包含在PAC中。 我在测试它的dmzRoot.tld中禁用了该计算机上的PAC验证，但这无济于事。 关于如何有效解决此问题的任何建议？如何遵循身份验证的线索来确定失败的地方？

10 active-directory  windows-server-2008-r2  authentication 

TechNet上有很多文章，例如这篇文章说，如果基础架构主机也是全球目录，则幻象对象不会得到更新，但是除此之外，关于此过程中实际发生的事情没有很多深入的信息。组态。 想象这样的配置： |--------------| | example.com | | | | dedicated IM | |--------------| | | | |-------------------| | child.example.com | | | | IM on a GC | |-------------------| 在哪里child有两个都是全局目录的DC，这意味着Infrastructure Master角色在GC上。并且，example在非 GC 的DC上具有三个具有Infrastructure Master角色的DC 。 我了解通常最好只是将所有内容都设为GC，而不必担心这种事情，但是假设情况并非如此- 像这样的设置可以预期的确切错误行为是什么，以及哪个域（ s）这种行为会表现出来吗？孩子还是父母？

10 windows  active-directory  domain-controller 

我有一个Web应用程序（主机名：service.domain.com），并且希望使用Kerberos身份验证来识别登录到Windows域的用户。Microsoft AD（Windows Server 2008 R2）提供Kerberos服务。 该服务是一个Java Web应用程序，使用Spring Security Kerberos扩展库来实现SPNEGO / Kerberos协议。我在AD中创建了一个密钥表文件，其中包含一个共享密钥，该密钥应足以验证客户端浏览器使用Web应用程序发送的Kerberos票证。 我的问题是，服务主机（service.domain.com）是否需要具有对KDC（kdc.domain.com）的防火墙访问权限（TCP / UDP 88），或者密钥表文件足以使服务主机能够解密Kerberos票证并提供身份验证？

10 active-directory  firewall  kerberos  springframework 

我有一个我需要向用户申请的GPO DOMAIN\DumbGuy，但仅当他登录时才需要DOMAIN\DumbGuysComputer$。当DOMAIN\NiceReceptionist上记录DOMAIN\DumbGuysComputer$它不应该适用。当DOMAIN\DumbGuy上记录DOMAIN\ReceptionstsComputer$它不应该适用。 它只需要在一台计算机上适用于一个人。 如果我将GPO应用于User对象，它将应用于他的所有计算机。如果我将GPO应用于Computer对象，它将应用于该计算机上的所有用户。如果我将其应用于两者，则其传播范围甚至更大。 如何仅将GPO应用于仅一台计算机上的一个用户？

10 active-directory  group-policy 

我认为正确地说，就Active Directory而言，用户和计算机被视为平等的主体。用户和计算机都具有密码，并且用户和计算机都必须独立登录域。 我了解自动启动的NetLogon服务负责在启动时将计算机登录到域。当时，NetLogon通过DNS查找使用某些域控制器定位器逻辑来帮助其定位域控制器。 如果计算机以前已经登录到域，并且已经知道它属于哪个站点，则可以从特定于站点的DNS查询开始以定位DC，如果必须，则可以返回到更通用的DNS查询。 如果到目前为止我的任何假设都不对，请纠正我。 那么，当用户登录到计算机时，登录到计算机时是否有单独的DC定位器进程？还是用户使用计算机登录时已经提供的任何内容？一台计算机和登录到该计算机的用户是否可能具有不同的身份验证DC？

10 active-directory