Questions tagged «active-directory»

我目前正在编写一个up模块，以自动化将RHEL服务器加入AD域的过程，并支持Kerberos。 目前，我无法通过自动获取并缓存Kerberos票证授予票证kinit。如果要手动完成此操作，则可以这样做： kinit aduser@REALM.COM 这提示输入AD用户密码，因此自动执行此操作存在问题。 我该如何自动化？我发现一些帖子提到使用kadmin创建带有AD用户密码的数据库，但是我没有运气。

10 linux  active-directory  authentication  kerberos 

如何使用PowerShell在Active Directory域中查找x天内无效的所有计算机帐户？ 请注意，我确实知道如何执行此操作。这是一个自我解答的问题，目的只是为了使您了解这些知识。如果还有其他更好的方法，请随时发布！

10 active-directory  powershell 

我有一个从备份还原的Windows 2008 R2独立域控制器。原始DC处于脱机状态。 使用有效的用户凭据登录时，出现错误消息： “服务器上的安全数据库没有用于该工作站信任关系的计算机帐户” 如何登录域控制器并修复损坏的内容？这是森林中唯一的DC。 对于它的价值，我将这台服务器托管在Rackspace上，因此我的物理选择受到限制。

10 active-directory  windows-server-2008-r2  kerberos 

我正在使用Windows Server2008。我有一个带有一个域控制器的域（这是一个开发环境）。我编辑了AD模式，并创建了一个名为TestAttribute2的自定义属性（LDAP名称为testAttribute2），该语法具有数字字符串的语法，单值，没有最小值或最大值。该属性的OID为1.3.6.1.4.1.39668.21769.1.1.1。我还创建了另一个测试属性，Microsoft发行的OID为1.2.840.113556.1.8000.2554.37861.10620.51629.17372.38569.15288078.14709744.1.2。该属性是未索引的，活动的，未复制到GC的，在复制时没有复制的，对于容器化搜索也没有索引的属性。然后，我将此属性添加到person类。 每当我尝试使用AD用户和计算机MMC的属性编辑器功能或ADSI Edit设置这些自定义属性中的任何一个时，MMC都会崩溃，并且该属性保持不变。但是，可以设置具有类似OID但具有其他语法（CI字符串和Unicode字符串）的其他自定义属性而不会崩溃。我究竟做错了什么？

10 windows-server-2008  active-directory  schema 

我有一个有效的AD / Linux / LDAP / KRB5目录和身份验证设置，但有一个小问题。禁用帐户后，SSH公钥身份验证仍允许用户登录。 显然，kerberos客户端可以识别禁用的帐户，因为kinit和kpasswd返回“客户端凭证已被撤消”，而无需进一步的密码/交互。 是否可以将PAM配置为sshd_config（在sshd_config中使用“ UsePAM yes”），以禁止登录已禁用帐户（通过公用密钥进行身份验证）？这似乎不起作用： account [default=bad success=ok user_unknown=ignore] pam_krb5.so 请不要在您的答案中引入winbind-我们不使用它。

10 linux  active-directory  kerberos  pam 

我们在隔离的网络中提供服务。这些服务需要针对Active Directory服务器对用户进行身份验证。 但是Active Directory服务器不是直接可用的，因此我必须在隔离的网络中设置LDAP代理。然后，LDAP代理将有权访问AD。请注意，访问权限必须是只读的，并且此代理只能访问一台 AD服务器。 这可能/可行吗？ “代理”一词是好词吗？ Microsoft AD服务器是必需的还是OpenLDAP可以很好地完成工作？ 我对AD / LDAP的了解很少，学习曲线如何？ 一些从哪里开始的提示？ 谢谢。

10 active-directory  authentication  openldap 

我试图确定是否有可能在同一子网内的同一网络中的两个单独的域上运行两个Active Directory域控制器。我不希望这两个域控制器以任何方式链接（帐户等），除非我已经连接了它们。 我目前对DNS的关注-就我而言，这是主要问题。由于我只有一个DHCP服务器处理整个网络，因此我希望将一组DNS服务器IP地址分发给所有客户端。但是，DomainA的DNS服务器将无法回答对DomainB的查询，依此类推。 我想这可以通过转发器解决-IE，我可以在DHCP配置中设置两个DNS服务器的IP地址，然后告诉DomainA将对* .DomainB的请求转发到DomainB的DNS，反之亦然。我还可以使用单个聚合将请求正确转发到各个服务器。 但是，我不知道这是否行得通，或者是否有更好的选择。如果这是一个商业网络，我将继续设置VLAN，多个DHCP服务器等。但是，我正在寻找简单性（与您在家中使用域控制器可以实现的简单性一样多...） 在同一网络上运行两个域控制器的原因？我在家里经营一个实验室，现在我说服了与我在一起的人来经营他们自己的域控制器。但是，出于安全考虑，我想将所有内容隔离开。 任何帮助表示赞赏。

10 windows-server-2008  active-directory  domain-controller  internal-dns 

我正在阅读Boswell的Learning Exchange Server 2003，其中有一节提到AD中的禁用帐户无法接收电子邮件，并且该邮件将被退回。当前，当某人离开我们公司时通常会发生以下情况：帐户被禁用，移至存档OU，并且电子邮件在“ Exchange常规”选项卡上转发给其他人。它似乎一直都在工作，但是我想知道为什么书会这样说……我们正在使用单个Exchange 2003 SP2服务器。 在什么情况下，禁用的用户帐户将停止接收电子邮件？

10 active-directory  exchange-2003  user-accounts  mailbox 

我已经接管了使用Active Directory（2008 R2本机级别）和Exchange 2010的公司的所有IT职责。我发现他们的内部Active Directory域名与他们使用的外部Internet域名相同不是自己的。据我了解，我无法使用Exchange 2010 /服务器2008 r2重命名域。有人可以帮助我了解我可以使用哪些其他选项吗？他们拥有相当大的基础架构，所以如果可能的话，迁移到新森林将是一项艰巨的工作。 预先感谢您的帮助。

10 windows-server-2008  exchange-2010  active-directory 

我受客户的委托，为具有以下要求的方案提出了可行的Active Directory设计（简化后，它们实际上要糟糕得多）： 客户端系统有一个子网。 服务器系统有一个子网。 这两个网络未连接。 每个服务器应具有两个网卡，一个在服务器的网络上，另一个在客户机的网络上。 客户端和服务器之间的流量应仅在客户端网络上流动。 服务器之间的流量只能在服务器的网络上流动。 这也应适用于域控制器。 不用说，这与Active Directory使用DNS定位域控制器的方式并不太好。任何可能的方法都会导致以下情况之一： DC在域DNS中注册其“客户端” IP地址；客户端将使用该地址与他们交谈，但服务器和AD复制流量也将与其交谈。 DC在域DNS中注册其“服务器端” IP地址。服务器将使用该地址与它们通信，并且复制流量将在该网络上流动，但是客户端将无法访问它们。 DC将在域名DNS中注册这两个 IP地址。有人猜测任何系统都将如何达到目标。 当然，这些要求是完全疯狂的，并且不能同时满足所有这些要求，除非使用疯狂的解决方案，例如在两个网络上拆分DNS服务并手工（argh）填充其SRV记录或让服务器定位使用DNS的DC和客户端使用WINS（双精度）定位DC。 我想出的解决方案是在“服务器”网络上有两个DC，在“客户端”上有两个DC，定义了两个AD站点，并且仅使用DC复制流量跨越了两个网络之间的边界。这仍然需要进行一些DNS修改，因为每个服务器仍将具有两个网卡（除了两个服务器端DC和纯后端服务器之外），但是它至少有一定的工作机会。 有什么建议，除了尽快逃跑？

10 networking  domain-name-system  active-directory  domain-controller 

从最近开始，我一直在使用AD策略通过GPO在小型域上部署软件包。这一直很好，但是我不确定升级软件包的正确步骤是什么。 假设我最初已经通过名为“ Install X ”的GPO 部署了X版本a。一切正常，并且随着时间的推移，版本b已发布。（假设新版本的.msi可以执行已安装版本的升级），我相信可以使用以下选项来执行升级： 替换分发点中的原始.msi，然后通过“组策略编辑器”（打开GPO“ 安装X ”），在“ 计算机配置/软件设置/软件安装”下，将任务分配给“重新部署应用程序” 使用组策略编辑器在“ 计算机配置/软件设置/软件安装”中为新版本创建一个新软件包，并指定该版本应升级的旧软件包（在“升级”选项卡上，选择版本a的软件包；用于卸载现有软件包或执行以下操作的选项）升级） 使用组策略编辑器删除版本a的软件包（带有立即卸载选项）并添加版本b的新软件包 问题： 第一种选择的缺点是什么？ 第二个选项是通过GPO分发软件包的正确/推荐的升级软件包的方法吗？ 关于通过GPO升级软件包，还有其他一些细微之处，最佳实践或一些一般性建议吗？ 编辑：另外，我只正确地测试了3，所以如果我错过了1和2中的一些重要步骤，我将感谢指针。:)

10 active-directory  group-policy  deployment 

我是Linux商店的系统管理员。我们正处于继承Windows域的初始步骤。我有一些术语问题： 用户名是WORKPAC \ johndoe。用户名中的粗体部分是什么？ Windows域的域名为workpac.local。我是否为此使用了正确的术语？

10 windows-server-2008  windows-server-2003  active-directory 

我看过很多有关如何通过运行来重置用户密码的文档 net user <username> * /domain 或本地 net user <username> <new_password> 但是我不是当前域的域管理员，因此不允许通过net user <my_username> * /domain（拒绝访问）更改密码。 我可以，虽然做的，是打CTRL+ ALT+ DEL，然后点击“更改密码”，在这里我必须重新输入我的当前密码并给予一个新的密码： 问题：如何编写脚本？我想通过命令行更改密码。可能？ 奖励信息：我在Windows XP SP3计算机上。 注意：公司政策是让用户每两周更改一次密码。而且您不能使用最近的24个密码...因为我不想一直记住一个新密码，所以我只是手动遍历“ password1” ...“ password24”，最后我又回到了原来的密码。少量完成而不是手动执行此操作将是很棒的。

10 windows-xp  active-directory  password 

我启用了以下政策， “禁止TCP / IP高级连接” “禁止访问LAN连接的组件的属性” “为管理员启用Windows 2000网络连接设置” 完成所有这些操作后，所有运行Windows XP，2000和Vista的计算机都将按预期禁用网络设置属性按钮。 但是，所有运行Windows 7的计算机都无效，我相信还有更多步骤，所有Windows 7计算机都在域中，我们希望通过Domain Controler的GPO对此进行控制。 请让我知道，要使Windows 7禁用网络连接的属性我需要做些什么，我不是网络专家，我读了几篇有关Windows 7 GPO中已添加新功能的文章，但我还是空白。 在Windows XP，Vista，2003 Server上一切正常。仅Windows 7是一个问题。

10 windows-7  domain  active-directory 

可以在Amazon EC2上运行Windows Server 2003实例。 我想知道一台或多台这些计算机是否可以成为域控制器，而您运行的其他计算机是否可以成为该域的成员？ 有人认为这是个好主意吗？ 它如何与AD端口一起使用，仅您的服务器组才能访问这些端口，还是对所有人开放？

10 windows-server-2003  amazon-ec2  active-directory