Questions tagged «active-directory»

当您仍然必须将计算机加入域时，无论如何仍要创建对象，在Active Directory中创建计算机对象有什么意义？

10 active-directory 

当前，我们有一个Active Directory设置，并说名称为“ example.com”。example.com的DNS条目有两个指向两个域控制器的A记录。我希望内部用户能够使用http://example.com/访问我们的网站， 但是，我们不会在域控制器之外运行该网站，并且我不想安装IIS或其他一些服务重定向到www.example.com。 如果我理解正确，那么我应该能够删除这些条目，并添加一个指向Web服务器IP的新A记录，并且事情不会中断，因为客户端通常使用SRV记录来查找域控制器和其他内容。 这个对吗？我不想造成中断是我在更改它之前要询问的原因。:)

10 domain-name-system  active-directory 

文件服务器是IT部门不可或缺的事实，我很好奇是否存在关于如何创建组并应用权限来管理对共享文件夹的客户端访问的权限的通用做法（我不愿意在这里使用“最佳”一词）。文件服务器。 在我目前的工作中，我最终继承了许多不同的方式来做到这一点，从ACL上的数十个组到仅将单个用户直接放在文件系统上。我的任务是清理混乱并提出某种标准化的方法来解决整个公司的问题（大型环境，15万员工，9万客户端计算机，100多个文件服务器）。 根据我对问题的了解，似乎每个安全资源的每个所需访问级别至少需要一个组。该模型似乎提供了最大的灵活性，因为您无需再次触摸文件系统权限，除非您需要支持其他访问级别。缺点是，与在多个共享资源中重复使用同一组相比，您将创建更多的组。 这是显示我的意思的示例： 在名为FILE01的文件服务器上有一个名为“测试结果”的共享，并且您需要只读访问，读写访问和完全控制权。1个安全资源* 3个访问级别= 3个安全组。在我们的AD环境中，我们将它们创建为通用组，以便我们可以轻松地添加林中任何域中的用户/组。由于每个组唯一地引用一个共享文件夹和访问级别，因此组名合并了那些“关键”数据，因此权限为： "FILE01-Test Results-FC" -- Full Control "FILE01-Test Results-RW" -- Read & Write "FILE01-Test Results-RO" -- Read Only 通常，我们还将包括具有“完全控制”访问权限的内置SYSTEM帐户和内置Administrators。现在，可以使用组成员身份来处理对实际有权访问此共享的人员的任何更改，而不必触摸ACL（通过添加代表特定业务角色（例如经理，技术人员，质量检查分析师等）的“角色”组，或者仅添加个人用户一次访问）。 两个问题： 1）这实际上是处理权限的推荐或有效方法，还是我缺少一些更简单，更优雅的解决方案？对于使用继承但仍然保留灵活性的任何解决方案，我都将特别感兴趣，因为在情况发生变化时不必重新对文件系统的大部分进行ACL。 2）您如何在环境中处理文件服务器权限和组结构？对于在大型环境中工作的人也有奖励积分。

10 active-directory  filesystems  ntfs  access-control-list 

在什么时候域比工作组更适合网络？ 是否存在一个阈值，在该阈值之下，一个域对于获得的利益来说简直就是太多工作了？ 是否有一个观点使得工作组很难管理，而域却更实用？ 您使用什么标准做出此决定？

10 windows  active-directory  domain  workgroup 

我在计算机上具有本地管理员访问权限，但是仍然无法更改屏幕保护程序设置。我认为它已被组策略禁用，是否有方法可以覆盖它？

10 windows  active-directory  permissions 

我想找到组并检查AD中的成员，如果可能的话，请使用树视图类型的结构。我没有RDC对DC的访问权限，因此无法登录和使用Active Directory用户和计算机管理单元。 还有另一种方法吗？从不是DC的域中的另一台服务器？

10 active-directory 

使用Active Directory在Linux（Debian）机器上对用户进行身份验证的最佳实践是什么？ 我希望它的工作方式是将AD用户添加到组中-例如linux管理员或linux webserver，并根据其组成员身份将/将不会授予他们对特定服务器的访问权限。理想情况下，根帐户将是唯一以标准方式维护的帐户。 我的目标如下： 允许在一处更改密码 自动授予某些人使用其AD凭证访问Linux服务器的权限 将我们所有的用户信息整合到一个数据库中 我要避免的事情是： Active Directory管理员需要管理的任何困难/违反直觉的事情 如果由于某种原因无法访问AD服务器，则将用户锁定（例如，它需要以某种方式缓存凭据） 任何太复杂或不标准的东西都会在下次升级服务器时中断。

10 linux  active-directory  debian  authentication 

我正在为要将samba4部署到1400个远程站点中的客户设置测试环境，但是遇到了问题。毕竟，遇到问题然后解决问题是我的工作。 活动目录 林根和单个域：main.adlab.netdirect.ca 在Windows 2008 R2上创建 2008 FFL 2008 DFL 总公司 AD1：Windows 2008 R2 DC AD2：Windows 2008 R2 DC Windows 7专业版客户端 分支机构 具有Samba 4的SLES11SP2（已完全更新！）（来自Sernet的4.1.1-7.suse111软件包） 将Samba 4配置为RODC 我已经配置了密码复制策略，以允许将某些帐户缓存在RODC上，然后将这些帐户填充到RODC： sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2] sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca …

9 active-directory  windows-7  samba4  rodc 

不幸的是，我继承了一个Active Directory域，该域的名称是该公司不拥有的DNS名称-我们将其称为ABC.com。我希望它成为company.com下的内容（根据MDMarra在AD命名上的回答，我可能会使用ad.company.com，因为您永远不想使用用于其他用途的DNS名称），但是对于现在将能够在今年使用目录同步功能将电子邮件移动到Office 365。为此，看来我至少需要一个与我们的电子邮件域（company.com）相匹配的UPN。好的，添加第二个UPN的过程似乎很简单。测试它并转移帐户，直到它们全部都位于所需的UPN上似乎是足够合理的。 这样做有什么弊端吗？如果我们无限期地使用ABC.com的“非拥有”域名，技术债务严峻收成者最终会到达吗？ 作为参考，我们有一个单一的目录林，单个域，其中包含处于2012R2级别的所有内容（目录林，功能级别，所有DC）以及该域上的Exchange 2010。AD（大量的开发/测试自动化）中大约有150位用户和450台计算机。尽管从2003年到2012R2我一直在安全地导航，但我绝对不能称自己是AD的专家。 似乎一般不建议使用域名重命名，并且由于我们在域上安装了Exchange 2010，所以我什至不认为这是一个选择。 如我所见，我可以： 添加第二个UPN并完成。我可以处理在创建/添加事物时必须手动设置UPN的问题... 在目录林中添加第二个域，移走所有内容，并永远拥有我无法删除的旧根域 创建第二个森林，森林<->森林信任，从头开始在新森林中按照我真正想要的方式进行操作...移动所有内容，并最终删除原始森林。真的很慢，真的很仔细，前后测试，并且可能要付出很大的代价（花费最少的时间）。在理想的世界中，这似乎是最好的选择，但是我不确定我是否可以为此辩护（除非有人指出收割者将到来）。 ??? 我没想到的其他事情

9 active-directory 

我只是意识到必须更改特权才能更改文件夹的权限（然后再次将它们重新设置）之后，两者之间存在区别。 附言：如果这是一个愚蠢的问题，我深表歉意，我仍然想出很多这些办法。

9 active-directory  permissions 

我之所以添加此问题，是因为我今天偶然发现了这个限制，而我找不到关于它的任何文档。还有 就是对这个问题的老知识库文章，但它目前还没有被谷歌索引（可能是因为它在数年前出版的，从来没有更新），并且该问题从来没有提到其他地方。 是否可以在父域中创建与子域同名的OU？ 是否可以在父域中创建与OU相同名称的子域？

9 active-directory  domain  organizational-unit 

我正在尝试使用Azure Active Directory而不是使用传统的域控制器。 我想使用Azure AD对用户进行身份验证并推送GPO设置，例如文件夹重定向，驱动器映射和Windows 10隐私设置。 我已经创建了一个Office 365帐户，据我所知创建了AD后端。我还创建了一个Azure帐户，并使用O365 / Azure用户详细信息将测试的Windows 10 PC添加到了Azure域。 我还订阅了Azure AD高级试用版。 在这一点上，我被困住了。我可以在Azure中哪里看到添加的PC？ 此外，我可以使用Azure AD将传统的组策略设置推送到我的测试PC上吗？如果可以，我应该在哪里进行配置？ 还是我需要使用Windows Intune之类的工具？

9 windows  active-directory  group-policy  azure  azure-active-directory 

我们有一个Windows Server，该服务器上有一个应用程序，该应用程序在登录该应用程序时使用域凭据。在最近的笔测试中，测试人员能够使用该应用程序，以便根据应用程序的响应枚举有效的域用户名（对于无效的用户名与无效的密码，它给出了不同的响应）。 该应用程序已修复，因此不会泄露此信息，但我也觉得我们应该已经检测到此攻击，因为在短时间内进行了200000多次无效的用户名尝试。即使管理员正在密切关注Active Directory，我们也没有看到它。显然，故障仅在安装应用程序的服务器的本地事件日志中显示。 我的问题：1）有没有一种方法可以使Active Directory在中央位置记录这些失败的用户名请求，以便我们注意到它们的激增？ 2）如果不是，那么将来监视和主动检测此类攻击的最佳方法是什么（希望不必购买过多的新设备）。 谢谢你的帮助。

9 windows  windows-server-2008  active-directory 

在Windows上启用不安全的DNS更新的实际风险是什么？ 据我发现，启用不安全的DNS更新是使DHCP Linux客户端向FQDN注册其名称的要求。 我确实想知道这样做涉及的实际风险，以便评估启用这些功能是否可以。 据我所知，一台机器将无法接管另一个保留名称，这将是我现在唯一真正关心的问题。 显然是DDOS，但考虑到我们在这里谈论的是Intranet，我怀疑这可能是真正的风险。 您是否在您的域上启用了它？您是否曾因存在一些问题而不得不禁用它？

9 domain-name-system  active-directory  dhcp  internal-dns 

我的公司将Office 365用于Exchange，SharePoint，Lync等，包括通过Azure Active Directory进行的内置用户管理。 现在，我们要切换到Windows Server上的本地AD。它应将更改同步到Azure，但是主要用户和组策略管理在Windows服务器上进行。 我们最初如何将用户帐户从Azure AD转换为本地（Windows服务器）AD？ edit1：有人使用Microsoft Forefront Identity Manager进行过调查吗？看来此工具是DirSync附带的。在DirSync服务器上打开“ miisclient.exe”（位于“ C：\ Program Files \ Windows Azure Active Directory Sync \ SYNCBUS \ Synchronization Service \ UIShell”中）。可能可以将其配置为同步另一个方向。

9 active-directory  azure  windows-server-2012-r2  microsoft-forefront