Questions tagged «active-directory»

我配置了一些Linux服务器，以在RHEL6上使用sssd对Active Directory Kerberos进行身份验证。我还启用了GSSAPI身份验证，以期实现无密码登录。 但是，如果没有密码，我似乎无法让Putty（0.63）进行身份验证。 GSSAPI在配置用于AD身份验证的Linux系统（openSSH客户端）之间工作，使用.ssh / config设置启用GSSAPI。 它也可以在Cygwin（openSSH客户端）中使用相同的.ssh / config设置，并运行kinit命令来获取票证。 Samba还在所有Linux系统上共享，包括从Windows资源管理器工作的主目录，而无需输入密码（我不确定GSSAPI是否在那里发挥作用） 我可以尝试哪种方法来解决此问题？我的大多数用户都使用腻子。另外，我不是Windows管理员，因此我无法在域控制器上执行任何操作。我的帐户仅具有将服务器添加到AD域的特权。 我打开腻子SSH数据包日志记录。我发现这很有趣，但是我不确定该如何处理： Event Log: Server version: SSH-2.0-OpenSSH_5.3 Event Log: Using SSH protocol version 2 Event Log: We claim version: SSH-2.0-PuTTY_Release_0.63 Outgoing packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Incoming packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Event Log: Doing …

9 linux  active-directory  kerberos  putty  gssapi 

由于最近的勒索软件爆发（Cryptolocker / Cryptowall / etc）产生的工作量，我最近受命执行软件限制策略来阻止临时目录中的程序执行。通常这已经足够好了，但是当我们需要安装软件时就会遇到问题，因为这些软件限制策略会阻止安装程序访问计算机临时目录。 我们的Active Directory层次结构基本上是按照物理站点的方式组织的，并且我们的AD对象从域根及其特定站点OU继承大约数十个GPO。因此，我既不能选择在域根之外创建阻止的策略OU（因为不继承特定于站点的组策略设置会导致计算机出现严重问题，并且远程用户不够熟练，无法解决它们），或者将组策略对象重新链接到更靠近子OU的位置（因为这将涉及数百个取消链接和重新链接操作，而我不愿意这样做），或者在每个继承受阻的子OU中创建一个子OU（因为我有在这种情况下要执行几百个链接操作）。 也就是说，我确实需要一种方法来暂时停止应用软件限制策略GPO，以便我们可以不时安装软件。我最初尝试通过在每个站点上创建一个子OU并链接反向软件限制策略来解决此问题，以为反向策略的更高优先级将覆盖继承的策略，但这根本不起作用-RSOP显示表示计算机获得了补充disallow和unrestricted规则，并且disallow在这种情况下规则将获胜。 因此，考虑到所有这些（无法重新链接我们的所有GPO，无法创建简单的继承阻止的OU，并且具有更高优先级的GPO似乎无法解决我的问题），我该怎么做[临时]阻止继承的软件限制GPO的应用程序？假定Windows 7客户端在Server 2008 R2 FL域/林中。

9 windows  active-directory  group-policy 

我不是Microsoft管理员。但是，我确实在新的和现有的Microsoft Exchange部署中进行了大量工作。那就是职业弧线的去向。 我正在与一个15位用户的小客户合作，他们对本地的“ PC小伙”不满意。他们要求我在几次系统中断期间介入。我在今天早晨的“我们无法访问互联网”紧急情况中注意到的一件事是，客户端在本地安装了Windows SBS 2011服务器。 流氓DHCP服务器意外地在电话系统上启动，并且SBS DHCP服务实际上关闭了自身。我从来没有见过这种情况发生在普通的Windows Server上，因此造成了一些停机和混乱。 DHCP的主要作用域看起来有些奇怪，因为它定义了整个/ 24子网，但排除了大量子网。本地PC资源表示必须采用这种方式进行配置，否则“ SBS将无法工作...” 似乎已经创建了许多有趣的OU。主要在父级“ MyBusiness”下。 Exchange邮件非常复杂，桌面用户需要POP3和MAPI帐户，而入站邮件将发送到非现场服务器。我可以解决这个问题，但是还偶然发现Exchange甚至没有获得许可。该服务器已经生产了3年，但这似乎是一个配置问题。 我的建议是即使对于10个用户的企业，也要避免使用Small Business Server之类的东西。但是，这种意见是由于对SBS和传闻不甚了解而形成的。我想更清楚地了解缺点/缺点。 是否有任何其他的怪癖，我应该做出的情况下，给客户的过程了解多少？ 由于不是有与SBS相关的这么多奇怪的行为和限制，什么是预期的或理想的使用情况的SBS部署？ 假设可以部署一组新的Windows Standard 2012r2服务器，从SBS迁移是否有任何重大警告？

9 active-directory  exchange  windows-server-2012-r2  windows-sbs-2011 

我想知道是否可以在不使用ktpassWindows Server端实用程序的情况下直接从客户端计算机创建keytab文件。 我想要这样做的主要原因是使用某些Shell脚本在Linux计算机中自动启用Windows Active Directory中的Kerberos身份验证集成。 谢谢

9 active-directory  windows  kerberos 

我想用来realmd从Ubuntu 14.04 LTS加入Active Directory域。 要做到这一点我刚安装realmd和一些依赖使用此命令：aptitude install realmd sssd sssd-tools samba-common krb5-user。 安装后，我尝试使用命令realm --verbose join ad.example.com -U Administrator输入管理员密码的域来加入我的域，但是它们崩溃并显示以下输出： * Resolving: _ldap._tcp.ad.example.com * Performing LDAP DSE lookup on: 10.7.0.2 * Successfully discovered: ad.example.com Password for Administrator: * Unconditionally checking packages * Resolving required packages * Installing necessary packages: samba-common-bin * LANG=C LOGNAME=root …

9 active-directory  sssd  ubuntu-14.04  linux 

在sssd具有ADFT后端且Kerberos TGT正常工作的情况下，要通过FreeBSD 10.0中运行于Windows Server 2012 R2上的Active Directory上的Active Directory验证用户的必需步骤是什么？

9 active-directory  freebsd  kerberos  windows-server-2012-r2  sssd 

去年，我建立了Windows 2008 R2服务器，从那时起，我的提升帐户每天锁定10-12次。经过大量的研究和测试，我发现服务器在每次尝试更新组策略的失败尝试时（大约每90分钟）锁定我的帐户。我在网络上找不到任何信息，表明其他人也看到了这一点，而我本人也难以置信。 每次在服务器上记录3个系统事件： 事件ID 14：存储在凭据管理器中的密码无效。这可能是由于用户从此计算机或其他计算机上更改密码引起的。要解决此错误，请在“控制面板”中打开“凭据管理器”，然后重新输入凭据contoso \ me的密码。 凭据管理器中没有条目。无论是否禁用凭据管理器服务，是否登录，是否注销并使用本地管理员帐户删除我的配置文件，都会发生这种情况。 事件ID 40960：安全系统检测到服务器cifs / ContosoDC.contoso.com的身份验证错误。身份验证协议Kerberos的失败代码为“由于请求了太多无效的登录尝试或密码更改尝试，用户帐户已被自动锁定。（0xc0000234）”。 -- 事件ID 1058： 组策略的处理失败。Windows尝试从域控制器读取文件\ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini，但未成功。解决此事件之前，可能无法应用组策略设置。此问题可能是暂时性的，可能是由以下一种或多种原因引起的：a）名称解析/与当前域控制器的网络连接。b）文件复制服务延迟（在另一个域控制器上创建的文件尚未复制到当前域控制器）。c）分布式文件系统（DFS）客户端已被禁用。 我检查了项目ac，似乎没有。 我已经通过检查用户帐户是否未锁定，在服务器上运行gpupdate，然后重新检查立即锁定的用户帐户来进行了彻底的测试。我已经使用锁定工具来揭示所有锁定均源自此特定服务器。该用户帐户没有关联的电子邮件地址，并且我已经广泛研究了常见的已知锁定问题。 对我有什么线索吗？我已经准备好关闭此生产服务器并在AD中重置其计算机对象，但我不知道它会有所帮助。

9 windows-server-2008-r2  group-policy  active-directory 

我很难诊断域PC上的间歇性慢速登录。 有关存在此问题的网络的一些信息： 我的域跨越5个站点，所有站点都具有VPN连接。 DC是2003、2008和2012的混合物。域功能级别是2003。 客户端大多是Windows 7 x64。 我们使用组策略，包括使用WMI，组首选项级目标和GPP打印机部署的策略。 我们不使用漫游配置文件。 在大多数情况下，对于以前使用过该计算机的人来说，登录工作正常且快速。首次登录到新计算机总是很慢，但这是可以预期的。 问题似乎主要与笔记本电脑有关。如果将它们在家中通过非域网络连接使用，或移动到其他位置（仍位于域网络上，但位于不同的AD站点上，并且似乎无关紧要的有线或无线方式），则登录时间可能最长为3从用户输入密码到实际开始显示桌面为止的分钟数。我们的终端服务器也会间歇性地遇到登录缓慢的问题。 不幸的是，这是一个间歇性的问题，我还没有找到任何可靠的方法来重现它。我怀疑这与组策略首选项有关，但是我对此没有任何证据。我见过一篇Microsoft KB文章，指责某些类型的项目级定位导致缓慢的登录速度，但是它没有提供任何指导来确定这是否是真正的原因。 我可以使用哪些日志和工具来找出导致登录缓慢的原因？ 我应该使用或避免使用哪些组策略设置来加快登录速度？

9 active-directory  login  diagnostic 

我希望通过GPO软件安装策略安装最新的AV套件。（如下面的屏幕剪辑所示。） 不幸的是，我使用DFS的请求已被拒绝，我需要为环境中的每个站点（每个站点都是其自己的子网）创建一个GPO。我的问题是，许多用户在站点之间旅行，因此，当他们移至另一个站点时，他们将获得新的GPO并超出了先前GPO的范围。 我找不到任何有关GPO软件安装是否会在当前PC上重新安装该应用程序的具体文档。当计算机超出范围时，我将使用该选项离开应用程序。 根据我的研究，我发现GPO仅在GPO版本已更改的情况下才适用，这很好，但是实际的MSI呢？ 我发现人们提出了两种但不能支持的方案： GPO调用Windows Installer服务，该服务检查已安装的程序列表，并且仅当当前MSI版本不存在时才安装。 GPO安装会使用其自己的软件列表来保留其自己的APP缓存，如果该应用程序不在该列表中，即使已经安装了该应用程序，也会安装该应用程序。 谁能为我确认正确的信息？ 编辑：感谢您的答复，我知道其他部署软件的方法，但是我要解决的是关于GPO部署是否将重新安装软件包（如果工作站上已经存在）的具体答案。

9 windows  active-directory  group-policy 

我们是一个拥有300个席位的小型组织，具有混合BYOD和Active Directory环境（Windows Server 2012 Standard，Windows 7 Enterprise），并且遇到了一个非常奇怪的问题，涉及非常特定范围的故障，无法在我们的域上解析我们组织的域名-加入公司控制的机器。为了便于讨论，我将使用company.com代替我们的域名。 背景： Active Directory域控制器位于172.16.1.3 AD / DC计算机也正在运行DHCP，DNS和HTTP（IIS） IIS在AD / DC机器上托管我们组织在company.com和subdomain.company.com上的网站 我们有一个拆分DNS方案，其中AD / DC服务器用于内部DNS解析，但是另一台异地服务器为公共查询提供DNS解析 与company.com和subdomain.company.com对应的IP地址是我们网络边缘的防火墙（在AD / DC DNS服务器和异地DNS服务器上）使用的公用IP地址。 防火墙已针对NAT进行了正确配置，以使其通过其公用IP地址收到的HTTP和HTTPS请求传递到AD / DC服务器的内部IP并反映 方案1： 加入域的Windows 7 Enterprise计算机上的用户直接连接到我们的本地网络，该本地网络具有由DHCP服务器发出的本地地址172.16.6.100 / 16。 DNS服务器条目由DHCP（172.16.1.3）提供 该用户可以访问在company.com和subdomain.company.com上托管的网站 编辑： nslookup已在这种情况下运行，并从内部DNS服务器（172.16.1.3）正确返回正确的DNS记录。 方案2： 加入域的同一台Windows 7 Enterprise计算机上的同一用户回家，并使用其住宅ISP连接到Internet 客户端计算机的IP和DNS服务器条目由DHCP提供 该用户可以访问任何互联网资源，例如google.com 该用户无法访问company.com或subdomain.company.com上的网站（返回“主机未解析”错误） 当该用户运行的NSLOOKUP company.com他们不要接受由DNS提供了正确的公共IP地址 对IP地址的HTTP / HTTPS请求成功，服务器正确返回了网页 此问题在所有网络浏览器中普遍存在 使用tracert …

9 domain-name-system  active-directory  windows-7  windows-server-2012 

如果我有连接到域的Windows PC，并且域控制器脱机，那么我可以在客户端上期望什么样的行为（假设没有第二个DC？） 用户可以登录吗？或者，也许是一个更好的问题，如果有的话，登录功能将如何改变？ 显然，DC上的文件共享不起作用，但是客户端之间或客户端与成员服务器之间的共享又如何呢？ DC恢复后，客户端是否需要重新启动，注销/登录？与DC断开会带来长期后果吗？ 最终，我对DC处于脱机状态时应该收到的用户投诉有兴趣。请随意提及我没有提到的其他重要信息。

9 active-directory  domain  domain-controller 

对于大量用作DNS服务器的Active Directory域控制器的停用过程，有两种思路。 将传出的DC的IP地址添加到新的DC，并确保DNS正在侦听该地址。 降级旧的DC，保留DNS角色，并为新服务器配置全局DNS转发器。 显然，在所有服务器和设备都配置为使用新服务器的主IP地址之前，两者都是停滞的，但是有时过渡期可能会相对较长，具体取决于环境的大小。 这里有明确的最佳实践吗？

9 windows  domain-name-system  active-directory 

如何使用PowerShell在PowerShell中查找AD站点选项+IS_INTER_SITE_AUTO_TOPOLOGY_DISABLED？我一直在使用以下命令，但是无法吐出任何有用的东西。 Get-ADObject -Filter 'objectClass -eq "site"' -Searchbase (Get-ADRootDSE).ConfigurationNamingContext` -Properties options

9 active-directory  powershell 

如何为默认的应用程序池标识[IIS APPPOOL {应用程序池名称}]分配活动目录权限？ 我正在尝试执行此操作，以使Web应用程序能够查询活动目录组，用户并检查是否存在特定的用户名或组名。 谢谢。

9 active-directory  iis  application-pools 

我们正在使用共享域帐户在公司中运行多项服务。不幸的是，该帐户的凭据被广泛分发，并且经常用于服务和非服务目的。这导致了一种情况，由于该共享帐户被锁定，服务可能会暂时关闭。 显然，这种情况需要改变。计划是将服务更改为在新帐户下运行，但是我认为这还远远不够，因为该帐户受相同的锁定策略约束。 我的问题是：我们是否应该以与其他域帐户不同的方式设置服务帐户，如果要设置，则如何管理这些帐户。请记住，我们正在运行2003域，并且在短期内升级域控制器不是可行的解决方案。

9 windows-server-2003  active-directory  best-practices