Questions tagged «active-directory»

我在一个有2个服务器和30个客户端的小型组织中工作。我们完全是Windows Server 2003 / XP。除了我之外，运营总监和我们的IT咨询公司还需要访问域管理员帐户。 是否应该出于任何原因（更改日志记录，安全性或其他原因）拥有多个域管理员帐户？是否有没有多个域管理员帐户的原因？

9 active-directory 

我应该在服务器（尤其是域控制器）上运行服务器专用的防病毒软件，常规的防病毒软件，或者根本不运行防病毒软件吗？ 这是一些为什么我问这个问题的背景： 我从来没有质疑过防病毒软件应该在所有Windows计算机上运行。最近，我遇到了一些与Active Directory相关的模糊问题，这些问题可以追溯到域控制器上运行的防病毒软件。 特定的问题是Symantec Endpoint Protection正在所有域控制器上运行。有时，我们的Exchange服务器会依次在每个DC上触发Symantec“网络威胁防护”中的假阳性。耗尽对所有DC的访问权限后，Exchange开始拒绝请求，可能是因为它无法与任何Global Catalog服务器通信或无法执行任何身份验证。 一次中断大约持续十分钟，并且每隔几天就会发生一次。解决问题花了很长时间，因为它不容易重现，并且通常在问题解决后进行调查。

9 active-directory  anti-virus  symantec 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 4年前关闭。 在Windows环境中，如何解决服务帐户的以下问题？ 定期更改密码-在多台计算机上使用一个服务帐户时，如何定期更改密码而不会造成严重中断？您是否倾向于永不改变它们？ 跟踪密码-必要时，多个人需要知道这些密码，如何在密码保持合理机密的同时进行记录？ 您在多台机器/服务上使用同一帐户到什么时候？您如何跟踪在哪里使用了哪个帐户？有什么工具可以帮助您吗？ 有没有人找到任何好的资源来为应用程序（例如SQL Server，Sharepoint等）的通用服务帐户要求提供适当的最低权限设置。

9 windows  security  active-directory  password 

我在公司里照顾Windows服务器。AFAIK，该服务器是活动目录的成员。我从任务管理器中注意到，进程LSASS.exe正在占用大量内存和CPU时间。通过Google，我发现它可能已通过一些更新的补丁程序进行了修复。 只是好奇。什么是LSASS.exe？它有什么作用？以及为什么要占用大量内存和CPU时间？如果补丁不起作用，可以减少它吗？

9 windows  active-directory 

今年晚些时候，我将把教会的活动目录服务器的支持移交给其他人，并想知道什么样的信息对记录和共享很重要。我可以使用任何好的示例文档吗？

9 active-directory  documentation 

一名员工离开了公司。我试图找出他的广告帐户最后一次登录的时间-是在解雇之前还是之后。 用户属性窗口中有以下两个属性：lastLogon和lastLogonTimestamp。lastLogon日期早于解雇日期，但lastLogonTimestamp日期在解雇日期之后（因此，在这种情况下，我们会遇到安全问题）。 如何知道这些属性中的哪一个显示实际的上次AD帐户登录时间？它们之间有什么区别？

9 windows  active-directory  login 

在我的一个域控制器上，有两个网络接口-一个具有IPv4和IPv6地址的外部接口和一个具有10.xxx地址的内部接口。 域控制器安装了RRAS（与Azure进行VPN站点到站点），DNS和DHCP。它与位于Azure VM中的第二个DC复制。 由于某种原因，服务器会自动为所有三个IP地址添加DNS条目。如果我删除两个公开的，则过一会儿再回来。网络连接属性未选择“在DNS中注册此连接的地址”。 我遇到的问题是，由于AD复制试图连接到错误的IP（说明RPC服务器不可用），因此它会中断。如果删除错误的地址后手动启动复制，复制将成功完成。 如何防止服务器在DNS中注册外部地址？

9 domain-name-system  active-directory  windows-server-2012-r2 

我已经使用Windows Server多年了，当我有需要通过其计算机进行本地管理员访问的人员时，我会通过组策略以类似于此答案的方式来应用它。 我的一位客户拥有SBS 2011，实际上令人惊讶的功能之一就是用户管理，以及使用户授予本地管理员访问权限的难易程度： 完成此操作后，我试图寻找很多年龄，以便了解它实际上是在“幕后”应用的，但是，我失败了–我看不到任何关联的政策。设置或选项适用于任何地方。 有谁知道您更改Access level用户身份时SBS 2011实际执行的操作吗，是否可以在非SBS Windows Server上轻松复制此操作？

9 active-directory  group-policy  windows-sbs-2011 

我正在努力将OSX 10.9绑定到2008 r2 Active Directory。从同一台计算机引导到Windows时，我可以加入域。从OSX，我可以成功找到域控制器，并已验证Active Directory服务记录的一致性（使用dig -t SRV _service._tcp.fqdn.example.com检查_ldap，_kerberos，_kpasswd或_gc），但是我无法绑定到域。我试图加入一个只有一个DC的小型网络。 我收到消息：“无法联系身份验证服务器。（5200）” 无论我尝试使用哪种方法，都是这种情况（从“用户和组”首选项窗格中加入，从Open Directory实用程序中进行绑定，使用终端中的dsconfigad）。 我认为这与系统时间无关，因为客户端和DC上的时间相同。 关于在日志文件中查找内容的问题或方向还有其他建议吗？

9 windows-server-2008  active-directory  mac-osx  bind  mac 

有什么方法可以在DMZ中设置OWA服务器与本地站点的DC进行通信？ DMZ与具有DC​​的LAN位于同一（物理）站点。（DMZ中没有DC。） 我可以强迫它在此（本地）子网上使用DC，因为它在世界的另一端随机选择DC！

9 windows  active-directory  domain-controller  outlook-web-app 

我需要在本地管理员组中远程添加域用户，并且我必须输入本地管理员密码

9 active-directory  users  groups  local 

我们正在开发.net应用程序，并将向其添加身份验证。我们想为此使用Active Directory，但目的是使用于开发的测试服务器尽可能简单。 如何启动和运行Active Directory？我可以在Win7安装上本地运行吗？我听说过ADAM和AD LDS，但是除了知道它们是轻量级的实现外，还不真正了解这些细节。 所以; 正常工作的Active Directory进行测试的最简单方法是什么？

9 active-directory  authentication 

我需要转储Active Directory中的所有组策略，以便日后脱机查看。有什么方法可以将所有组策略轻松导出为文本或其他易于解析的格式？ 编辑：这些工具是否可以从不属于域的计算机上工作？我有域凭据，但我的笔记本电脑不一定是我需要检查的域的一部分。

9 active-directory  group-policy  export  text 

我有一个.net应用程序，该应用程序已连接到本地ADFS服务器（已连接到我们的公司AD服务器），并且一切正常。我的问题是，我的ADFS是否可以与Internet上的其他SSO服务（例如Azure AD，AWS，Google登录名，Facebook，Twitter，OpenID等）建立受信任的连接，以便我的应用程序可以使用来自我以外的多个受信任来源的声明激活目录？

8 active-directory  adfs  single-sign-on 

无论计算机是否连接到网络，我都要求每次关闭系统时都运行批处理脚本。（该问题无关紧要，但是有问题的脚本会清除机器的打印队列。 但是，当我在下面使用此方法时，当PC从网络脱机时，我无法运行此脚本。 我可能还会补充说，相关PC正在运行Windows 10 Pro x64（版本1809）。域控制器正在运行Windows Server 2008 R2，这也是我运行的地方gpedit.msc。 到目前为止，我所做的是： 使用计算机关闭脚本创建了Active Directory 组策略对象。 将脚本添加到SYSVOL上的GPO文件夹中。 确认此GPO确实已下载到有问题的工作站的硬盘上，因此可以脱机访问。 GPO中指定的路径是相对的，不是绝对的。 我想发生的事情： 关闭PC时，ClearPrintQueue.bat无论PC当前是否具有网络连接，脚本都将运行。 实际发生的情况： 当PC关闭时，ClearPrintQueue.bat仅当PC当前可以通过网络到达SYSVOL共享时，才运行脚本。 细节： 我要做的是在域中创建一个组策略对象，并将其链接到包含有问题的计算机的测试OU。 我编辑了GPO，然后导航到“ 计算机配置” ->“ 策略” ->“ Windows设置” ->“ 脚本（启动/关闭）” ->“ 关闭” 在关机属性如按如下： 单击“ 显示文件...”时，浏览器将打开以显示文件夹\\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown 该文件夹的内容和文件ClearPrintQueue.bat如下所示： PS C:\> Get-ChildItem "\\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown" Directory: \\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown Mode LastWriteTime Length Name ---- ------------- ------ ---- …

8 windows  active-directory  group-policy  batch