Questions tagged «active-directory»

构成LDAP目录服务的一项Microsoft技术,具有对多个Windows服务器和台式机的用户帐户,计算机帐户,组和配置管理进行集中管理的功能。

7
如何允许活动目录用户进入远程桌面?
这是我第一次设置甚至使用活动目录。 我进行了设置,然后将计算机(实际上是Hyper V中的VM)添加到了活动目录中,如果使用Hyper-V连接到VM,则可以使用活动目录域中的用户登录到虚拟机。 但是,如果尝试通过远程桌面登录,则会出现此错误: The connection was denied because the user account is not authorized for remote login. 我尝试过: -从活动目录中,我已将我的用户所在的组添加到远程桌面用户。 -在VM本身上,添加活动目录组(包含要尝试登录的用户)以允许通过本地安全策略中的远程桌面服务登录。 我仍然有相同的授权被拒绝错误。 如何在活动目录中正确设置一个组,以便能够在所有虚拟机上使用远程桌面登录? 谢谢!
3
对于AD域控制器,DNS服务器的顺序应该是什么?为什么?
这是有关Active Directory DNS设置的规范问题。 有关: 什么是Active Directory域服务,它如何工作? 假设有多个域控制器的环境(假设它们都同时运行DNS): 在每个域控制器的网络适配器中应按什么顺序列出DNS服务器? 是否应将127.0.0.1用作每个域控制器的主要DNS服务器? 如果有的话,什么版本受到影响以及如何影响?
4
Active Directory的SSO如何工作,从而使用户透明地登录到Intranet Web应用程序?
有人告诉我,可以制作不需要登录的Web应用程序。用户登录Windows,该Windows通过Active Directory(LDAP)查找进行身份验证。然后,他们应该能够访问我的webapp,并且永远不会看到登录提示。这些客户一直将此称为“单点登录”(可能不正确,这是我困惑的一部分)。 但是,从我从Tomcat文档中读取的“单点登录”是: 当您希望使用户能够登录到与您的虚拟主机关联的任何一个Web应用程序,然后让其在同一虚拟主机上的所有其他Web应用程序识别其身份时,可以使用Single Sign On Valve 。 这对我来说很清楚。用户只需登录一次即可访问tomcat实例上的每个Web应用程序。但是,我需要做的是以某种方式让他们登录,而无需向tomcat服务器提供任何凭据。 因此,为了使它起作用,我想: 用户请求某些页面 服务器看不到会话令牌,然后向客户端请求一些凭据。 客户端浏览器无需用户干预即可向服务器提供一些凭据。 然后,使用客户端浏览器提供的那些凭据在LDAP中进行查找。 我看过一些使用客户端证书的示例...尤其是DoD PKI系统,这对我来说很有意义,因为在这种情况下,您将Tomcat配置为请求客户端证书,但是仅登录Windows我看不到这将正常工作,浏览器将向服务器传递什么信息,等等。这是NTLM的用途吗?
12
组策略安装失败错误1274
我正在尝试通过Active Directory中的组策略部署MSI。但是这些是我登录后在系统事件日志中遇到的错误: 通过策略安装分配应用程序XStandard失败。 错误是:%% 1274 从策略安装中删除应用程序XStandard的分配失败。错误是:%% 2 无法将更改应用于软件安装设置。通过组策略为该用户部署的软件的安装已延迟到下一次登录,因为必须在用户登录之前应用所做的更改。错误是:%% 1274 组策略客户端扩展软件安装无法应用一项或多项设置,因为必须在系统启动或用户登录之前处理更改。系统将等待组策略处理完全完成之后才能再次启动该用户或登录该用户,这可能会导致启动和引导性能降低。 当我重新启动并再次登录时,我仅会收到有关需要在下次登录之前执行更新的相同消息。我正在使用Windows Vista 32位笔记本电脑。我对于通过组策略进行部署还很陌生,那么还有哪些其他信息可以帮助您确定问题呢?我尝试了具有相同结果的其他MSI。登录到计算机后,我可以使用命令行和msiexec来安装MSI,因此我知道MSI至少可以正常工作。
2
您的系统管理员不允许使用保存的凭据登录到远程计算机
在我们的办公室中,当我们尝试和RDP到办公室外的远程Windows 2008 Server时,所有Windows 7客户端都会收到此错误消息: 您的系统管理员不允许保存凭据的用户登录到远程计算机XXX,因为其身份尚未完全验证。请输入新的凭证 一个快速谷歌搜索导致了一些帖子,他们都建议我修改组策略等。 我印象中,对此的常见解决方法是在每台Windows 7计算机上遵循这些说明。 有什么方法可以通过Active Directory进行某些操作,从而可以更新办公室LAN中的所有Windows 7客户端?
5
查找为什么用户被锁定在Active Directory中
用户帐户一直被锁定在Active Directory中。这可能是由于使用Windows身份验证连接到SQL Server的应用程序引起的。 有没有一种方法可以找出导致它的应用程序以及为什么该应用程序可能导致失败的登录尝试?
1
以“ username@mydomain.com:something”身份登录的含义是什么
我的Windows 2008 R2计算机已加入域。 在登录屏幕上,如果我输入“ username@mydomain.com:something”作为用户名,我仍然可以正确登录,在末尾附加“:something”是什么意思? 我什至可以看到当前用户在切换用户屏幕中显示为“ username@mydomain.com:something”。Windows的功能吗?还是只是一个错误?如果这是一项功能,以“ username@mydomain.com”身份登录和以“ username@mydomain.com:something”身份登录有什么区别? 请注意,我尝试了不同的组合,例如“ mydomain \ username:something”和“ mydomain.com:something\username”。除“ username@mydomain.com:something”外,它们均不起作用。 2012年9月10日更新 贾斯汀提出的RunAs问题与我要解决的问题相似但不完全相同。如果你这样做 runas /user:username@mydomain.com:anything 你会得到 RUNAS ERROR: Unable to acquire user password 我验证了,当看到username@mydomain.com:anything用户名时,RunAs甚至都不会打扰LSA 。RunAs应该已经完成​​输入验证并在那里返回错误。 WinLogon是不同的。它接受这种格式的输入,并将“ username@mydomain.com:anything”传递到LSA。我确实看到LogonUserEx2里面的kerberos.dll被调用。这可能是WinLogon输入验证逻辑中的错误,或者这实际上是某些隐藏功能可接受的格式。 2012年9月26日更新 我刚刚向Microsoft Premier Support提交了一个案例。如果我从他们那里得到任何更新,我将在这里更新。
8
为域管理员单独登录一个域是最佳实践吗?
我通常喜欢为自己设置单独的登录名,一个具有常规用户权限的登录名,以及一个用于管理任务的单独登录名。例如,如果域是XXXX,我将设置一个XXXX \ bpeikes和一个XXXX \ adminbp帐户。我一直这样做是因为坦率地说我不信任自己以管理员身份登录,但是在我工作过的每个地方,系统管理员似乎都只是将其通常的帐户添加到Domain Admins组中。 有没有最佳做法?我看过MS上的一篇文章,该文章似乎说您应该使用“运行方式”,而不是以管理员身份登录,但是他们没有提供实现示例,而且我从未见过其他人这样做。
7
是否有Windows的SU版本
有没有办法(以管理员身份或以管理员组成员身份登录时)伪装成非特权用户?特别是在AD环境中。 例如,在Unix世界中,我可以(以root用户身份)执行以下操作: # whoami root # su johnsmith johnsmith> whoami johnsmith johnsmith> exit # exit 我需要测试/配置用户帐户中的某些内容,并且我不想知道他们的密码或重置密码。 编辑: runas不会削减。理想情况下,我的整个桌面将成为用户的桌面,而不仅仅是在cmd窗口中。
5
关于Linux服务器的Active Directory身份验证的常识?
2014年,有关针对Linux服务器和现代 Windows Server操作系统(以CentOS / RHEL为重点)的Active Directory身份验证/集成的常识是什么? 自从2004年我首次尝试进行整合以来,多年来,似乎最佳实践已经发生了变化。我不太确定哪种方法目前最有效。 在现场,我已经看到: 对Winbind / Samba的 直线上升 LDAP 有时LDAP + Kerberos的 Microsoft Windows服务的Unix(SFU) Microsoft身份的Unix管理 NSLCD SSSD FreeIPA Centrify公司 执牛耳(姓同样) 温宾德总是看上去很糟糕而且不可靠。像Centrify和Samelike这样的商业解决方案始终可以工作,但似乎没有必要,因为此功能已被移植到OS中。 我完成的最后几个安装将Microsoft Unix身份管理角色功能添加到Windows 2008 R2服务器和Linux端的NSLCD(用于RHEL5)上。在RHEL6之前一直有效,直到RHEL6为止,由于缺少NSLCD的维护和内存资源管理问题,因此不得不更改SSSD。Red Hat似乎也支持SSSD的方法,所以我可以使用。 我正在使用域控制器为Windows 2008 R2 Core系统的新安装,并且无法添加Unix身份管理角色功能。有人告诉我Windows Server 2012 R2中不再提供此功能。 安装此角色的好处是该GUI的存在,同时允许轻松地一步管理用户属性。 但... 不推荐使用远程服务器管理工​​具(RSAT)的“服务器用于网络信息服务(NIS)工具”选项。使用本机LDAP,Samba客户端,Kerberos或非Microsoft选项。 如果它可能破坏前向兼容性,那么就很难依靠它了。客户想使用Winbind,但是我从Red Hat看到的所有内容都指向SSSD的使用。 什么是正确的方法? 在您的环境中如何处理?
5
即使在Server 2012之后,我是否仍应具有物理DC?
在Windows Server 2012之前的日子里,建议似乎是在虚拟化DC旁边至少安装一个物理域控制器。 这样做的一个理由是,如果您的Hyper-V主机是群集的,则它们在启动过程中需要DC可以联系。这对我完全有意义。 但是,我经常听到人们说,即使您没有集群设置,拥有物理DC仍然很重要(例如,在一个简单的设置中,单个Hyper-V服务器运行几个VM,一个其中是DC)。这样做的理由似乎(而且我永远无法确定),从某种意义上来说,在Hyper-V主机首次启动时,网络上没有DC,您仍然会遇到问题。缓存的凭据意味着您仍然可以登录,但是在启动过程中发生的所有这些比特又意味着DC周围是有益的呢?这实际上是一个问题吗?实际上是否有任何可能仅运行的操作在启动时会引起问题吗?例如任何组策略?我基本上要问的是,物理DC参数是否仅在涉及集群时才真正成立,或者(2012年前)有一个重要的技术案例却没有集群? Altaro的这篇文章(请参阅“鸡和蛋的神话”部分)建议没有必要,但我仍然不确定。 现在到我的问题的第二部分(也是主要部分): Windows Server 2012引入了一些旨在解决虚拟化域控制器问题的功能,包括: VM生成ID-解决了USN回滚问题,这意味着不支持快照(或更具体地说,回滚到快照)/的确不是一个好主意 群集引导 -解决了我上面提到的有关故障转移群集的“鸡和蛋”问题。故障转移群集不再需要在启动过程中存在DC。 所以我的第二个问题类似于第一个问题,但是这次是2012年+。假设vDC和主机均为2012+,并且您不考虑群集问题,是否还有上述其他问题,这意味着我仍应考虑物理DC?我是否仍应考虑在其具有单个虚拟化DC的单个非群集2012 / 2012R2 Hyper-V主机旁安装物理DC?我听到有人建议将AD放在Hyper-V主机上,但是由于种种原因我不喜欢这个主意(WB缓存一开始就被禁用了)。 附带说明一下,我的问题隐含地假定将Hyper-V主机加入域以提高可管理性是有意义的。这个主张是否值得审查? 更新: 在阅读了一些答案之后,我发现我可以用稍微不同的措辞来表达我所要问的内容: 即使在2012年及以后进行了改进,事实仍然是,另一台主机上没有任何物理DC或虚拟DC,当没有可用DC时,该主机仍会启动。这实际上是一个问题吗?从某种意义上说,我想如果您完全从图片中去除虚拟化,则是相同(或非常相似)的问题。如果您在任何DC之前定期启动成员服务器,这有问题吗?
5
如何将Google Apps用作OD / AD / LDAP提供程序
我看到了许多解决方案,允许Google Apps使用外部AD和LDAP服务进行登录。 但是,我已经在Google Apps中设置了大量的用户,并且我正尝试其他方法。也就是说,我想允许用户使用我在Google Apps中创建的帐户登录我的外部服务器。 有谁成功找到一种将Google Apps域用作开放目录,Active Directory或LDAP提供程序的方法?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.