Questions tagged «active-directory»

我有大约200个用户。 亚洲有50个，南欧和东欧有50个，西欧有100个。 我想指出亚洲的50个用户指向我们在亚洲的DC，目前看来他们正在向我们的欧洲服务器进行身份验证，从而导致大量延迟。 是什么引起的，或者什么可以解决我的问题？

8 windows  windows-server-2008  active-directory  security 

ldap客户端在我们网络中的某个地方查询我们的AD服务器时没有正确的CA信息。这会在域控制器的事件日志中引发（我认为无用）系统严重（源：schannel）事件ID 36887： 收到以下致命警报：46。 如何找到配置错误的客户端？

8 active-directory  schannel 

工作站：Windows 7（x64）[打印机的安装目标] 伺服器：Windows Server 2012 R2（x64）[Active Directory，列印伺服器] 我一直在ash头，试图通过组策略安装此打印机！出于某种原因，我根本无法将此打印机与GPO一起部署。我试图通过了设置它来部署Computer Configuration->Policies->Windows Settings->Deployed Printers，以及Computer Configuration->Preferences->Control Panel Settings->Printers和User Configuration->Preferences->Control Panel Settings->Printers。我还尝试通过“打印服务器管理”控制台通过用户和/或计算机目标添加它。我尝试了所有方式，但没有任何效果。我遵循了一堆教程，并观看了一堆视频，只是为了确保我没有错过任何东西，但这实际上是一个简单的任务（从理论上来说）……这是行不通的。 在尝试调试问题时，我发现如果我去\\myserver\打印机并双击打印机，它将尝试安装打印机，然后提示我安装带有UAC类型提示的驱动程序。 我已经尽力想让该消息框停止弹出。我对其进行了研究，发现如果我要编辑Point and Print Restrictions位于Computer Configuration->Policies->Administrative Templates->Printers和处的GPO ，User Configuration->Policies->Administrative Templates->Control Panel->Printers可以尝试将策略设置为Disabled或，Enabled然后选择Do not show warning or elevation prompt策略设置底部列出的两个安全提示。 好吧，那也是半身像... 我确实发现，如果尝试通过转到unc并输入我的管理员凭据来手动安装打印机，它将从服务器下载驱动程序并安装打印机（如预期的那样）。如果用户尝试删除打印机并且以某种方式成功完成操作，那么他们注销并重新启动GPO就会立即执行我想要的操作，然后重新添加打印机。但是它要求我在每台PC上第一次手动添加它。 测试完之后，然后从GPO中删除打印机，然后注销并再次登录。我可以运行该命令printui /s /t2以打开一个GUI，该GUI使我可以轻松删除已安装的驱动程序，以将PC恢复到其原始状态（要求管理员凭据）。我还了解到的另一件事是打印机存储在位于的注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections。当我尝试删除打印机时，它告诉我不能删除该打印机时，我只是转到该注册表项，然后删除了要删除的打印机的GUID密钥。然后刚刚重新启动了后台打印程序服务，它的繁荣就消失了。这无助于我到达所需的位置，但在调试问题期间有助于卸下打印机。 我在某处读到，也许原因是某种类型的Windows安全更新更改了某些内容。之所以发布它，是因为有一篇文章显示了如果您能够拥有一台打印机，那么如何拥有整个网络。当用户连接到打印机并下载驱动程序时，它会安装注入的软件并在机器上运行，等等。 我的主要目标是能够使用我正在使用的GPO在该OU中将该打印机部署到一组用户。但是，我尝试执行的所有操作都要求管理员登录（至少是第一次）。有谁知道为什么我的打印机无法通过GPO自动添加自身，以及如何获得“您是否信任此打印机”的信息？消息消失？

8 active-directory  group-policy  windows-server-2012-r2  printer  network-printer 

我有一个（WS2012-R2）域控制器和一组作为该域成员的（WS2012-R2）服务器。我不小心将一个组的所有管理员都加入了组策略“本地拒绝登录访问”，“作为服务拒绝登录”，“拒绝远程访问”和“拒绝网络访问”。这导致我和所有其他管理员（甚至是内置帐户）被锁定在域控制器之外。 是否有办法通过删除GPO或从被拒绝的组中删除管理员帐户来重新获得对服务器的访问权限？

8 active-directory  group-policy  windows-server-2012-r2 

您可能知道，回送处理是Active Directory组策略的一项功能，该功能可将GPO中的用户设置应用于登录到GPO范围内的计算机的所有用户（而标准行为是仅在用户帐户被使用时才应用用户设置）。实际上位于GPO的范围内）。当您希望所有登录到特定计算机的用户都收到某些用户策略时，无论他们的用户帐户实际位于AD中的何处，此功能都非常有用。 问题是：启用回送处理后，包含用户设置的GPO会应用到使用这些计算机的每个人，而您无法通过使用GPO上的ACL来绕过此操作，因为它实际上并不应用于用户，而是应用于计算机。 问题：对于需要登录到这些计算机但不应该受那些策略设置约束的特定用户，如何绕过环回处理？ 恰当的例子：在几台终端服务器上，具有回送处理功能的GPO被用来对登录它们的每个人都施加严格的用户限制（它们基本上只能运行一系列公司批准的应用程序）；但这甚至适用于Domain Admins，因此它们甚至无法启动命令提示符或打开任务管理器。在这种情况下，如果登录的用户属于特定组（例如Domain Admins），我如何告诉AD不要强制执行这些设置？或者，即使是相反的解决方案（“仅将这些设置应用于属于特定组的用户”）也可以。 但是请记住，我们在这里谈论的是环回处理。这些策略适用于计算机，并且其中的用户设置仅适用于用户，因为它们正在登录到这些计算机（是的，我知道这很令人困惑，环回处理是正确处理组策略的最棘手的事情之一）。

8 active-directory  group-policy 

该问题是针对@SwiftOnSecurity的Twitter线程的：https ://twitter.com/SwiftOnSecurity/status/655208224572882944 阅读完该线程后，我仍然不太明白为什么您要禁用本地帐户的网络登录。 所以这就是我的想法，请在错误之处纠正我： 假设我有一个具有DC和多个客户端的AD。客户之一是约翰。因此，早上，约翰开始工作，并使用AD凭据登录到台式机。中午，John出去开会，并“锁定”他的计算机（Windows + L）。然后，他需要使用个人笔记本电脑远程（通过RDP或其他方式）连接到办公室的PC。但是，使用这项新政策，他将无法做到。 Securitay给出的解释是密码不固定。但是，在这种情况下，攻击者将如何获得访问权限？密码不固定在哪一端？还是我心目中的情况与她想说的完全无关？如果是这样，她实际上想说什么？

8 windows  active-directory  security  group-policy  windows-server-2012-r2 

题 是否有一个“正确” /标准来区分的方式Service Accounts从User Accounts公元？ 更多信息 在某些情况下，我们的系统在AD凭据下（即在服务帐户下）运行。这些服务帐户的创建方式与用户帐户完全相同；唯一的区别是名称和描述。已经做了一些事情来区分这两种帐户类型（例如，帐户所在的OU，是否启用了“密码永不过期”，如果说明中包含“服务帐户”），但是没有一个规则可以可以应用于一切，以清楚地区分两者。 展望未来，我们正在努力改善这种/春季清洁的东西，以使其与众不同。为此，我们可能会同时使用OU和Description字段。 在执行此操作之前，我想检查一下；是应该这样做的一种方式；例如，一些专门用于此目的的属性（可能是objectCategory值不同于Person？），还是公认的标准命名约定，或者每个公司是否都制定了自己的方法？

8 active-directory  ldap  best-practices 

将域用户的“ HOME”环境变量映射到网络路径是否被视为最佳实践？如果是这样，为什么？ 通过“ HOME”变量，我指的是： ％HOMEDRIVE％ ％HOMEPATH％ ％HOMESHARE％ 出现此问题是因为某些应用程序（例如Git）将关键配置文件存储在用户的％HOMEPATH％中。如果用户正在远程工作，或者服务器或网络已关闭，则这些应用程序将无法正常运行，因为无法从远程HOMEPATH访问其核心文件。 始终为HOMEPATH使用默认的本地Windows用户目录似乎更有意义，但我找不到支持或反对此观点的任何记录的最佳实践。在我的办公室，标准做法是将用户HOMEPATH映射到网络文件夹...

8 windows  active-directory  group-policy  home-directory  home-drive 

我的组织已在多个海上平台上部署了2008 RODC。想法是将我们的岸上域扩展到我们的船上，以更好地控制安全策略。选择RODC的前提是它们将消耗较少的带宽。还存在安全问题，但这些问题是次要的。 海上互联网连接是通过非常昂贵的卫星链路提供的。速度范围从慢速到不存在。管理用户，计算机，组和权限更改以及GPO更新非常慢。 我开始相信我们已经针对RODC开发了隧道愿景，并且拥有可写的域控制器可能是更好的选择。我在考虑每艘船一个RWDC和一个RODC的冗余性。这是一个很小的用户群，但是拥有冗余至关重要。 这还有很多，但是我不能简单地总结一下。我很好奇，是否有人曾经测试过RODC和RWDC之间的带宽消耗差异？用RWDC代替RODC之一会大大增加带宽消耗吗？我将重定向RODC以从RWDC复制。这将意味着一个域控制器连接回岸。 事情现在就完成了，通常需要几分钟才能完成事情。让管理员登上RWDC上的船将使生活变得更好。担心的是RWDC chat不休。 那么，有人测试过差异吗？

8 active-directory  replication  rodc 

我正在尝试使用GitLab设置LDAP身份验证（在VM的Ubuntu 14.04 amd64上安装的7.12.2版本，已设置Omnibus）。我已经编辑了gitlab.rb文件，如下所示： gitlab_rails['ldap_enabled'] = true gitlab_rails['ldap_servers'] = YAML.load <<-'EOS' # remember to close this block with 'EOS' below main: # 'main' is the GitLab 'provider ID' of this LDAP server label: 'LDAP' host: '********' port: 389 uid: 'sAMAccountName' method: 'plain' # "tls" or "ssl" or "plain" bind_dn: 'CN=********,OU=********,OU=********,DC=********,DC=***' password: …

8 ubuntu  active-directory  ldap  ubuntu-14.04  gitlab 

我正在为5个用户/ 5个设备左右的小型办公室设置业务服务器。这里没有详细说明。 我已经使用Windows Server 2012 R2 Essentials设置了一个Lenovo Lenovo TS440服务器（单个NIC）。通过安装和向导逐步进行。没有辅助域控制器。如果可以，我将研究其他辅助解决方案。我不想购买其他服务器，但是我知道它的重要性。 我设置了一个域管理员帐户，在此安装过程中将其用于所有工作站和服务器。用户将没有管理员权限，并且工作站上将没有本地帐户，因此，如果没有服务器身份验证，他们将无法进入工作站。 我们有一台Comcast商业路由器（带有wifi的CISCO DC3939B），其动态外部IP几乎不变。我们还有一个TrendNet交换机TEG S80g。 同轴电缆互联网进入路由器，然后由路由器进行切换。 服务器和大约3个工作站和2个设备馈入交换机，并且有几个无线设备。 我的问题是，在通过断开路由器电源并关闭Internet来测试系统后，工作站无法再进行正确的身份验证。可用互联网，一切正常，但是我需要确保当互联网中断时，工作站仍可以与服务器和服务器相互通信。我想我需要这个WSE 2012 R2服务器网络才能正常工作，好像一开始就没有Internet访问。 这可能与执行DHCP的路由器有关吗？我不确定是否可以在路由器中禁用DHCP。 当工作站尝试连接到其他工作站时，我得到的错误是它们再次需要用户名和pw，有时它们无法连接。服务器没有宕机，只有互联网。刚开始时，我得到提示以打开Network Discovery，这是我做的（不是公共的，而是私有的），但是我们仍然遇到这个AD问题。 如果我遗漏了任何重要的细节，请让我知道，我可以进行总结。

8 networking  active-directory  dhcp 

背景 我今天尝试在Active Directory中移动OU并收到“ 访问被拒绝”错误。 在进一步检查我的AD用户帐户后，我获得了移动对象的必要权限（我对正在使用的OU拥有完全权限），并且在我的IT生涯中，我多次在AD中移动了物品；这让我现在还是第一次遇到这个有点奇怪。 我尝试了什么 向我的个人AD用户帐户授予特定OU的权限，而不仅仅是AD安全组，我是其中一部分，已经对OU拥有了权限 使用域管理员帐户尝试移动 重置我的用户帐户密码，然后注销然后再打开并打开AD并移动OU 尝试连接到其他域控制器并执行移动 尝试通过安装了RSAT的其他服务器连接到AD并执行移动 所有这些都以失败告终。 问题 当我对两个OU都具有完全权限时，为什么不能将Active Directory中的OU移到另一个OU？

8 windows  active-directory  windows-server-2008-r2  windows-server-2012  windows-server-2012-r2 

我正在尝试使用Get-ADUser提取用户的选择集。用户属于名称包含非ASCII字符的公司，例如“Gåäördet”。不幸的是，我们必须使用company属性来完成此任务，我们还需要它通过脚本工作。 以下内容在交互式会话中非常有用，但是在脚本中执行时不返回任何数据： $Company = "Gåäördet" Get-ADUser -Filter "company -eq '$Company'" 我找到了可行的解决方法，但不够可靠（选择错误对象的风险）： # Work-around 1: $Company = "Gaaordet" # Replace åäö with aao in the variable Get-ADUser -Filter "company -eq '$Company'" # Matches the company "Gåäördet", but why? ...要么... # Work-around 2: $Company = "G...rdets" # Use regex for åäö Get-ADUser …

8 active-directory  powershell  scripting 

我们有以下设置： 一个域控制器（DC，Server 2003 R2 Standard x64） 一台SQL Server（SQL，Server 2008 R2 Standard x64） 一些客户。 所有计算机都在同一域中。所有正在使用的用户帐户都是域帐户。SQL会为每个SQL Server 2005、2008、2008R2、2012和2014运行一个实例。 自从今晚（重新启动DC以安装自动Windows安全更新）以来，通过Windows身份验证访问SQL 2005、2008和2008R2实例不再正常工作： 当访问这些实例之一时 来自一位客户 使用Windows身份验证 发生以下错误（这是2008R2消息，2005/2008消息类似）： 登录失败。该登录名来自不受信任的域，不能与Windows身份验证一起使用。（Microsoft SQL Server，错误：18452） 显然，消息文本不适用，因为只有一个域。 现在令人惊讶的是：用户登录SQL（启动RDP sesson甚至只是运行runas /user:MYDOMAIN\someuser cmd并保持窗口打开）后，该用户就可以从所有客户端访问所有SQL Server实例，而不会出现任何问题，直到使用该用户的凭据已关闭。 这意味着我可以通过对SQL上的所有用户执行一次以上的runas命令（并使窗口保持打开状态）来解决此问题，但是显然，某些东西已经严重损坏。我怀疑今晚DC上的安全更新与它有关（因为这是唯一更改的事情），但我宁愿避免卸载并重新启动其中的每个更新（已安装12个更新，并且DC确实旧且缓慢）。 有没有人曾经遇到过这个问题，并且知道如何永久修复它？还有其他想法（除了接下来几天要成为Kerberos专家以外）？

8 active-directory  windows-server-2003  sql-server  kerberos 

我最近继承了与我合作的一家小型初创公司的基础架构职责。我的传统角色是发展，所以请忍受... 我希望从右脚开始，并在Active Directory中启动并运行Active Directory。我已按照Microsoft TechNet上的指南在Azure VPN中安装AD林，并且具有以下结构 为我的本地网络配置为站点到站点VPN的Azure VPN，它显示为正确连接。 子网：192.168.5.0/24 HQNET 子网：192.169.1.0/24站点到站点VPN网关 子网：192.169.2.0/24 Auth 子网：192.169.3.0/24 Apps 子网：192.169.4.0/24数据 子网：192.169.6.0/24中 我在Auth子网IP 192.169.2.4的A1标准VM上具有Server 2012 R2。AD Install非常出色，启动了新的林，一切似乎都运行良好。该VM是使用Username1 / Password1创建的，在安装AD后会自动添加为Domain Admin / Enterprise Admin。 我在同一Auth子网-IP 192.169.2.5中启动了第二个Server 2012 R2 A1标准VM，以进行复制，并使用Username2 / Password2创建了该VM。然后，我将此虚拟机加入到使用第一个DC创建的域中。加入域后，我尝试将该虚拟机提升为副本DC。它要求提供凭据以执行此操作，我提供DOMAIN \ Username1：Password1作为凭据。 在升级过程中，AD到达父AD VM上的“正在创建NTDS设置对象”这一步骤，安装在此步骤停止。根据此处的文章：Active Directory安装停在“创建NTDS设置对象”上，这是由于域凭据与本地凭据相同吗？或者我没有将域凭据提供给安装。 我多次删除并重新创建了VM，尝试执行安装。我尝试以域管理员身份登录VM2，然后执行升级。我也尝试了在升级过程中提供域凭据的几乎所有方法（Username1 @ domain：Password1，DOMAIN \ Username1：Password1，domain.com \ Username1：Password1），无论安装挂起了什么。每次我都仔细按照文章中的步骤从VM1的林中删除VM2之前，都尝试再次升级。 我相信我错过了一步，或者没有看到我缺少的一小部分，但是我的经验不足。 将DC2提升为副本DC时我缺少什么？

8 active-directory  domain-controller  replication  azure