Questions tagged «active-directory»

是否可以从加入域的工作站定义AD DS域/林功能级别？最好是通过CLI / PS，如果可能的话，最好不带域管理员权限...如何实现？

8 domain  active-directory  directory-services 

我正在对客户端的基于Linux的硬件防火墙进行故障排除。此硬件防火墙连接到ActiveDirectory以进行单点登录身份验证。 就我所知，ActiveDirectory只是largley的一个变态版本，并且使用相同的BindDN语法-如果我错了，请纠正我。 客户端已将其配置为它们的BindDN-出于隐私原因已替换了实际的字符串，但保留了特殊字符和空格。“ somerandomplace \ fubar fubaz” 对我来说，这似乎不是有效的BindDN语法，并且我以前使用过LDAP，但是当我们单击“测试”按钮来测试此BindDN时，测试成功。当我仅更改BindDN中的一个字符并再次运行测试时，测试将失败。 我正在尝试找出问题所在： A）我不完全了解BindND和相关语法的细微差别 要么 B）设备未正确验证输入，并且错误地将测试标识为成功

8 active-directory  ldap 

我想与来自Active Directory中特定OU的用户创建一个动态组。我可以使用Exchange动态分发列表完美地做到这一点，但是，当然，Ex DDL仅用于邮件。 有什么办法可以创建这个吗？我找到了一些使用System Center来处理此问题的指南，但是System Center不是一个选择。 提前致谢，

8 active-directory  groups  dynamic 

现在，我有一个用户，他可以使用他的域凭据登录到我们网络上的任何服务器，除了一个。他无法登录的服务器允许其他域用户连接，但是当他尝试连接时，服务器表明他未经授权。 当用户被锁定在Active Directory环境中时，它是在域级别还是在特定服务器上？

8 active-directory 

我对Kerberos在Active Directory环境中的工作方式及其用于在网络上对用户和工作站进行身份验证的方法有基本的了解，但是我的问题是..因为Kerberos依赖于发布最终用户随后用来访问的安全令牌。网络资源，域中的系统（笔记本电脑）如何不能仅使用活动目录用户的用户名和密码来访问相同的网络资源？ 我猜想，如果仅使用用户凭据，Kerberos就会生成一个安全令牌并将其颁发给系统，但是似乎应该有更多的安全性，以防止非域系统访问网络资源。 如果有人能启发我，我将不胜感激！

8 active-directory  domain  authentication  kerberos  authorization 

根据“最佳做法”，我们IT部门的员工有两个帐户。一个非特权帐户和一个帐户，该帐户是全局Domain Admins（$ DOMAIN \ Domain Admins）组的成员。在我们的文件服务器上，将Domain Admins组添加到本地Administrators（$ SERVER \ Administrators）组。本地管理员组具有对这些目录的完全控制权限。很标准。 但是，如果我使用Domain Admin帐户登录到服务器以进入该目录，则需要批准一个UAC提示，其中说：“您当前无权访问此文件夹。单击继续以永久访问该文件夹。此文件夹。” 单击继续将使我的Domain Admin帐户对该文件夹以及该文件夹下的其他任何对象具有权限，尽管$ SERVER \ Administrators（我是我通过Domain Admins组的成员）已经具有“完全控制”权限。 有人可以解释这种现象吗？有关与Server 2008 R2和UAC的管理权限有关的管理文件共享NTFS权限的适当方法是什么？

8 active-directory  windows-server-2008-r2  permissions  ntfs  uac 

我在两个不同的林中有两个Active Directory域。每个域都有两个DC（都为Windows Server 2008 R2）。这些域也位于不同的网络中，并通过防火墙连接它们。 我需要在两个域和林之间创建双向林信任。 如何配置防火墙以允许这样做？ 我找到了这篇文章，但是并没有很清楚地解释DC之间需要哪些流量，而一个域中的域计算机之间需要哪些流量（如果需要），而另一域中的DC需要所需的流量。 我可以允许DC之间的所有流量通过，但允许一个网络中的计算机访问另一个DC中的DC会有些困难。

8 windows-server-2008-r2  firewall  domain-controller  active-directory 

我的AD设置中有一个内部DNS。我有一个托管DNS的公共资源（通常在某个数据中心的某个地方） 有时，在我们的内部网络上，我需要获取公共资源-例如www.ourcompany.com，因为我们的内部DNS中没有www记录，所以我无法解析该名称。 如何配置我的DNS以将无法识别的名称转发到公共DNS。 更新：根据评论，是的，我有一个“水平分割”的dns（当时似乎是个好主意）。此AD设置不到24小时，可以在需要时重做-（尽管我会而不是）

8 windows-server-2008  domain-name-system  active-directory 

我这里有一个22类问题。 假设我正在使用Microsoft System Center数据保护管理器（2010或2012，其工作方式相同）来备份Active Directory环境（如“域控制器的系统状态”）。 然后，整个数据中心丢失。我必须重新开始使用新硬件，因为磁带备份存储在异地，所以我只能使用它们的磁带备份。因此，我购买了一些新服务器，新磁带库，新存储等。 现在，每个人都知道（或应该知道），为了执行Active Directory灾难恢复，我至少需要还原域控制器的系统状态。当然，如果我需要在与原始服务器不同的硬件上还原它，这可能会很棘手，但是让我们假设这已经涵盖了。 Howewer，这很重要，DPM需要Active Directory才能进行工作；它甚至不会安装在独立服务器上。但是，当然，需要工作的DPM服务器才能从磁带上取回那些备份。 如何仅从新服务器和DPM磁带备份开始还原Active Directory环境？ 注意：使用虚拟域控制器并备份完整的VM可以使还原更加容易，但实际上根本没有改变这个问题：为了安装 DPM，仍然需要一个工作的AD环境。

8 active-directory  disaster-recovery  restore  scdpm  system-state 

Exchange管理工具输出它们将（或刚刚执行）的确切PS命令。是否有具有类似功能的其他版本的AD工具（主要是AD用户和计算机）？如果不是，这是Windows 8 Server的预期功能吗？

8 windows-server-2008  active-directory  windows-server-2008-r2  powershell  windows-server-2012 

我们最近完成了一个计划，以淘汰两个运行Server 2003 R2的旧域控制器。现在，它们已被闪亮的新2008 R2盒取代。但是，就2008 R2服务器而言，域的功能级别尚未更新，只是在需要回滚到旧控制器的长期情况下。我希望大家都清楚在下周末之前更新域。 我还想指出，我们的桌面客户端仍然是95％的Windows XP。但是，我们将启动一个项目，以便在日历年末之前将200个左右的客户端更新到Windows 7。 当我们仍支持比Windows 7更高的Windows XP时，将域保持在2003年的功能级别是否有任何优势，特别是考虑到某些管理站仍然是XP？ 更新：我忘了提早些，我们仍然有一对Windows 2000服务器（不是域控制器），它们支持某些旧版软件。我正在努力替换这些，但是与此同时，我需要确保Windows 2000仍然可以加入2008 R2域。

8 active-directory 

这是有关云服务替代Active Directory 的规范问题。 是否可以使用Google Apps或其他云服务来代替Windows域控制器（取代整个AD基础架构）？ 具体来说，我想消除对本地Windows Server的依赖；目前，它充当文件和打印服务的域控制器。我想用基于托管应用程序的服务器无缝替换该服务器。我不仅希望将服务器移至专用或并置的服务器。 我还没有弄清楚如何拼凑打印机/等共享。如果有人对此有任何见识，将不胜感激。目标是最终将我所有的服务器都移到云中，然后编写有关整个事件的案例研究。

8 active-directory  domain-controller  g-suite 

简洁版本 设置了域控制器，然后使脱机时间超过了逻辑删除限制。现在，我无法再次复制它。 相关错误消息 在dc2上（关于exchange和dc1都存在相同的错误消息）： The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts …

8 active-directory 

我们是一家小型公司，具有2008R2域，在该域​​上我们有一个具有多个共享卷的文件服务器。我们在域管理员角色中拥有许多IT员工，因为实际上我们全天24小时不间断地待命。但是，最近已经成为公司政策的一个问题，即某些文件夹或文件（薪水数据，性能评估，会计信息）应该是机密的，包括来自IT人员的信息。这也包括备份（磁带和磁盘）上的数据。 到目前为止我们发生的事情： * EFS-但是我们必须设置一个PKI，这对于我们公司的规模来说有点过大 * TrueCrypt-但这会杀死并发访问和搜索能力 *从ACL中删除域管理员-但这非常容易（单击一下）即可绕过 *放弃使用Domain Admins组，并更明确地委派权限-但这又有点过大，出于审核原因，我们希望减少对共享帐户（例如，MYDOMAIN \ Administrator）的需求 我确定这不是一个新问题，并且很好奇其他有这种要求的人如何处理它？有没有我们尚未考虑的选择？ 谢谢！

8 windows  security  active-directory  ntfs 

我一直在使用Sysinternals的ADInsight来跟踪工作站上的Active Directory调用，但是该应用程序已失败。 无论应用程序是否处于捕获模式，以前在Active Directory事件中进行跟踪和记录的位置现在都保持空白。我已经以管理员身份运行，重新启动，下载了新版本；这些动作都没有使程序恢复到功能状态。 Sysinternals论坛希望不大，因为众所周知该工具经常失败。 有功能相似的工具吗？ 问题 使用您的帐户从另一个工作站运行时，该工具会失败吗？是 它是否通过您（和/或）另一个使用他人帐户的工作站失败？是 工作站的事件日志中是否有任何内容？没有

8 active-directory  windows