Questions tagged «active-directory»

关于Active和Open目录的互操作性的绝大多数问题都涉及到让Mac客户端查看AD并对其进行身份验证。 我们要做的是让Windows 7工作站完全针对Open Directory进行身份验证。我们尝试将其设置为NT4类型的PDC，但效果并不令人满意。 我们尝试使用pGina和LDAP后端，该后端允许进行身份验证，但不支持授权，因此，如果我们安装NFS共享，则用户有权执行他们认为该做的事情。对于安全性而言并不是理想的选择（实际上完全是流血的）。 我们尝试使用Samba服务器（比Open Directory Server更高的版本）作为中间设备，以使它了解OD Server上的LDAP服务器，但使用Samba 4而不是v3。那也不起作用。我们可以登录，但无法挂载，如果可以登录，我们拥有与pGina相同的权限。如果在Windows中右键单击已安装的驱动器，然后查看NFS UID，它将返回-2，而不是正确的（映射的）UID。 因此，我最终的计划是在Windows 2008R2虚拟机中使用Active Directory。我想要实现的是让Active Directory从OpenDirectory同步它的用户数据（只读就可以了）。这样，我们就可以将Windows 7客户端连接到“虚拟域”，该域实际上只是从OD的LDAP中获取信息。 我发现的所有信息都是关于如何走另一条路的。 有谁知道我们该怎么做？

8 active-directory  ldap  authentication  opendirectory  authorization 

在我支持的大多数部门所在的一个站点中，我有两个域控制器（Windows 2003）。我的部门也住着另一座建筑物（位于另一个站点），但是它们没有DC。 这可能是一个经典问题，即当公司分布在多个站点时是否要安装额外的DC。 我们一直在遇到各种问题，例如登录脚本无法映射驱动器以及用户在被允许进入之前多次登录失败（即使他们输入了正确的密码）。 我在客户端上遇到了不同的错误。他们之中有一些是 ： Netlogon，5719，由于以下原因，该计算机无法与domain domain.com中的域控制器建立安全会话：当前没有可用于服务登录请求的登录服务器。这可能会导致身份验证问题。确保此计算机已连接到网络。如果问题仍然存在，请与您的域管理员联系。 GroupPolicy，1055，组策略的处理失败。Windows无法解析计算机名称。这可能是由于以下一种或多种原因引起的：a）当前域控制器上的名称解析失败。b）Active Directory复制延迟（在另一个域控制器上创建的帐户尚未复制到当前域控制器）。 在服务器上，我不断收到这些错误： Netlogon，5722，从计算机SOMEPCNAME进行的会话设置未能通过身份验证。安全数据库中引用的帐户的名称为SOMEPCNAME $。发生以下错误：访问被拒绝。 *（以上错误在同一台计算机上不断重复。可能只需要将其重新添加到域中即可。）* NTDS复制，1864，这是本地域控制器上以下目录分区的复制状态。目录分区：CN = Schema，CN = Configuration，DC = domain，DC = com 最后一个看起来与未完全删除的DC有关。当我运行dcdiag时，表明我们正在尝试使用不再存在的服务器进行复制。我认为这不会导致我们遇到所有这些登录问题。 我想知道我们是否应该安装另一个DC或尝试其他方法。我们的客户主要运行Windows 7，但也有一些XP和Vista客户。 在不同站点上的PC之间，带宽看起来为37.4 Mb（已使用此实用程序iperf进行了验证）。 任何帮助表示赞赏。

8 windows-server-2003  active-directory  domain-controller  windows 

我一直在寻找一个具有数千个组的Active Directory，其中成对的组是彼此的成员。 GroupA具有GroupB作为成员。GroupB具有GroupA作为成员。 哦 我正在尝试思考这种循环嵌套组的可能后果。

8 active-directory  groups 

我们是一所小型学院，每个学生都被分配一个Active Directory帐户。我们有几个计算机实验室，所有计算机都已加入域，学生可以登录到任何计算机。在一个学期中，大多数学生将登录大多数计算机。 过去，在Windows XP下，我们使用旧的“复制配置文件”功能以及称为Deep Freeze的产品来管理此问题，以便有效地自动清除配置文件。长期以来，许多学校已成功使用此技术。 不幸的是，Windows 7无法解决所有这些问题。我们不能再使用“复制配置文件”功能来为工作站准备模板配置文件。组策略可以用于设置计算机，这是处理问题的官方方法。不幸的是，由于两个原因，这种方法也不起作用。首先是组策略对于设置配置文件调整不那么友好。我们无法快速进行所需的更改，并且某些操作只能在运行sysprep之前对计算机完成（这需要对整个OS进行更频繁的重新映像）。结果是我们最终得到的抛光桌面体验较差。 我们可以在第一个问题上大吃一惊，但是第二个问题是，与Deep Freeze结合使用时，所有组策略设置都会导致登录时间异常缓慢，因为您每次都要重新应用几乎所有GP调整项登录。Windows 7通过XP改进的安全功能（即UAC）使我可以在没有Deep Freeze的情况下尝试一个学期...除了在每个学期末我们仍然在每台计算机上拥有数百个用户配置文件帐户之外，还可以，这是在进行更多工作以建立组策略以减少结果之后进行的。 那么对于解决此问题的更好方法有什么建议吗？ 我们想要做一些事情，例如将文档库映射到网络共享，设置默认墙纸，向IE和Safari中的书签工具栏添加特定的快捷方式（我们部署野生动物园是因为我们拥有1：1 iPod Touch程序，并且还需要iTunes） ，以及对这些公共工作站的许多其他调整。我们希望能够快速进行操作，以便在更改结果上获得良好的反馈，并且我们需要这样做，以便数百名用户可以使用其Active Directory凭据登录。过去，我们沿漫游配置文件路径走，这也不是一个好选择。 当前，我们的域控制器仍在运行Server 2003，并且我们更希望使用CloneZilla而不是sysprep来处理计算机的映像。 我也不愿意将组策略仅仅用于工作流程。当我们可以使用模板配置文件时，如果您发现要更改的内容，则只需以正确的用户身份登录，然后进行更改，注销，然后在下次更新计算机时应用更改。现在，我们必须寻找正确的GP设置（如果存在）。完成过去五分钟的工作可能需要一个多小时。

8 active-directory  windows-7  user-profile 

在研究如何在我们的网络中设置一些静态DNS-SD服务时，我遇到了http://www.dns-sd.org/ServerStaticSetup.html，其中指出Active Directory的DNS服务器不支持带空格的DNS名称。在他们中。 有谁知道这是否仍然正确（因为页面感觉很旧）？ 更新：我主要是指PTR和SRV记录，而不是A / CNAME记录。

8 domain-name-system  active-directory 

我正在尝试将Windows 7 Ultimate计算机连接到Windows 2k8域，但无法正常工作。我收到此错误： 注意：此信息供网络管理员使用。如果您不是网络管理员，请通知管理员您已收到此信息，该信息已记录在文件C：\ Windows \ debug \ dcdiag.txt中。 已成功查询DNS以获取用于定位域“ example.local”的域控制器的服务位置（SRV）资源记录： 查询用于_ldap._tcp.dc._msdcs.example.local的SRV记录 该查询标识了以下域控制器： dc1.example.local dc2.example.local 但是，无法联系域控制器。 导致此错误的常见原因包括： 将域控制器的名称映射到其IP地址的主机（A）或（AAAA）记录丢失或包含不正确的地址。 在DNS中注册的域控制器未连接到网络或未运行。 客户位于通过MPLS远程连接到我们的域控制器所在的数据中心的办公室中。我似乎没有任何东西可以阻止与DC的连接，但是我对MPLS电路没有完全的控制权，因此可能存在某些阻止连接的问题。 我在一个办公室中尝试了多个客户端（Win7 Ultimate和WinXP SP3），并且在所有客户端上都得到相同的症状。 我可以毫无问题地连接到任何一个域控制器，尽管我没有尝试过所有可能的端口。ICMP，LDAP，DNS和SMB连接都可以正常工作。 客户端DNS指向DC，“ example.local”解析为DC的两个IP地址。 我从NetLogon测试命令行实用程序获得以下输出： C:\Windows\System32>nltest /dsgetdc:example.local Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN 我还创建了一个单独的网络来模拟通过LAN-to-LAN VPN（而不是MPLS）连接到DC网络的办公室配置。从该远程网络加入Windows 7计算机工作正常。 我可以在两个环境之间找到的唯一区别是中间连接性，但是我对要测试什么或如何做的想法不了解。我应该采取什么进一步的步骤？ （请注意，这实际上不是我的客户端工作站，我无法直接访问它；我被迫对它进行远程手动访问，这使一些明显的故障排除方法（如数据包嗅探）变得更加困难。如果我可以在那里建立一个我可以远程访问的系统，但是对此的请求未得到答复。） 2011-08-25更新： 我曾DCDIAG.EXE在尝试加入域的客户端上运行： C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local …

8 windows-server-2008  windows-7  ldap  active-directory 

我们有一个Windows 2003 Server Active Directory环境。在AD中，您可以输入一个人的电子邮件地址。回到我们以前拥有Exchange时，在创建新用户时，它也会在Exchange中创建一个条目。我们已经有多年没有使用Exchange了，但是在创建帐户或在AD中修改其配置文件时，我将电子邮件地址部分留空了，因为我不确定会发生什么。现在，我想知道，我们可以创建一个帐户或修改现有帐户，还可以添加其电子邮件地址，即使它不是我们域的一部分吗？（例如，当他们拥有Hotmail或Gmail帐户时。）

8 active-directory 

我想构建一个通过SMB / CIFS和NFS导出用户主目录的服务器。该服务器将加入一个包含我们的用户数据库的Win2k3 AD域控制器。据我了解，winbind会即时为这些用户发明UID。此用户名-UID映射必须对安装主目录的NFS客户端可用，否则文件所有权将无法正确显示。 我认为这可以使用SFU来实现，但是据我所知SFU已停产，并且在Windows的最新版本中将不支持SFU，所以我宁愿不使用它。 如何最好地将此映射提供给NFS客户端？ （您会认为这是一个常见的用例，但我找不到相关的方法。我的Google-fu可能很弱。） 编辑：顺便说一句，在这种情况下，用户是否可以通过NFS进行连接而无需先通过SMB / CIFS进行连接？

8 active-directory  samba  nfs  user-management 

我刚刚在Windows 2008 r2服务器上创建了一个简单的AD。我已经在该目录中添加了一些员工。 现在，可以为单个帐户创建一些别名。 例如。 name = foo.bar@contoso.internal / contoso\foo.bar 但用户也可以以 contoso\pewpew 这可能吗？

8 windows-server-2008  active-directory  alias  user-accounts 

是否可以设置RSS feed来查看对Active Directory数据库所做的所有更改？

8 active-directory 

我有时需要设置域帐户，并且知道如何在Win2003中使用DSA.msc来执行此操作。但是，我正在使用的服务器之一是Win2008，所以我一直不得不将RDP插入另一台服务器，只是为了为新的FTP用户设置域帐户。我似乎找不到DSA的替代品...

8 windows-server-2008  active-directory 

我正在工作的公司正在着手用LDAP替换当前本地开发的NIS / YP结构。 我们已经在Windows内部安装了AD，并且希望考虑使用AD系统。AD人士有严格的限制，不支持广泛的修改。 我们需要具有替代品，包括对NIS / YP套件的全部功能的支持，包括网络组，特定用户或特定用户组对特定服务器的登录限制，* nix和Windows环境之间的一致密码等。我们的环境是Linux（suse，RH，Debian），Sun，IBM，HP和MPRAS以及NETAPP的混合体。因此，无论我们使用什么，都必须完全包容所有环境。 我们已经看过类似的内容，但是我们的管理层希望将其他选择与之比较。 我还要看什么其他东西，您对替代方案有何评价？ 谢谢

8 linux  unix  ldap  nis  active-directory 

我们在Apache 2.2.9（如Debian 5.0、2.2.9-10 + lenny7中提供）中使用mod_authnz_ldap和mod_authn_alias对多个Active Directory域进行身份验证以托管Subversion存储库。我们当前的配置是： # Turn up logging LogLevel debug # Define authentication providers <AuthnProviderAlias ldap alpha> AuthLDAPBindDN "CN=Subversion,OU=Service Accounts,O=Alpha" AuthLDAPBindPassword [[REDACTED]] AuthLDAPURL ldap://dc01.alpha:3268/?sAMAccountName?sub? </AuthnProviderAlias> <AuthnProviderAlias ldap beta> AuthLDAPBindDN "CN=LDAPAuth,OU=Service Accounts,O=Beta" AuthLDAPBindPassword [[REDACTED]] AuthLDAPURL ldap://ldap.beta:3268/?sAMAccountName?sub? </AuthnProviderAlias> # Subversion Repository <Location /svn> DAV svn SVNPath /opt/svn/repo AuthName "Subversion" AuthType …

8 apache-2.2  active-directory  ldap  authentication  mod-authn-alias 

我们正在运行ActiveDirectory环境（Windows 2008 Server，XP客户端），并希望将某些共享列为“网络邻居”下的“共享资源”。我不希望它映射到一个驱动器号。 在用户界面中这很容易，但是我似乎找不到通过脚本/ GPO / etc自动执行此操作的方法。 我们希望在那里而不是在“我的电脑”下的原因是，更高的上层对此希望如此。 编辑：澄清

8 windows  active-directory  network-share  server-message-block 

用户开始抱怨网络速度慢，所以我启动了Wireshark。做了一些检查，发现许多PC发送类似于以下内容的数据包（屏幕截图）： 我模糊了用户名，计算机名和域名的文本（因为它与Internet域名匹配）。计算机向Active Directory服务器发送垃圾邮件，试图强行破解密码。它将以Administrator开头，并按字母顺序在用户列表中向下移动。物理上去PC时，在PC的任何地方都找不到人，而且这种行为散布在整个网络中，因此它似乎是某种病毒。扫描被发现使用Malwarebytes，Super Antispyware和BitDefender（这是客户端具有的防病毒软件）向服务器发送垃圾邮件的计算机不会产生任何结果。 这是一个拥有约2500台PC的企业网络，因此进行重建不是一个明智的选择。我的下一步是联系BitDefender，以了解他们可以提供什么帮助。 是否有人看到过这样的东西或有任何想法可能是什么？

8 security  active-directory  kerberos  malware  brute-force-attacks