Questions tagged «active-directory»

登录到域时，是否有任何方法（缺少活动目录浏览器）来查看我的OU？

29 windows  active-directory 

我已经与服务原理名称进行了数次交涉，而Microsoft的解释还不够。我正在配置一个IIS应用程序以在我们的域上工作，并且看起来有些问题与我需要在运行托管我的站点的应用程序池的Windows服务帐户上配置http特定SPN​​有关。 所有这些使我意识到，我只是没有完全了解服务类型（MSSQL，http，主机，termsrv，wsman等），Kerberos身份验证，活动目录计算机帐户（PCName $），Windows服务帐户，SPN之间的关系。 ，以及我用来尝试访问服务的用户帐户。 有人可以在不过度简化说明的情况下解释Windows服务主体名称（SPN）吗？ 创造性的类比奖励积分，将引起经验丰富的系统管理员/开发人员共鸣。

28 windows  windows-server-2008  security  active-directory  kerberos 

我管理着一家约有30台机器和2台终端服务器（一台生产，一台备用服务器）的商店。我是否应该在网络中真正部署Active Directory？ 是否有真正的好处，可以平衡另一个AD服务器的存在？我们的终端服务器要独立运行，除了公司的APP外，没有其他服务。 如果我仍然可以在没有广告的情况下运行它，那么我会缺少哪些重要功能？ 更新：但是你们中有没有没有AD的成功商店吗？

28 windows  active-directory 

一位同事刚刚向我证明，当用a丹麦语字符å（ASCII 134 /å）替换其samAccountName中的每个字符时，测试AD中的帐户便能够进行身份验证。 例如，用户<domain>\aaa可以通过进行身份验证ååå。 我尝试在新配置的W2K12R2 AD（单个服务器，所有标准值）中重现此代码，并且它也在那里工作。我创建了一个帐户aaa（å在此过程中切勿触碰字母，因此不包含å）并运行： PS C：\ Users \ Administrator> runas / user：ååå记事本 输入ååå的密码： 尝试以用户“ DEV-DLI \ååå”启动记事本... PS C：\ Users \ Administrator> 导致记事本启动，运行方式为aaa。 o和Danish字符似乎也是如此ø，而最后一个丹麦特殊字符æ似乎与任何其他字符都不对应。aaa在AD中使用user 时，尝试创建具有samAccountName的用户ååå将失败，并通知您The user logon name you have chosen is already in use (...)。 我像疯子一样用谷歌搜索，但一直无法发现正在发生的事情。有没有人暗示为什么这样做？

27 windows  active-directory 

如何将缓存的Active Directory域凭据存储在Windows客户端上？它们是否存储在本地SAM数据库中，从而使它们容易受到本地用户帐户容易受到的相同彩虹表攻击，或者它们存储的方式不同？请注意，我确实意识到它们是经过加密和散列的，以便不以纯文本格式存储，但是它们是否以与本地帐户相同的方式进行散列，并且存储在相同的位置？ 我意识到他们至少会受到蛮力攻击，但是比机器被盗时容易受到彩虹桌攻击的情况要好得多。

26 windows  active-directory  security 

我注意到，Active Directory中的用户数比公司的实际员工数多。有没有一种简单的方法来检查多个Active Directory帐户，并查看是否有一段时间没有使用过的帐户？这应该可以帮助我确定是应该禁用还是删除某些帐户。

26 active-directory 

我已经在Windows 7工作站和笔记本电脑上多次收到该错误，该错误使它对域控制器失去了信任，我知道如何修复它，但是为什么要这样做呢？

25 active-directory  domain-controller  workstation-management 

对于加入域的Windows 8 / 8.1 Pro计算机，除非使用Microsoft帐户，否则Windows的哪些功能将不起作用？ 此外，除了“功能丧失”之外，他们还有没有在域环境中不使用Microsoft帐户的陷阱吗？ 这是一个基于Server 2008 R2的Active Directory环境。没有Office 365。

25 active-directory  windows-8  windows-8.1 

我已经通过Powershell创建了一个名为“ MyUser”的用户帐户，并且活动目录中的图标图形与通过UI创建的用户测试的图标不同。 脚本化脚本带有一个带有向下箭头的圆圈图标： UI生成的用户没有不带有向下箭头的图标。

25 active-directory 

在Active Directory中，如果要阻止用户登录，则可以禁用其帐户或仅重置其密码。但是，如果您有一个已经登录到工作站的用户，并且需要阻止他们尽快访问任何资源-您该怎么做？我说的是一种紧急情况，即立即解雇工人，如果不立即将他们拒之门外，就有可能造成严重破坏。 几天前，我也遇到过类似的情况。起初我不确定该怎么做。阻止用户访问网络共享很容易，但这还不够。最终，我使用Stop-Computer -ComputerName <name> -ForcePowerShell cmdlet 关闭了目标计算机，就我而言，这解决了该问题。但是，在某些情况下，这可能不是最佳选择，例如，如果您要切断的用户已登录到多个工作站或提供重要服务的计算机上，而您无法将其关闭。 从所有工作站远程强制立即注销用户的最佳解决方案是什么？在Active Directory中甚至可能吗？

24 active-directory  security  user-management  windows-server-2012-r2 

我最近在Active Directory中遇到了一些麻烦，想知道我可以定期执行哪些检查以确保一切工作正常？

24 windows-server-2008  windows-server-2003  active-directory 

编辑：将其重新格式化为问答。如果有人可以将其从Community Wiki更改为一个典型的问题，那也许也更合适。 如何针对Active Directory验证OpenBSD？

24 active-directory  authentication  kerberos  openbsd 

只是标题上的问题。有什么问题吗？有什么经验吗？

24 virtualization  active-directory 

我正在尝试提供一些特殊情况的笔记本电脑。我想创建一个本地访客帐户。很好，但是当我尝试创建它时，我提示我的访客密码不符合复杂性要求。 我尝试编辑本地安全策略以更改复杂性，但这是灰色的。是否可以用本地替代域策略？ 是的，我知道我可以选择更长的密码，但这不是重点。我想知道如何在以后需要的时候改写域策略。

24 windows  active-directory  group-policy 

想要改善这篇文章吗？提供此问题的详细答案，包括引文和答案正确的解释。答案不够详细的答案可能会被编辑或删除。 希望大家都知道对Active Directory林进行命名的建议很简单。即，可以将其总结为一个句子。 使用现有已注册域名的子域，然后选择一个不会在外部使用的子域。 例如，如果要合并和注册hopelessn00b.com域，则我的内部AD林应命名为internal.hopelessn00b.com或ad.hopelessn00b.com或corp.hopelessn00b.com。 有使用压倒性令人信服的理由，以避免“假”顶级域名或单标签域名，但我有一个很难找到同样令人信服的理由，以避免使用根域（hopelessn00b.com）作为我的域名，使用子域名，例如corp.hopelessn00b.com代替。确实，我似乎能找到的唯一理由是，从内部访问外部网站需要 A nameDNS记录，并www.在浏览器中的网站名称前面键入内容，就问题而言，这很“美”。 那么，我想念什么？为什么用它ad.hopelessn00b.com作为我的Active Directory林名称要好得多hopelessn00b.com？ 仅作记录，实际上是我的雇主需要说服力-老板人正在兜售，在给我继续创建一个以corp.hopelessn00b'semployer.com我们的内部网络命名的新AD目录林之后，他想坚持使用名为hopelessn00b'semployer.com（与我们的外部注册域相同）。我希望我能得到一些令人信服的理由，或者说最佳实践是更好的选择，所以我可以说服他……因为这似乎比愤怒地辞职和/或找到新工作要容易，至少对于此时此刻。目前，“微软最佳实践”和内部访问我们公司的公共网站似乎并没有减少，我真的，真的，真的希望这里的人有更多说服力。

23 domain-name-system  active-directory  best-practices  split-dns