Questions tagged «active-directory»

我最近在一个环境中，在全球100多个站点中有120个域控制器。该域始于Windows 2000时代，并且随着时间的推移进行了升级，因此从未将严格的复制一致性设置为新DC的默认值，也从未在任何DC上启用它。目录中有许多对象，因此您经常会看到很多冲突的对象。 使用repadmin /removelingeringobjects需要了解两件事： 哪些DC在数据库中保留了对象 一个没有缠结对象的DC可用作参考DC。 显然，将来应该设置此环境，以便所有新的DC都具有严格的复制一致性，并repadmin /options * +strict应运行以使所有当前的DC使用严格的复制一致性，但是这将立即破坏复制而无需清理对象。 因此，我的问题是这样的：在如此庞大的环境中，我将不知道哪个DC残留有对象，哪些DC没有残留的对象，如何确定repadmin /removelingeringobjects要使用的良好参考DC ，以及如何确保所有120+ DC在强制执行严格的复制一致性并中断复制之前清除了残留的对象？或者，打开严格模式并观察repadmin /replsum有什么坏处并对其进行处理是否更容易？

16 windows  active-directory 

在我们的网络中，网络域的名称也是组织网站的域（例如example.com）。在外部，人们可以输入example.com来访问我们的网站，但是在内部，这指向我们用于Active Directory的多个域控制器之一，其中某些甚至不运行Web服务器。 因此，链接在http://example.com内部only www.example.com不起作用（在内部起作用）。 我们如何将http请求透明地指向Web服务器，这有什么副作用？

16 windows  domain-name-system  active-directory 

这适用于尚未实施任何集中式用户数据库的小型公司（12个开发人员）-他们已经有机成长，只是根据需要在计算机上创建了帐户。 从管理的角度来看，这是一场噩梦-10台计算机都具有不同的用户帐户。如果将用户添加到一台计算机，则需要将他们手动添加到所有其他用户（他们需要访问）上。这远非理想。向前发展并发展业务将意味着随着增加/雇用更多计算机/用户而成倍地增加工作量。 我知道，有些类型的集中用户管理的迫切需要。但是，我在Active Directory和OpenLDAP之间进行辩论。当前的两个服务器充当简单的备份和文件共享服务器，均运行Ubuntu 8.04LTS。这些计算机是Windows XP和Ubuntu 9.04的混合体。 我没有使用Active Directory的经验（或者说真正的OpenLDAP，但是我对Linux感到很满意），但是如果一种解决方案胜过另一种解决方案，那么我就可以保证学习到这一点。 前期成本并不是真正的问题，总拥有成本则是。如果Windows（我假设是SBS？）可以为我节省足够的时间来弥补前期成本的增加，那么我认为我应该采用该解决方案。 对于我的需求，我应该考虑实施哪种解决方案？ 编辑：电子邮件托管在异地，因此不需要Exchange。

16 ubuntu  active-directory  openldap  small-business 

就像我猜想的那样，我们有一个Windows / Active Directory环境以及许多需要Java的内部业务应用程序。我们的经验是Java在这样的公司网络环境中不能很好地发挥作用。初始安装很好（至少现在有MSI），但要保持正常运转可能是个挑战。 我们遇到的具体问题包括： Java有它自己的更新程序，因此不与我们的内部补丁程序管理系统绑定。 缺少用于通过GPO管理Java设置的任何工具。 用户手动配置某些设置的要求。 每台计算机上都有多个Java运行时（此处是Oracle Jinitiator的特殊原因）。 关键设置文件存储在Program Files文件夹下。 与我们一起主要是一批登录脚本和棘手的变通办法，但是我很想听听其他人如何处理这些项目，以及是否还有其他需要注意的地方。

16 windows  active-directory  java  group-policy 

很难说出这里的要求。这个问题是模棱两可，含糊，不完整，过于宽泛或夸张的，不能以目前的形式合理地回答。如需帮助澄清此问题以便可以重新打开， 请访问帮助中心。 9年前关闭。 阅读了Microsoft Docs文章“ 默认 ”后，对这两个组的描述： 域管理员 该组的成员对域具有完全控制权。默认情况下，该组是加入域时所有域控制器，所有域工作站和所有域成员服务器上Administrators组的成员。默认情况下，管理员帐户是该组的成员。由于该组在域中拥有完全控制权，因此请谨慎添加用户。” 管理员 该组的成员对域中的所有域控制器具有完全控制权。默认情况下，Domain Admins和Enterprise Admins组是Administrators组的成员。管理员帐户也是默认成员。由于该组在域中拥有完全控制权，因此请谨慎添加用户。” 并且同一篇文章指出两个组对其默认用户权限的描述完全相同： 从网络访问此计算机；调整进程的内存配额；备份文件和目录；绕过遍历检查；更改系统时间；创建一个页面文件；调试程序；使计算机和用户帐户受信任进行委派；从远程系统强制关闭；增加调度优先级；加载和卸载设备驱动程序；允许本地登录；管理审核和安全日志；修改固件环境值；简介单个过程；剖析系统性能；从扩展坞中卸下计算机；恢复文件和目录；关闭系统；取得文件或其他对象的所有权。 此外，Microsoft Docs文章“ 默认本地组”包括对Administrators组的以下说明： 该组的成员对服务器具有完全控制权，可以根据需要向用户分配用户权限和访问控制权限。管理员帐户也是默认成员。该服务器加入域后，Domain Admins组将自动添加到该组...” [强调我的] 鉴于以上情况，我不明白： 它们之间有什么区别？ 何时在其默认化身中使用哪个？ 如何专门从事他们的活动？ 如果域管理员是管理员成员，这是否使他们始终相等？ 该问题是该问题的子问题，并在该问题的上下文中被询问。加入AD的计算机的本地用户的上下文是域计算机帐户还是本地计算机帐户？

16 active-directory  domain-controller  groups 

我刚刚购买了新服务器，它将成为新的主域控制器。我想知道是否有人知道任何有关如何进行此更改的文章或教程？我想这只是设置角色并从旧域控制器导入Active Directory的备份。我只想确保自己之间没有错过任何重要任务。

15 active-directory  domain-controller 

我正在与一家正在教孩子编程的初创公司合作。我们刚刚获得了第一批笔记本电脑“ fleet”-六台经过翻新的运行Windows 7的ThinkPad-我正在寻找最佳的管理和维护方式。 我已经确定购买批量许可证密钥似乎很有意义，因此我可以使用重新映像权限并生成一个可以写入所有映像的已知良好映像，并可以在需要时擦除计算机。 。我现在想知道的是如何最好地持续管理它们。 笔记本电脑将在各种网络上运行-它们都不受我们控制-而且我们没有中央办公室或服务器。我们宁愿不买任何东西。 我希望能够轻松地向所有便携式计算机推出更新和新软件，并进行远程配置管理员帐户和管理补丁程序等操作，以确保便携式计算机保持最新状态。 作为一家小型初创公司，资金是有限的，花在软件许可证上的钱就是我们本可以花在更多硬件上的钱，所以昂贵的解决方案是徒劳的。 是否有人对我们最容易做到这一点有任何建议？

15 windows  active-directory  laptop  patch-management 

我的域中有一台Windows 7计算机，运行异常。 可以对www.google.com进行ping操作 它可以使用其IP地址ping内部主机 它可以使用其主机名和IP地址ping该办公室的本地域控制器/ DNS服务器 它不能通过其他内部主机的主机名或FQDN ping通 客户端尚未在DNS中注册自己 nslookup 可以将内部主机名解析为正确的IP地址，并使用正确的DNS服务器 客户端通过DHCP与其他客户端一样获得其IP设置-它在正确的子网中有一个地址，应用了正确的DNS服务器，并添加了正确的后缀来解析主机名。 本地连接网络连接显示一个SSID名称，该名称以前在用于显示域名或WiFi状态的空间中使用-参见图像 我真的不知道为什么会这样。由于没有发生内部DNS解析，因此计算机无法与域正确通信，因此无法应用组策略，并且我怀疑身份验证是否正常工作。 我尝试使用清除DNS缓存ipconfig /flushdns，使用禁用/重新启动缓存netsh stop dnscache。我重置了Winsock和IP堆栈，并多次重启，没有差异。同一网络中的其他客户端运行正常。 当前的解决方法是将条目中的条目放置在用户可能需要使用的最重要主机的主机文件中。这行之有效，但长期而言并非真正可持续，也无法解决与Active Directory的通信。 在重新构建东西之前，您知道如何解决此问题吗？ 更新 我已经在受影响的计算机上安装了Wireshark。当我这样做时，nslookup domain.local我看到了所有DNS流量，均符合预期。当我这样做时，ping domain.local我根本看不到任何DNS流量-没有请求也没有答复。当我这样做时，ping www.google.com我同时看到DNS请求和答复。 另外，这是一台同时具有有线LAN和无线功能的笔记本电脑。通过有线局域网或WiFi连接到内部网络时，我会遇到完全相同的问题。 我注意到的一件奇怪的事是，在网络连接（局域网）的名称下，而不是像我期望的那样显示域名，而是显示了我们过去使用的VLAN的名称。如果无法再次加入计算机，我很想从域中删除计算机。在尝试可能涉及重新安装Windows的路由之前，我宁愿尝试其他操作。 更新 这看起来无关紧要 更新我已经试过netsh winsock reset catalog，netsh int ip reset和sfc scannow没有一个是有固定的行为。计算机无法离开并重新加入域，因为它无法与域控制器通信。 ifconfig /registerdns出于同样的原因也不起作用。我也尝试过停止DNS客户端服务无济于事。

15 domain-name-system  active-directory  windows-7 

场景： DC运行时，我登录到任意计算机。 我停止直流 我注销任意计算机。让我们也将其弹起。 重新启动计算机后，即使DC关闭，我仍然可以使用域凭据登录 为什么以及如何？ 在“任意”计算机上是否正在运行某种本地凭证缓存？我的密码以某种方式散列并存储在将来的情况下，以防DC爆炸或崩溃？ 如果我尝试登录到DC断开之前从未登录过的机器，是否可以执行相同的过程？

15 windows  active-directory  domain-controller 

我在计算机安全方面没有最强大的背景，但是昨天我的一台公司服务器被我们的主机关闭了。 这是一台分配了公共IP的服务器，在其中托管了多个Web服务应用程序，包括网站和API。有人告诉我我的服务器“正在运行一个开放的dns解析器，该解析器用于将拒绝服务攻击中继到外部实体。” 这是什么意思？这种攻击如何起作用？以及如何保护我的系统免受此类滥用？ 在我的特定情况下，该服务器位于Windows Server 2012上，并且正在为Active Directory域提供DNS。

15 domain-name-system  active-directory  windows-server-2012  ddos  security 

场景 为了简化到最简单的例子： 我有一个具有DHCP服务器角色的Windows 2008 R2标准DC。它通过各种IPv4范围分发IP，在那里没有问题。 我会喜欢什么 我想要一种在设备获得DHCP地址租约且该设备不是 Active Directory中加入域的计算机时创建通知/事件日志条目/类似对象的方法。对我来说，这是否是定制Powershell等都无关紧要。 底线= 我想知道一种方式，无需使用802.1X即可知道网络上何时有非域设备。 我知道这不会考虑静态IP设备。我确实有监视软件，可以扫描网络并查找设备，但是在细节上并不太详细。 研究完成/考虑的选项 我看不到内置日志记录有任何这种可能性。 是的，我知道802.1X并有能力在此位置长期实施，但是我们距离这样的项目还有一段时间，尽管这可以解决网络身份验证问题，但在外面对我仍然有帮助802.1X目标。 我到处寻找一些脚本位，等等，这些脚本可能被证明是有用的，但是我发现的事情使我相信，我的google-fu目前使我失败了。 我相信下面的逻辑是合理的（假设没有现有的解决方案）： 设备收到DHCP地址 记录了事件日志条目（DHCP审核日志中的事件ID 10应该起作用（因为新租约是我最感兴趣的，而不是续约）：http : //technet.microsoft.com/zh-cn/library /dd759178.aspx） 此时，某种脚本可能必须接管下面剩余的“ STEPS”。 以某种方式在此DHCP日志中查询这些事件ID 10（我希望推送，但是我猜pull是这里的唯一方法） 解析查询以获取分配了新租约的设备的名称 查询AD以获取设备名称 如果不是在AD中发现，发送电子邮件通知 如果有人对如何正确执行此操作有任何想法，我将非常感谢。我不是在寻找“代码编解码器”，而是想知道是否有上述列表的替代方法，或者我是否想清楚，是否存在另一种收集此信息的方法。如果您想共享代码片段/ PS命令​​以帮助完成此任务，那就更好了。

15 active-directory  windows-server-2008-r2  monitoring  dhcp  dhcp-server 

与我的一个域实验室一起玩时，我遇到了一个相当有趣的问题。 2008 R2文件服务器上有一个目录，用于“ Staff” OU中的所有用户的文件夹重定向。该目录设置了以下权限： FILESERVER \ Administrators：允许完全控制目录，子目录和文件 DOMAIN \ Domain Admins：允许完全控制目录，子目录和文件 经过身份验证的用户：仅允许创建文件，创建文件夹，写入属性以及将扩展属性写入顶层目录 此外，该目录也是具有“允许完全控制”到Authenticated Users组的网络共享。 当域admins组的成员用户john.doe尝试从文件服务器访问目录时，他收到错误消息“您当前无权访问此文件夹”。尝试从同一服务器访问网络共享也会导致权限被拒绝错误（尽管用户仍然可以访问共享中自己的目录）。 从以同一用户身份登录的另一台计算机访问共享将允许按配置进行访问。 登录文件服务器时，访问目录中文件的唯一方法是打开提升的命令提示符。通过组策略为域中的所有计算机禁用了UAC（启用了以“管理员批准”模式运行所有管理员，并且默认行为设置为“提升”而不提示）。 所有道路都指向允许用户访问的路径，但仍被拒绝。有任何想法吗？

15 windows  active-directory  permissions 

Windows Server提供了证书颁发机构服务。但是，从其文档中尚不清楚根证书如何（或是否）分发给客户端。 域成员计算机是否自动信任根证书？ 如果是这样，他们如何以及何时获得证书？ 要安装或信任根证书是否需要任何用户交互？ 客户端是否轮询Active Directory？在AD DNS中吗？ 它只会在登录时得到吗？ 如果域成员远程VPN到LAN怎么办？ 是否有针对不同版本的Windows客户端的警告？

15 windows  active-directory  ad-certificate-services 

我可以设置Mercurial来对Active Directory上的用户进行身份验证吗？就我而言，hg可以在Windows，Linux或FreeBSD上运行，但是我需要使用AD用户。 注意：如果有可能，请给我指向一个教程。

15 windows  active-directory  mercurial 

这是我最近设置的，非常痛苦。我的环境越来越乌贼，无法通过Windows 2008 Server对Windows 7客户端进行身份验证。NTLM并不是真正的选择，因为使用它需要在每个客户端上更改注册表。 自Windows 2000以来，MS一直建议使用Kerberos，因此终于可以使用该程序了。 非常感谢Squid邮件列表中的Markus Moeller帮助完成了这项工作。

15 windows-server-2008  active-directory  windows-7  squid  kerberos