Questions tagged «active-directory»

我们是一家小商店，可以运行Google Apps（Enterprise）来满足我们的电子邮件需求。爱它。在内部，我们使用Windows AD（2003）。那里也没有抱怨。 我想获得一些在AD和Google Apps之间进行SSO的方法，以使AD是我的人们唯一需要管理（并定期更改！）密码的地方。 我过去查看过Google的“ tfm”，但我想我只是不太了解。有没有人这样做？如果是这样，您愿意分享如何？无需大量的复杂性和费用就能完成吗？

15 active-directory  g-suite  single-sign-on 

有没有可以使用的命令行程序？

15 active-directory  kerberos  ntlm 

我在公司使用我的域名example.org。我可以www.example.org用来查看我的网站。如果我http://example.org从公司外地尝试，则没有问题，但如果从内部尝试，则Windows DNS服务器将提供域控制器的IP。 我该如何解决？我可以阻止我的DC example.org在DNS中注册，这对我的环境会造成问题吗？

15 domain-name-system  active-directory  domain 

如果我想定义域控制器，那么我会说DC是安装活动目录的地方，或者 Acitve Directory的简单含义是：安全的集中式身份验证和管理以及域控制器= ADDS + DNS。 但是当我在这里读到那书时，我很困惑 我也认为说DOMAIN CONTROLLER == ACTIVE DIRECTORY很容易，事实并非如此。 我想知道这是正确还是错误？如果有错，那有什么区别？

14 active-directory  domain-controller 

我们发现域管理员帐户-LastLogonTimeStamp属性中的日期是最新的，除非发生灾难恢复，否则将不使用该域。据我所知，没有人应该在相关时间段内（以及数月后）使用此帐户，但是也许有些白痴将其配置为运行预定任务。 由于安全日志事件的数量（并且缺乏用于分析的SIEM工具），我想确定哪个DC具有该帐户的实际lastLogon时间（即没有复制的属性），但是我已经查询了域中的每个DC，每个管理员的lastLogon都为“ none”。 这是林中的子域，因此有人可能使用了该子域管理员帐户在父域中运行某些内容。 除了在LastLogonTimestamp中记录的时间附近检查来自16个森林DC的潜在2000万个事件之外，谁能想到确定哪个DC正在执行登录的方法？我想我可以首先定位父域DC（因为子DC似乎未完成身份验证）。 说明 [ repadmin根据以下内容归零后添加原因] 提出此请求的最初原因是由于我们的IT安全团队在想为什么我们显然经常使用默认的域管理员帐户登录。 我们知道我们没有登录。事实证明，有一种称为“ Kerberos S4u2Self”的机制，该机制是在作为本地系统运行的调用进程进行某些特权提升时。它以域控制器上的管理员身份进行网络登录（非交互式）。由于它是非交互的，因此这就是为什么lastLogon任何DC上都没有该帐户的原因（该帐户从未登录到任何当前域控制器上）。 本文解释了为什么该事件会ping您的日志，并使您的安全团队陷入困境（源计算机是Server 2003，这会使情况更糟）。以及如何追踪。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/ 获得的经验教训-仅lastLogon在涉及管理员登录时才向IT安全团队提供有关属性的报告。

14 active-directory  security  domain 

我们正在为一个域中的一个帐户被盗用的情况做准备，下一步该怎么做？ 禁用该帐户是我的第一个解决方法，但是几周前我们在这里有渗透测试者，他们可以使用几个月前离开的管理员用户的哈希登录名。 到目前为止，我们的两个答案是： 删除帐户并重新创建（创建新的SID，但也为用户提供更多服务并为我们工作） 至少更改密码3次并禁用该帐户 您的方法是什么，或者您会建议什么？

14 active-directory  security 

我偶然发现Windows机器的异常行为，从Vista / 2008到8.1 / 2012 R2的所有Windows版本之间似乎都相当一致。使用Windows XP或Windows Server 2003时不会发生这种情况。 问题是这样的：当为DHCP配置了网络适配器，并且DHCP服务器没有代表其客户端注册DNS记录（因为它不能注册，或者因为未配置这样做），则转发A记录获得注册，但反向PTR记录没有。 更多细节： 正向和反向DNS区域都集成了AD，并接受动态更新。 所有计算机都已加入域。 无论是静态配置还是从DHCP获取配置，所有计算机都使用正确的内部DNS服务器。 在网络适配器中启用了“在DNS中注册此连接的地址”。 当计算机具有静态IP地址时，一切都很好。正向和反向记录都将自动注册。 当为DHCP配置同一台计算机时，将记录前向记录，但不记录反向记录。 对于操作系统版本大于等于6.0的所有计算机，都会发生这种情况，并且绝对与单台计算机无关。 没有任何量ipconfig /registerdns会改变任何东西。 没有错误记录在任何地方。 为什么会发生这种情况，如何解决？ 而且，在这里，不能配置DHCP服务器执行DNS注册。

14 windows  domain-name-system  active-directory  dhcp  ptr-record 

该文档包含以下示例： New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true 此参数是必需的。a的确切目的是DNSHostName什么，我应如何决定将其设置为什么？

14 active-directory 

每当我运行的组策略结果向导，然后选择一个域控制器为目标计算机，摘要显示BUILTIN\Administrators在列表中的“安全组成员时，组策略应用”计算机配置下，如下图所示： （省略了域，用户和计算机名称） 由于域控制器不是管理员的成员（至少不是我在ADUC中看到的），所以我的问题很简单，为什么？ 域控制器实际上是Administrators组的成员，还是GPResults错误（以及原因）？

14 windows-server-2008  active-directory  group-policy  domain-controller 

我遇到的基本问题是，我的CA中有超过100,000个无用的机器证书，并且我想删除它们，而不删除所有证书，或者花时间使服务器前移，并使一些有用的证书失效那里。 这是由于我们的企业根CA（2008 R2）接受了几个默认值，并使用GPO来自动注册客户端计算机的证书以允许802.1x对我们的公司无线网络进行身份验证。 事实证明，默认设置Computer (Machine) Certificate Template将很乐意允许计算机重新注册，而不是指示它们使用已经拥有的证书。对于希望将证书颁发机构用作每次重新启动工作站的日志的家伙（我）来说，这会带来很多问题。 （侧面的滚动条在说谎，如果将其拖动到底部，屏幕将暂停并加载接下来的几十个证书。） 有谁知道如何从Windows Server 2008R2 CA 删除 100,000个时间有效的现有证书？ 现在，当我现在删除证书时，出现一个错误，因为它仍然有效，因此无法删除。因此，理想情况下，某种方式可以暂时绕过该错误，因为Mark Henderson提供了一种方法，可以在清除障碍后使用脚本删除证书。 （取消它们不是一种选择，因为将它们移动到Revoked Certificates，我们需要能够查看它们，也不能将它们从已撤消的“文件夹”中删除。） 更新： 我尝试了@MarkHenderson链接的网站，该网站很有希望，并且提供了更好的证书可管理性，但是还远远不够。在我看来，证书似乎仍然是“时间有效的”（尚未过期），因此CA不想让它们从存在中删除，这也适用于已撤销的证书，因此，撤销全部删除，然后将其删除也不起作用。 我也在我的Google-Fu上找到了这个technet博客，但不幸的是，他们似乎只需要删除大量的证书申请，而不必删除实际的证书。 最终，暂时让CA向前发展，以便我想摆脱的证书到期，因此可以使用站点上的工具将其删除标记链接不是一个好选择，因为我们使用的许多有效证书都将到期必须手动发布。因此，这是比重建CA更好的选择，但不是一个很好的选择。

14 windows  active-directory  windows-server-2008-r2  group-policy  certificate-authority 

我在运行Windows 2008 R2的小型环境中，域控制器上的DHCP服务每两周出现一次故障。 最明显的错误是Event ID 1059，事件查看器消息是： "The DHCP service failed to see a directory server for authorization." 该安装程序具有两个域控制器以及通常的服务和角色（文件，打印，Exchange）。由于多种原因，重新启动服务失败。我在不同时间收到以下消息： “没有足够的存储空间来完成此操作”。 “无法确定服务器192.168.xx的DHCP服务器版本” “ DHCP服务已检测到它正在DC上运行，并且没有配置供DHCP服务启动的动态DNS注册使用的凭据。” 重新启动域控制器可以解决此问题约2周。系统已虚拟化，没有网络连接问题。 关于这里发生的事情有什么想法吗？ 编辑-解决方案似乎是修复行为异常的域控制器。

14 windows-server-2008  active-directory  dhcp-server 

我们有许多分支机构，拥有AD / DNS服务器会对用户体验产生重大影响。适用以下特征： 没有空调服务器机房，也没有预算设置一间 办公室位于发展中国家，因此高温，高湿和多尘是普遍现象 这些办公室没有IT人员 获得替换零件通常意味着从欧洲寄出一些东西 由于将设备运送到办公室的后勤挑战，因此首选小尺寸 办公室有2-25位用户 我一直在考虑将运行Windows 2008 R2的低功耗，基于闪存的微型PC部署为只读域控制器的可能性。我看到有可能获得具有Atom 1.6GHz处理器，2Gb RAM和基于mSATA闪存的存储（32Gb）的Mini ITX设备（例如Soekris net6501-70），这看起来将满足运行Windows Server 2008 R2的最低要求。 是否有人推出了这样的生产系统并能够分享经验？ 考虑到环境条件，无风扇/固态驱动器会更好，这是我的错吗？ 对于我们规模的域（800个用户，正在审查组策略），32Gb存储足以运行RODC吗？

14 windows-server-2008  active-directory  hardware 

我的公司正在寻求尝试对所有服务器进行虚拟化，并且我们试图确定对活动目录进行虚拟化是否是一个好主意。它甚至可以做些什么吗？如果这样，以这种方式设置它是否有任何缺点。我的网络设置有多个物理服务器，多个虚拟服务器和一个SAN。 如果您需要更多信息，请告诉我。

14 active-directory  virtualization 

我是组织的开发人员，但我的任务是在Active Directory的OU中重置10k电子邮件用户的密码。我获得了适当的权限，然后发送了以下TechNet文章，但是我不确定该在哪里运行或它的工作方式。如果这个问题太含糊，我深表歉意，但是我不确定还有什么地方可以问到（我会问我所在组织的系统管理员，但需要一段时间才能得到答复）。谁能给我一个这个cmdlet的确切功能以及如何执行此命令的摘要？

14 active-directory 

我有一些使用Windows Active Directory身份验证的Linux机器，可以正常工作（Samba + Winbind）。 我现在想做的只是只允许某些人或某些组使用Active Directory凭据登录。当前，具有有效AD帐户的任何人都可以登录。我想将其限制为仅几个组。这可行吗？

14 linux  active-directory  samba  ldap  winbind