Questions tagged «domain-controller»

域控制器是Microsoft Active Directory或NT4域中负责中央身份验证的服务器。

1
域管理员帐户策略(在PCI审核之后)
我们的客户之一是Tier 1 PCI公司,他们的审计师就我们作为系统管理员和我们的访问权提出了建议。 我们管理它们的大约700个台式机/ 80个服务器/ 10域控制器的完全基于Windows的基础结构。 他们建议我们改用拥有三个单独帐户的系统: DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC 当WS是帐户上只有工作站日志,是在工作站上的本地管理员 其中SRV是帐户上只有非DC服务器日志,是在服务器上的本地管理员 当DC是帐户上唯一的域控制器,有效的域管理员帐户登录 然后制定适当的策略来防止从错误的帐户登录到错误的系统类型(包括删除非DC计算机上域管理员帐户的交互式登录) 这是为了防止受感染的工作站可以暴露域管理员登录令牌并针对域控制器重新使用该令牌的情况。 这似乎不仅对我们的日常运营而言是一项非常侵入性的政策,而且对于解决相对不太可能的攻击/利用(这仍然是我的理解,也许我误解了此利用的可行性)的工作量很大, 。 我很想听听其他管理员的意见,尤其是那些曾经在PCI注册公司中工作过的人,并且您也遇到类似的建议。您对管理员登录有什么政策。 作为记录,我们目前拥有一个通常使用的域用户帐户,以及一个在我们需要其他权限时也会提升的域管理员帐户。坦率地说,我们都比较懒惰,尽管在技术上违反我们公司的政策(尽管我肯定您理解!),但通常只使用Domain Admin帐户进行日常操作。

1
组策略结果摘要显示DC是“ BUILTIN \ Administrators”的成员
每当我运行的组策略结果向导,然后选择一个域控制器为目标计算机,摘要显示BUILTIN\Administrators在列表中的“安全组成员时,组策略应用”计算机配置下,如下图所示: (省略了域,用户和计算机名称) 由于域控制器不是管理员的成员(至少不是我在ADUC中看到的),所以我的问题很简单,为什么? 域控制器实际上是Administrators组的成员,还是GPResults错误(以及原因)?

4
VM域控制器的Hyper-V时间同步
我们有2台物理Hyper-V服务器,它们之间运行8个VM,每个物理服务器上都有一个运行在VM中的域控制器,所有服务器均为2008R2 VM PDC设置为NTP并与time.microsoft.com同步,其余包括物理服务器的均为NT5DS。该主虚拟机PDC完全保留FSMO,并且UDP 123是活动的 当我运行w32tm / query / status 我在两个VM DC上都获得了VM IC时间同步提供程序,我知道这意味着与主机同步。 当我运行w32tm / resync / rediscover 我得到“没有重新同步,因为没有时间数据可用”,并且事件ID 134在日志中对此有任何想法吗? 我还查看了日志,并获得了事件144和12 我已经按照MS KB的详细信息设置了外部时间源,并进行了所有注册表更改,但是我认为DNS可以帮助我吗? 但是,当我在其中一台物理机上更改时间时,这就是从那里开始设置时间的地方。也许如果我全部取消注册并注册,更新和同步,但恐怕会造成更大的问题! 我正在尝试使VM和Hyper-V Host之间保持时间同步,因为我认为这是我已阅读的最佳实践。 谢谢你的帮助 我终于开始工作了!这样做的目的是帮助那些刚开始设定“域”时间的人。 在此示例中,所有服务器,主域控制器(PDC),其他域控制器(DC)和其他服务器都运行Windows 2008 R2,并使用Hyper-V虚拟化。 首先,您需要阅读第一件事,以在Hyper-V内的任何虚拟机上禁用“时间同步集成服务”,但是相反,您应该在虚拟DC内操作Windows时间服务(w32tm服务),因为当VM重新启动将导致问题,应使用w32tm完成。 http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx 您将需要找出什么服务器是PDC并正在运行FSMO角色。运行以下命令:netdom query fsmo结果应该是您的PDC,这是您进行大部分更改的地方。 确保在防火墙上的UDP123上有一个“出站”规则,并且程序为%SystemRoot%\ System32 \ w32tm.exe,只需浏览到Windows目录并查找exe文件即可 这是注册表更改的地方!HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ W32Time 确保将上述注册表地址中config下的PDC设置为“ type”为NTP,其他所有服务器均为NT5DS,这意味着NTP是爸爸!此处的最佳做法是让PDC从外部看时间,并与之同步。 …


3
从死机的Windows Domain Controller中抢占FSMO角色
我还看到了与此有关的其他问题和文档,但是有些事情仍然使我感到困惑。以下是我看到的文档和问题: 淘汰失效的Windows 2003域控制器 从陪替氏手中夺取FSMO角色 使用NTDSUtil.exe将FSMO角色转移或占用到域控制器 -Microsoft知识库 在Active Directory域控制器上的FSMO放置和优化 -Microsoft知识库 域控制器降级失败后如何删除Active Directory中的数据 该环境包含两个Windows服务器和许多客户端。域控制器是运行Windows 2000 Native AD的Windows 2003 SP2。另一台服务器(根本不是DC)是Windows 2000 SP4(托管病毒检查实用程序)。 结果netdom query fsmo: Schema owner missing.office.local Domain role owner myself.office.local PDC role missing.office.local RID pool manager missing.office.local Infrastructure owner missing.office.local The command completed successfully. 结果dcdiag: Domain Controller Diagnosis Performing initial setup: …

1
域控制器(DC)将证书用于什么目的?
每个人都在谈论域控制器,他们应该安装一个证书,但是到最后,它是可选的。安装后,该证书实际使用什么?我的理解是至少需要: 智能卡身份验证 LDAPS 但是,我想知道域控制器使用证书的DC或Active Directory是否有特定的本机操作? 我知道这里的安全隐患/良好实践:)我只是对游戏机制感兴趣。


3
如何将域帐户转换为本地帐户
我有一台连接到Windows域控制器的Windows 7笔记本电脑。域控制器不再运行并且已被关闭。现在可以单独使用的笔记本电脑可以正常工作,但是我想知道保留我用作域帐户的帐户的影响,即使它永远也不会重新加入该特定网络。 此外,我想知道如何将我的域帐户转换为本地帐户。我在这里阅读了一些条目,但它们似乎都与操作系统的旧版本有关。 最终,我不想重新配置所有应用程序。我已经根据自己的喜好和工作流程进行了微调。从头开始创建本地帐户将意味着我必须重新配置所有应用程序,并且在某些情况下需要重新安装。 请指教。 谢谢。

5
使用全局编录时,AD上的LDAP查询可以提供单个帐户的netbios域名吗?
我正在使用ADSI Edit查看AD中单个用户帐户的LDAP属性。我看到了诸如userPrincipalName之类的属性,但没有看到用于完全限定域名(FQDN)或netbios域名的属性。 我们将设置全局目录(GC),以使LDAP对多个域具有访问权限,并通过在应用程序中进行配置,我们将LDAP属性映射到应用程序中的用户配置文件属性。对于典型的AD,所有用户的FQDN和netbios域名都是相同的,但是在涉及GC的情况下,我们需要此附加信息。我们实际上只需要netbios域名(FQDN不够好)。 也许可以执行LDAP查询以从AD中更顶层的对象请求此信息?

5
更换W2K3域控制器-我需要知道什么?
我的网络大约有70台计算机,目前有两个运行Windows Server 2003的DC(DC0和DC1)。DC0已有5年历史,它是Poweredge 1850,最近变得越来越轻巧,在过去的两周中下降了两倍。 我想更换这台机器,但是我很谨慎,因为这种情况出问题的范围很大。我想这样做的方式是先构建一台新计算机,然后进行DCPROMO,然后运行三个域控制器一个月左右,直到我对一切都能够正常工作感到满意为止,然后再退役旧计算机。 特别令人关注的领域是从当前控制器(例如,GP设置)复制角色,以及关闭迄今为止一直是“主要”机器的后果。 如果有令人信服的理由使用Server 2008,我愿意这样做,但是我不知道这是否会给现有的2003年计算机造成问题。 任何关于最佳实践或以前经验的建议都将受到欢迎。

2
使用Samba加密SMB流量
我们在Ubuntu 14.04 LTS上使用Samba作为具有漫游配置文件的PDC(主域控制器)。一切正常,除非我们尝试通过设置来实施加密: server signing = mandatory smb encrypt = mandatory 在[global]/etc/samba/smb.conf 的部分中。这样做之后,赢得8.0并赢得8.1个客户端(没有尝试过其他任何客户端)抱怨:Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.此文本的英文翻译:The trust relationship between this workstation and the primary domain could not be established. 如果再加上两个选项server signing,并smb encrypt仅向[profiles]smb.conf文件的部分,则tcpdump显示,实际流量是不加密的! 完整的smb.conf: [global] workgroup = DOMAIN server string = %h …


2
降级的域控制器仍在对用户进行身份验证
为什么降级的域控制器仍在对用户进行身份验证? 每当用户使用域帐户登录工作站时,降级的DC都会对其进行身份验证。其安全日志显示其登录,注销和特殊登录。我们新的DC的安全日志显示了一些计算机的登录和注销,但与域用户无关。 背景 server1(Windows Server 2008):最近降级的DC文件服务器 server3(Windows Server 2008 R2):新DC server4(Windows Server 2008 R2):新DC 日志 安全日志事件:http : //imgur.com/a/6cklL。 来自server1的两个示例事件: Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: MYDOMAIN\auser …

1
域控制器为其自己的域返回LDAP引用
我有2个域,每个域都有2个域控制器: company.local ad.company.com.au 两个域都在同一个林中,并且具有双向信任设置。ad.company.com.au目前,我们正在迁移到,但是对于需要查询LDAP的系统存在一些问题。 当对其中任何一个域控制器进行LDAP搜索时,ad.company.com.au我们得到一个不受company.com.auAD控制的引用: $ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <DC=company,DC=com,DC=au> with scope subtree # filter: (objectclass=*) # requesting: ALL # with manageDSAit control # # search result search: 2 result: 10 Referral text: …

1
在多域林中,当某些(但不是全部)基础结构主机位于全局目录中时,究竟会发生什么?
TechNet上有很多文章,例如这篇文章说,如果基础架构主机也是全球目录,则幻象对象不会得到更新,但是除此之外,关于此过程中实际发生的事情没有很多深入的信息。组态。 想象这样的配置: |--------------| | example.com | | | | dedicated IM | |--------------| | | | |-------------------| | child.example.com | | | | IM on a GC | |-------------------| 在哪里child有两个都是全局目录的DC,这意味着Infrastructure Master角色在GC上。并且,example在非 GC 的DC上具有三个具有Infrastructure Master角色的DC 。 我了解通常最好只是将所有内容都设为GC,而不必担心这种事情,但是假设情况并非如此- 像这样的设置可以预期的确切错误行为是什么,以及哪个域( s)这种行为会表现出来吗?孩子还是父母?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.