คำถามติดแท็ก active-directory

ฉันจะแสดงรายการแอ็ตทริบิวต์ผู้ใช้ Active Directory จากคอมพิวเตอร์ Linux ได้อย่างไร คอมพิวเตอร์ Linux ได้เข้าร่วมกับโดเมนแล้ว ฉันสามารถใช้ 'getent' เพื่อรับข้อมูลผู้ใช้และกลุ่ม แต่ไม่แสดงแอตทริบิวต์ผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่ทั้งหมด

13 linux  active-directory  attributes 

มีวิธีใดบ้างที่ฉันสามารถใช้เพื่อให้การค้นพบอัตโนมัติสำหรับ NTP ฉันเพิ่งย้ายไปงานใหม่ที่มี บริษัท แม่ที่เพิ่งเริ่มให้บริการ Active Directory ฉันใช้ SSSD และสิ่งอื่น ๆ ที่รับรองความถูกต้องกับโฆษณาและตั้งค่า NTP อย่างไรก็ตามพวกเขามีเซิร์ฟเวอร์ Active Directory จำนวนมาก (ฉันต้องชี้ไปที่เซิร์ฟเวอร์โดยตรง) และบางครั้งพวกเขาสามารถเปลี่ยนแปลงได้ มีวิธีใดเช่นการค้นพบ LDAP หรือมัลติคาสต์เช่น ActiveMQ และแอปพลิเคชันอื่น ๆ ที่ฉันสามารถตั้งค่าได้หรือไม่? หากไม่มีข้อเสนอแนะใด ๆ นอกเหนือจากการพยายามให้ บริษัท แม่รักษารายชื่อเซิร์ฟเวอร์ที่ดีกว่าและโดเมนใดที่ใช้งานได้ ขอบคุณ!

12 active-directory  ntp  sssd  ntpd  autodiscovery 

ทำไมคุณไม่ควรคืนค่า DC ที่สำรองไว้เมื่อ 6 เดือนก่อน? ในขณะที่ฉันกำลังเรียนรู้บริการโดเมน Active Directory ฉันเจอคำถามนี้ในหนึ่งในบล็อก แต่ฉันไม่สามารถหาคำตอบโดยละเอียดได้ ดังนั้นใครก็ได้โปรดอธิบายแนวคิดนี้ให้ฉันฟัง

12 active-directory  domain-controller  azure-active-directory 

ฉันเข้าใจอยู่เสมอว่ามีบทบาท FSMO ห้าบทบาท แต่บางครั้งฉันเห็นสิ่งที่บอกว่ามีเจ็ดบทบาท มีกี่คนจริงเหรอ?

12 active-directory  samba4  fsmo 

ฉันใช้ Windows Server 2012 Active Directory เปิดอยู่และทำงานอยู่ โครงการทั้งหมดที่เราจัดการมี 2 กลุ่มเฉพาะกลุ่มหนึ่งสำหรับผู้จัดการที่มีการเข้าถึงไฟล์ที่เกี่ยวข้องทั้งหมด (รวมถึงใบแจ้งหนี้ตารางเวลาและสิ่งที่พวกเขาต้องการในการจัดการโครงการหรืออย่างน้อยฉันก็เดาได้ว่ามันอาจเป็น gifs รู้) และอีกหนึ่งสำหรับคนที่ทำงานในโครงการด้วยการเข้าถึงไฟล์ของโครงการเองเท่านั้น ฉันต้องการให้ผู้จัดการโครงการบางคนควบคุมการเป็นสมาชิกของกลุ่มที่อนุญาตให้เข้าถึงไฟล์ในโครงการของพวกเขา พวกเขาไม่สามารถแก้ไขด้านอื่น ๆ ของกลุ่มได้ และควรจะใช้ GUI บางชนิดเพราะมันจะยากพอที่จะอธิบายอย่างนั้น แต่สถานการณ์กรณีที่เลวร้ายที่สุดที่ฉันสามารถสคริปต์หนึ่ง ฉันเพิ่มกลุ่มการจัดการลงในแท็บ "จัดการโดย" ของกลุ่มที่มีการจัดการด้วยการเปิดใช้งาน "ผู้จัดการสามารถอัปเดตรายชื่อสมาชิก" และนี่ดูง่ายพอ แต่.. ฉันควรให้กลุ่มผู้จัดการดูรายชื่อผู้ใช้ทั้งหมดหรือไม่ ถ้าเป็นเช่นนั้นได้อย่างไร สมาชิกกลุ่มการจัดการควรเข้าสู่ระบบเพื่อแก้ไขความเป็นสมาชิกกลุ่มอย่างไรและที่ไหน?

12 active-directory  group-policy  windows-server-2012-r2  groups 

วัตถุผู้ใช้ Active Directory มีจำนวนฟิลด์ที่สามารถพิจารณาเป็นตัวระบุได้ รายการต่อไปนี้แสดงรายการบางส่วนพร้อมป้ายกำกับของพวกเขาใน ADUC และชื่อแอตทริบิวต์ของพวกเขา: ชื่อเต็ม - cn ? - ชื่อ การเข้าสู่ระบบของผู้ใช้ sAMAccountName - sAMAccountName การเข้าสู่ระบบของผู้ใช้ UPN: userPrincipalName ? - ชื่อที่แตกต่าง ฉันกำลังพยายามให้นักพัฒนาของเราสร้างมาตรฐานให้ใช้หนึ่งในนั้นเมื่อเขียนโค้ดที่กำหนดเองซึ่งรับรองความถูกต้องกับโฆษณา - ปัญหาคือฉันไม่แน่ใจว่าเป็น "ขวา" หรือว่าแตกต่างกันเป็นรหัสที่แตกต่างกัน พฤติการณ์ ฉันไม่แน่ใจว่าควรใช้ฟิลด์ใด ๆ ข้างต้น! มีใครอีกบ้างที่เลือกใช้อย่างสม่ำเสมอและอะไรที่มีอิทธิพลต่อคุณในการตัดสินใจ เอกสารใดที่ชี้แจงปัญหา

12 active-directory  ldap  authentication 

เรา จำกัด การทำงานของ exe ทั่วทั้งองค์กร แต่ตามเหตุผลและการอนุมัติเราเพิ่มผู้ใช้ในกลุ่มโฆษณา (เฉพาะ) เป็นเวลา 24 ชั่วโมง ขณะนี้กระบวนการลบผู้ใช้ออกจากกลุ่มโฆษณาเหล่านั้นหลังจาก X ชั่วโมงเป็นคู่มือ ฉันกำลังพยายามทำให้มันเป็นแบบอัตโนมัติ แต่ฉันสงสัยว่ามีวิธีการจัดการแบบดั้งเดิมใน AD 2003 หรือไม่การเขียนสคริปต์ (powershell / vbs) เป็นวิธีเดียวในการจัดการเรื่องนี้หรือไม่?

12 active-directory  groups 

เรากำลังตั้งค่าสภาพแวดล้อมการฝึกอบรมที่จะใช้หลังจากวันหยุดฤดูร้อน ฝ่ายบริหารต้องการให้เราจัดตั้งลูกค้าทันทีก่อนวันหยุด เนื่องจากลูกค้าจะถูกส่งออกไปพวกเขาจะถูกปิดสายจนกว่าการฝึกอบรมจะเริ่มขึ้น นั่นหมายความว่าลูกค้าจะไม่ได้รับการติดต่อกับโฆษณาเป็นเวลาประมาณ 15 สัปดาห์ นอกจากนี้เนื่องจากไม่มีใครอยู่ที่นี่เซิร์ฟเวอร์จะปิดการทำงานประมาณหกถึงแปดสัปดาห์ อายุการใช้งานของ Tombstone ถูกกำหนดเป็น 180 วัน ระยะเวลา 15 สัปดาห์นี้สามารถสร้างปัญหาให้กับลูกค้าได้หรือไม่? เราควรพยายามโน้มน้าวให้ฝ่ายบริหารเลื่อนการติดตั้งไคลเอนต์ออกไปจนกว่าจะถึงช่วงวันหยุด?

12 windows-server-2003  active-directory  windows-xp 

ฉันกำลังประเมิน Server 2012 เพื่อทำหน้าที่เป็นตัวควบคุมโดเมนในเครือข่ายขนาดเล็กที่แตกต่างกันของเวิร์กสเตชันและเซิร์ฟเวอร์ Linux และ Windows ซึ่งทั้งหมดนี้จะเข้าร่วมกับโดเมนในที่สุด นี่คือเครือข่ายสแต็คคู่ 100% ทุกอุปกรณ์มีการเชื่อมต่อ IPv4 และ IPv6 เราเตอร์เป็นเซิร์ฟเวอร์ Linux ที่ใช้ Radvd 1.9.1 และมีความจำเป็นอื่น ๆ ฉันเพิ่งติดตั้งตัวควบคุมโดเมนแรก ชื่อโดเมนของมันคือad.businessname.com(ซึ่งbusinessname.comจัดการโดยเซิร์ฟเวอร์ DNS ภายนอกโดเมนยังมีเว็บไซต์สาธารณะอีเมล ฯลฯ และจะไม่เข้าร่วมกับโดเมนในขณะนี้) มันเป็นเซิร์ฟเวอร์หลักที่ติดตั้งบทบาท AD DS และ DNS ทุกอย่างดูดีและฉันพร้อมที่จะตั้งค่า DC ที่สองและเริ่มเข้าร่วมคอมพิวเตอร์ แต่ ... ตอนนี้เครือข่ายของฉันมี IPv6 โฆษณาเราเตอร์พิเศษที่มันโฆษณาที่อยู่ที่ไม่ซ้ำกันในพื้นที่ นอกจากนี้ยังโฆษณาคำนำหน้า IPv6 ดั้งเดิมที่เราเตอร์แท้จริงกำลังโฆษณา ตอนแรกฉันคิดว่า RA เหล่านี้มีต้นกำเนิดมาจากโดเมนคอนโทรลเลอร์เนื่องจากมันหายไปเมื่อฉันปิดมัน แต่หลังจากรัน Wireshark ฉันเห็นว่ามันมาจากเราเตอร์ IPv6 …

12 domain-name-system  active-directory  ipv6  windows-server-2012  radvd 

ฉันเป็นผู้ดูแลระบบ Windows ดังนั้นผู้ที่ทำงานร่วมกับ Windows จะมีประโยชน์มากที่สุด ความท้าทายหลักของฉัน ณ จุดนี้เป็นเพียงการแชร์ไฟล์ แต่เมื่อการใช้ SharePoint เพิ่มขึ้นจะทำให้ยากขึ้น ฉันได้รับการตั้งค่าไดเรกทอรีทั้งหมดและกลุ่มความปลอดภัยจำนวนมากที่ติดตั้งด้วยนโยบายที่จำเป็นต้องมีการเข้าถึงอย่างน้อยที่สุด ปัญหาของฉันคือติดตามทั้งหมดเพื่อเหตุผลด้านทรัพยากรบุคคลและการปฏิบัติตาม ผู้ใช้ A ต้องการสิทธิ์ในการใช้ทรัพยากร 1. เขาต้องได้รับการอนุมัติจากผู้จัดการของทรัพยากร 1 จากนั้นผู้จัดการของผู้จัดการก็ต้องอนุมัติการเข้าถึงนี้ด้วย เมื่อทุกอย่างเสร็จสิ้นฉันสามารถเปลี่ยนแปลงได้ ณ จุดนี้เราเพิ่งติดตามมันบนกระดาษ แต่มันเป็นภาระและมีแนวโน้มที่จะหลุดพ้นจากการปฏิบัติตามเมื่อผู้ใช้กถูกมอบหมายใหม่และไม่ควรเข้าถึงทรัพยากร 1 ในสถานการณ์อื่น ๆ อีกต่อไป ฉันรู้ว่าสิ่งที่ฉันกำลังมองหาควรมีอยู่แล้ว แต่ฉันไม่รู้จักที่จะมองหาและฉันกำลังติดต่อกับชุมชน แก้ไข: ขอบคุณสำหรับคำตอบ ฉันคิดว่าพวกเขาสัมผัสด้านเทคนิคและหวังว่าคำถามของฉันจะไม่เป็นหัวข้อ ฉันควรทำให้ตัวเองชัดเจนขึ้นเกี่ยวกับเป้าหมายของฉัน คุณใช้ระบบใดในการแสดงผู้ตรวจสอบว่าในวันที่ผู้ใช้ X มีสิทธิ์เพิ่ม / ลบและได้รับการอนุมัติโดยผู้จัดการ Y ฉันมีระบบการจองตั๋วพื้นฐานในสถานที่ในขณะนี้ แต่ฉันไม่เห็นว่ามันมอบสิ่งที่ฉันต้องการในรูปแบบที่เข้าใจง่าย ในใจของฉันฉันนึกภาพบางอย่างที่จะมีรายงานเกี่ยวกับผู้ใช้กซึ่งจะแสดงการเปลี่ยนแปลงทั้งหมดที่ทำกับสิทธิ์ของพวกเขา นึกคิดสิ่งที่เชื่อมโยงไปยัง Active Directory จะเหมาะ แต่ ณ จุดนี้ฉันหวังว่าจะพบสิ่งพื้นฐานเพิ่มเติม …

12 windows  active-directory  audit 

ฟิลด์ตำแหน่งใน Active Directory ใช้สำหรับสิ่งอื่นนอกเหนือจากการแสดงรายการที่วัตถุอยู่หรือไม่ ฉันสนใจว่านี่เป็นเพียงฟิลด์ที่เป็นมิตรกับผู้ใช้เพื่อช่วยให้ผู้คนค้นหาเครื่องพิมพ์ ฯลฯ หรือหากการเปลี่ยนแปลงในฟิลด์นี้จะมีผลกระทบอื่น ๆ

12 active-directory 

เย็นวันเสาร์นี้เรากำลังจะแทนที่ตัวควบคุมโดเมน / เซิร์ฟเวอร์ DNS เซิร์ฟเวอร์ Windows Server 2003 ปัจจุบันของเราด้วยเซิร์ฟเวอร์คอนโทรลเลอร์โดเมน / เซิร์ฟเวอร์ DNS ของ Windows Server 2008 R2 ระดับการทำงานของฟอเรสต์และโดเมนปัจจุบันคือ Windows Server 2003 และฉันได้เรียกใช้ adprep / forestprep และ adprep / domainprep / gprep จากสื่อ W2K8R2 บนมาสเตอร์สคีปการดำเนินงานที่มีอยู่แล้ว ฉันได้ติดตั้ง AD DS bits บนเซิร์ฟเวอร์ใหม่แล้ว แต่ยังไม่ได้เรียกใช้ DCPROMO โซน AD DNS ของเรานั้นเป็น AD integrated มีเหตุผลใดที่จะไม่ก้าวไปอีกขั้นและ "pre-stage" เซิร์ฟเวอร์ใหม่โดยการเรียกใช้ …

12 windows  windows-server-2008  active-directory 

เมื่อผู้ใช้เปลี่ยนรหัสผ่านบัญชีของเขาด้วยเหตุผลใดก็ตาม (อ่าน: หมดอายุ) และรหัสผ่านเก่าถูกเก็บไว้ในอุปกรณ์มือถือของเขาที่เชื่อมต่อผ่าน EAS นี่จะทำให้บัญชีของเขาถูกปิดใช้งานเกือบจะในทันที - ตามที่ควรเป็นไปตามนโยบายการล็อคที่กำหนดไว้ในโฆษณา มันง่ายที่จะเข้าใจส่วนนั้น ส่วนที่ยากคือการป้องกันไม่ให้เกิดขึ้น ฉันดูทุกที่ ไม่มีอะไร โดยพื้นฐานแล้วมีสี่ส่วนสำหรับปริศนา: อุปกรณ์ EAS, เซิร์ฟเวอร์ TMG (ISA), โปรโตคอล EAS และในที่สุดโฆษณา พวกเขาไม่มีวิธีที่จะหยุดอุปกรณ์ EAS จากการล้มเหลวในการตรวจสอบ ดังนั้นฉันคิดว่าฉันจะต้องแก้ปัญหาที่ชาญฉลาด และสิ่งเดียวที่ฉันจะทำได้คือสร้างกลุ่มสำหรับผู้ใช้ EAS ทั้งหมดและแยกพวกเขาออกจากนโยบายการปิดซึ่งเห็นได้ชัดว่าเอาชนะวัตถุประสงค์ทั้งหมดของนโยบาย คำถาม: คุณนึกถึงวิธีอื่นในการป้องกัน EAS จากการล็อคบัญชีไม่ได้หรือไม่ สภาพแวดล้อม: อุปกรณ์ iOS ส่วนใหญ่ทั้งหมดผ่าน EAS TMG 2010 Exchange 2007 AD 2008 R2

12 active-directory  exchange  group-policy  activesync  microsoft-ftmg-2010 

ปัจจุบันฉันใช้ Windows Server 2008 R2 ทุกคนสามารถบอกฉันได้ว่าฉันสามารถทำซ้ำไดเรกทอรีที่ใช้งานอยู่ไปยังเซิร์ฟเวอร์อื่นที่ติดตั้งโดยใช้การติดตั้งเซิร์ฟเวอร์ Core ได้อย่างไร

12 active-directory  windows-server-2008-r2 

เราเป็นร้านค้าที่ค่อนข้างเล็ก (เท่าของจำนวน sysadmins) ด้วยการผสมผสานของ RHEL, Solaris, Windows 2003 และ Windows 2008; ประมาณ 200 เซิร์ฟเวอร์ในทุก ๆ สำหรับบัญชีผู้ดูแลระบบของเรา ( rootใน Linux และadmnistratorใน Windows) เรามีรูปแบบรหัสผ่านที่ขึ้นอยู่กับตำแหน่งศูนย์ข้อมูลและคุณสมบัติอื่น ๆ ของเซิร์ฟเวอร์ บน Linux ปฏิบัติในปัจจุบันของเราคือการสร้างร่วมกันบัญชีที่ไม่ใช่สิทธิพิเศษที่เราสามารถที่จะsu rootในระบบที่ใช้ Windows เราสร้างบัญชีเพิ่มเติมด้วยสิทธิ์ผู้ดูแลระบบ บัญชีทั้งสองนี้ใช้รหัสผ่านเดียวกัน สิ่งนี้ได้พิสูจน์แล้วว่าไม่มีประสิทธิภาพมาก เมื่อใครบางคนออกจากร้านค้าของเราเราต้อง: เปลี่ยนรูปแบบรหัสผ่านสำหรับบัญชีผู้ดูแลระบบ สร้างรหัสผ่านผู้ดูแลระบบใหม่สำหรับเซิร์ฟเวอร์แต่ละเครื่องและทุกเซิร์ฟเวอร์ มากับรหัสผ่านบัญชีที่ไม่ใช่ผู้ดูแลระบบใหม่ แตะเซิร์ฟเวอร์ทุกเครื่องและเปลี่ยนรหัสผ่าน ฉันอยากรู้ว่าใครในสภาพแวดล้อมที่คล้ายกันสามารถแนะนำวิธีการจัดการข้อมูลรับรองเหล่านี้ได้อย่างมีสติ ข้อมูลที่เกี่ยวข้องบางอย่าง: แม้ว่าเซิร์ฟเวอร์ของเราส่วนใหญ่เป็นส่วนหนึ่งของโดเมนโฆษณาของเรา แต่ไม่ใช่ทั้งหมด เราจัดการเซิร์ฟเวอร์ Linux ทั้งหมดของเราด้วย Puppet (การตรวจสอบความถูกต้องที่สำคัญคือตัวเลือกที่ฉันคิด เราจัดหา Linux severs ด้วย …

12 linux  windows-server-2008  security  active-directory  puppet