คำถามติดแท็ก active-directory

คำถามง่ายๆในชีวิตจริงได้รับแรงบันดาลใจจากความคิดเห็นที่นี่ : Active Directory สนับสนุนการจำลองแบบระหว่างไซต์โดยใช้ SMTP แทน RPC โดยตรงตั้งแต่เปิดตัวครั้งแรกใน Windows 2000 แต่มีใครเคยใช้จริงหรือไม่ ถ้าใช่ทำไมถึงเลือก การติดตั้งและบำรุงรักษาง่ายหรือลำบาก มันน่าเชื่อถือใช่ไหม

12 active-directory  smtp  replication 

ฉันได้ตั้งค่าโฮสต์ Samba 3 ด้วยการรวม AD และระบบไฟล์ที่เปิดใช้งาน ACL ใช้ windows ไคลเอ็นต์ฉันสามารถตั้งค่าผู้ใช้และกลุ่มสิทธิ์ ถึงตอนนี้แซมบ้าเพิ่งแม็พกับสิทธิ์ rwx ของ POSIX ACL ซึ่งป้องกันไม่ให้ฉันใช้สิทธิ์ "แก้ไข" หรือ "ควบคุมทั้งหมด" บน Windows ฉันยังอ่านบางสิ่งเกี่ยวกับ xattrs และการสนับสนุน ZFS ACL ใครสามารถให้คำแนะนำเกี่ยวกับวิธีที่ดีที่สุดในการก้าวข้าม POSIX ACLs เพื่อคล้ายกับ Windows ACE อย่างสมบูรณ์

12 active-directory  samba  access-control-list  file-permissions  posix 

ฉันมีบัญชีบริการ Windows ฉันต้องให้สิทธิ์เพื่อเลียนแบบบัญชีอื่นภายในกลุ่มในโดเมนที่เชื่อถือได้อื่นโดยไม่ต้องมอบสิทธิ์ บัญชีบริการของฉันบอกว่า 'โอ้ฉันคือ Barnie@otherdomain.com' ทันที ฉันรู้ว่าเป็นไปได้เพราะถูกตั้งค่าสำหรับโดเมนอื่น - แต่ก่อนที่ฉันจะเข้าร่วมและฉันไม่รู้ว่าพวกเขาทำได้อย่างไร! ฉันเป็นผู้พัฒนา แต่ผู้ดูแลระบบไดเรกทอรีคนที่ฉันไม่รู้จะทำอย่างไร ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชมอย่างมาก!

12 active-directory  impersonation 

ฉันกำลังมองหาอินเทอร์เฟซ GUI บนเว็บหรือเครื่องมือตรวจสอบบางประเภทที่จะแสดงสถานะการจำลองสำหรับโดเมน ฉันรู้ว่าฉันสามารถใช้repadminพร้อมตัวเลือกต่าง ๆ ในบรรทัดคำสั่งเพื่อสอบถามสถานะ ฉันคิดเกี่ยวกับการสร้างสคริปต์ที่สามารถทำงานได้เมื่อพวกเขาสนใจสถานะ แต่พวกเขาอาจสนใจหน้าสถานะบางประเภทมากขึ้น

12 windows  windows-server-2008  replication  active-directory  network-monitoring 

ฉันมีชุดที่เก็บข้อมูลการโค่นล้มส่วนตัวในกล่อง Windows Server 2003 ซึ่งนักพัฒนาเข้าถึงผ่านทาง SVNServe ผ่านโปรโตคอล svn: // ขณะนี้เราได้ใช้ไฟล์authzและpasswdสำหรับแต่ละที่เก็บเพื่อควบคุมการเข้าถึงอย่างไรก็ตามด้วยจำนวนที่เพิ่มขึ้นของที่เก็บและนักพัฒนาที่ฉันกำลังพิจารณาเปลี่ยนไปใช้ข้อมูลประจำตัวของพวกเขาจาก ActiveDirectory เราทำงานในร้าน Microsoft ทั้งหมดและใช้ IIS แทน Apache บนเว็บเซิร์ฟเวอร์ของเราทั้งหมดดังนั้นฉันต้องการใช้ SVNServe ต่อไปถ้าเป็นไปได้ นอกจากนี้ยังเป็นไปได้ฉันยังกังวลเกี่ยวกับวิธีการย้ายที่เก็บข้อมูลของเราเพื่อให้ประวัติผู้ใช้ที่มีอยู่จับคู่กับบัญชี ActiveDirectory ที่ถูกต้อง โปรดทราบว่าฉันไม่ใช่ผู้ดูแลระบบเครือข่ายและฉันก็ไม่คุ้นเคยกับ ActiveDirectory มากดังนั้นฉันอาจต้องผ่านคนอื่น ๆ เพื่อรับการเปลี่ยนแปลงใน ActiveDirectory หากจำเป็น ตัวเลือกของฉันคืออะไร? อัปเดต 1: ปรากฏจากเอกสาร SVNที่โดยใช้ SASL ฉันควรจะได้รับ SVNServe เพื่อตรวจสอบสิทธิ์โดยใช้ ActiveDirectory เพื่อชี้แจงคำตอบที่ฉันกำลังมองหาคือวิธีการกำหนดค่า SVNServe (ถ้าเป็นไปได้) เพื่อใช้ ActiveDirectory สำหรับการรับรองความถูกต้องและวิธีการแก้ไขที่เก็บข้อมูลที่มีอยู่เพื่อทำการแมปผู้ใช้ svn ที่มีอยู่ใหม่ อัปเดต 2: …

12 windows  active-directory  svn  ldap  svnserve 

ขออภัยถ้าฉันใช้คำศัพท์ผิดที่นี่; จริงๆแล้วฉันไม่ค่อยรู้เรื่อง Active Directory และเทคโนโลยีที่เกี่ยวข้อง โดยทั่วไปฉันมีคอมพิวเตอร์ Linux และฉันต้องการให้มัน (หรือผู้ใช้ของฉันบนคอมพิวเตอร์เครื่องนั้น) เชื่อมโยงกับผู้ใช้ของฉันบนโดเมนเพื่อที่ฉันจะสามารถเรียกดูเครือข่ายและหน้าต่างทุกอย่างนั้นมี เป็นไปได้หรือไม่ ฉันต้องหาอะไรทำสิ่งนี้

12 linux  windows  active-directory 

การเปลี่ยนแปลงใดที่จะนำไปใช้กับลูกค้าเมื่อเข้าร่วมโดเมนโฆษณา สมาชิกโดเมนควรจะทำงานอย่างไรเมื่อตัดการเชื่อมต่อกับเครือข่าย ผู้ใช้สามารถเข้าสู่ระบบได้หรือไม่? นโยบายผู้ใช้โดเมนจะยังคงใช้งานเมื่ออยู่นอกเครือข่ายหรือไม่ หากคุณรู้จักทรัพยากรที่ครอบคลุมซึ่งให้ข้อมูลเบื้องต้นเกี่ยวกับ Active Directory อย่างครอบคลุมกรุณาโพสต์ไว้ ขอบคุณ

12 active-directory 

มีวิธีการตั้งค่าส่วนต่อท้าย UPN เริ่มต้นสำหรับการสร้างผู้ใช้ใหม่เป็น Active Directory หรือไม่? ตัวอย่างเช่นหากฉันมี corp.mydomain.com เป็นโดเมนโฆษณาของฉันและฉันได้เพิ่มคำต่อท้าย UPN สำรองไว้ใน Domains and Trusts ที่เป็นเพียง mydomain.com จะมีวิธีใดที่จะให้โดเมนนั้นเป็นค่าเริ่มต้นเมื่อสร้างใหม่ ผู้ใช้? ฉันรู้ว่าฉันสามารถสร้างผู้ใช้แม่แบบและจากนั้นเมื่อฉันคัดลอกมันจะมีคำต่อท้ายเริ่มต้นที่ถูกต้อง แต่เพียงอยากรู้ว่ามีการตั้งค่าที่ซ่อนอยู่ซึ่งจะควบคุมสิ่งนี้หรือไม่

12 active-directory 

สิ่งนี้เกี่ยวข้องกับคำถามนี้: กลุ่ม Domain Admins ปฏิเสธการเข้าถึงไดรฟ์ d: ฉันมีเซิร์ฟเวอร์สมาชิกในสภาพแวดล้อม AD แล็บใหม่เอี่ยม ฉันมีผู้ใช้ Active Directory ADMIN01ที่เป็นสมาชิกของDomain Adminsกลุ่ม Domain Adminsกลุ่มส่วนกลางเป็นสมาชิกของท้องถิ่นเซิร์ฟเวอร์ของสมาชิกของAdministratorsกลุ่ม สิทธิ์ต่อไปนี้ได้รับการกำหนดค่าในรูทของD:ไดรฟ์ใหม่ที่เพิ่มหลังจากเซิร์ฟเวอร์กลายเป็นสมาชิกของโดเมน ทุกคน - สิทธิ์พิเศษ - โฟลเดอร์นี้เท่านั้น สำรวจโฟลเดอร์ / เรียกใช้ไฟล์ รายการโฟลเดอร์ / อ่านข้อมูล อ่านคุณสมบัติ อ่านคุณสมบัติเพิ่มเติม CREATOR OWNER - สิทธิ์พิเศษ - โฟลเดอร์ย่อยและไฟล์เท่านั้น ควบคุมทั้งหมด ระบบ - โฟลเดอร์นี้โฟลเดอร์ย่อยและไฟล์ ควบคุมทั้งหมด ผู้ดูแลระบบ - โฟลเดอร์โฟลเดอร์ย่อยและไฟล์ ควบคุมทั้งหมด ภายใต้ ACL ข้างต้นผู้ใช้โดเมนADMIN01สามารถเข้าสู่ระบบและเข้าถึงD:ไดรฟ์สร้างโฟลเดอร์และไฟล์และทั้งหมดเป็นสิ่งที่ดี หากฉันลบการEveryoneอนุญาตจากรูทของไดรฟ์นี้ผู้ใช้ที่ไม่ใช่ผู้ใช้ภายในซึ่งเป็นสมาชิกของกลุ่มDomain Admins(เช่นADMIN01) …

12 windows  windows-server-2008  active-directory 

ฉันเพิ่งติดตั้งเซิร์ฟเวอร์ ADFS เพื่อเชื่อมต่อเครื่องมือแชทของบุคคลที่สามกับ Active Directory ของเราผ่าน SAML 2.0 ทุกอย่างใช้งานได้ดี แต่มีปัญหาเล็กน้อย: ทันทีที่ผู้ใช้ลงชื่อเข้าใช้เครื่องมือการแชทจะสร้างบัญชีให้เขาโดยอัตโนมัติ นั่นเป็นปัญหาเพราะทุกบัญชีทำให้เกิดค่าธรรมเนียม มีวิธีใดบ้างที่จะ จำกัด การใช้งาน ADFS ในกลุ่มโฆษณาหรือไม่

12 active-directory  adfs 

เรามีบัญชีโดเมนที่ถูกล็อคผ่านเซิร์ฟเวอร์ 1 ใน 2 การตรวจสอบในตัวจะบอกเราว่ามีมากแค่ไหน (ล็อกเอาต์จาก SERVER1, SERVER2) บัญชีถูกล็อคภายใน 5 นาทีดูเหมือนว่าจะมีประมาณ 1 คำขอต่อนาที ในขั้นต้นฉันพยายามเรียกใช้ procmon (จาก sysinternals) เพื่อดูว่ามีการเริ่มกระบวนการใหม่ใด ๆ หลังจากที่ฉันปลดล็อกบัญชีหรือไม่ ไม่มีอะไรน่าสงสัยเกิดขึ้น หลังจากเรียกใช้ procmon บนเวิร์กสเตชันของฉันและยกระดับเป็นเชลล์ UAC (conscent.exe) ดูเหมือนว่าจากสแต็กนั้นntdll.dllและrpct4.dllถูกเรียกเมื่อคุณพยายามรับรองความถูกต้องกับโฆษณา (ไม่แน่ใจ) อย่างไรก็ตามมีการ จำกัด กระบวนการที่ทำให้เกิดการร้องขอการตรวจสอบสิทธิ์ให้กับ DC ของเราหรือไม่ มันเป็น DC เดียวกันเสมอดังนั้นเราจึงรู้ว่ามันต้องเป็นเซิร์ฟเวอร์ในไซต์นั้น ฉันสามารถลองหาสายใน wireshark แต่ฉันไม่แน่ใจว่าจะแคบลงกระบวนการที่เรียกจริง ๆ ไม่มีบริการการแมปไดรฟ์หรืองานที่กำหนดเวลากำลังใช้บัญชีโดเมนนั้น - ดังนั้นจึงต้องเป็นสิ่งที่มีการจัดเก็บเครดิตโดเมน ไม่มีเซสชัน RDP ที่เปิดด้วยบัญชีโดเมนนั้นบนเซิร์ฟเวอร์ใด ๆ (เราตรวจสอบแล้ว) หมายเหตุเพิ่มเติม ใช่การตรวจสอบการเข้าสู่ระบบ …

12 windows  windows-server-2008  active-directory  kerberos 

คุณสามารถบอกได้ว่าเมื่อใดที่บัญชี AD ถูกล็อคเนื่องจากมันจะบอกคุณข้างกล่องกาเครื่องหมายเพื่อ "ปลดล็อก" บัญชีดังกล่าว แม้ว่าฉันต้องการทราบว่ามีเหตุผลใดที่ฉันจะทำเครื่องหมายในช่องนี้เมื่อบัญชีไม่ถูกล็อค? ถ้าเป็นเช่นนั้น "ปลดล็อค" บัญชีนี้ทำอะไร?

11 windows  active-directory 

ฉันกำลังค้นหาข้อมูลเกี่ยวกับวิธีการรวม U2F (โดยใช้ YubiKey หรืออุปกรณ์ที่คล้ายกัน) ในโดเมน Windows ของ Active Directory (จะเป็นเซิร์ฟเวอร์ Windows 2016) โดยเฉพาะอย่างยิ่งฉันสนใจในการรักษาความปลอดภัยการเข้าสู่ระบบ windows ไปยังเวิร์กสเตชัน / เซิร์ฟเวอร์เพื่อต้องการโทเค็น U2F เป็นปัจจัยที่สอง (รหัสผ่านเท่านั้นไม่ควรทำงานเลย) ในระยะสั้นเป้าหมายคือการรับรองความถูกต้องแต่ละครั้งจะทำผ่านรหัสผ่าน + โทเค็น U2F หรือใช้โทเค็น Kerberos คำแนะนำใด ๆ ที่จะหาข้อมูลเพิ่มเติมเกี่ยวกับสถานการณ์เฉพาะหรือบทเรียนที่เรียนรู้นี้จะดีมาก

11 active-directory  authentication  windows-server-2016  two-factor-authentication 

ฉันต้องการใช้เวิร์กสเตชัน linux ของฉันในเครือข่าย บริษัท ของเรา แต่ฉันพบปัญหาเล็กน้อยโดยเฉพาะ 802.1xi ที่เชื่อ ฉันรูทเครื่องของฉันและผู้ดูแลระบบโดเมน windows ดังนั้นฉันควรจะสามารถเข้าถึงสิ่งที่ฉันต้องการเพื่อให้ทำงานได้ ปัจจุบันเครื่อง linux ของฉันมีการเชื่อมต่อที่ จำกัด ซึ่งทำให้ฉันเชื่อว่ามันถูกใส่เข้าไปใน vlan เริ่มต้นสำหรับลูกค้าที่ไม่ใช่ 802.1x ฉันเดาว่าคำถามโดยรวมของฉันคือฉันจะทำให้เครื่อง linux ของฉันใช้ 802.1x บนเครือข่าย windows แบบมีสายได้อย่างไร เครือข่ายเป็นโดเมน windows ทั่วไปและใช้บัญชีเครื่องรวมถึงบัญชีผู้ใช้ นี่คือสิ่งที่ฉันรู้และได้ลองมาแล้ว: ฉันเชื่อว่าฉันจะต้องได้รับใบรับรองเครื่องไคลเอนต์ที่ถูกต้องสำหรับเครื่องใบรับรอง CA สำหรับโดเมนและคีย์ส่วนตัวสำหรับลูกค้า แนวคิด 1 หยิบกุญแจที่ถูกต้องออกจากเครื่อง windows / เครื่อง ca โดเมนฉันใช้ windows VM บนเครื่อง linux และเข้าร่วมกับโดเมนโดยคิดว่าสิ่งนี้จะสร้างใบรับรองลูกค้าที่ถูกต้องฉันสามารถจับเครื่อง linux ได้ - ไปยังจุดสิ้นสุดฉันจากนั้นส่งออกใบรับรองไคลเอ็นต์และใบรับรอง …

11 linux  windows  active-directory  802.1 

เกี่ยวข้องกับคำถามก่อนหน้านี้ของฉันเกี่ยวกับสาเหตุที่มันเป็นความคิดที่ดีที่จะใช้ชื่อโดเมนรูทเป็นชื่อฟอเรสต์ Active Directory ของคุณ ... ฉันมีนายจ้างคนหนึ่งซึ่งฉันจะเรียกว่า ITcluelessinc เพื่อความเรียบง่าย (และความซื่อสัตย์) นายจ้างรายนี้มีเว็บไซต์โฮสต์ภายนอก, www.ITcluelessinc.comและโดเมน Active Directory สองสามรายการ เมื่อหลายปีก่อนพวกเขาไม่รู้เรื่องเกี่ยวกับไอทีพวกเขาตั้งชื่อฟอเรสต์ของ Active Directory ITcluelessinc.prvและดำเนินการกับความโหดร้ายที่ไม่อาจบรรยายได้ ในที่สุดความโหดร้ายที่ไม่อาจบรรยายได้เหล่านี้ก็เกิดขึ้นกับพวกเขาและทุกสิ่งก็พังทลายลงมารอบตัวพวกเขาตัดสินใจที่จะจ่ายเงินก้อนใหญ่ให้กับใครสักคนเพื่อ "แก้ไข" ซึ่งรวมถึงการอพยพออกจากITcluelessinc.prvป่าที่เสียหายอย่างน่ากลัว และแน่นอนว่าพวกเขาไม่รู้เรื่องเกี่ยวกับไอทีพวกเขาไม่รู้คำแนะนำที่ดีเมื่อพวกเขาได้ยินยอมรับคำแนะนำในการตั้งชื่อ AD Forest ใหม่ของพวกเขาITcluelessinc.comแทนที่จะเป็นคำแนะนำที่พวกเขาได้รับและเริ่มวางสิ่งต่างๆ กรอไปข้างหน้าอย่างรวดเร็วเมื่อไม่กี่ชั่วโมงที่ผ่านมาและเรามี บริษัท ที่มีเนื้อหาส่วนใหญ่เข้าร่วมและใช้ITcluelessinc.prvฟอเรสต์ Active Directory เก่าโดยมีสิ่งใหม่ ๆ จำนวนมากเข้าร่วมและ / หรือใช้ITcluelessinc.comฟอเรสต์ เพื่อให้การทำงานร่วมกันเป็นไปอย่างราบรื่นฉันได้ใช้ผู้ส่งต่อที่มีเงื่อนไขใน DNS เพื่อส่งทราฟITcluelessinc.comฟิกไปยังITcluelessinc.prvและในทางกลับกัน ( corp.ITcluelessinc.comและeval.ITcluelessinc.comโดเมนเป็นชื่อโดเมนที่ฉันเข้ามาและตั้งค่าอย่างเหมาะสมในภายหลังและยังไม่เกี่ยวข้อง) กลับไปไม่กี่ชั่วโมงที่ผ่านมาและพนักงานที่ไม่ใช่ด้านเทคนิคของ ITcluelessinc พบว่าเธอไม่สามารถเรียกดูwww.ITcluelessinc.comจากเวิร์กสเตชันของเธอ (ภายในเครือข่ายขององค์กร ITcluelessinc) และตัดสินใจว่านี่เป็นปัญหาดังนั้นเธอจึงติดต่อ พนักงานวีไอพีของ ITcluelessinc ผู้ตัดสินใจเรื่องนี้จะต้องได้รับการแก้ไข Ricky-tick …

11 domain-name-system  active-directory