คำถามติดแท็ก active-directory

ฉันต้องการลบคุณสมบัติ DNS ของ Windows Domain Controllers และชี้เซิร์ฟเวอร์ DNS ไปยังเซิร์ฟเวอร์ BIND9 ของเรา ฉันรู้ว่าเป็นไปได้ที่จะตั้งค่าการอยู่ร่วมกัน แต่ต้องใช้เซิร์ฟเวอร์ DNS ของ Windows เพิ่มเติมจำนวนหนึ่งเท่ากับจำนวนตัวควบคุมโดเมนในเครือข่าย Active Directory คาดว่าโซน _msdcs และสิ่งอื่น ๆ เช่น _tcp, _udp; เป็นต้น คำถามหลักคือ: จะทำให้ BIND9 ดูแลข้อมูลเฉพาะของโฆษณานี้ได้อย่างไร และด้วยการอัพเดทแบบไดนามิกเพื่อทำให้โฆษณามีความสุขมากยิ่งขึ้น ขอบคุณ PS: การทำให้ BIND9 ชี้ไปที่ Windows DNS Servers เพื่อแก้ไขโซนเฉพาะ Active Directory ไม่ใช่ตัวเลือก เราทำสิ่งนี้แล้ว ... แก้ไข: เป็นวันนี้ฉันทำงานโดยไม่มี Windows DNS …

11 linux  windows  domain-name-system  active-directory  bind 

ฉันเพิ่งมีผู้ใช้ไม่สามารถเปลี่ยนรหัสผ่านของเขาในโดเมน Windows 2008 มันให้ข้อความที่เป็นความลับเกี่ยวกับข้อกำหนดด้านความซับซ้อนถึงแม้ว่าเขาจะแน่ใจว่ารหัสผ่านที่เขาเลือกนั้นตรงกับพวกเขา ฉันทดสอบด้วยตัวเองและยืนยัน ดูเหมือนว่ารหัสผ่านล่าสุดของเขาได้รับการตั้งค่าเมื่อเร็ว ๆ นี้ตามค่าเริ่มต้นที่ Microsoft แนะนำสำหรับบางอย่างเช่น 10 วันถ้าฉันจำได้ เขาถามคำถามที่ดีมากกับฉันซึ่งฉันไม่สามารถตอบได้: ทำไมอายุรหัสผ่านขั้นต่ำถึงต้องมี สิ่งนี้มีประโยชน์ต่อความปลอดภัยอย่างไร เขายังชี้ให้เห็นว่าอาจพบว่ารหัสผ่านของพวกเขาถูกบุกรุกภายในระยะเวลา 10 วันนี้และไม่สามารถเปลี่ยนได้! จะมีเหตุผลที่ถูกต้องในการบังคับใช้อายุรหัสผ่านขั้นต่ำหรือไม่

11 active-directory  security  password 

หากคุณตั้งค่าผู้จัดการสำหรับวัตถุผู้ใช้ในไดเรกทอรีที่ใช้งานมันจะสร้างความสัมพันธ์ที่ชัดเจนระหว่างผู้ใช้และผู้จัดการของพวกเขา รายงานนี้อยู่ในรายการที่อยู่สากลของ Exchange ในสิ่งอื่น ๆ สำหรับวัตถุกลุ่มผู้จัดการสามารถแก้ไขสมาชิกของกลุ่มผ่านรายการที่อยู่ใน Outlook หากคุณเปิดใช้งาน มีผู้จัดการเขตข้อมูลเดียวกันสำหรับวัตถุคอมพิวเตอร์ใน Active Directory สิ่งนี้เกี่ยวข้องกับฟังก์ชั่นใด ๆ หรือไม่?

11 active-directory 

ตามที่ชื่อคำถามบอกไว้ฉันพยายามค้นหาเมื่อสร้างบัญชีผู้ใช้ใน Active Directory ระบบปฏิบัติการคือ Windows Server 2003

11 windows-server-2003  active-directory  user-accounts 

ที่เกี่ยวข้อง: ฉันจะเปิดใช้งานการรับรองความถูกต้องของโดเมนผ่านเครือข่ายไร้สายใน Windows 7 / 2k8 ได้อย่างไร ในการทดสอบการเข้าสู่ระบบโดเมนผ่านคุณสมบัติการเชื่อมต่อไร้สายฉันกำลังพยายามตั้งค่าในคำถามข้างต้นฉันต้องการบัญชีที่ไม่มีข้อมูลประจำตัวของโดเมนที่แคชในระบบท้องถิ่น น่าเสียดายที่มีเพียงคนจำนวนมากในสำนักงานของฉันที่อาจช่วยฉันทดสอบสิ่งนี้และถึงอย่างนั้นฉันก็ไม่อยากรบกวนพวกเขา ดังนั้นฉันต้องการที่จะสามารถล้างข้อมูลประจำตัวของตัวเองแคชหลังจากเข้าสู่ระบบแต่ละครั้ง ฉันจะล้างแคชภายในเครื่องได้อย่างไรในขณะที่ยังคงสามารถเก็บข้อมูลรับรองในอนาคตได้

11 windows-server-2008  active-directory  windows-7  authentication 

ขณะนี้เราโฮสต์ตัวควบคุมโดเมนของเรา (บริษัท ขนาดเล็ก) ในพื้นที่โดยเฉพาะ h / w อย่างไรก็ตามเพื่อบรรเทาภัยพิบัติเรากำลังพิจารณาใช้ virtualisation และ cloud hosting หนึ่งความคิดคือ ตัวควบคุมโดเมนหลักเสมือนที่โฮสต์ในคลาวด์ + เซิร์ฟเวอร์เสมือน (ที่สอง) ในระบบเสมือนทำงานในสำนักงานเป็นแคชหรือไม่ เป็นไปได้หรือฉันควรพิจารณาอย่างอื่น? เรายินดีที่จะจ่ายค่าโฮสต์และ DR ที่เหมาะสม แต่นี่ไม่ใช่ประสบการณ์ของฉัน

11 active-directory  cloud-hosting 

ฉันจะค้นหา Active Directory เพื่อค้นหาวัตถุด้วย GUID ได้อย่างไร กล่าวอีกนัยหนึ่งว่าอะไรจะเป็นวิธีที่ดีในการค้นหาว่าวัตถุใดเป็นของ GUID ที่ระบุ

11 windows  windows-server-2008  active-directory  ldap 

ฉันใช้sysinternals AD Explorerค่อนข้างบ่อยในการค้นหาและตรวจสอบ Active Directory โดยไม่มีปัญหาใหญ่ แต่ตอนนี้ฉันต้องการเชื่อมต่อไม่เพียงกับเซิร์ฟเวอร์โฆษณาเดียว ฉันต้องการตรวจสอบแคตตาล็อกทั่วโลกแทน หากฉันป้อนในกล่องโต้ตอบการเชื่อมต่อ AD Explorer เฉพาะชื่อ dns ของเครื่อง (เช่นdns.to.domain.controller ) ที่ให้บริการแคตตาล็อกส่วนกลางฉันได้รับโดเมนคอนกรีตที่รับผิดชอบเท่านั้น แต่ไม่ใช่ฟอเรสต์ทั้งหมด ( นั่นเป็นพฤติกรรมปกติและคาดหวังจากฉัน) หากฉันจะเพิ่มหมายเลขพอร์ตเริ่มต้น (3268) สำหรับแคตตาล็อกส่วนกลางในรูปแบบdns.to.domain.controller: 3268 AD Explorer ก็จะพังโดยไม่มีข้อความเพิ่มเติม แค็ตตาล็อกส่วนกลางทำงานเองตามที่คาดไว้ภายใต้ชื่อและหมายเลขพอร์ตที่กำหนดทำให้เซิร์ฟเวอร์ apache ของเราใช้ที่อยู่นี้และหมายเลขพอร์ตเพื่อรับรองผู้ใช้บางคน ดังนั้นคำแนะนำหรือเคล็ดลับในการเข้าถึงแคตตาล็อกทั่วโลกจาก AD Explorer? หรือมีเครื่องมือดีๆอื่น ๆ เช่น AD Explorer ที่ไม่มีปัญหาใด ๆ ในการเข้าถึงแคตตาล็อกทั่วโลก?

11 active-directory  windows 

ฉันกำลังพยายามให้สิทธิ์ 'send-as' แก่ผู้ใช้รายหนึ่งใน Exchange 2010 นี่คือคำสั่ง Powershell ที่ฉันใช้: Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As" Powershell ส่งคืนข้อผิดพลาดนี้: การดำเนินการของ Active Directory ล้มเหลวใน DC.OurDomain.pri ข้อผิดพลาดนี้ไม่สามารถเรียกคืนได้ ข้อมูลเพิ่มเติม: การเข้าถึงถูกปฏิเสธ การตอบสนองของไดเรกทอรีที่ใช้งานอยู่: 00000005: SecErr: DSID-031521D0 ปัญหา 4003 (INSUFF_ACCESS_RIGHTS) ข้อมูล 0 + CategoryInfo: WriteError: (0: Int32) [Add-ADPermission], ADOperationException AddADPermission ฉันได้ลองหลายทางเลือกสำหรับคำสั่ง Powershell - เช่น ใช้ -Identity เป็นต้น แต่นั่นและตัวช่วยสร้าง …

11 active-directory  exchange  powershell  exchange-2010 

ฉันกำลังใช้ ADSI Edit เพื่อดูคุณสมบัติ LDAP ของบัญชีผู้ใช้เดียวในโฆษณา ฉันเห็นคุณสมบัติเช่น userPrincipalName แต่ฉันไม่เห็นชื่อโดเมนแบบเต็ม (FQDN) หรือชื่อโดเมน netbios เราจะตั้งค่า Global Catalog (GC) เพื่อให้เราสามารถเข้าถึง LDAP สำหรับหลายโดเมนและผ่านการกำหนดค่าในแอปพลิเคชันที่เราจับคู่คุณสมบัติ LDAP กับคุณสมบัติโปรไฟล์ผู้ใช้ภายในแอปพลิเคชัน ด้วยโฆษณาทั่วไปชื่อโดเมน FQDN และ netbios จะเหมือนกันสำหรับผู้ใช้ทั้งหมด แต่ด้วย GC ที่เกี่ยวข้องเราต้องการข้อมูลเพิ่มเติมนี้ เราต้องการชื่อโดเมน netbios เท่านั้น (FQDN ไม่ดีพอ) อาจมีแบบสอบถาม LDAP ที่สามารถทำได้เพื่อขอข้อมูลนี้จากวัตถุระดับบนสุดใน AD หรือไม่

11 active-directory  ldap  domain-controller 

นี่คือพื้นหลังเกี่ยวกับสถานการณ์ของเรา ... ตอนนี้เราติดตั้งเป็น บริษัท สามแห่งที่มีระบบ Active Directory และ Exchange ที่สมบูรณ์สามระบบ สามสำนักงาน (หนึ่งในสหรัฐอเมริกาสองแห่งในยุโรป) เชื่อมต่อผ่านการตั้งค่า VPN สามทาง (ดังนั้นแต่ละสำนักงานมีการสื่อสารที่ปลอดภัยกับอีกสองสำนักงาน) มีการตั้งค่าความสัมพันธ์แบบเชื่อถือได้แบบสองทิศทางใน Active Directory สำหรับแต่ละการตั้งค่า ระบบทั้งหมดกำลังเรียกใช้ Server 2003 และ Exchange 2003 มีกล่องจดหมายประมาณ 160 รายการระหว่าง บริษัท และผู้ใช้ 80 ราย (กล่องจดหมายเพิ่มเติมนั้นอาจเป็นระบบย่อยด้านไอทีบัญชีส่งต่อหรือการใช้งานอื่น ๆ ) บริษัท ต่าง ๆ กำลังรวมตัวกันอย่างเป็นทางการ (แทนที่จะแค่มีความสัมพันธ์ที่ไว้ใจได้) ดังนั้นเราจึงมองหาโซลูชันที่ผสมผสานกัน (โดยใช้ชื่อใหม่) ซึ่งแต่ละสำนักงานจะอยู่ในระบบเดียวกัน (Exchange และ Active Directory) รวมถึงการรวมโครงสร้างพื้นฐานไอทีของเรา (มีการทำซ้ำจำนวนมาก) …

11 active-directory  exchange  migration 

ฉันต้องการสร้างบัญชีที่จะทำสิ่งต่อไปนี้: เข้าร่วมคอมพิวเตอร์กับโดเมน (ไม่ จำกัด เพียง 10 รายการเช่นผู้ใช้ทั่วไป) ตรวจสอบบัญชีคอมพิวเตอร์ใน AD ลบคอมพิวเตอร์จาก AD ย้ายคอมพิวเตอร์ระหว่าง OU ฉันไม่ต้องการอนุญาตให้ทำสิ่งอื่นดังนั้นไม่ต้องการบัญชีผู้ดูแลโดเมน ใครสามารถแนะนำฉันในทิศทางที่ถูกต้องในแง่ของการอนุญาตหรือไม่ ไม่แน่ใจว่าฉันควรจะใช้การมอบหมายของตัวช่วยสร้างการควบคุมหรือไม่? ไชโย เบน

11 security  active-directory  permissions 

ฉันมีแล็ปท็อปเครื่องใหม่ที่ฉันตั้งใจจะใช้ทั้งที่บ้านและที่ทำงาน ฉันบังเอิญมีการติดตั้งเซิร์ฟเวอร์ windows พร้อม Active Directory ที่บ้านและฉันต้องการเข้าร่วมแล็ปท็อปกับทั้งสองโดเมน เป็นไปได้ไหม ผลลัพธ์:ฉันตัดสินใจที่จะเข้าร่วมกับโดเมนงาน ฉันต้องเข้าสู่ระบบ windows โดยใช้บัญชีของฉันในบางครั้งในขณะที่เครือข่ายในบ้านนั้นง่ายกว่ามาก (ส่วนใหญ่เป็นเพียงไฟล์ / การพิมพ์ร่วมกัน ฉันคิดว่าฉันสามารถจัดการที่บ้านได้โดยการตรวจสอบทรัพยากรที่ต้องการด้วยตนเองและอาจเขียนสคริปต์บางส่วน

11 active-directory 

ฉันเป็นโปรแกรมเมอร์ติดพยายามจัดการการตั้งค่า Active Directory สำหรับ บริษัท ขนาดเล็ก ตัวควบคุมโดเมนกำลังเรียกใช้ Windows Small Business Server 2008 เรามีพนักงานภาคสนามที่ใช้แท็บเล็ตพีซี ปัญหาการกำหนดค่าด้วย Bloatware ของ ThinkVantage ของแท็บเล็ตจะกำหนดให้ผู้ใช้เหล่านี้มีสิทธิ์ของผู้ดูแลระบบเมื่อใช้แท็บเล็ต ไม่เป็นไร - มันมีประโยชน์สำหรับพวกเขาที่จะได้รับสิทธิพิเศษเมื่อฉันเดินพวกเขาผ่านการแก้ไขทางโทรศัพท์ดังนั้นฉันไม่ได้มองหาวิธีแก้ไขที่นั่น ฉันต้องการใช้นโยบายกลุ่มเพื่อตั้งค่าสถานการณ์ต่อไปนี้: ผู้ใช้ในกลุ่มความปลอดภัย (หรือหน่วยองค์กร) ควรอยู่ในกลุ่ม BUILTIN / Administrators เมื่อเข้าสู่ระบบคอมพิวเตอร์ในกลุ่มความปลอดภัย (หรือหน่วยองค์กร) ไม่เป็นไรถ้าคอมพิวเตอร์ต้องอยู่ใน OU แต่ฉันต้องการกำหนดผู้ใช้เป็นกลุ่ม แน่นอนพนักงานภาคสนามไม่ควรเป็นผู้ดูแลระบบในเวิร์คสเตชั่นอื่น ๆ และพนักงานออฟฟิศวานิลลาไม่ควรเป็นผู้ดูแลระบบบนแท็บเล็ต ขณะนี้มีการจัดการภายในแท็บเล็ตแต่ละเครื่อง แต่เมื่อเราเพิ่มการจ้างงานใหม่ ฉันรู้สึกว่ากลุ่มที่ถูก จำกัด คือคำตอบที่นี่ แต่หากไม่มีเหตุผลที่ชัดเจนในแนวคิดและวิธีการโฆษณาฉันมีช่วงเวลาที่ยากลำบากในการทำให้เกิดขึ้น เทคนิคที่เหมาะสมสำหรับงานนี้คืออะไรและฉันจะนำไปใช้อย่างไร

11 security  active-directory  permissions  group-policy 

ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ฉันกำลังมองหาทางเลือกโอเพนซอร์ซที่ดีสำหรับ Active Directory ที่สามารถจัดการได้: / การตรวจสอบการอนุมัติ นโยบายกลุ่ม การจำลองแบบและการตรวจสอบความน่าเชื่อถือ นอกจากนี้ยังมีระบบรวมใดบ้างที่จัดการความรับผิดชอบเหล่านี้หรือไม่? แก้ไข:เนื่องจากมีคนถามรายละเอียดเพิ่มเติมมากมายฉันจึงพยายามเสนอบริการการตั้งค่าโครงสร้างพื้นฐานสำหรับองค์กรการตั้งค่าฮาร์ดแวร์ / ซอฟต์แวร์ตอนนี้ฉันกำลังดู Linux stack ทั้งเดสก์ท็อปและเซิร์ฟเวอร์ เป็นไปได้และฉันกำลังตรวจสอบทางเลือก

11 linux  active-directory  group-policy  user-management  open-source