คำถามติดแท็ก active-directory

มีใครประสบความสำเร็จในการใช้ Firefox 3 ในโดเมน Windows หรือไม่ โดย "สำเร็จ" ฉันหมายถึงการปรับใช้ผ่าน AD การกำหนดค่าผ่าน GPO (โดยเฉพาะอย่างยิ่งการตั้งค่าเครือข่ายอัตโนมัติ -ntlm-auth.trusted-uris) ปลั๊กอินเริ่มต้นและการจัดการอัปเดต ฉันตระหนักถึงFrontMotionและ Firefox ADM ดูเหมือนว่าตัวติดตั้ง FrontMotion MSI และเทมเพลตการจัดการจะแก้ปัญหาส่วนใหญ่ได้ ฉันไม่แน่ใจว่าการอัปเดตจะทำงานอย่างไร ... โดยไม่ต้องอัปเดต MSI ด้วยตนเอง ฉันยังรู้สึกว่าการใช้แพคเกจของบุคคลที่สามเล็กน้อยสำหรับเรื่องนี้ ฉันไม่กังวลอย่างมากว่า FrontMotion บรรจุข้อมูลใด ๆ ที่ซุกซนไว้ในการแจกจ่าย แต่ฉันไม่ชอบที่จะต้องพึ่งพาพวกเขาเพราะต้องทันเวลาด้วยการอัปเดตที่สำคัญและอื่น ๆ คุณเคยแทนที่ IE ด้วย Firefox ในองค์กรของคุณหรือไม่ การจัดการของคุณนั้นเทียบเท่ากับการจัดการ IE บนเดสก์ท็อปของคุณหรือไม่?

11 active-directory  firefox 

ภายในการตั้งค่าโฆษณาของเรามีกลุ่มความปลอดภัยจำนวนมาก แต่มีเพียงกลุ่มการแจกจ่าย 1 กลุ่มเท่านั้น (ที่ผู้ดูแลระบบคนก่อนหน้าสร้างขึ้น) กลุ่มทั้งสองประเภทมีรายการของวัตถุโดเมน (ผู้ใช้ในกลุ่มที่ฉันดูอยู่) ความแตกต่างระหว่างกลุ่มความปลอดภัยและกลุ่มการแจกจ่ายคืออะไร

11 windows-server-2003  active-directory  groups 

ฉันสังเกตเห็นสองตัวเลือกสำหรับการปรับใช้เครื่องพิมพ์ผ่านนโยบายกลุ่ม: สร้างและเชื่อมโยงนโยบายกลุ่มในการจัดการ GP เพิ่มเครื่องพิมพ์ผ่านการกำหนดค่าผู้ใช้> ค่ากำหนด> การตั้งค่าแผงควบคุม> เครื่องพิมพ์ ไปที่การจัดการการพิมพ์ mmc คลิกขวาที่เครื่องพิมพ์ที่ใช้ร่วมกันและเลือกปรับใช้กับนโยบายกลุ่ม จากนั้นเลือกชื่อ GPO ที่คุณต้องการใช้ เป็นที่ต้องการหรือแนะนำเหล่านี้อย่างใดอย่างหนึ่ง? ดูเหมือนว่าพวกเขาจะทำงานแตกต่างกันเล็กน้อย ... ขณะนี้ฉันใช้ตัวเลือกที่สองเพื่อปรับใช้เครื่องพิมพ์ แต่ฉันไม่สามารถเข้าสู่ GPO ที่ฉันปรับใช้พวกเขาและแก้ไขได้ (ว่างเปล่า)

11 active-directory  group-policy 

ฉันกำลังจัดเก็บคีย์ส่วนตัว (แฮ) ในแอตทริบิวต์ OctetString ใด ๆ ภายใน Active Directory คำถามของฉันคือคุณลักษณะใดที่ปลอดภัยเป็นค่าเริ่มต้นและเหมาะสมที่จะเก็บข้อมูลส่วนตัวไว้ที่นั่น ค่านี้ควรพิจารณาคล้ายกับรหัสผ่านซึ่งแม้แต่ผู้ดูแลระบบก็ไม่ควรเข้าถึง (ถ้าเป็นไปได้) เช่นเดียวกับรหัสผ่านโฆษณาปัจจุบัน นี่คือจุดเริ่มต้นของรายการแอตทริบิวต์ที่เปิดใช้งานโดยค่าเริ่มต้นในโดเมน Windows 2008R2 + Exchange 2010 ปรับปรุง: มีใครรู้บ้างเกี่ยวกับแอตทริบิวต์สตริงของอ็อตเต็ทต์ที่ไม่เปิดเผยการอนุญาต "อ่าน" แก่ผู้ใช้ทั้งหมดในโดเมนโดยค่าเริ่มต้น ฉันไม่ต้องการจัดเก็บแฮชของฉันต่อสาธารณะและอนุญาตให้บางคนสร้างตารางสายรุ้งตามแฮช

11 security  active-directory  schema 

จุดประสงค์ในการสร้างวัตถุคอมพิวเตอร์ใน Active Directory คืออะไรเมื่อคุณยังต้องเชื่อมต่อคอมพิวเตอร์เข้ากับโดเมนซึ่งจะสร้างวัตถุต่อไป

11 active-directory 

คำถามนี้เป็นการสนทนาเกี่ยวกับว่า Active Directory จำเป็นต้องเรียกใช้บริการเทอร์มินัลหรือไม่ แต่ห่วงโซ่ของคำตอบและความคิดเห็น (ส่วนใหญ่โดยฉัน) นำคำถามที่เกี่ยวข้องรอบตัวควบคุมโดเมน เห็นได้ชัดว่าแนวทางปฏิบัติที่แย่คือมี Domain Controller เพียงหนึ่งตัวในสภาพแวดล้อมโฆษณา นอกจากนี้ยังเป็นแนวปฏิบัติที่ดีที่สุดที่ชัดเจนว่าให้แต่ละตัวควบคุมโดเมนบนเซิร์ฟเวอร์ฟังก์ชั่นเดี่ยว (ทางกายภาพหรือเสมือน) แยกต่างหาก อย่างไรก็ตามไม่ใช่ทุกคนที่สามารถปฏิบัติตามแนวปฏิบัติที่ดีที่สุดได้ตลอดเวลา ตกลงใช้เซิร์ฟเวอร์ที่เติมบทบาทอื่นเป็นตัวควบคุมโดเมนหรือไม่ สิ่งที่ควรพิจารณาในการพิจารณาว่าจะ "เซิร์ฟเวอร์แบบสองจุดประสงค์" หรือไม่ บทบาทตัวควบคุมโดเมนเปลี่ยนวิธีการที่ Windows ใช้งานระบบไฟล์หรือบนฮาร์ดแวร์หรือไม่ Windows Server มีความแตกต่างกันหรือไม่?

11 active-directory 

บางทีชื่อของฉันอาจไม่ถูกต้อง แต่ฉันไม่รู้วิธีอื่นในการตั้งชื่อ ณ จุดนี้ หากฉันเข้าสู่เครื่อง Windows 10 ด้วยบัญชี AD Domain Admin หลักฉันจะได้รับข้อความแสดงข้อผิดพลาดเมื่อเข้าสู่แอพการตั้งค่าภาษา (Windows ของฉันเป็นภาษาอื่นดังนั้นนี่ไม่ใช่สตริงที่แท้จริงในภาษาอังกฤษ แต่เป็นเพียงการแปลของฉัน :) c:\windows\system32\SystemSettingsAdminFlows.exe Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item. ดูเหมือนว่าฉันสามารถทำการเปลี่ยนแปลงได้ดีพวกเขายังได้รับการบันทึกฉันต้องคลิกข้อความแสดงข้อผิดพลาดต่อไปอย่างน้อย 5-6 ครั้ง ปัญหานี้ไม่ปรากฏขึ้นเมื่อฉันเข้าสู่ระบบด้วยบัญชีผู้ดูแลระบบในเครื่องเดียวกัน ฉันตรวจสอบกลุ่มผู้ดูแลระบบในท้องถิ่นแล้ว AD Domain Admin เป็นส่วนหนึ่ง และฉันสามารถทำทุกอย่างได้มากจริงๆ ฉันไม่สามารถให้คำถามที่ดีที่นี่ฉันแค่อยากจะเข้าใจสิ่งที่เกิดขึ้นและถ้าฉันพลาดบางสิ่งในการกำหนดค่า ปรับปรุง: C:\Users\Administrator>icacls …

11 active-directory  samba4  windows-10 

ฉัน googled แต่ไม่สามารถหาข้อ จำกัด ที่เหมาะสมในชื่อผู้ใช้ในการตั้งค่าไดเรกทอรีที่ใช้งานอยู่ โปรดช่วยฉันในการบอกสิ่งที่เป็นถ่านพิเศษที่ไม่ได้รับอนุญาตในการตั้งค่าชื่อผู้ใช้ Active Directory อนุญาตให้ใช้เครื่องหมายคำพูดเดี่ยว (') ได้หรือไม่

11 windows  networking  active-directory 

ตามเอกสารบางส่วนที่ฉันได้อ่านบัญชีบริการสำหรับเซิร์ฟเวอร์ SQL จะสร้าง SPN เมื่อเอ็นจิ้นฐานข้อมูลเริ่มต้นขึ้นเพื่อให้สามารถตรวจสอบสิทธิ์ Kerberos ได้ ฉันไม่สามารถค้นหาเอกสารใด ๆ ที่ระบุว่าต้องได้รับอนุญาตจากบัญชีใดเพื่อสร้าง SPN ดังนั้นบัญชีใดที่จำเป็นต้องมีสิทธิ์ (ยกเว้นผู้ดูแลระบบโดเมนหากเป็นไปได้) เพื่อสร้าง SPN

11 active-directory  permissions  kerberos  spn 

เหตุใดผู้ใช้จึงถูกสร้างขึ้นบนตัวควบคุมโดเมนจึงเป็นส่วนหนึ่งของโดเมนเสมอ เมื่อฉันต้องการสร้างผู้ใช้ท้องถิ่นบนตัวควบคุมโดเมนnet user <username> <password> /addฉันพบว่าผู้ใช้ถูกรวมไว้ในDomain Usersกลุ่มโดยอัตโนมัติ ฉันต้องการสร้างบัญชีผู้ดูแลระบบภายในตัวควบคุมโดเมนไม่ใช่ส่วนหนึ่งของโดเมนที่สามารถเข้าสู่ตัวควบคุมโดเมนแบบโต้ตอบและดำเนินงานด้านการดูแลระบบ เป็นไปได้ไหม

10 windows  active-directory 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน3 ปีที่ผ่านมา เมื่อพยายามสร้างรหัสผ่านที่ยาวเกิน 16 ตัวอักษรบนเซิร์ฟเวอร์ Windows 2012 ของฉันมันจะถูกปฏิเสธเนื่องจากรหัสผ่านยาว ฉันลองค้นหา GPO ชื่อ "ความยาวสูงสุดของรหัสผ่าน" - ซึ่งหาไม่พบ ปัญหาอาจอยู่ใน: PwdFilt หรือ PCNSFLT สกรีนช็อตของ regedit ที่ฉันมองด้วย 1 ปัญหาคือเราต้องการรหัสผ่าน 36 อักขระบนเซิร์ฟเวอร์ SQL 2014 ที่เรากำลังติดตั้งเพื่อทำการเข้ารหัส ข้อเสนอแนะใด ๆ

10 windows  active-directory  group-policy  sql  password 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน3 ปีที่ผ่านมา ฉันทำงานที่ บริษัท ที่ให้การสนับสนุนด้านไอทีแก่ลูกค้าธุรกิจขนาดเล็ก หนึ่งในภารกิจของฉันคือทำการตรวจสอบบริการซึ่งรวมถึงการตรวจสอบตัวแสดงเหตุการณ์เพื่อดูข้อผิดพลาด / คำเตือนที่สำคัญรวมถึงคอนโซลการจัดการ DHCP และ DNS ตัวแสดงเหตุการณ์สำหรับเวิร์กสเตชันของลูกค้าจะได้รับการตรวจสอบด้วย แต่ก็ไม่ได้เป็นประจำ มีวิธีแก้ไขปัญหาที่มีอยู่ซึ่งสามารถรวมศูนย์การดูบันทึกเหล่านี้ทั้งหมดเพื่อไม่ให้ฉันต้องเข้าถึงเซิร์ฟเวอร์แต่ละเครื่องจากระยะไกลและทำสิ่งเดียวกันซ้ำไปซ้ำมาสำหรับลูกค้าแต่ละคนหรือไม่ ลูกค้าแต่ละรายมีเซิร์ฟเวอร์ Windows บางรุ่น - ตั้งแต่ 2003 ถึง 2012 R2

10 windows-server-2008  active-directory  windows-server-2003  windows-server-2012-r2  system-monitoring 

ฉันได้อ่านแล้วว่าไม่เป็นไรที่จะใช้. local ในโดเมนโดยเฉพาะกับเซิร์ฟเวอร์ Microsoft Windows ฉันได้อ่านบทความการตั้งชื่อแนวทางปฏิบัติที่ดีที่สุดของWindows Active Directoryบน ServerFaultซึ่งเป็นประโยชน์ แต่ไม่ได้ตอบคำถามของฉันเกี่ยวกับ "ท้องถิ่น" อย่างสมบูรณ์ฉันคิดว่ามันเป็นคำหลักที่สงวนไว้และจะนำเสนอปัญหา ฉันเป็นเจ้าของโดเมนkeiboom.comและการตั้งค่าโดเมนของ Active Directory local.keiboom.comของฉันเป็น สิ่งนี้สามารถสร้างปัญหาได้หรือไม่?

10 domain-name-system  active-directory  windows-server-2012  subdomain 

Windows Server 2016 รองรับนโยบาย DNSซึ่งให้การสนับสนุน DNS แบบแยกส่วนในสถานการณ์อื่น ๆ : คุณสามารถกำหนดค่านโยบาย DNS เพื่อระบุวิธีที่เซิร์ฟเวอร์ DNS ตอบสนองต่อการสอบถาม DNS การตอบสนอง DNS สามารถขึ้นอยู่กับที่อยู่ IP ของลูกค้า (ที่ตั้ง) เวลาของวันและพารามิเตอร์อื่น ๆ นโยบาย DNS เปิดใช้งาน DNS ที่ทราบตำแหน่งการจัดการปริมาณข้อมูลภาระสมดุล DNS แบบแยกส่วนสมองและสถานการณ์อื่น ๆ ฉันได้อ่านหน้าภาพรวมนโยบาย DNS แล้วแต่ฉันไม่สามารถหาเอกสารได้ทุกที่เกี่ยวกับวิธีการทำงานของโซนรวม AD เมื่อ DCs ทั้งหมดไม่ใช่เซิร์ฟเวอร์ 2016 ฉันไม่สามารถจินตนาการได้ว่ามันจะทำงานได้ดีเพราะเซิร์ฟเวอร์ระดับล่างไม่รู้วิธีตีความนโยบายและดำเนินการตามนั้น แต่เนื่องจากข้อมูลถูกจำลองในโฆษณาฉันสามารถคาดการณ์สถานการณ์ที่ DCs รุ่นก่อนไม่สนใจคุณลักษณะใหม่และตอบสนอง ในบางวิธี "เริ่มต้น" (ไม่มีนโยบายที่ใช้) ในขณะที่ DC ใหม่จะตอบสนองตามนโยบาย ฉันคิดว่ามันจะโอเคในบางสถานการณ์ที่คุณสามารถ …

10 domain-name-system  active-directory  windows-server-2016  split-dns  dns-policies 

เรามีการติดตั้ง IDAM ที่ซับซ้อนเล็กน้อย: นั่นคือเครื่องของผู้ใช้และเบราว์เซอร์อยู่ในเครือข่ายเดียวโดยมีโฆษณาหลักและแอพพลิเคชั่นที่ใช้ Jetty ของเราและโฆษณาที่สามารถพูดคุยกับ (โฆษณาท้องถิ่น) นั่งอยู่ในอีกเครือข่ายหนึ่ง มีความน่าเชื่อถือแบบสองทางระหว่างสองโฆษณา เบราว์เซอร์ในเครือข่ายหลักมีโดเมนท้องถิ่นในเว็บไซต์ที่เชื่อถือได้ การตั้งค่าเซิร์ฟเวอร์ Jetty มีดังนี้: มันใช้ไฟล์ตารางคีย์ที่สร้างขึ้นกับเงินต้นในโฆษณาท้องถิ่น มันกำลังทำงานเป็นบริการของ Windows ภายใต้ผู้ใช้ที่กำหนดไว้ในโฆษณาท้องถิ่น realm, domain-realm mapping และ kdc นั้นถูกกำหนดกับโดเมนของ local AD มันใช้ spnego - isInitiator ถูกตั้งค่าเป็นเท็จ doNotPrompt เป็นจริง storeKey เป็นจริง ปัญหาคือ: เป็นแบบทดสอบการเข้าถึงเซิร์ฟเวอร์จากเบราว์เซอร์ที่อยู่ภายในเครือข่ายท้องถิ่น (เชื่อมโยงเช่นการโฆษณาในท้องถิ่นบริการ) ทำงาน - ข้อมูลการแก้ปัญหาของ Kerberos ปรากฏในบันทึกที่ฉันสามารถมองเห็นที่ถูกต้อง Kerberos การเจรจาต่อรองในการเข้าชมของ HTTP และผู้ใช้มีการลงนามโดยอัตโนมัติ . สุกใส อย่างไรก็ตามการเข้าถึงเซิร์ฟเวอร์จากเบราว์เซอร์ภายในเครือข่ายหลัก (ซึ่งเป็นวิธีที่ผู้ใช้ของเราจะทำสิ่งต่าง …

10 active-directory  kerberos  jetty  spnego