คำถามติดแท็ก active-directory

ตอนนี้ฉันกำลังเขียนโมดูลหุ่นเชิดเพื่อให้กระบวนการเข้าร่วมเซิร์ฟเวอร์ RHEL เป็นโดเมน AD โดยอัตโนมัติด้วยการสนับสนุน Kerberos ปัจจุบันฉันมีปัญหาในการรับและแคช Kerberos การให้สิทธิ์จำหน่ายตั๋วkinitอัตโนมัติ หากสิ่งนี้จะต้องทำด้วยตนเองฉันจะทำ: kinit aduser@REALM.COM สิ่งนี้จะขอรหัสผ่านผู้ใช้ AD ดังนั้นจึงมีปัญหากับการทำเช่นนี้โดยอัตโนมัติ ฉันจะทำให้สิ่งนี้เป็นแบบอัตโนมัติได้อย่างไร ฉันพบบางโพสต์ที่กล่าวถึงการใช้kadminเพื่อสร้างฐานข้อมูลด้วยรหัสผ่านผู้ใช้ AD ในนั้น แต่ฉันไม่มีโชค

10 linux  active-directory  authentication  kerberos 

ฉันจะค้นหาบัญชีคอมพิวเตอร์ทั้งหมดในโดเมน Active Directory ที่ไม่ได้ใช้งานเป็นเวลา x วันโดยใช้ PowerShell ได้อย่างไร โปรดทราบว่าฉันรู้จริงวิธีการทำเช่นนี้ นี่เป็นคำถามที่ตอบตัวเองเพียงเพื่อให้ได้ความรู้ที่นั่น หากใครมีวิธีที่ดีกว่าอย่าลังเลที่จะโพสต์มัน!

10 active-directory  powershell 

ฉันมีตัวควบคุมโดเมนแบบสแตนด์อโลนของ Windows 2008 R2 ที่ฉันกู้คืนจากการสำรองข้อมูล DC ดั้งเดิมออฟไลน์ เมื่อฉันเข้าสู่ระบบด้วยข้อมูลประจำตัวของผู้ใช้ที่ถูกต้องฉันได้รับข้อผิดพลาด: "ฐานข้อมูลความปลอดภัยบนเซิร์ฟเวอร์ไม่มีบัญชีคอมพิวเตอร์สำหรับความสัมพันธ์ที่เชื่อถือกับเวิร์กสเตชันนี้" ฉันจะเข้าสู่ตัวควบคุมโดเมนและแก้ไขสิ่งที่เสียหายได้อย่างไร นี่เป็น DC เดียวในป่า สำหรับสิ่งที่คุ้มค่าฉันกำลังโฮสต์เซิร์ฟเวอร์นี้ที่ Rackspace ดังนั้นตัวเลือกทางกายภาพของฉันจึงมี จำกัด

10 active-directory  windows-server-2008-r2  kerberos 

ฉันใช้ windows server 2008 ฉันมีโดเมนที่มีหนึ่งโดเมนคอนโทรลเลอร์ (นี่คือสภาพแวดล้อมแบบ dev) ฉันแก้ไข AD schema และสร้างแอตทริบิวต์ที่กำหนดเองชื่อ TestAttribute2 (ชื่อ LDAP คือ testAttribute2) ด้วยไวยากรณ์ของสตริงตัวเลขค่าเดียวโดยไม่มีค่าต่ำสุดหรือสูงสุด OID ของแอตทริบิวต์คือ 1.3.6.1.4.1.39668.21769.1.1.1 ฉันยังสร้างแอตทริบิวต์การทดสอบอื่นด้วย OID ที่ออกโดย Microsoft ที่ 1.2.840.113556.1.8000.2554.37861.10620.51629.17372.38569.15288078.14709744.1.2 แอ็ตทริบิวต์นี้ไม่ได้ทำดัชนีใช้งานไม่ได้ถูกจำลองแบบไปยัง GC ไม่ถูกคัดลอกเมื่อทำซ้ำและไม่ได้ทำดัชนีสำหรับการค้นหาแบบคอนเทนเนอร์ ฉันเพิ่มคุณสมบัตินี้ไปยังคลาสบุคคลแล้ว เมื่อใดก็ตามที่ฉันพยายามตั้งค่าแอตทริบิวต์แบบกำหนดเองเหล่านั้นโดยใช้ฟังก์ชันตัวแก้ไขแอตทริบิวต์ของผู้ใช้ AD และคอมพิวเตอร์ MMC หรือแก้ไข ADSI, MMC ขัดข้องและแอตทริบิวต์ยังคงไม่ได้ตั้งค่า อย่างไรก็ตามแอตทริบิวต์ที่กำหนดเองอื่น ๆ ที่มี OID ที่คล้ายกัน แต่มีไวยากรณ์อื่น ๆ (สตริง CI และสตริง Unicode) สามารถตั้งค่าได้โดยไม่มีข้อผิดพลาด …

10 windows-server-2008  active-directory  schema 

ฉันมีไดเรกทอรี AD / Linux / LDAP / KRB5 ที่ใช้งานได้และการตั้งค่าการรับรองความถูกต้องมีปัญหาเล็กน้อย เมื่อบัญชีถูกปิดใช้งานการรับรองความถูกต้อง publickey SSH ยังคงอนุญาตให้เข้าสู่ระบบของผู้ใช้ เป็นที่ชัดเจนว่าลูกค้า kerberos สามารถระบุบัญชีที่ถูกปิดใช้งานเนื่องจาก kinit และ kpasswd ส่งคืน "ข้อมูลประจำตัวของลูกค้าถูกเพิกถอน" โดยไม่มีรหัสผ่าน / การโต้ตอบเพิ่มเติม PAM สามารถกำหนดค่า (ด้วย "UsePAM ใช่" ใน sshd_config) เพื่อไม่อนุญาตให้ลงชื่อเข้าใช้สำหรับบัญชีที่ถูกปิดการใช้งานซึ่งการรับรองความถูกต้องจะทำโดย publickey? ดูเหมือนจะใช้งานไม่ได้: account [default=bad success=ok user_unknown=ignore] pam_krb5.so กรุณาอย่าแนะนำ winbind ในคำตอบของคุณ - เราไม่ได้ใช้มัน

10 linux  active-directory  kerberos  pam 

เรามีบริการในเครือข่ายแยก บริการเหล่านี้จำเป็นต้องพิสูจน์ตัวตนผู้ใช้กับเซิร์ฟเวอร์ Active Directory อย่างไรก็ตามเซิร์ฟเวอร์ Active Directory ไม่สามารถใช้งานได้โดยตรงดังนั้นฉันต้องตั้งค่าพร็อกซี LDAP ในเครือข่ายแยก จากนั้นพร็อกซี LDAP จะสามารถเข้าถึงโฆษณาได้ หมายเหตุว่าการเข้าถึงจะต้องได้รับการอ่านอย่างเดียวและพร็อกซี่นี้จะมีการเข้าถึงเพียงหนึ่งเซิร์ฟเวอร์โฆษณา เป็นไปได้ / เป็นไปได้? คำว่า "proxy" เป็นคำที่ดีหรือไม่ จำเป็นต้องใช้เซิร์ฟเวอร์ Microsoft AD หรือ OpenLDAP จะทำงานได้ดีหรือไม่? ฉันมีความรู้เล็กน้อยเกี่ยวกับ AD / LDAP, ช่วงการเรียนรู้เป็นอย่างไร? คำแนะนำเล็กน้อยที่จะเริ่ม? ขอบคุณ

10 active-directory  authentication  openldap 

ฉันพยายามตรวจสอบว่าเป็นไปได้หรือไม่ที่จะมีตัวควบคุมโดเมน Active Directory สองตัวที่ทำงานอยู่ในเครือข่ายเดียวกันภายในเครือข่ายย่อยเดียวกันโดยมีสองโดเมนแยกกัน ฉันไม่ต้องการให้ตัวควบคุมโดเมนทั้งสองเชื่อมโยงกัน (บัญชี ฯลฯ ) ยกเว้นสวิตช์ที่ฉันเชื่อมต่ออยู่ ข้อกังวลปัจจุบันของฉันเกี่ยวกับ DNS - เท่าที่ฉันกังวลนี่เป็นปัญหาหลัก เนื่องจากฉันมีเซิร์ฟเวอร์ DHCP หนึ่งเซิร์ฟเวอร์ที่จัดการเครือข่ายทั้งหมดฉันจึงต้องการมีที่อยู่ IP ของเซิร์ฟเวอร์ DNS หนึ่งชุดที่แจกให้กับลูกค้าทั้งหมด อย่างไรก็ตามเซิร์ฟเวอร์ DNS ของ DomainA จะไม่สามารถตอบแบบสอบถามสำหรับ DomainB และอื่น ๆ ได้ ฉันคิดว่าสิ่งนี้สามารถแก้ไขได้ผ่านตัวส่งต่อ - IE ฉันสามารถตั้งค่าที่อยู่ IP ของเซิร์ฟเวอร์ DNS ทั้งสองในการกำหนดค่า DHCP ของฉันแล้วแจ้งให้ DomainA ส่งต่อคำขอสำหรับ * .DomainB ไปยัง DNS ของ DomainB และในทางกลับกัน ฉันยังสามารถใช้การรวมเดี่ยวซึ่งส่งต่อการร้องขอไปยังเซิร์ฟเวอร์แต่ละรายการได้อย่างถูกต้อง อย่างไรก็ตามฉันไม่ทราบว่าจะใช้งานได้หรือไม่ถ้ามีตัวเลือกที่ดีกว่า …

10 windows-server-2008  active-directory  domain-controller  internal-dns 

ฉันกำลังอ่าน Learning Exchange Server 2003 โดย Boswell และมีส่วนหนึ่งที่ระบุว่าบัญชีที่ถูกปิดใช้งานในโฆษณาไม่สามารถรับอีเมลได้และจะถูกตีกลับ ในปัจจุบันสิ่งที่มักเกิดขึ้นเมื่อมีคนออกจาก บริษัท ของเราคือบัญชีถูกปิดใช้งานย้ายไปที่เก็บ OU และอีเมลจะถูกส่งต่อไปยังแท็บ Exchange General ให้กับบุคคลอื่น ดูเหมือนว่าจะได้รับการทำงานตลอดเวลานี้ แต่ฉันสงสัยว่าทำไมหนังสือจะพูดเป็นอย่างอื่น ... เรากำลังใช้เซิร์ฟเวอร์ Exchange 2003 SP2 เดียว บัญชีผู้ใช้ที่ถูกปิดใช้งานจะหยุดรับอีเมลภายใต้สถานการณ์ใด

10 active-directory  exchange-2003  user-accounts  mailbox 

ฉันได้รับความรับผิดชอบด้านไอทีทั้งหมดสำหรับ บริษัท ที่ใช้ Active Directory (ระดับเนทีฟระดับ 2008 R2) และ Exchange 2010 ฉันพบว่าชื่อโดเมน Active Directory ภายในของพวกเขาเหมือนกับชื่อโดเมนอินเทอร์เน็ตภายนอกที่พวกเขาทำ ไม่ใช่เจ้าของ ฉันเข้าใจว่าการเปลี่ยนชื่อโดเมนกับ Exchange 2010 / server 2008 r2 นั้นเป็นไปไม่ได้เท่าที่ฉันได้อ่าน มีใครช่วยให้ฉันรู้ว่ามีตัวเลือกอื่นให้ฉันอีกบ้างไหม? พวกเขามีโครงสร้างพื้นฐานที่ค่อนข้างใหญ่ดังนั้นการย้ายไปที่ป่าใหม่จะเป็นงานใหญ่ที่ฉันต้องการหลีกเลี่ยงถ้าเป็นไปได้ ขอบคุณล่วงหน้าสำหรับความช่วยเหลือของคุณ.

10 windows-server-2008  exchange-2010  active-directory 

ฉันได้รับมอบหมายจากลูกค้าให้ออกแบบ Active Directory ที่ใช้งานได้สำหรับสถานการณ์ที่มีข้อกำหนดดังต่อไปนี้ (ง่ายกว่าพวกเขาแย่กว่านั้นมาก) มีซับเน็ตสำหรับระบบไคลเอ็นต์ มีซับเน็ตสำหรับระบบเซิร์ฟเวอร์ ทั้งสองเครือข่ายไม่ได้เชื่อมต่อ แต่ละเซิร์ฟเวอร์ควรมีการ์ดเครือข่ายสองใบหนึ่งใบในเครือข่ายเซิร์ฟเวอร์และอีกใบหนึ่งในเครือข่ายของลูกค้า การรับส่งข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์ควรไหลบนเครือข่ายของลูกค้าเท่านั้น การรับส่งข้อมูลระหว่างเซิร์ฟเวอร์ควรไหลบนเครือข่ายของเซิร์ฟเวอร์เท่านั้น สิ่งนี้ควรนำไปใช้กับตัวควบคุมโดเมนด้วย ไม่จำเป็นต้องพูดว่าสิ่งนี้ไม่ได้ผลดีกับวิธีการที่ Active Directory ใช้ DNS เพื่อค้นหาตัวควบคุมโดเมน แนวทางที่เป็นไปได้ใด ๆ จะนำไปสู่หนึ่งในสถานการณ์สมมติต่อไปนี้: DCs ลงทะเบียนที่อยู่ IP "ฝั่งไคลเอ็นต์" ใน DNS ของโดเมน ลูกค้าจะพูดคุยกับพวกเขาโดยใช้ที่อยู่นั้น แต่จะทำเซิร์ฟเวอร์และรับส่งข้อมูลการจำลองแบบโฆษณา DCs ลงทะเบียนที่อยู่ IP "ฝั่งเซิร์ฟเวอร์" ใน DNS ของโดเมน เซิร์ฟเวอร์จะพูดคุยกับพวกเขาโดยใช้ที่อยู่นั้นและปริมาณการใช้การจำลองแบบจะไหลในเครือข่ายนั้น แต่ลูกค้าจะไม่สามารถเข้าถึงพวกเขา DCs จะลงทะเบียนทั้งสองที่อยู่ IP ใน DNS ของโดเมน ไม่มีใครคาดเดาว่าระบบใดจะทำเพื่อเข้าถึงพวกเขา แน่นอนว่าข้อกำหนดเหล่านี้บ้าไปอย่างสิ้นเชิงและทุกคนไม่สามารถพึงพอใจได้ในเวลาเดียวกันเว้นแต่ใช้วิธีการแก้ปัญหาอย่างบ้าคลั่งเช่นการแยกบริการ DNS บนเครือข่ายสองเครือข่ายและสร้างระเบียน SRV …

10 networking  domain-name-system  active-directory  domain-controller 

เมื่อไม่นานมานี้ฉันใช้นโยบายโฆษณาเพื่อปรับใช้ซอฟต์แวร์สำเร็จรูปผ่านGPOในโดเมนขนาดเล็ก นี่ใช้งานได้ดี แต่ฉันไม่แน่ใจว่าขั้นตอนที่ถูกต้องสำหรับการอัพเกรดแพ็คเกจเป็นอย่างไร สมมติว่าผมได้ใช้งานครั้งแรกX , รุ่นผ่าน GPO ชื่อ " ติดตั้ง X " ผลงานทั้งหมดที่ดีและเวลากับรุ่นBจะถูกปล่อยออก (สมมติว่า. msi ของเวอร์ชันใหม่สามารถทำการอัปเกรดเวอร์ชันที่ติดตั้งไว้แล้ว) ฉันเชื่อว่าฉันมีตัวเลือกต่อไปนี้สำหรับการอัปเกรด: แทนที่. msi ต้นฉบับในจุดแจกจ่ายแล้วใช้ตัวแก้ไขนโยบายกลุ่ม (เปิด GPO " ติดตั้ง X ") ภายใต้การกำหนดค่าคอมพิวเตอร์ / การตั้งค่าซอฟต์แวร์ / การติดตั้งซอฟต์แวร์กำหนดงานให้กับ 'แอปพลิเคชัน Redeploy' ใช้ตัวแก้ไขนโยบายกลุ่มเพื่อสร้างแพคเกจใหม่ในการกำหนดค่าคอมพิวเตอร์ / การตั้งค่าซอฟต์แวร์ / การติดตั้งซอฟต์แวร์สำหรับเวอร์ชันใหม่และระบุว่าแพคเกจที่เก่ากว่าควรได้รับการอัพเกรดโดยอันนี้ (ในแท็บอัพเกรดเลือกแพ็คเกจสำหรับรุ่นa ; อัพเกรด) ใช้ตัวแก้ไขนโยบายกลุ่มเพื่อลบแพ็กเกจสำหรับเวอร์ชันa (พร้อมตัวเลือกถอนการติดตั้งทันที) และเพิ่มแพ็คเกจใหม่สำหรับเวอร์ชันb คำถาม: ข้อเสียของตัวเลือกที่ 1 คืออะไร? ตัวเลือกที่ 2 …

10 active-directory  group-policy  deployment 

ฉันเป็นผู้ดูแลระบบในร้าน Linux เราอยู่ในขั้นตอนเริ่มต้นของการรับโดเมน Windows ฉันมีคำถามคำศัพท์: ชื่อผู้ใช้มีWORKPAC \ JohnDoe ส่วนที่เป็นตัวหนาในชื่อผู้ใช้คืออะไร ชื่อโดเมนของโดเมน Windows เป็นworkpac.local ฉันใช้คำศัพท์ที่ถูกต้องสำหรับสิ่งนั้นหรือไม่?

10 windows-server-2008  windows-server-2003  active-directory 

ฉันเห็นเอกสารมากมายเกี่ยวกับวิธีรีเซ็ตรหัสผ่านของผู้ใช้โดยการเรียกใช้ net user <username> * /domain หรือในท้องถิ่น net user <username> <new_password> แต่ฉันไม่ใช่ผู้ดูแลโดเมนสำหรับโดเมนปัจจุบันดังนั้นฉันจึงไม่ได้รับอนุญาตให้เปลี่ยนรหัสผ่านทางnet user <my_username> * /domain(การเข้าถึงถูกปฏิเสธ) สิ่งที่ฉันสามารถทำ แต่คือการตีCTRL+ ALT+ DELและคลิกที่ "เปลี่ยนรหัสผ่าน" ที่ฉันต้องป้อนรหัสผ่านปัจจุบันของฉันและให้รหัสผ่านใหม่: คำถาม: ฉันจะเขียนสคริปต์ได้อย่างไร ฉันต้องการเปลี่ยนรหัสผ่านของฉันผ่านทางบรรทัดคำสั่ง ไปได้หรือไม่ ข้อมูลโบนัส: ฉันใช้งานเครื่อง Windows XP SP3 หมายเหตุ : นโยบายของ บริษัท คือการให้ผู้ใช้เปลี่ยนรหัสผ่านทุกสองสัปดาห์ และคุณไม่สามารถใช้รหัสผ่าน 24 รหัสผ่านล่าสุดของฉันได้ ... เนื่องจากฉันไม่ต้องการที่จะจำรหัสผ่านใหม่เสมอฉันแค่ย้ำผ่าน "รหัสผ่าน 1" ... "รหัสผ่าน 24" ด้วยตนเองและในที่สุดฉันก็กลับไปใช้รหัสผ่านเก่าของฉัน มันจะเป็นการดีถ้าทำแบบนี้กับแบทช์ขนาดเล็กแทนที่จะเป็นแบบแมนนวล

10 windows-xp  active-directory  password 

ฉันได้เปิดใช้งานนโยบายต่อไปนี้ "ห้ามเชื่อมต่อขั้นสูง TCP / IP" "ห้ามเข้าถึงคุณสมบัติของส่วนประกอบต่างๆของการเชื่อมต่อ LAN" "เปิดใช้งานการตั้งค่าการเชื่อมต่อเครือข่าย Windows 2000 สำหรับผู้ดูแลระบบ" หลังจากทำสิ่งเหล่านี้ทุกเครื่องที่ใช้ windows xp, 2000 และ vista จะปิดการใช้งานคุณสมบัติการตั้งค่าเครือข่ายตามที่คาดไว้ อย่างไรก็ตามทุกเครื่องที่ใช้ windows 7 ไม่มีผลฉันเชื่อว่ามีอีกไม่กี่ขั้นตอนเครื่อง Windows 7 ทั้งหมดอยู่ในโดเมนและเราต้องการควบคุมสิ่งนี้ผ่าน GPO ของ Domain Control โปรดแจ้งให้ฉันทราบสิ่งที่ฉันต้องทำเพื่อให้ Windows 7 ปิดการใช้งานคุณสมบัติของการเชื่อมต่อเครือข่ายฉันไม่ใช่ผู้เชี่ยวชาญด้านเครือข่ายฉันอ่านบทความเกี่ยวกับสิ่งใหม่ ๆ ที่เพิ่มเข้ามาใน GPO ของ windows 7 แต่ฉันว่างเปล่า ทุกอย่างทำงานได้ดีบน Windows XP, Vista, 2003 Server เฉพาะ Windows 7 เท่านั้นที่เป็นปัญหา

10 windows-7  domain  active-directory 

เป็นไปได้ที่จะเรียกใช้อินสแตนซ์ของ Windows Server 2003 ใน Amazon EC2 ฉันสงสัยว่าเป็นไปได้หรือไม่ที่เครื่องเหล่านี้อย่างน้อยหนึ่งเครื่องเป็นตัวควบคุมโดเมนและเครื่องอื่น ๆ ที่คุณใช้เป็นสมาชิกของโดเมนนั้น ใครคิดว่านี่เป็นความคิดที่ดี / ไม่ดี? มันจะทำงานกับพอร์ต AD ได้เพียงกลุ่มเซิร์ฟเวอร์ของคุณเท่านั้นที่สามารถเข้าถึงสิ่งเหล่านี้หรือพวกเขาจะเปิดให้ทุกคนได้เห็น?

10 windows-server-2003  amazon-ec2  active-directory