คำถามติดแท็ก active-directory

ขณะนี้เรามีการตั้งค่า Active Directory และพูดว่าชื่อคือ 'example.com' รายการ DNS สำหรับ example.com มีระเบียน A สองรายการที่ชี้ไปที่ตัวควบคุมโดเมนสองรายการ ฉันต้องการให้ผู้ใช้ภายในสามารถเข้าถึงเว็บไซต์ของเราได้โดยใช้http://example.com/ แต่เราไม่เรียกใช้ไซต์จากตัวควบคุมโดเมนและฉันไม่ต้องการติดตั้ง IIS หรือบริการอื่น ๆ ที่ต้องทำ เปลี่ยนเส้นทางไปที่ www.example.com หากฉันเข้าใจอย่างถูกต้องฉันควรจะสามารถลบรายการเหล่านั้นและเพิ่มระเบียน A ใหม่ที่ชี้ไปที่ IP ของเว็บเซิร์ฟเวอร์และสิ่งต่าง ๆ จะไม่แตกสลายเนื่องจากลูกค้ามักจะใช้ระเบียน SRV เพื่อค้นหาตัวควบคุมโดเมนและอะไรก็ตาม ถูกต้องหรือไม่ ฉันไม่ต้องการที่จะทำให้เกิดไฟดับเป็นเหตุผลที่ฉันถามก่อนที่จะเปลี่ยน :)

10 domain-name-system  active-directory 

เซิร์ฟเวอร์ไฟล์เป็นความจริงของชีวิตในด้านไอทีและฉันอยากรู้ว่ามีวิธีปฏิบัติใดที่ยอมรับกันโดยทั่วไป (ฉันลังเลที่จะใช้คำว่า "ดีที่สุด" ที่นี่) สำหรับวิธีที่คุณสร้างกลุ่มและใช้สิทธิ์ในการจัดการการเข้าถึงไคลเอนต์ ไฟล์เซิร์ฟเวอร์ ที่งานปัจจุบันของฉันฉันได้รับมรดกความยุ่งเหยิงของวิธีการทำสิ่งต่าง ๆ มากมายตั้งแต่กลุ่มหลายสิบกลุ่มใน ACL ไปจนถึงเพียงแค่นำผู้ใช้แต่ละคนเข้าสู่ระบบไฟล์โดยตรง งานของฉันคือทำความสะอาดความยุ่งเหยิงและหาวิธีที่เป็นมาตรฐานในการเข้าถึงสิ่งนี้ทั่วทั้ง บริษัท (สภาพแวดล้อมขนาดใหญ่บุคลากร 150k คอมพิวเตอร์ไคลเอนต์ 90k และไฟล์เซิร์ฟเวอร์ 100 แห่ง) จากความเข้าใจของฉันเกี่ยวกับปัญหาดูเหมือนว่าคุณต้องการกลุ่มอย่างน้อยหนึ่งกลุ่มต่อระดับการเข้าถึงที่ต้องการต่อทรัพยากรที่ปลอดภัย รุ่นนี้ดูเหมือนจะให้ความยืดหยุ่นสูงสุดในการที่คุณไม่จำเป็นต้องสัมผัสสิทธิ์ระบบไฟล์อีกครั้งเว้นแต่คุณจะต้องสนับสนุนระดับการเข้าถึงที่แตกต่างกัน ข้อเสียคือคุณจะสร้างกลุ่มมากกว่าการใช้กลุ่มเดียวกันซ้ำในหลาย ๆ แหล่งข้อมูลที่ใช้ร่วมกัน นี่คือตัวอย่างที่แสดงสิ่งที่ฉันหมายถึง: มีการแชร์ที่เรียกว่า "ผลการทดสอบ" บนเซิร์ฟเวอร์ไฟล์ชื่อ FILE01 และคุณมีผู้ที่ต้องการการเข้าถึงแบบอ่านอย่างเดียวการเข้าถึงเพื่ออ่าน - เขียนและการควบคุมอย่างสมบูรณ์ 1 ทรัพยากรที่ปลอดภัย * 3 ระดับการเข้าถึง = 3 กลุ่มความปลอดภัย ในสภาพแวดล้อมโฆษณาของเราเราสร้างกลุ่มเหล่านี้เป็นกลุ่มสากลเพื่อให้เราสามารถเพิ่มผู้ใช้ / กลุ่มจากโดเมนใด ๆ ในฟอเรสต์ได้อย่างง่ายดาย เนื่องจากแต่ละกลุ่มอ้างอิงถึงโฟลเดอร์ที่ใช้ร่วมกันและระดับการเข้าถึงที่ไม่ซ้ำกันชื่อกลุ่มจึงรวมส่วนข้อมูล "คีย์" เหล่านั้นไว้และการอนุญาตจึงเป็นดังนี้: "FILE01-Test …

10 active-directory  filesystems  ntfs  access-control-list 

โดเมนใดที่เหมาะกับเครือข่ายดีกว่าเวิร์กกรุ๊ป มีเกณฑ์ด้านล่างที่โดเมนทำงานมากเกินไปเพื่อผลประโยชน์ที่ได้รับหรือไม่ มีจุดใดที่เวิร์กกรุ๊ปยากเกินกว่าที่จะจัดการได้และโดเมนนั้นใช้งานได้จริงหรือไม่? คุณใช้เกณฑ์อะไรในการตัดสินใจ

10 windows  active-directory  domain  workgroup 

ฉันมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบบนเครื่องของฉัน แต่อย่างใดก็ยังไม่สามารถเปลี่ยนการตั้งค่าสกรีนเซฟเวอร์ได้ ฉันเชื่อว่ามันถูกปิดการใช้งานโดยนโยบายกลุ่มอย่างใดมีวิธีการแทนที่นี้หรือไม่?

10 windows  active-directory  permissions 

ฉันกำลังตั้งค่าสภาพแวดล้อมการทดสอบสำหรับลูกค้าเกี่ยวกับการปรับใช้ samba4 ไปยังไซต์ระยะไกล 1,400 แห่งและฉันประสบปัญหา เป็นหน้าที่ของฉันที่จะต้องประสบปัญหาและแก้ไขปัญหาเหล่านั้น Active Directory Forest root และโดเมนเดียว: main.adlab.netdirect.ca สร้างบน Windows 2008 R2 2551 FFL 2551 DFL สำนักงานใหญ่ AD1: Windows 2008 R2 DC AD2: Windows 2008 R2 DC ไคลเอนต์ Windows 7 Professional สาขาสำนักงาน SLES11SP2 (อัปเดตเต็มที่แล้ว!) กับ Samba 4 (4.1.1-7.suse111 แพ็คเกจจาก sernet) Samba 4 กำหนดค่าเป็น RODC ฉันได้กำหนดค่านโยบายการจำลองแบบรหัสผ่านเพื่ออนุญาตให้บัญชีบางอย่างถูกแคชใน RODC …

9 active-directory  windows-7  samba4  rodc 

น่าเสียดายที่ฉันสืบทอดโดเมน Active Directory ที่มีชื่อเป็นชื่อ DNS ที่ บริษัท ไม่ได้เป็นเจ้าของ - เราจะเรียกมันว่า ABC.com ฉันต้องการให้เป็นสิ่งภายใต้ company.com แทน (ตามคำตอบของ MDMarra ในการตั้งชื่อโฆษณาฉันอาจใช้ ad.company.com เนื่องจากคุณไม่ต้องการใช้ชื่อ DNS ที่คุณใช้สำหรับสิ่งอื่น) แต่เป็นข้อกำหนดที่ยากสำหรับ ตอนนี้จะสามารถย้ายอีเมลไปที่ Office 365 ในปีนี้และใช้การซิงโครไนซ์ไดเรกทอรี อย่างน้อยดูเหมือนฉันต้องการ UPN ที่ตรงกันกับโดเมนอีเมลของเรา (company.com) ตกลงกระบวนการสำหรับการเพิ่ม UPN ที่สองดูเหมือนว่าพอที่เรียบง่าย ทดสอบและย้ายบัญชีไปจนกว่าพวกเขาจะได้รับใน UPN ที่ต้องการดูเหมือนว่าสมเหตุสมผลเพียงพอ มีข้อเสียเพียงแค่ทำเช่นนี้? หนี้สินทางเทคนิคที่น่าสยดสยองจะมาถึงในที่สุดหากเราอยู่ในชื่อโดเมน 'ที่ไม่ได้เป็นเจ้าของ' ของ ABC.com นี้อย่างไม่มีกำหนด? สำหรับการอ้างอิงเรามีฟอเรสต์เดียวโดเมนเดียวที่มีทุกอย่าง (ฟอเรสต์ระดับการทำงานและ DC ทั้งหมด) ที่ระดับ 2012R2 และ Exchange …

9 active-directory 

ฉันเพิ่งรู้ว่ามีความแตกต่างระหว่างทั้งสองหลังจากที่ฉันต้องเปลี่ยนสิทธิ์ในการเปลี่ยนการอนุญาตในโฟลเดอร์ (แล้วตั้งค่ากลับมาอีกครั้ง) ป.ล. ถ้านี่เป็นคำถามงี่เง่าฉันขอโทษฉันยังคงหาสิ่งเหล่านี้ออกมามากมาย

9 active-directory  permissions 

ฉันจะเพิ่ม Q / A นี้เพราะฉันเพิ่งพบข้อ จำกัด นี้ในวันนี้และฉันไม่สามารถหาเอกสารเกี่ยวกับมันได้ มี เป็นบทความ KB เก่าเกี่ยวกับปัญหานี้ แต่ก็ยังไม่ได้จัดทำดัชนีโดย Google (อาจจะเป็นเพราะมันถูกตีพิมพ์ปีที่ผ่านมาและไม่เคยปรับปรุง) และปัญหาที่ไม่เคยกล่าวถึงที่อื่น ๆ เป็นไปได้หรือไม่ที่จะสร้าง OU ในโดเมนหลักที่มีชื่อเดียวกันกับโดเมนลูก เป็นไปได้หรือไม่ที่จะสร้างโดเมนลูกที่มีชื่อเดียวกันกับ OU ในโดเมนหลัก

9 active-directory  domain  organizational-unit 

ฉันกำลังพยายามใช้ Azure Active Directory แทนการใช้ตัวควบคุมโดเมนดั้งเดิม ฉันต้องการใช้ Azure AD เพื่อตรวจสอบสิทธิ์ผู้ใช้และเพื่อผลักดันการตั้งค่า GPO เช่นการเปลี่ยนเส้นทางโฟลเดอร์การแมปไดรฟ์และการตั้งค่าความเป็นส่วนตัวของ Windows 10 ฉันได้สร้างบัญชี Office 365 ซึ่งฉันเข้าใจว่าสร้างแบ็กเอนด์โฆษณา ฉันได้สร้างบัญชี Azure และเพิ่มการทดสอบ Windows 10 PC ของฉันไปยังโดเมน Azure โดยใช้รายละเอียดผู้ใช้ O365 / Azure ฉันยังสมัครรับข้อมูลทดลองใช้งาน Azure AD ระดับพรีเมียม มันมาถึงจุดนี้แล้วฉันติดอยู่ ฉันจะดูพีซีที่ฉันเพิ่มได้ที่ไหนใน Azure นอกจากนี้ฉันสามารถใช้ Azure AD เพื่อผลักดันการตั้งค่านโยบายกลุ่มแบบดั้งเดิมไปยังพีซีทดสอบของฉันได้หรือไม่และถ้าเป็นเช่นนั้นฉันจะไปกำหนดค่านี้ได้ที่ไหน หรือฉันต้องใช้บางอย่างเช่น Windows Intune

9 windows  active-directory  group-policy  azure  azure-active-directory 

เรามี Windows Server ซึ่งมีแอปพลิเคชันที่อยู่ในนั้นซึ่งใช้ข้อมูลรับรองโดเมนเมื่อเข้าสู่แอปพลิเคชัน ในระหว่างการทดสอบปากกาเมื่อเร็ว ๆ นี้ผู้ทดสอบสามารถใช้แอปพลิเคชันเพื่อระบุชื่อผู้ใช้โดเมนที่ถูกต้องตามการตอบสนองของแอปพลิเคชัน (ซึ่งให้การตอบกลับที่แตกต่างกันสำหรับชื่อผู้ใช้ แอปพลิเคชันกำลังได้รับการแก้ไขดังนั้นจึงไม่เปิดเผยข้อมูลนี้ แต่ฉันก็รู้สึกเหมือนว่าเราควรจะตรวจจับการโจมตีนี้ได้เนื่องจากมีชื่อผู้ใช้ที่ไม่ถูกต้องมากกว่า 2000,000 ครั้งในช่วงเวลาสั้น ๆ เราไม่เห็นแม้ว่าผู้ดูแลระบบของเราจะเฝ้าดู Active Directory อย่างใกล้ชิด เห็นได้ชัดว่าความล้มเหลวที่เคยปรากฏในบันทึกเหตุการณ์ท้องถิ่นของเซิร์ฟเวอร์ที่ติดตั้งแอปพลิเคชัน คำถามของฉัน: 1) มีวิธีรับ Active Directory เพื่อบันทึกคำขอชื่อผู้ใช้ที่ล้มเหลวเหล่านี้ในตำแหน่งศูนย์กลางหรือไม่เพื่อให้เราสามารถสังเกตเห็นขัดขวางได้ 2) หากไม่มีวิธีที่ดีที่สุดในการติดตามและตรวจจับการโจมตีประเภทนี้ในอนาคตคืออะไร (หวังว่าจะไม่ต้องซื้ออุปกรณ์ใหม่มากเกินไป) ขอบคุณสำหรับความช่วยเหลือของคุณ.

9 windows  windows-server-2008  active-directory 

ความเสี่ยงในทางปฏิบัติของการเปิดใช้งานการปรับปรุง DNS ที่ไม่ปลอดภัยบน Windows คืออะไร เท่าที่ฉันพบการเปิดใช้งานการปรับปรุง DNS ที่ไม่ปลอดภัยนั้นเป็นข้อกำหนดสำหรับการเปิดใช้งานไคลเอนต์ DHCP Linux จากการลงทะเบียนชื่อของพวกเขาด้วย FQDN ฉันต้องการทราบว่ามีความเสี่ยงในทางปฏิบัติที่เกี่ยวข้องกับเรื่องนี้เพื่อประเมินว่ามันใช้ได้หรือไม่ เท่าที่ฉันรู้ว่าเครื่องจะไม่สามารถครอบครองชื่อสำรองอื่นซึ่งจะเป็นความกังวลจริงเท่านั้นที่ฉันตอนนี้ เห็นได้ชัดว่ามันเป็น DDOS แต่เมื่อพิจารณาว่าเรากำลังพูดถึงอินทราเน็ตที่นี่ฉันสงสัยว่านี่อาจเป็นความเสี่ยงที่แท้จริง คุณเปิดใช้งานในโดเมนของคุณหรือไม่? คุณเคยต้องปิดการใช้งานเนื่องจากมีปัญหาบางอย่างหรือไม่?

9 domain-name-system  active-directory  dhcp  internal-dns 

บริษัท ของฉันใช้ Office 365 สำหรับ Exchange, SharePoint, Lync ฯลฯ รวมถึงการดูแลระบบผู้ใช้ในตัวผ่าน Azure Active Directory ตอนนี้เราต้องการเปลี่ยนเป็นโฆษณาในเครื่องบน Windows Server มันจะซิงค์การเปลี่ยนแปลงกับ Azure แต่ผู้ใช้หลักและการจัดการนโยบายกลุ่มเกิดขึ้นบนเซิร์ฟเวอร์ windows เริ่มแรกเราจะได้รับบัญชีผู้ใช้จาก Azure AD ไปยังโฆษณาในสถานที่ (windows เซิร์ฟเวอร์) ได้อย่างไร แก้ไข 1:มีใครดูเรื่องนี้โดยใช้ Microsoft Forefront Identity Manager หรือไม่ ดูเหมือนว่าเครื่องมือนี้มาพร้อมกับ DirSync เปิด“ miisclient.exe” บนเซิร์ฟเวอร์ DirSync (อยู่ใน“ C: \ Program Files \ Windows Azure Active Directory …

9 active-directory  azure  windows-server-2012-r2  microsoft-forefront 

ฉันกำหนดค่าเซิร์ฟเวอร์ลินุกซ์สองสามตัวให้รับรองความถูกต้องกับ Active Directory Kerberos โดยใช้ sssd บน RHEL6 ฉันยังเปิดใช้งานการตรวจสอบสิทธิ์ GSSAPI ด้วยความหวังว่าจะมีการลงชื่อเข้าใช้แบบไม่มีรหัสผ่าน แต่ดูเหมือนว่าฉันจะไม่ได้รับ Putty (0.63) ในการตรวจสอบสิทธิ์โดยไม่มีรหัสผ่าน GSSAPI ทำงานระหว่างระบบ Linux (ไคลเอนต์ openSSH) ที่กำหนดค่าสำหรับการตรวจสอบสิทธิ์โฆษณาโดยใช้การตั้งค่า. ssh / config เพื่อเปิดใช้งาน GSSAPI นอกจากนี้ยังใช้งานได้จาก Cygwin (ไคลเอนต์ openSSH) โดยใช้การตั้งค่า. ssh / config เดียวกันรวมถึงการรันคำสั่ง kinit เพื่อรับตั๋ว Samba ยังแชร์ในระบบ Linux ทั้งหมดรวมถึงโฮมไดเรกทอรีทำงานจาก Windows Explorer โดยไม่ต้องใช้รหัสผ่าน (ฉันไม่แน่ใจว่า GSSAPI เข้ามาเล่นที่นั่นหรือไม่) ฉันสามารถลองแก้ไขปัญหาอะไรได้บ้าง ผู้ใช้ส่วนใหญ่ของฉันใช้ผงสำหรับอุดรู นอกจากนี้ฉันไม่ใช่ผู้ดูแลระบบ …

9 linux  active-directory  kerberos  putty  gssapi 

เนื่องจากปริมาณงานที่สร้างโดยการระบาดของ ransomware เมื่อเร็ว ๆ นี้ (Cryptolocker / Cryptowall / ฯลฯ ) ฉันเพิ่งได้รับมอบหมายให้ดำเนินการตามนโยบายการ จำกัด ซอฟต์แวร์เพื่อบล็อกการดำเนินการของโปรแกรมจากไดเรกทอรีชั่วคราว โดยทั่วไปจะทำงานได้ดีพอ แต่เรามีปัญหาเมื่อเราต้องติดตั้งซอฟต์แวร์เนื่องจากนโยบายการ จำกัด ซอฟต์แวร์เหล่านี้ทำให้ผู้ติดตั้งไม่สามารถเข้าถึงไดเรกทอรีชั่วคราวของเครื่อง ลำดับชั้นของ Active Directory ของเรานั้นได้รับการจัดระเบียบตามบรรทัดของไซต์ทางกายภาพของเราและวัตถุโฆษณาของเรานั้นสืบทอดมาจาก GPO สองสิบตัวแต่ละตัวจากรูทโดเมนและ OU ของไซต์นั้น ๆ ด้วยเหตุนี้ฉันจึงไม่มีตัวเลือกในการสร้างนโยบายที่ถูกบล็อก OU ออกจากรูทโดเมน (เนื่องจากไม่สืบทอดการตั้งค่านโยบายกลุ่มเฉพาะไซต์ทำให้เกิดปัญหาใหญ่กับเครื่องและผู้ใช้ระยะไกลไม่ชำนาญพอที่จะแก้ไขปัญหาได้ ) หรือเชื่อมโยงวัตถุนโยบายกลุ่มอีกครั้งใกล้กับ OU ลูก (ซึ่งอาจเกี่ยวข้องกับการดำเนินการและการเชื่อมโยงซ้ำอีกหลายร้อยครั้งซึ่งฉันไม่ต้องการทำ) หรือสร้าง OU ย่อยที่แต่ละรายการโดยมีการบล็อกการสืบทอด (เพราะฉันมี การเชื่อมโยงหลายร้อยการเชื่อมโยงที่ต้องทำในกรณีนั้น) ที่กล่าวว่าฉันต้องการวิธีหยุด GPO นโยบายการ จำกัด ซอฟต์แวร์ชั่วคราวจากการใช้เพื่อให้เราสามารถติดตั้งซอฟต์แวร์เป็นครั้งคราว ฉันพยายามที่จะแก้ปัญหานี้ในขั้นต้นโดยการสร้าง OU ลูกในแต่ละไซต์และเชื่อมโยงนโยบายการ จำกัด …

9 windows  active-directory  group-policy 

ฉันไม่ได้เป็นผู้ดูแลระบบ Microsoft มากนัก แต่ผมทำงานที่มีอยู่อย่างกว้างขวางกับการใช้งาน Microsoft Exchange ใหม่และ นั่นเป็นเพียงวิธีการอาร์คอาชีพ ฉันทำงานกับลูกค้ารายย่อย 15 รายที่ไม่พอใจกับพีซี "ท้องถิ่น" พวกเขาขอให้ฉันก้าวเข้ามาในช่วงที่ระบบขัดข้องสองครั้ง สิ่งหนึ่งที่ฉันสังเกตเห็นในช่วงเช้าของวันนี้"เราไม่สามารถเข้าถึงอินเทอร์เน็ต"ฉุกเฉินก็คือลูกค้ามีเซิร์ฟเวอร์ Windows SBS 2011 ในสถานที่ เซิร์ฟเวอร์ DHCP อันธพาลเริ่มต้นโดยไม่ตั้งใจในระบบโทรศัพท์และบริการ SBS DHCP ปิดตัวลงจริง ๆ แล้ว ฉันไม่เคยเห็นสิ่งนี้เกิดขึ้นกับ Windows Servers ปกติดังนั้นนี่ทำให้เกิดการหยุดทำงานและความสับสน ขอบเขต DHCP หลักนั้นดูแปลกไปเล็กน้อยซึ่งเป็นตัวกำหนดซับเน็ตทั้งหมด / 24 แต่ไม่รวม swath ขนาดใหญ่ ทรัพยากรพีซีในเครื่องบอกว่าต้องกำหนดค่าด้วยวิธีนี้มิฉะนั้น"SBS ไม่ทำงาน ... " มี OU ที่ตลกมากมายที่ดูเหมือนจะถูกสร้างขึ้น ส่วนใหญ่ภายใต้ "MyBusiness" หลัก Exchange mail …

9 active-directory  exchange  windows-server-2012-r2  windows-sbs-2011