คำถามติดแท็ก active-directory

นี่เป็นครั้งแรกที่ฉันตั้งค่าหรือแม้กระทั่งการใช้ไดเรกทอรีที่ใช้งานอยู่ ฉันตั้งค่าและเพิ่มคอมพิวเตอร์ (จริง VMs ใน Hyper V) ไปยังไดเรกทอรีที่ใช้งานและถ้าฉันใช้ Hyper-V เพื่อเชื่อมต่อกับ VMs ฉันสามารถใช้ผู้ใช้จากโดเมนไดเรกทอรีที่ใช้งานเพื่อเข้าสู่ระบบ VMs อย่างไรก็ตามหากฉันพยายามเข้าสู่ระบบผ่านเดสก์ท็อประยะไกลฉันได้รับข้อผิดพลาดนี้ The connection was denied because the user account is not authorized for remote login. ฉันได้ลอง: - จากภายในไดเรกทอรีที่ใช้งานอยู่ฉันได้เพิ่มกลุ่มที่ผู้ใช้ของฉันอยู่ในผู้ใช้เดสก์ท็อประยะไกล - บน VM เองให้เพิ่มกลุ่มไดเรกทอรีที่ใช้งานอยู่ (ซึ่งมีผู้ใช้ที่ฉันพยายามเข้าสู่ระบบด้วย) เพื่ออนุญาตให้เข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกลในนโยบายความปลอดภัยท้องถิ่น ฉันยังคงมีข้อผิดพลาดการอนุญาตเดียวกันที่ถูกปฏิเสธ ฉันจะตั้งค่ากลุ่มในไดเรกทอรีที่ใช้งานอย่างถูกต้องเพื่อให้สามารถเข้าสู่ระบบด้วยเดสก์ท็อประยะไกลบนเครื่องเสมือนทั้งหมดของฉันได้อย่างไร ขอบคุณ!

40 active-directory  remote-desktop  rdp 

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับการตั้งค่า DNS ของ Active Directory ที่เกี่ยวข้อง: บริการโดเมน Active Directory คืออะไรและทำงานอย่างไร สมมติว่าสภาพแวดล้อมที่มีหลายโดเมนคอนโทรลเลอร์ (สมมติว่าพวกเขาทั้งหมดใช้ DNS เช่นกัน): เซิร์ฟเวอร์ DNS ควรจะแสดงรายการอะไรในอะแดปเตอร์เครือข่ายสำหรับแต่ละโดเมนคอนโทรลเลอร์ ควรใช้ 127.0.0.1 เป็นเซิร์ฟเวอร์ DNS หลักสำหรับแต่ละโดเมนคอนโทรลเลอร์หรือไม่ มันสร้างความแตกต่างหรือไม่หากเป็นเช่นนั้นเวอร์ชันใดที่ได้รับผลกระทบและจะเป็นอย่างไร

40 windows  domain-name-system  active-directory  domain-controller 

ฉันบอกว่าเป็นไปได้ที่จะสร้างเว็บแอปพลิเคชันที่ไม่ต้องการการเข้าสู่ระบบ ผู้ใช้เข้าสู่ระบบ Windows ซึ่งรับรองความถูกต้องผ่านการค้นหา Active Directory (LDAP) จากนั้นพวกเขาควรจะสามารถไปที่เว็บแอพของฉันและไม่เห็นข้อความแจ้งการเข้าสู่ระบบ ลูกค้าเหล่านี้อ้างถึงสิ่งนี้ว่าการลงชื่อเพียงครั้งเดียว (อาจไม่ถูกต้องและเป็นส่วนหนึ่งของความสับสนของฉัน) แต่จากสิ่งที่ฉันอ่าน Single Sign On จาก Tomcat docs คือ: Single Sign On Valve จะถูกใช้เมื่อคุณต้องการให้ผู้ใช้สามารถลงชื่อเข้าใช้แอปพลิเคชันเว็บใด ๆ ที่เชื่อมโยงกับโฮสต์เสมือนของคุณจากนั้นให้มีการระบุตัวตนของพวกเขาโดยเว็บแอปพลิเคชันอื่น ๆ ทั้งหมดบนโฮสต์เสมือนเดียวกัน ชัดเจนสำหรับฉันอย่างสมบูรณ์ ผู้ใช้จะต้องเข้าสู่ระบบครั้งเดียวและสามารถเข้าถึงเว็บแอพพลิเคชั่นทุกตัวบนอินสแตนซ์ของ Tomcat แต่สิ่งที่ฉันต้องทำก็คือให้พวกเขาเข้าสู่ระบบโดยไม่ต้องให้ข้อมูลประจำตัวใด ๆ กับเซิร์ฟเวอร์ Tomcat ของฉัน ดังนั้นในการทำงานนี้ฉันจึงจินตนาการ: ผู้ใช้ทำการร้องขอสำหรับบางหน้า เซิร์ฟเวอร์ไม่เห็นโทเค็นเซสชันแล้วขอให้ไคลเอนต์สำหรับข้อมูลประจำตัวบางอย่าง เบราว์เซอร์ไคลเอนต์โดยไม่มีการแทรกแซงจากผู้ใช้ให้ข้อมูลประจำตัวบางอย่างไปยังเซิร์ฟเวอร์ จากนั้นใช้ข้อมูลประจำตัวที่ได้รับจากเบราว์เซอร์ไคลเอนต์ซึ่งจะทำการค้นหาใน LDAP ฉันเคยเห็นตัวอย่างบางส่วนที่ใช้ใบรับรองฝั่งไคลเอ็นต์ ... โดยเฉพาะอย่างยิ่งระบบ DoD PKI ซึ่งเหมาะสมสำหรับฉันเพราะในกรณีเหล่านั้นคุณกำหนดค่า Tomcat เพื่อร้องขอใบรับรองฝั่งไคลเอ็นต์แต่เพิ่งเข้าสู่ระบบ windows …

40 authentication  active-directory  single-sign-on  pki 

ฉันกำลังพยายามปรับใช้ MSI ผ่านนโยบายกลุ่มใน Active Directory แต่นี่เป็นข้อผิดพลาดที่ฉันได้รับในบันทึกเหตุการณ์ของระบบหลังจากลงชื่อเข้าใช้: การกำหนดแอปพลิเคชัน XStandard จากการติดตั้งนโยบายล้มเหลว ข้อผิดพลาดคือ: %% 1274 การลบการกำหนดแอปพลิเคชัน XStandard ออกจากการติดตั้งนโยบายล้มเหลว ข้อผิดพลาดคือ: %% 2 ไม่สามารถใช้การเปลี่ยนแปลงการตั้งค่าการติดตั้งซอฟต์แวร์ การติดตั้งซอฟต์แวร์ที่ปรับใช้ผ่านนโยบายกลุ่มสำหรับผู้ใช้รายนี้ล่าช้าจนกว่าการเข้าสู่ระบบครั้งต่อไปเนื่องจากต้องทำการเปลี่ยนแปลงก่อนที่จะเข้าสู่ระบบของผู้ใช้ ข้อผิดพลาดคือ: %% 1274 การติดตั้งซอฟต์แวร์การขยายด้านไคลเอ็นต์นโยบายกลุ่มไม่สามารถใช้การตั้งค่าอย่างน้อยหนึ่งรายการเนื่องจากการเปลี่ยนแปลงต้องดำเนินการก่อนที่จะเริ่มต้นระบบหรือเข้าสู่ระบบของผู้ใช้ ระบบจะรอการประมวลผลนโยบายกลุ่มให้เสร็จสมบูรณ์ก่อนที่จะเริ่มต้นหรือเข้าสู่ระบบครั้งต่อไปสำหรับผู้ใช้รายนี้และอาจส่งผลให้เกิดการเริ่มต้นช้าและประสิทธิภาพการบูต เมื่อฉันรีบูตและเข้าสู่ระบบอีกครั้งฉันก็จะได้รับข้อความเดียวกันเกี่ยวกับความจำเป็นในการดำเนินการปรับปรุงก่อนที่จะเข้าสู่ระบบต่อไป ฉันใช้แล็ปท็อป Windows Vista รุ่น 32 บิต ฉันค่อนข้างใหม่ในการปรับใช้ผ่านนโยบายกลุ่มดังนั้นข้อมูลอื่นใดที่จะเป็นประโยชน์ในการพิจารณาปัญหา ฉันลอง MSI ตัวอื่นด้วยผลลัพธ์เดียวกัน ฉันสามารถติดตั้ง MSI โดยใช้บรรทัดคำสั่งและ msiexec เมื่อลงชื่อเข้าใช้คอมพิวเตอร์ดังนั้นฉันรู้ว่า MSI ทำงานได้อย่างน้อย

40 active-directory  group-policy  msi 

ที่สำนักงานของเราลูกค้า Windows 7 ทั้งหมดของเราได้รับข้อความแสดงข้อผิดพลาดนี้เมื่อเราลองและ RDP ไปยังเซิร์ฟเวอร์ Windows 2008 ระยะไกลนอกสำนักงาน: ผู้ดูแลระบบของคุณไม่อนุญาตให้ผู้ใช้ข้อมูลประจำตัวที่บันทึกไว้เข้าสู่ระบบคอมพิวเตอร์ระยะไกล XXX เนื่องจากข้อมูลประจำตัวไม่ได้รับการตรวจสอบอย่างสมบูรณ์ โปรดป้อนข้อมูลรับรองใหม่ การค้นหา google อย่างรวดเร็วนำไปสู่การโพสต์พวกเขาทั้งหมดแนะนำให้ฉันแก้ไขนโยบายกลุ่ม ฯลฯ ฉันตกอยู่ภายใต้ความประทับใจที่การแก้ไขทั่วไปสำหรับเรื่องนี้คือการทำตามคำแนะนำเหล่านั้นในทุกเครื่องของ Windows 7 มีวิธีใดบ้างที่ฉันสามารถทำบางสิ่งผ่าน Active Directory ซึ่งสามารถอัปเดตไคลเอนต์ Windows 7 ทั้งหมดใน LAN สำนักงาน

39 windows-server-2008  active-directory  remote-desktop  rdp  credentials 

บัญชีของผู้ใช้ยังคงล็อคอยู่ใน Active Directory อาจเกิดจากแอปที่ใช้การรับรองความถูกต้อง Windows เพื่อเชื่อมต่อกับ SQL Server มีวิธีการตรวจสอบว่าแอพใดเป็นสาเหตุของแอพและสาเหตุที่แอพอาจทำให้เกิดการพยายามเข้าสู่ระบบล้มเหลว?

38 active-directory 

เครื่อง Windows 2008 R2 ของฉันเข้าร่วมกับโดเมนแล้ว ในหน้าจอเข้าสู่ระบบหากฉันพิมพ์ "username@mydomain.com: some" เป็นชื่อผู้ใช้ฉันยังคงสามารถเข้าสู่ระบบได้อย่างถูกต้องความหมายของ ": บางสิ่ง" ต่อท้ายคืออะไร ฉันยังสามารถเห็นผู้ใช้ปัจจุบันแสดงเป็น "ชื่อผู้ใช้ (username): บางสิ่ง" ในหน้าจอสลับผู้ใช้ มันเป็นคุณสมบัติใน Windows หรือไม่? หรือมันเป็นเพียงข้อบกพร่อง? หากเป็นคุณสมบัติอะไรคือความแตกต่างระหว่างการลงชื่อเข้าใช้ในชื่อ "username@mydomain.com" และการลงชื่อเข้าใช้ในชื่อ "username@mydomain.com: some" โปรดทราบว่าฉันลองชุดค่าผสมต่าง ๆ เช่น "mydomain \ ชื่อผู้ใช้: บางอย่าง" และ "mydomain.com:something\username" ไม่สามารถใช้งานได้ยกเว้น "username@mydomain.com: some" อัปเดต 10 กันยายน 2555 ปัญหา RunAs ของ Justin นั้นคล้ายกัน แต่ไม่ตรงกับปัญหาที่ฉันต้องการแก้ไข ถ้าคุณทำ runas …

35 active-directory  windows-server-2008-r2  domain  login 

โดยทั่วไปฉันต้องการตั้งค่าการเข้าสู่ระบบแยกต่างหากสำหรับตัวเองส่วนหนึ่งด้วยสิทธิ์ผู้ใช้ปกติและอีกรายการหนึ่งสำหรับงานด้านการดูแลระบบ ตัวอย่างเช่นหากโดเมนเป็น XXXX ฉันจะตั้งค่า XXXX \ bpeikes และบัญชี XXXX \ adminbp ฉันทำมาตลอดเพราะฉันไม่เชื่อว่าตนเองจะเข้าสู่ระบบในฐานะผู้ดูแลระบบ แต่ในทุก ๆ ที่ที่ฉันทำงานผู้ดูแลระบบดูเหมือนจะเพิ่มบัญชีปกติของพวกเขาไปยังกลุ่ม Domain Admins มีวิธีปฏิบัติที่ดีที่สุดหรือไม่? ฉันเคยเห็นบทความจาก MS ที่ดูเหมือนว่าคุณควรใช้ Run As และไม่ใช่เข้าสู่ระบบในฐานะผู้ดูแลระบบ แต่พวกเขาไม่ได้ยกตัวอย่างของการนำไปใช้และฉันไม่เคยเห็นใครทำเลย

33 active-directory  security  domain-controller  best-practices 

เมื่อพนักงานออกจากองค์กรคุณลบหรือปิดใช้งานบัญชี Active Directory ของพวกเขาหรือไม่ SOP ของเราคือปิดใช้งานส่งออก / ล้างกล่องจดหมาย Exchange จากนั้นหลังจาก "เวลา" ผ่านไป (โดยปกติจะเป็นรายไตรมาส) ลบบัญชี มีความต้องการความล่าช้าหรือไม่? หลังจากส่งออกและล้างกล่องจดหมายแล้วทำไมฉันจึงไม่ควรลบบัญชีทันที

32 active-directory  best-practices 

ในโดเมน Windows PDC ไม่จำเป็นต้องเป็นเซิร์ฟเวอร์เวลาของโดเมน ฉันจะระบุเซิร์ฟเวอร์เวลาที่เชื่อถือได้อย่างไร

32 active-directory 

มีวิธี (เมื่อเข้าสู่ระบบในฐานะผู้ดูแลระบบหรือในฐานะสมาชิกของกลุ่มผู้ดูแลระบบ) ที่จะทำการปลอมแปลงเป็นผู้ใช้ที่ไม่มีสิทธิ์หรือไม่? โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมโฆษณา เช่นในโลก Unix ฉันสามารถทำสิ่งต่อไปนี้ (เหมือนรูท): # whoami root # su johnsmith johnsmith> whoami johnsmith johnsmith> exit # exit ฉันต้องการทดสอบ / กำหนดค่าบางอย่างในบัญชีผู้ใช้และฉันไม่ต้องการรู้รหัสผ่านหรือต้องรีเซ็ต แก้ไข: runasจะไม่ตัดมัน จะเป็นการดีที่เดสก์ท็อปทั้งหมดของฉันจะกลายเป็นผู้ใช้เป็นต้นและไม่ใช่เฉพาะในหน้าต่าง cmd

32 windows  windows-server-2003  active-directory  windows-xp 

ภูมิปัญญาทั่วไปในปี 2014 เกี่ยวกับการรับรองความถูกต้องของ Active Directory / บูรณาการสำหรับเซิร์ฟเวอร์ลินุกซ์และเป็นสิ่งที่ทันสมัยระบบปฏิบัติการ Windows Server (CentOS / RHEL ที่มุ่งเน้น)? หลายปีที่ผ่านมาตั้งแต่ความพยายามครั้งแรกของฉันกับการบูรณาการในปี 2004 ดูเหมือนว่าแนวปฏิบัติที่ดีที่สุดในรอบนี้ได้เปลี่ยนไป ฉันไม่แน่ใจว่าวิธีการใดในปัจจุบันที่มีโมเมนตัมมากที่สุด ในสนามฉันได้เห็น: Winbind / Samba ตรงขึ้น LDAP บางครั้ง LDAP + Kerberos บริการ Microsoft Windows สำหรับ Unix (SFU) การจัดการข้อมูลประจำตัวของ Microsoft สำหรับ Unix NSLCD SSSD FreeIPA Centrify Powerbroker ( เช่นเดียวกัน ) Winbind ดูแย่และไม่น่าเชื่อถืออยู่เสมอ โซลูชันเชิงพาณิชย์อย่าง Centrify และ …

31 linux  active-directory  redhat  ldap 

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับพื้นฐานนโยบายกลุ่มของ Active Directory นโยบายกลุ่มคืออะไร มันทำงานอย่างไรและทำไมฉันจึงควรใช้ หมายเหตุ: นี่เป็นคำถามและคำตอบสำหรับผู้ดูแลระบบใหม่ที่อาจไม่คุ้นเคยกับการทำงานและประสิทธิภาพของมัน

31 windows  active-directory  group-policy 

ย้อนกลับไปในช่วงพรี Windows Server 2012 วันข้อเสนอแนะดูเหมือนจะมีตัวควบคุมโดเมนทางกายภาพอย่างน้อยหนึ่งตัวนั่งอยู่ข้าง DC เสมือนจริงของคุณ เหตุผลหนึ่งที่เป็นเช่นนี้ก็เพราะว่าถ้าโฮสต์ Hyper-V ของคุณเป็นคลัสเตอร์จากนั้นพวกเขาต้องการให้ DC สามารถติดต่อได้ในระหว่างการบูทเครื่อง นี่ทำให้ฉันรู้สึกโดยรวม อย่างไรก็ตามฉันมักจะได้ยินคนพูดว่ามันเป็นสิ่งสำคัญที่จะมี DC ทางกายภาพแม้ว่าคุณจะไม่ได้ตั้งค่าคลัสเตอร์ (พูดเช่นในการตั้งค่าที่เรียบง่ายด้วยเซิร์ฟเวอร์ Hyper-V เดียวที่ใช้ VM สองตัวหนึ่ง ซึ่งเป็น DC) ข้ออ้างสำหรับเรื่องนี้ดูเหมือนจะ (และฉันไม่เคยแน่ใจเลยทีเดียว) ว่าคุณจะยังคงมีปัญหาในแง่ที่ว่าเมื่อโฮสต์บู๊ตเครื่องแรกของ Hyper-V ไม่มี DC ในเครือข่าย ข้อมูลประจำตัวที่แคชหมายถึงคุณยังสามารถเข้าสู่ระบบได้ แต่สิ่งที่เกี่ยวกับบิตเหล่านั้นทั้งหมดที่เกิดขึ้นระหว่างการบู๊ตนั่นหมายความว่าการมี DC อยู่รอบ ๆ นั้นมีประโยชน์หรือไม่ นี่เป็นปัญหาจริงหรือ จริง ๆ แล้วมีการดำเนินการใด ๆ ที่อาจทำงานเท่านั้นตอนบูทเครื่องที่จะทำให้เกิดปัญหา นโยบายกลุ่มใด ๆ เช่น? สิ่งที่ฉันถามโดยทั่วไปคือข้อโต้แย้งทางกายภาพของ DC มีไว้สำหรับการรวมกลุ่มหรือไม่ (ก่อนปี 2012) …

30 active-directory  windows-server-2012  hyper-v  windows-server-2012-r2 

ฉันเห็นวิธีแก้ปัญหามากมายสำหรับการอนุญาตให้ Google Apps ใช้บริการโฆษณาและ LDAP จากภายนอกเพื่อเข้าสู่ระบบ อย่างไรก็ตามฉันมีผู้ใช้งานจำนวนมากที่ตั้งค่าไว้ใน Google Apps แล้วและฉันกำลังพยายามไปอีกทางหนึ่ง นั่นคือฉันต้องการอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้เซิร์ฟเวอร์ภายนอกของฉันโดยใช้บัญชีที่ฉันสร้างใน Google Apps มีใครค้นพบวิธีการใช้โดเมน Google Apps ในฐานะ Open Directory, Active Directory หรือผู้ให้บริการ LDAP ได้สำเร็จหรือไม่

29 active-directory  ldap  g-suite  opendirectory