คำถามติดแท็ก active-directory

เมื่อเร็ว ๆ นี้ฉันอยู่ในสภาพแวดล้อมที่มี 120 โดเมนคอนโทรลเลอร์ในกว่า 100 ไซต์ทั่วโลก โดเมนนี้เริ่มต้นในยุค Windows 2000 และได้รับการอัปเกรดเมื่อเวลาผ่านไปดังนั้นความสอดคล้องของการจำลองแบบที่เข้มงวดจึงไม่เคยถูกกำหนดเป็นค่าเริ่มต้นสำหรับ DCs ใหม่และไม่เคยเปิดใช้งานใน DC ใด ๆ มีวัตถุที่ค้างอยู่ในไดเรกทอรีและคุณจะเห็นวัตถุที่ขัดแย้งจำนวนพอสมควรเนื่องจากสิ่งนี้ การใช้repadmin /removelingeringobjectsต้องรู้สองสิ่ง: DC ใดที่มีออบเจ็กต์ที่อืดอาดอยู่ในฐานข้อมูล DC ที่ไม่มีวัตถุที่ค้างอยู่เพื่อใช้เป็น DC อ้างอิง เห็นได้ชัดว่าในอนาคตสภาพแวดล้อมนี้ควรได้รับการตั้งค่าเพื่อให้พลใหม่ทั้งหมดมีการจำลองแบบสอดคล้องเข้มงวดการบังคับใช้และrepadmin /options * +strictควรจะทำงานเพื่อให้ทุก DCs ปัจจุบันใช้ความสอดคล้องการจำลองแบบเข้มงวดแต่ที่จะทำลายการจำลองแบบตอนนี้ไม่มีการทำความสะอาดวัตถุ ดังนั้นคำถามของฉันคือสิ่งนี้: ในสภาพแวดล้อมขนาดใหญ่ที่ฉันไม่มีความคิดว่า DCs มีวัตถุอืดอาดและสิ่งใดที่ไม่มีฉันจะระบุ DC อ้างอิงที่ดีสำหรับrepadmin /removelingeringobjectsการใช้งานได้อย่างไรและฉันจะมั่นใจได้อย่างไรว่า 120 + ทั้งหมด DCs มีความสะอาดของวัตถุที่ยังอืดอาดอยู่ก่อนที่จะบังคับใช้ความสอดคล้องของการจำลองแบบที่เข้มงวด หรือว่าง่ายกว่าที่จะเปิดโหมดเข้มงวดและดูrepadmin /replsumเพื่อดูว่าตัวแบ่งและจัดการกับมันเป็นอย่างไร

16 windows  active-directory 

ในเครือข่ายของเราชื่อโดเมนเครือข่ายเป็นโดเมนของเว็บไซต์ขององค์กร (พูดด้วยexample.com) ภายนอกผู้คนสามารถเข้ามาexample.comเยี่ยมชมเว็บไซต์ของเราได้ แต่ภายในนี้ชี้ไปที่หนึ่งในหลาย ๆ ตัวควบคุมโดเมนที่เรามีสำหรับ Active Directory ซึ่งบางส่วนไม่ได้เรียกใช้เว็บเซิร์ฟเวอร์ ด้วยเหตุนี้ลิงก์ที่http://example.comจะไม่ทำงานภายใน ( only www.example.comทำงานภายใน) เราจะชี้คำขอ http ไปยังเว็บเซิร์ฟเวอร์อย่างโปร่งใสได้อย่างไรและมีผลข้างเคียงอะไรบ้าง

16 windows  domain-name-system  active-directory 

นี่คือ บริษัท ขนาดเล็ก (นักพัฒนา 12 คน) ที่ไม่ได้ใช้ฐานข้อมูลผู้ใช้จากส่วนกลาง - พวกเขาเติบโตขึ้นอย่างเป็นธรรมชาติและเพิ่งสร้างบัญชีบนคอมพิวเตอร์ตามที่พวกเขาต้องการ จากมุมมองของผู้บริหารมันเป็นฝันร้าย - คอมพิวเตอร์ 10 เครื่องที่มีบัญชีผู้ใช้ต่างกัน หากผู้ใช้ถูกเพิ่มไปยังคอมพิวเตอร์เครื่องหนึ่งพวกเขาจะต้องเพิ่มด้วยตนเองในคนอื่น ๆ ทั้งหมด (ที่พวกเขาจำเป็นต้องเข้าถึง) มันไกลจากอุดมคติ การก้าวไปข้างหน้าและการเติบโตของธุรกิจจะหมายถึงการทำงานที่เพิ่มขึ้นอย่างทวีคูณเมื่อมีการเพิ่ม / จ้างคอมพิวเตอร์ / ผู้ใช้มากขึ้น ฉันรู้ว่าบางชนิดของการจัดการผู้ใช้จากส่วนกลางเป็นสิ่งจำเป็นอย่างมาก อย่างไรก็ตามฉันกำลังถกเถียงกันระหว่าง Active Directory กับ OpenLDAP เซิร์ฟเวอร์สองตัวปัจจุบันทำหน้าที่เป็นเซิร์ฟเวอร์สำรองข้อมูลและการแชร์ไฟล์อย่างง่ายทั้งสองทำงานกับ Ubuntu 8.04LTS คอมพิวเตอร์มีการผสมผสานระหว่าง Windows XP และ Ubuntu 9.04 ฉันไม่เคยมีประสบการณ์กับ Active Directory (หรือ OpenLDAP จริง ๆ สำหรับเรื่องนั้น แต่ฉันพอใจกับ Linux) แต่ถ้ามีวิธีใดวิธีหนึ่งที่มากกว่าโซลูชันอื่นฉันควรเรียนรู้สิ่งนั้น …

16 ubuntu  active-directory  openldap  small-business 

เช่นฉันคิดว่าผู้คนจำนวนมากเรามีสภาพแวดล้อม Windows / Active Directory และแอพทางธุรกิจภายในจำนวนมากที่ต้องการ Java ประสบการณ์ของเราคือ Java ไม่เล่นได้ดีในสภาพแวดล้อมเครือข่ายขององค์กร การติดตั้งครั้งแรกนั้นใช้ได้ (อย่างน้อยวันนี้มี MSI) แต่การรักษาสิ่งต่าง ๆ ให้กลายเป็นเรื่องที่ท้าทาย ปัญหาเฉพาะที่เราพบ ได้แก่ : Java มีตัวอัปเดตของตัวเองและดังนั้นจึงไม่ได้ผูกเข้ากับระบบการจัดการแพทช์ภายในของเรา ไม่มีเครื่องมือใด ๆ สำหรับการจัดการการตั้งค่า Java ผ่าน GPO ข้อกำหนดสำหรับผู้ใช้เพื่อกำหนดการตั้งค่าบางอย่างด้วยตนเอง รันไทม์ Java หลายรายการในแต่ละเครื่อง (Oracle Jinitiator เป็นตัวการเฉพาะที่นี่) ไฟล์การตั้งค่าที่สำคัญที่จัดเก็บอยู่ภายใต้โฟลเดอร์ Program Files กับเราส่วนใหญ่เป็นชุดของสคริปต์การเข้าสู่ระบบและการแก้ไขปัญหาการแฮ็ก แต่ฉันสนใจที่จะได้ยินว่าคนอื่นจัดการรายการเหล่านี้อย่างไรและหากมีสิ่งอื่นใดที่เราต้องระวังที่นี่

16 windows  active-directory  java  group-policy 

เป็นการยากที่จะบอกสิ่งที่ถูกถามที่นี่ คำถามนี้คลุมเครือคลุมเครือไม่สมบูรณ์กว้างเกินไปหรือโวหารและไม่สามารถตอบได้อย่างสมเหตุสมผลในรูปแบบปัจจุบัน สำหรับความช่วยเหลือในการทำความเข้าใจคำถามนี้เพื่อที่จะสามารถเปิด, ไปที่ศูนย์ช่วยเหลือ ปิดให้บริการใน9 ปีที่ผ่านมา ต้องอ่านในบทความ Microsoft Docs เริ่มต้นกลุ่มคำอธิบายของทั้งสองกลุ่ม: ผู้ดูแลระบบโดเมน สมาชิกของกลุ่มนี้มีการควบคุมโดเมนอย่างสมบูรณ์ โดยค่าเริ่มต้นกลุ่มนี้เป็นสมาชิกของกลุ่มผู้ดูแลระบบในตัวควบคุมโดเมนทั้งหมดเวิร์กสเตชันโดเมนทั้งหมดและเซิร์ฟเวอร์สมาชิกโดเมนทั้งหมดในเวลาที่เข้าร่วมกับโดเมน โดยค่าเริ่มต้นบัญชีผู้ดูแลระบบเป็นสมาชิกของกลุ่มนี้ เนื่องจากกลุ่มมีการควบคุมอย่างสมบูรณ์ในโดเมนให้เพิ่มผู้ใช้ด้วยความระมัดระวัง " ผู้ดูแลระบบ สมาชิกของกลุ่มนี้มีการควบคุมเต็มรูปแบบของตัวควบคุมโดเมนทั้งหมดในโดเมน โดยค่าเริ่มต้นกลุ่ม Domain Admins และ Enterprise Admins เป็นสมาชิกของกลุ่ม Administrators บัญชีผู้ดูแลระบบยังเป็นสมาชิกเริ่มต้น เนื่องจากกลุ่มนี้มีการควบคุมเต็มรูปแบบในโดเมนเพิ่มผู้ใช้ด้วยความระมัดระวัง " และระบุว่าบทความเดียวกันทั้งสองกลุ่มมีคำอธิบายที่เหมือนกันเกี่ยวกับสิทธิ์ผู้ใช้เริ่มต้น : เข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย ปรับโควต้าหน่วยความจำสำหรับกระบวนการ สำรองไฟล์และไดเรกทอรี; บายพาสการตรวจสอบข้าม; เปลี่ยนเวลาของระบบ สร้าง pagefile; ดีบักโปรแกรม เปิดใช้งานบัญชีคอมพิวเตอร์และผู้ใช้ที่เชื่อถือได้สำหรับการมอบสิทธิ์ บังคับให้ปิดระบบจากระยะไกล เพิ่มลำดับความสำคัญของตาราง โหลดและยกเลิกการโหลดไดรเวอร์อุปกรณ์ อนุญาตให้เข้าสู่ระบบในเครื่อง จัดการการตรวจสอบและบันทึกความปลอดภัย แก้ไขค่าสภาพแวดล้อมของเฟิร์มแวร์ โพรไฟล์กระบวนการเดียว ประสิทธิภาพของระบบโปรไฟล์ นำคอมพิวเตอร์ออกจากสถานีขยาย กู้คืนไฟล์และไดเรกทอรี; …

16 active-directory  domain-controller  groups 

ฉันเพิ่งซื้อเซิร์ฟเวอร์ใหม่ที่จะเป็นตัวควบคุมโดเมนหลักใหม่ ฉันสงสัยว่าถ้าใครรู้บทความหรือแบบฝึกหัดเกี่ยวกับการเปลี่ยนแปลงนี้จะทำอย่างไร? ฉันคิดว่ามันเป็นเพียงการตั้งค่าบทบาทและนำเข้าข้อมูลสำรองของ Active Directory จากตัวควบคุมโดเมนเก่า ฉันแค่ต้องการให้แน่ใจว่าฉันจะไม่พลาดงานสำคัญ ๆ ในระหว่างนั้น

15 active-directory  domain-controller 

ฉันกำลังทำงานกับการเริ่มต้นที่สอนให้เด็กรู้จักโปรแกรม เราเพิ่งได้รับแล็ปท็อป "กองทัพเรือ" เครื่องแรก - ครึ่งโหลที่ได้รับการตกแต่งใหม่ซึ่งใช้ Windows 7 - และฉันกำลังมองหาวิธีที่ดีที่สุดในการดูแลและบำรุงรักษา ฉันได้พิจารณาแล้วว่าดูเหมือนจะเหมาะสมที่จะซื้อคีย์ลิขสิทธิ์แบบจำนวนมากดังนั้นฉันจึงสามารถใช้สิทธิ์ในการสร้างภาพใหม่และสร้างภาพลักษณ์ที่รู้จักดีเพียงภาพเดียวที่ฉันสามารถเขียนถึงพวกเขาทั้งหมดและใช้ในการล้างคอมพิวเตอร์ทุกครั้งที่ต้องการ . สิ่งที่ฉันสงสัยในตอนนี้คือวิธีที่ดีที่สุดในการจัดการพวกเขาอย่างต่อเนื่อง แล็ปท็อปจะทำงานบนเครือข่ายที่หลากหลาย - ไม่มีพวกเราควบคุม - และเราไม่มีสำนักงานหรือเซิร์ฟเวอร์ส่วนกลาง เราไม่อยากได้อะไรเลย ฉันต้องการที่จะสามารถผลักดันการอัปเดตและซอฟต์แวร์ใหม่ไปยังแล็ปท็อปทั้งหมดได้อย่างง่ายดายรวมถึงทำสิ่งต่าง ๆ เช่นการกำหนดค่าบัญชีผู้ดูแลระบบจากระยะไกลและการจัดการแพตช์เพื่อให้แน่ใจว่าแล็ปท็อปนั้นทันสมัย เนื่องจากการเริ่มต้นเล็ก ๆ เงินทุนมี จำกัด และเงินที่ใช้จ่ายกับใบอนุญาตซอฟต์แวร์คือเงินที่เราสามารถใช้กับฮาร์ดแวร์ได้มากขึ้นดังนั้นโซลูชันที่มีราคาแพงจึงไม่น่าไป ใครบ้างมีคำแนะนำสำหรับวิธีที่เราสามารถทำได้อย่างง่ายดายที่สุด?

15 windows  active-directory  laptop  patch-management 

ฉันมีคอมพิวเตอร์ที่ใช้ Windows 7 ในโดเมนของฉันซึ่งทำงานผิดปกติ เป็นไปได้ที่จะ ping www.google.com มันสามารถ ping โฮสต์ภายในโดยใช้ที่อยู่ IP ของพวกเขา มันสามารถ ping เซิร์ฟเวอร์โดเมนคอนโทรลเลอร์ / DNS ภายในเครื่องสำหรับสำนักงานนั้นโดยใช้ชื่อโฮสต์และที่อยู่ IP ไม่สามารถ ping โฮสต์ภายในอื่น ๆ โดยใช้ชื่อโฮสต์หรือ FQDN ลูกค้าไม่ได้ลงทะเบียนตัวเองใน DNS nslookup สามารถแก้ไขชื่อโฮสต์ภายในเป็นที่อยู่ IP ที่ถูกต้องและใช้เซิร์ฟเวอร์ DNS ที่ถูกต้อง ไคลเอนต์ได้รับการตั้งค่า IP ผ่าน DHCP เหมือนกับไคลเอนต์อื่น - มีที่อยู่ในซับเน็ตที่ถูกต้องเซิร์ฟเวอร์ DNS ที่ถูกต้องใช้และมีส่วนต่อท้ายที่ถูกต้องเพิ่มเพื่อแก้ไขชื่อโฮสต์ การเชื่อมต่อเครือข่ายท้องถิ่นจะแสดงชื่อ SSID ที่ใช้ก่อนหน้านี้ในพื้นที่ที่จะใช้เพื่อแสดงชื่อโดเมนหรือสถานะ WiFi - ดูภาพ ฉันงงงันจริงๆว่าทำไมสิ่งนี้อาจเกิดขึ้น เนื่องจากการแก้ปัญหา …

15 domain-name-system  active-directory  windows-7 

สถานการณ์: ในขณะที่ DC ของฉันกำลังทำงานฉันลงชื่อเข้าใช้เครื่องโดยพลการ ฉันหยุด DC ฉันออกจากระบบโดยพลการ ลองเด้งกันดีกว่า เมื่อเครื่องกลับมาฉันยังคงสามารถเข้าสู่ระบบด้วยข้อมูลรับรองโดเมนของฉันแม้ว่า DC จะไม่ทำงาน ทำไมและอย่างไร มีการเล่นแคชข้อมูลประจำตัวบางส่วนในเครื่อง "โดยพลการ" หรือไม่? รหัสผ่านของฉันถูกแฮชและเก็บไว้อย่างใดอย่างหนึ่งในอนาคตในกรณีที่ DC ระเบิดขึ้นหรือลง? กระบวนการเดียวกันนี้จะทำงานได้หรือไม่ถ้าฉันพยายามลงชื่อเข้าใช้ในกล่องที่ฉันไม่เคยลงชื่อเข้าใช้มาก่อนในขณะที่ DC หยุดทำงาน

15 windows  active-directory  domain-controller 

ฉันไม่มีพื้นหลังที่แข็งแกร่งที่สุดในการรักษาความปลอดภัยคอมพิวเตอร์ แต่เมื่อวานนี้หนึ่งในเซิร์ฟเวอร์ของ บริษัท ของฉันถูกปิดโดยโฮสต์ของเรา เป็นเซิร์ฟเวอร์ที่กำหนด IP สาธารณะที่ฉันโฮสต์หลาย ๆ แอปพลิเคชันบริการเว็บรวมถึงเว็บไซต์และ API ฉันได้รับแจ้งว่าเซิร์ฟเวอร์ของฉัน "กำลังเรียกใช้ตัวแก้ไข DNS แบบเปิดซึ่งใช้ในการถ่ายทอดการปฏิเสธการโจมตีบริการไปยังเอนทิตีภายนอก" สิ่งนี้หมายความว่า? การโจมตีครั้งนี้ทำงานอย่างไร และฉันจะป้องกันระบบของฉันจากการถูกทารุณกรรมเช่นนี้ได้อย่างไร ในกรณีเฉพาะของฉันเซิร์ฟเวอร์ที่เป็นปัญหาอยู่ใน Windows Server 2012 และให้บริการ DNS สำหรับโดเมน Active Directory

15 domain-name-system  active-directory  windows-server-2012  ddos  security 

สถานการณ์ หากต้องการทำให้เรื่องนี้ง่ายขึ้นเป็นตัวอย่างที่ง่ายที่สุด: ฉันมี DC มาตรฐาน Windows 2008 R2 ที่มีบทบาทเซิร์ฟเวอร์ DHCP มันแจก IPs ผ่านขอบเขต IPv4 ที่หลากหลายไม่มีปัญหา ฉันชอบอะไร ฉันต้องการวิธีสร้างรายการแจ้งเตือน / เหตุการณ์บันทึก / คล้ายกันทุกครั้งที่อุปกรณ์ได้รับการเช่าที่อยู่ DHCP และอุปกรณ์นั้นไม่ใช่โดเมนที่เข้าร่วมคอมพิวเตอร์ใน Active Directory มันไม่สำคัญสำหรับฉันไม่ว่าจะเป็น Powershell ที่กำหนดเอง ฯลฯ Bottom line = ฉันต้องการทราบวิธีเมื่ออุปกรณ์ที่ไม่ใช่โดเมนอยู่ในเครือข่ายโดยไม่ใช้ 802.1X ในขณะนี้ ฉันรู้ว่านี่จะไม่ได้รับการพิจารณาว่าเป็นอุปกรณ์ IP แบบคงที่ ฉันมีซอฟต์แวร์ตรวจสอบที่จะสแกนเครือข่ายและค้นหาอุปกรณ์ แต่รายละเอียดค่อนข้างไม่ละเอียดนัก งานวิจัยเสร็จสิ้น / พิจารณาตัวเลือก ฉันไม่เห็นความเป็นไปได้เช่นนี้กับการบันทึกในตัว ใช่ฉันตระหนักถึง 802.1X และมีความสามารถในการใช้งานระยะยาวในสถานที่นี้ แต่เราอยู่ห่างจากโครงการเช่นนั้นและในขณะที่จะแก้ปัญหาการตรวจสอบเครือข่ายก็ยังมีประโยชน์สำหรับฉันนอก ของ 802.1X …

15 active-directory  windows-server-2008-r2  monitoring  dhcp  dhcp-server 

ฉันพบปัญหาที่ค่อนข้างน่าสนใจเมื่อเล่นกับหนึ่งในแล็บของโดเมนของฉัน มีไดเรกทอรีในไฟล์เซิร์ฟเวอร์ 2008 R2 ที่ใช้สำหรับการเปลี่ยนเส้นทางโฟลเดอร์สำหรับผู้ใช้ทั้งหมดใน OU "Staff" ไดเรกทอรีมีการตั้งค่าการอนุญาตดังต่อไปนี้: FILESERVER \ Administrators: อนุญาตการควบคุมเต็มรูปแบบไปยังไดเรกทอรีไดเรกทอรีย่อยและไฟล์ DOMAIN \ Domain Admins: อนุญาตให้ควบคุมไดเรกทอรีไดเรกทอรีย่อยและไฟล์ทั้งหมด ผู้ใช้ที่ได้รับการรับรองความถูกต้อง: อนุญาตให้สร้างไฟล์สร้างโฟลเดอร์เขียนคุณสมบัติและเขียนคุณสมบัติเพิ่มเติมลงในไดเรกทอรีบนสุดเท่านั้น นอกจากนี้ไดเรกทอรียังเป็นเครือข่ายที่ใช้ร่วมกันด้วย "อนุญาตการควบคุมเต็มรูปแบบ" ให้กับกลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้อง เมื่อผู้ใช้ john.doe สมาชิกของกลุ่มผู้ดูแลระบบโดเมนพยายามเข้าถึงไดเรกทอรีจาก fileserver เขาได้รับข้อผิดพลาด "คุณไม่ได้รับอนุญาตให้เข้าถึงโฟลเดอร์นี้" การพยายามเข้าถึงเครือข่ายที่ใช้ร่วมกันจากเซิร์ฟเวอร์เดียวกันยังส่งผลให้เกิดข้อผิดพลาดในการปฏิเสธสิทธิ์ (แม้ว่าผู้ใช้ยังสามารถเข้าถึงไดเรกทอรีของตัวเองได้ภายในการแชร์) การเข้าถึงการแชร์จากคอมพิวเตอร์เครื่องอื่นที่เข้าสู่ระบบในฐานะผู้ใช้เดียวกันอนุญาตให้เข้าถึงได้ตามที่กำหนดไว้ วิธีเดียวที่คุณสามารถเข้าถึงไฟล์ในไดเรกทอรีในขณะที่เข้าสู่ระบบไฟล์เซิร์ฟเวอร์คือการเปิดพร้อมท์คำสั่ง UAC ถูกปิดใช้งานสำหรับคอมพิวเตอร์ทุกเครื่องในโดเมนผ่านนโยบายกลุ่ม (เปิดใช้งานผู้ดูแลระบบทั้งหมดในโหมดการอนุมัติผู้ดูแลระบบและเปิดใช้งานพฤติกรรมเริ่มต้นเพื่อยกระดับโดยไม่ต้องแจ้งให้ทราบ) ถนนทุกสายชี้ไปที่ผู้ใช้ที่ได้รับอนุญาตให้เข้าถึง แต่ยังคงถูกปฏิเสธ ความคิดใด ๆ

15 windows  active-directory  permissions 

Windows Server ให้บริการหน่วยงานผู้ออกใบรับรอง อย่างไรก็ตามมันยังไม่ชัดเจนจากเอกสารของมันว่า (หรือถ้า) ใบรับรองรูทได้รับการแจกจ่ายให้กับลูกค้าอย่างไร คอมพิวเตอร์ที่เป็นสมาชิกของโดเมนเชื่อถือใบรับรองรูทโดยอัตโนมัติหรือไม่ ถ้าเป็นเช่นนั้นพวกเขาจะได้รับใบรับรองอย่างไรและเมื่อใด จำเป็นต้องมีการโต้ตอบกับผู้ใช้ใดเพื่อให้ติดตั้งหรือเชื่อถือใบรับรองหลักหรือไม่ ไคลเอนต์สำรวจความคิดเห็นของ Active Directory หรือไม่? อยู่ใน AD DNS หรือไม่ จะได้รับในระหว่างการเข้าสู่ระบบเท่านั้นหรือไม่ เกิดอะไรขึ้นถ้าสมาชิกโดเมน VPN จากระยะไกลเข้าสู่ LAN มีข้อแม้สำหรับไคลเอนต์ Windows รุ่นต่าง ๆ หรือไม่?

15 windows  active-directory  ad-certificate-services 

ฉันสามารถตั้งค่า Mercurial เพื่อตรวจสอบสิทธิ์ผู้ใช้ใน Active Directory ได้หรือไม่ ในกรณีของฉัน hg สามารถทำงานบน Windows, Linux หรือ FreeBSD ได้ แต่ฉันต้องใช้ผู้ใช้ AD หมายเหตุ: ถ้าเป็นไปได้โปรดชี้ให้ฉันดูการสอน

15 windows  active-directory  mercurial 

นี่คือสิ่งที่ฉันติดตั้งเมื่อเร็ว ๆ นี้และค่อนข้างเจ็บปวดมาก สภาพแวดล้อมของฉันเริ่มที่จะตกต่ำเพื่อรับรองความถูกต้องของไคลเอนต์ Windows 7 จาก Windows Server 2008 NTLM ไม่ใช่ตัวเลือกจริงๆเนื่องจากการใช้มันต้องการการเปลี่ยนแปลงรีจิสทรีในไคลเอนต์แต่ละตัว MS แนะนำให้ใช้ Kerberos ตั้งแต่ Windows 2000 ดังนั้นในที่สุดก็ถึงเวลาเข้าร่วมโปรแกรม ขอบคุณมากที่ Markus Moeller จากรายชื่อผู้รับจดหมาย Squid ที่ช่วยทำงานนี้

15 windows-server-2008  active-directory  windows-7  squid  kerberos