คำถามติดแท็ก active-directory

เราเป็นร้านเล็ก ๆ ที่ใช้งาน Google Apps (Enterprise) สำหรับความต้องการทางอีเมลของเรา รักมัน ภายในเราใช้ Windows AD (2003) ไม่มีการร้องเรียนอย่างใดอย่างหนึ่ง ฉันต้องการได้รับวิธีการบางอย่างของ SSO ระหว่าง AD และ Google Apps เช่นนั้น AD เป็นที่เดียวที่คนของฉันต้องจัดการ (และเปลี่ยนรหัสผ่านเป็นระยะ)! ฉันเคยดู "tfm" ของ Google ในอดีต แต่ฉันเดาว่าฉันไม่เข้าใจเลย มีใครทำเช่นนี้? ถ้าเป็นเช่นนั้นคุณยินดีที่จะแบ่งปันอย่างไร สามารถทำได้โดยไม่ต้องใช้ความซับซ้อนและค่าใช้จ่ายจำนวนมากหรือไม่?

15 active-directory  g-suite  single-sign-on 

มีโปรแกรมบรรทัดคำสั่งที่คุณสามารถใช้ได้หรือไม่?

15 active-directory  kerberos  ntlm 

ฉันสะดุดกับพฤติกรรมแปลก ๆ กับเครื่อง Windows ซึ่งดูเหมือนว่าจะสอดคล้องกันระหว่าง Windows ทุกรุ่นตั้งแต่ Vista / 2008 ถึง 8.1 / 2012 R2; มันจะไม่เกิดขึ้นแทนเมื่อใช้ Windows XP หรือ Windows Server 2003 ปัญหาคือ: เมื่ออะแดปเตอร์เครือข่ายถูกกำหนดค่าสำหรับ DHCP และเซิร์ฟเวอร์ DHCP ไม่ได้ลงทะเบียนระเบียน DNS ในนามของลูกค้า (เพราะไม่สามารถหรือเพราะไม่ได้กำหนดค่าให้ทำ) จากนั้นระเบียน A ไปข้างหน้า ได้รับการลงทะเบียน แต่บันทึก PTR ย้อนกลับไม่ได้ รายละเอียดเพิ่มเติมบางส่วน: ทั้งไปข้างหน้าและโซน DNS ย้อนกลับเป็น AD-integrated และยอมรับการปรับปรุงแบบไดนามิก คอมพิวเตอร์ทุกเครื่องเข้าร่วมกับโดเมน คอมพิวเตอร์ทุกเครื่องใช้เซิร์ฟเวอร์ DNS ภายในที่ถูกต้องทั้งเมื่อกำหนดค่าแบบคงที่และเมื่อได้รับการกำหนดค่าจาก DHCP "ลงทะเบียนที่อยู่การเชื่อมต่อนี้ใน …

15 windows  domain-name-system  active-directory  dhcp  ptr-record 

ฉันกำลังใช้โดเมนexample.orgของฉันใน บริษัท ของฉัน ฉันสามารถใช้www.example.orgเพื่อดูเว็บไซต์ของฉัน ถ้าฉันลองhttp://example.orgจากนอก บริษัท ของฉันไม่มีปัญหา แต่ถ้าฉันลองจากภายในเซิร์ฟเวอร์ DNS windows ของฉันจะส่ง IP ของตัวควบคุมโดเมน ฉันจะแก้ปัญหานี้ได้อย่างไร ฉันสามารถป้องกันไม่ให้ DC ของฉันลงทะเบียนexample.orgใน DNS ของฉันและนี่จะเป็นปัญหาสำหรับสภาพแวดล้อมของฉันหรือไม่?

15 domain-name-system  active-directory  domain 

ถ้าฉันต้องการกำหนดตัวควบคุมโดเมนฉันจะบอกว่า DC คือที่ติดตั้ง Active Directory หรือ Acitve Directory หมายถึง: การรับรองความถูกต้องจากส่วนกลางและการจัดการและตัวควบคุมโดเมน = ADDS + DNS แต่ฉันได้รับสับสนเมื่อฉันอ่านที่นี่ว่า ฉันยังคิดว่ามันเป็นเรื่องง่ายมากที่จะพูดว่า DOMAIN CONTROLLER == ACTIVE DIRECTORY ซึ่งไม่ใช่กรณี ฉันต้องการรู้ว่ามันถูกหรือผิด? ถ้าผิดแล้วความแตกต่างคืออะไร?

14 active-directory  domain-controller 

เราพบบัญชีผู้ดูแลโดเมนซึ่งเราไม่ได้ใช้ยกเว้นในกรณีที่มีสถานการณ์การกู้คืนความเสียหาย - มีวันที่ล่าสุดในแอตทริบิวต์ LastLogonTimeStamp เท่าที่ฉันทราบไม่มีใครควรใช้บัญชีนี้ในช่วงเวลาที่เกี่ยวข้อง (และอีกหลายเดือน) แต่บางทีคนบ้าบางคนได้กำหนดให้ทำงานตามกำหนดเวลา เนื่องจากปริมาณของเหตุการณ์ที่เกิดขึ้นเข้าสู่ระบบการรักษาความปลอดภัย (และขาดเครื่องมือ SIEM สำหรับการวิเคราะห์) ผมอยากจะตรวจสอบว่าซีมีจริงlastLogonเวลา (เช่นไม่แอตทริบิวต์จำลอง) สำหรับบัญชี แต่ผมได้สอบถามทุก DC ในโดเมน และพวกเขาแต่ละคนมีการเข้าสู่ระบบล่าสุดเป็น "none" สำหรับผู้ดูแลระบบ นี่คือโดเมนลูกในฟอเรสต์ดังนั้นจึงเป็นไปได้ว่ามีคนใช้บัญชีผู้ดูแลโดเมนลูกนี้เพื่อเรียกใช้บางอย่างในโดเมนแม่ ใครบ้างคิดวิธีที่จะตรวจสอบว่า DC ใดกำลังทำล็อกออนนอกเหนือจากการตรวจสอบเหตุการณ์ที่อาจเกิดขึ้น 20 ล้านเหตุการณ์จาก DC 16 ฟอเรสต์รอบเวลาที่บันทึกไว้ใน LastLogonTimestamp ฉันคิดว่าฉันสามารถกำหนดเป้าหมายโดเมนหลักของ DC เป็นอันดับแรกได้ (เนื่องจาก DC เด็กนั้นไม่ได้ทำการตรวจสอบสิทธิ์) คำอธิบาย [เพิ่มหลังจาก zeroing in บนสาเหตุหลังจากใช้งานrepadminตามด้านล่าง] เหตุผลดั้งเดิมสำหรับคำขอนี้เกิดจากทีมความปลอดภัยด้านไอทีของเราซึ่งสงสัยว่าทำไมเราจึงเข้าสู่ระบบด้วยบัญชีผู้ดูแลโดเมนเริ่มต้นเป็นประจำ เรารู้ว่าเราไม่ได้เข้าสู่ระบบ ปรากฎว่ามีกลไกที่เรียกว่า "Kerberos S4u2Self" นั่นคือเมื่อกระบวนการเรียกใช้ทำงานเป็น Local System กำลังทำการเพิ่มระดับสิทธิ์ …

14 active-directory  security  domain 

เรากำลังเตรียมสถานการณ์เมื่อบัญชีใดบัญชีหนึ่งในโดเมนถูกบุกรุก - จะทำอย่างไรต่อไป การปิดใช้งานบัญชีจะเป็นคำตอบแบบแรกของฉัน แต่เรามีเพนเทอร์เตอร์ที่นี่เมื่อไม่กี่สัปดาห์ที่ผ่านมาและพวกเขาสามารถใช้การเข้าสู่ระบบที่แฮชของผู้ใช้ที่เป็นผู้ดูแลระบบเมื่อสองสามเดือนที่ผ่านมา คำตอบสองข้อของเราคือ: ลบบัญชีและสร้างใหม่ (สร้าง SID ใหม่ แต่ก็มีละครมากขึ้นสำหรับผู้ใช้และทำงานให้เราด้วย) เปลี่ยนรหัสผ่านอย่างน้อย 3 ครั้งและปิดการใช้งานบัญชี วิธีการของคุณจะเป็นอย่างไรหรือคุณจะแนะนำอะไร

14 active-directory  security 

เอกสารมีตัวอย่างเช่น: New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true จำเป็นต้องใช้พารามิเตอร์นี้ อะไรคือจุดประสงค์ของ a DNSHostNameและฉันจะตัดสินใจได้อย่างไรว่าจะตั้งเป็นอย่างไร

14 active-directory 

เมื่อใดก็ตามที่ผมทำงานตัวช่วยสร้างผลนโยบายกลุ่มและเลือก Domain Controller เป็นเครื่องคอมพิวเตอร์เป้าหมายการแสดงสรุปBUILTIN\Administratorsในรายการของ "การรักษาความปลอดภัยกลุ่มสมาชิกเมื่อนโยบายกลุ่มถูกนำมาใช้" ภายใต้การกำหนดค่าคอมพิวเตอร์ที่แสดงด้านล่าง: (เหลือชื่อโดเมนผู้ใช้และคอมพิวเตอร์) เนื่องจาก Domain Controllers ไม่ได้เป็นสมาชิกของผู้ดูแลระบบ (อย่างน้อยไม่ได้มาจากสิ่งที่ฉันเห็นใน ADUC) คำถามของฉันคืออะไรทำไม? ตัวควบคุมโดเมนจริง ๆ แล้วเป็นสมาชิกของกลุ่มผู้ดูแลหรือ GPResults ผิด (และทำไม)

14 windows-server-2008  active-directory  group-policy  domain-controller 

ปัญหาพื้นฐานที่ฉันมีคือฉันมีใบรับรองเครื่องที่ไร้ประโยชน์มากกว่า 100,000 รายการทำให้ CA ของฉันยุ่งเหยิงและฉันต้องการลบโดยไม่ต้องลบ certs ทั้งหมดหรือกระโดดเซิร์ฟเวอร์ไปข้างหน้า ที่นั่น สิ่งนี้เกิดขึ้นจากการยอมรับการเริ่มต้นสองสามครั้งกับ Enterprise Root CA (2008 R2) ของเราและการใช้GPOเครื่องไคลเอนต์ลงทะเบียนอัตโนมัติเพื่อขอใบรับรองเพื่ออนุญาตการ802.1xรับรองความถูกต้องกับเครือข่ายไร้สายขององค์กรของเรา ปรากฎว่าค่าเริ่มต้นComputer (Machine) Certificate Templateจะช่วยให้เครื่องลงทะเบียนได้อย่างมีความสุขแทนการสั่งให้ใช้ใบรับรองที่มีอยู่แล้ว นี่คือการสร้างปัญหาจำนวนหนึ่งสำหรับผู้ชาย (ฉัน) ที่หวังว่าจะใช้ Certificate Authority มากกว่าบันทึกของทุกครั้งที่มีการรีบูตเครื่อง (แถบเลื่อนด้านข้างกำลังโกหกหากคุณลากไปด้านล่างหน้าจอจะหยุดชั่วคราวและโหลดสองสามโหลถัดไป) ไม่มีใครรู้วิธีลบ 100,000 หรือใบรับรองที่ถูกต้องเวลาที่มีอยู่จาก Windows Server 2008R2 CA หรือไม่ เมื่อฉันไปลบใบรับรองตอนนี้ฉันได้รับข้อผิดพลาดว่าไม่สามารถลบได้เนื่องจากยังใช้งานได้ ดังนั้นวิธีที่ดีที่สุดที่จะหลีกเลี่ยงข้อผิดพลาดนั้นชั่วคราวเนื่องจาก Mark Henderson ได้จัดเตรียมวิธีการลบใบรับรองด้วยสคริปต์เมื่อมีการล้างสิ่งกีดขวาง (การเพิกถอนนั้นไม่ใช่ตัวเลือกเนื่องจากเพิ่งย้ายไปRevoked Certificatesที่ซึ่งเราต้องสามารถดูได้และไม่สามารถลบออกจาก "โฟลเดอร์" ที่ถูกเพิกถอนได้) ปรับปรุง: ฉันลองไซต์ @MarkHenderson ที่เชื่อมโยงซึ่งมีแนวโน้มและให้การจัดการใบรับรองที่ดีกว่ามาก แต่ก็ยังไม่ถึง การถูในกรณีของฉันดูเหมือนว่าใบรับรองยังคงเป็น "เวลาถูกต้อง" …

14 windows  active-directory  windows-server-2008-r2  group-policy  certificate-authority 

ฉันมีสภาพแวดล้อมขนาดเล็กที่ใช้ Windows 2008 R2 ซึ่งบริการ DHCP บนตัวควบคุมโดเมนล้มเหลวทุกสองสัปดาห์ ข้อผิดพลาดที่มองเห็นได้มากที่สุดคือEvent ID 1059และข้อความ Event Viewer คือ: "The DHCP service failed to see a directory server for authorization." การตั้งค่าประกอบด้วยตัวควบคุมโดเมนสองรายการและบริการและบทบาทปกติ (ไฟล์, พิมพ์, Exchange) การเริ่มบริการใหม่ล้มเหลวด้วยเหตุผลหลายประการ ฉันมีข้อความต่อไปนี้ในเวลาที่ต่างกัน: "ที่เก็บข้อมูลไม่เพียงพอสำหรับการดำเนินการนี้ให้เสร็จ" "ไม่สามารถระบุรุ่นเซิร์ฟเวอร์ DHCP สำหรับเซิร์ฟเวอร์ 192.168.xx" "บริการ DHCP ตรวจพบว่ากำลังทำงานอยู่บน DC และไม่มีการกำหนดค่าข้อมูลรับรองสำหรับใช้กับการลงทะเบียน DNS แบบไดนามิกที่เริ่มต้นโดยบริการ DHCP" การเริ่มระบบตัวควบคุมโดเมนใหม่จะช่วยแก้ปัญหานี้ได้ประมาณ 2 สัปดาห์ ระบบเสมือนจริงและไม่มีปัญหาการเชื่อมต่อเครือข่าย ความคิดใด ๆ เกี่ยวกับสิ่งที่เกิดขึ้นที่นี่ …

14 windows-server-2008  active-directory  dhcp-server 

เรามีสำนักงานสาขาหลายแห่งที่มีเซิร์ฟเวอร์ AD / DNS จะทำให้ประสบการณ์การใช้งานของผู้ใช้แตกต่างกันมาก มีลักษณะดังต่อไปนี้: ไม่มีห้องเซิร์ฟเวอร์ที่มีเครื่องปรับอากาศและไม่มีงบประมาณในการตั้งค่า สำนักงานตั้งอยู่ในประเทศกำลังพัฒนาดังนั้นอุณหภูมิความชื้นและฝุ่นละอองจึงสูง ไม่มีพนักงานไอทีในสำนักงานเหล่านี้ การรับชิ้นส่วนทดแทนโดยทั่วไปหมายถึงการส่งบางอย่างจากยุโรป ฟอร์มแฟคเตอร์ขนาดเล็กเป็นที่ต้องการเนื่องจากความท้าทายด้านลอจิสติกส์ในการขนส่งอุปกรณ์ไปยังสำนักงาน สำนักงานมีผู้ใช้ 2-25 คน ฉันคิดถึงความเป็นไปได้ในการปรับใช้มินิพีซีที่ใช้แฟลชเป็นพลังงานต่ำซึ่งใช้ Windows 2008 R2 เป็นตัวควบคุมโดเมนแบบอ่านอย่างเดียว ฉันเห็นว่าเป็นไปได้ที่จะรับอุปกรณ์ Mini ITX ที่มีโปรเซสเซอร์ Atom 1.6GHz, RAM 2Gb และหน่วยความจำแฟลชตาม mSATA (32Gb) (เช่นSoekris net6501-70 ) ดูเหมือนว่าจะตอบสนองความต้องการขั้นต่ำสำหรับการเรียกใช้ Windows Server 2008 R2 มีใครบ้างที่นำระบบการผลิตออกมาเช่นนี้และแบ่งปันประสบการณ์ได้บ้าง ฉันผิดที่คิดว่าไดรฟ์แบบไม่มีพัดลม / โซลิดสเตตได้รับสภาพแวดล้อมที่ดีขึ้นหรือไม่ พื้นที่เก็บข้อมูล 32Gb จะเพียงพอสำหรับการรัน RODC สำหรับขนาดโดเมนของเรา (ผู้ใช้ 800 คน, …

14 windows-server-2008  active-directory  hardware 

บริษัท ของฉันกำลังมองหาที่จะลองและทำเวอร์ชวลเซิร์ฟเวอร์ทั้งหมดของเราและเรากำลังพยายามหาว่าการทำเวอร์ชวลไลเซชันแอคทีฟเสมือนเป็นความคิดที่ดีหรือไม่ มันเป็นสิ่งที่สามารถทำได้และถ้าเป็นเช่นนั้นจะมีข้อเสียใด ๆ ที่มีการตั้งค่าด้วยวิธีนี้ เครือข่ายของฉันตั้งค่าด้วยเซิร์ฟเวอร์จริงหลายเซิร์ฟเวอร์เสมือนและ SAN หากคุณต้องการข้อมูลเพิ่มเติมโปรดแจ้งให้เราทราบ

14 active-directory  virtualization 

ฉันเป็นนักพัฒนาที่องค์กรของฉัน แต่ฉันได้รับมอบหมายให้รีเซ็ตรหัสผ่านสำหรับผู้ใช้อีเมล 10k ใน OU ใน Active Directory ฉันได้รับการอนุญาตที่เหมาะสมจากนั้นส่งบทความ TechNetต่อไปนี้แต่ฉันไม่แน่ใจว่าจะใช้งานที่ใดหรือทำงานได้อย่างไร ฉันขอโทษถ้าคำถามนี้คลุมเครือเกินไป แต่ฉันไม่แน่ใจว่าฉันจะถามคำถามอื่นได้ที่ไหน (ฉันจะขอดูแลระบบที่องค์กรของฉัน ใครสามารถให้บทสรุปสิ่งที่ cmdlet นี้ทำกับฉันได้และฉันจะดำเนินเรื่องนี้อย่างไร

14 active-directory 

ฉันมีกล่องลินุกซ์บางตัวที่ใช้การรับรองความถูกต้องของ Windows Active Directory ซึ่งใช้งานได้ดี (Samba + Winbind) สิ่งที่ฉันต้องการจะทำในขณะนี้คืออนุญาตเฉพาะบางคนหรือบางกลุ่มที่จะเข้าสู่ระบบโดยใช้ข้อมูลประจำตัวของ Active Directory ขณะนี้ทุกคนที่มีบัญชีโฆษณาที่ถูกต้องสามารถเข้าสู่ระบบได้ ฉันต้องการ จำกัด สิ่งนี้เพียงไม่กี่กลุ่ม เป็นไปได้หรือไม่

14 linux  active-directory  samba  ldap  winbind