คำถามติดแท็ก active-directory

ฉันต้องการกำหนดค่า winrm ในไคลเอนต์ของฉันทั้งหมดโดยใช้ไฟล์ค้างคาว หลังจากรันwinrm quickconfigคำสั่งbat file จะมีพรอมต์ให้คำตอบใช่ / ไม่ใช่ ฉันไม่รู้วิธีตอบ "ใช่" ในไฟล์แบตช์

13 windows  active-directory  windows-server-2008-r2  winrm 

ฉันทำเครื่องควบคุมโดเมนของฉันหายแล้วเพิ่มโดเมนคอนโทรลเลอร์ใหม่ แต่ใช้โดเมนใหม่ ฉันจะลบเครื่องเครือข่ายออกจากโดเมนเก่าโดยใช้บรรทัดคำสั่งและเพิ่มไปยังโดเมนใหม่ได้อย่างไร เครื่องที่ใช้ Windows Server 2008 Core (บรรทัดคำสั่งเท่านั้น) net computer \\name del ทำงานบนตัวควบคุมโดเมนเท่านั้น sconfig เมื่อฉันพยายามออกจากโดเมนเก่าคอนโซลขอชื่อผู้ใช้และรหัสผ่านเพื่อออก ฉันพิมพ์แล้วรับข้อผิดพลาด "ไม่สามารถเชื่อมต่อกับโดเมน" (ไม่มีตัวควบคุมโดเมนเก่าอยู่) จะทำอย่างไร?

13 windows  active-directory  command-line-interface 

ฉันเคยเห็นคำถามและเอกสารอื่นเกี่ยวกับการทำสิ่งนี้ แต่มีบางสิ่งที่ยังคงทำให้ฉันสับสน นี่คือเอกสารและคำถามที่ฉันได้เห็น: ออกตัวควบคุมโดเมน Windows 2003 Dead การยึดบทบาท FSMOจาก Petri ใช้ NTDSUtil.exe เพื่อถ่ายโอนหรือยึดบทบาท FSMO ไปยังตัวควบคุมโดเมน - Microsoft Knowledgebase การจัดวางและเพิ่มประสิทธิภาพ FSMO บนตัวควบคุมโดเมน Active Directory - Microsoft Knowledgebase วิธีลบข้อมูลใน Active Directory หลังจากการลดระดับโดเมนคอนโทรลเลอร์ที่ไม่สำเร็จ สภาพแวดล้อมประกอบด้วยเซิร์ฟเวอร์ Windows สองเครื่องและไคลเอนต์จำนวนมาก ตัวควบคุมโดเมนคือ Windows 2003 SP2 ที่ทำงานพร้อมกับ Windows 2000 Native AD เซิร์ฟเวอร์อื่น (ไม่ใช่ DC เลย) คือ Windows 2000 SP4 …

13 windows-server-2003  active-directory  domain-controller 

ฉันเสียแล้วและส่วนใหญ่ทำงานกับ LDAP ของฉันกับ eDirectory ซึ่งมียูทิลิตีชื่อ DSTrace ที่น่ารักและสำหรับ LDAP โดยเฉพาะจะแสดงความพยายามในการเชื่อมโยงทั้งหมดของ IP ต้นทางการค้นหาที่ผ่านมาสรุป ของวัตถุที่ตรงกันกลับมา เมื่อทำการดีบั๊กแอปพลิเคชัน LDAP เช่นSAP GRCฉันสามารถที่จะเข้าใจได้ว่าแอปพลิเคชันทำอะไรผิดเพียงแค่เฝ้าดูสิ่งที่ทำ ฉันรู้ว่าบันทึกเหตุการณ์ความปลอดภัยจะมีข้อมูลบางอย่าง (พยายามผูกอย่างน้อย) แต่จะต้องมีวิธีที่ดีกว่านี้หรือไม่ มีฟังก์ชั่นดังกล่าวหรือไม่? ฉันเห็นคำถามการดีบักโฆษณาที่ใกล้เคียง แต่แนะนำกิจกรรมการเข้าสู่ระบบเท่านั้น ฉันต้องการมากขึ้นทุกวันเพื่อจัดการแอปพลิเคชัน LDAP

13 active-directory  ldap  trace 

เรามี WSUS ผลักดันการอัปเดตไปยังเวิร์คสเตชั่นของผู้ใช้และสิ่งต่างๆดำเนินไปได้ค่อนข้างดีด้วยคำเตือนที่น่ารำคาญ: ดูเหมือนว่าจะมีปัญหากับการแสดงป๊อปอัพต่อหน้าผู้ใช้บางคนแจ้งว่าเครื่องของพวกเขา นาทีและพวกเขาไม่มีอะไรจะพูดเกี่ยวกับมัน: อาจเป็นเพราะพวกเขาไม่ได้ออกจากระบบเมื่อคืนก่อน อย่างไรก็ตามนี่เป็นสิ่งที่มากเกินไปและไม่เป็นผลดีต่อผู้ใช้ของเรา นี่คือบิตเกี่ยวกับสภาพแวดล้อมของเรา: ผู้ใช้ของเรากำลังทำงานและเป็นส่วนหนึ่งของWindows XP Pro Active Directory DomainWSUS Group Policyจะถูกนำมาใช้ผ่านทาง นี่คือภาพรวมของ GPO ที่บังคับใช้กฎ WSUS: นี่คือวิธีที่ฉันต้องการให้ WSUS ทำงาน (นึกคิด - ฉันจะเอาทุกอย่างมาให้ฉันปิด): ฉันต้องการอัปเดตให้ดาวน์โหลดและติดตั้งโดยอัตโนมัติทุกคืน หากผู้ใช้ไม่ได้เข้าสู่ระบบฉันต้องการให้เครื่องรีบูต หากผู้ใช้เข้าสู่ระบบฉันต้องการให้เครื่องไม่รีบูต แต่ให้รอจนกระทั่ง "ช่วงเวลาการติดตั้ง" ถัดไปซึ่งสามารถทำการติดตั้งอื่น ๆ ที่จำเป็นและรีบูตได้ (ให้บัญชีผู้ใช้ยังไม่ได้เข้าสู่ระบบ) หากที่ผู้ใช้จะได้รับแจ้งสำหรับการรีบูตก็ควรจะเกิดขึ้นหนึ่งครั้งต่อวัน (ถ้าเป็นไปได้) แต่เวลาที่พวกเขาจะได้รับแจ้งทุกพวกเขาจะต้องมีวิธีการที่จะเลื่อนการรีบูตที่ ฉันไม่ต้องการให้ผู้ใช้ถูกบังคับให้รีสตาร์ทเครื่องคอมพิวเตอร์เมื่อใดก็ตามที่คอมพิวเตอร์คิดว่ามันควรจะเกิดขึ้น (เว้นแต่จะเป็นหลังการติดตั้งการอัปเดตและไม่มีผู้ใช้ที่ล็อกอิน) ดูเหมือนจะไม่เป็นผลดีที่จะบังคับให้ระบบเริ่มต้นใหม่ในระหว่างวันทำงานของบุคคล มีบางอย่างที่ฉันสามารถทำได้กับ GPO ที่จะช่วยให้ WSUS ลดการรบกวนได้หรือไม่ แม้ว่าจะให้ตัวเลือกแก่ผู้ใช้ในการเริ่มต้นใหม่ในภายหลัง - จะดีกว่าสิ่งที่เกิดขึ้นตอนนี้ แก้ไข …

13 windows-server-2008  active-directory  group-policy  wsus 

ฉันจะค้นหาบัญชี Active Directory ใหม่ที่สร้างขึ้นใน 90 วันที่ผ่านมาได้อย่างไร ไม่มีใครรู้ว่าใครที่จะทำเช่นนี้? ฉันคิดไม่ออก ขอบคุณล่วงหน้า.

13 active-directory 

ฉันกำลังตั้งค่าสภาพแวดล้อมการทดสอบที่ไคลเอนต์ Linux (Ubuntu 10.04) จะรับรองความถูกต้องกับเซิร์ฟเวอร์โดเมน Windows Server 2008 R2 ฉันกำลังปฏิบัติตามคำแนะนำอย่างเป็นทางการของ Ubuntu เพื่อตั้งค่าไคลเอนต์ Kerberos ที่นี่: https://help.ubuntu.com/community/Samba/Kerberosแต่ฉันพบปัญหาเมื่อเรียกใช้kinitคำสั่งเพื่อเชื่อมต่อกับเซิร์ฟเวอร์โดเมน คำสั่งที่ฉันใช้คือ: kinit Administrator@DS.DOMAIN.COM. คำสั่งนี้ส่งคืนข้อผิดพลาดต่อไปนี้: Realm not local to KDC while getting initial credentials. น่าเสียดายที่ฉันไม่สามารถหาคนอื่นผ่านการค้นหาของ Google ที่มีข้อผิดพลาดที่แน่นอนดังนั้นฉันจึงไม่ทราบว่ามันหมายถึงอะไร ไคลเอนต์สามารถ ping ชื่อโฮสต์ของเซิร์ฟเวอร์ดังนั้นเซิร์ฟเวอร์ DNS ชี้ไปที่เซิร์ฟเวอร์โดเมน ด้านล่างเป็นไฟล์ krb5.conf ของฉัน: [libdefaults] default = DS.DOMAIN.COM dns_lookup_realm = true dns_lookup_kdc true [realms] DS.DOMAIN.COM …

13 linux  active-directory  kerberos  kinit 

ฉันกำลังพยายามทำความเข้าใจเกี่ยวกับวิธีที่ Active Directory จัดการกับการปรับปรุง Schema โดยเฉพาะความปลอดภัยของกระบวนการจริง ๆ นั้นได้รับการกำหนดว่าโฆษณาที่สำคัญคืออะไรและกำหนดช่วงของสถานการณ์ที่จำเป็นต้องมีการอัปเดต Exchange 2007, OCS, SCOM ทั้งหมดต้องการการเปลี่ยนแปลงแบบแผนไม่ใช่แค่สิ่งที่เกิดขึ้นเมื่อคุณกำลังพิจารณาการเปลี่ยนแปลงครั้งใหญ่จาก (พูด) Windows 2003 เป็นโครงสร้างพื้นฐาน Windows 2008 สิ่งที่ฉันกำลังมองหาคือคำแนะนำเกี่ยวกับแผนการแบ็กเอนด์ที่ดีที่สุดสำหรับการเปลี่ยนแปลงสคีมาในกรณีที่มันผิดพลาดจริง เป็นที่ยอมรับหรือไม่ที่จะใช้ DC ออฟไลน์หนึ่งตัวในระหว่างการอัปเดตและใช้เพื่อย้อนกลับสภาพแวดล้อมทั้งหมดหากการปรับปรุงสคีมาล้มเหลว มีปัญหาใด ๆ กับการเปิด DC อีกครั้งที่ออฟไลน์ระหว่างการอัพเดตสกีมาหรือไม่

13 windows-server-2003  windows-server-2008  backup  active-directory  schema 

ฉันมีเวิร์กสเตชัน Vista x64 บางส่วนที่กำหนดค่าไว้สำหรับการพัฒนาซอฟต์แวร์ที่ไม่เคยเข้าร่วมกับโดเมนโฆษณาของเรา ผู้ใช้มีการตั้งค่าที่กำหนดเองจำนวนมากในโปรไฟล์ผู้ใช้ที่ไม่ได้เข้าร่วมในท้องถิ่นซึ่งพวกเขาต้องการดูการดูแลรักษาหลังจากเข้าร่วม ฉันจะทำสิ่งนี้ได้อย่างไร โพรไฟล์ของพวกเขามีขนาดใหญ่ (มีขนาดต่ำกว่า 1GB ในบางกรณี) เต็มไปด้วยซอร์สโค้ด ฯลฯ

13 active-directory 

ฉันหวังว่าบางคนสามารถยืนยันการสังเกตของฉันได้เพราะฉันตั้งคำถามในความทรงจำของฉัน ... ชื่อประเภทบอกทุกอย่าง ในขณะที่ทำงานอย่างรวดเร็วในการปรับใช้ระบบที่คล้ายกันจำนวนมากปรากฏว่าเราสามารถสร้างระบบที่มีชื่อเดียวกันและ Active Directory ทำให้เราสามารถเพิ่มระบบเหล่านั้นในโดเมนได้ ปัญหาคือว่าหนึ่งในเครื่องจะไม่ "เห็น" โดเมนอีกต่อไปโดยบอกว่ามันไม่สามารถมองเห็นได้อีกต่อไป ฉันลบเครื่องออกจากโดเมนจากนั้นเพิ่มใหม่อีกครั้งพร้อมกับการเปลี่ยนแปลงชื่อ ฉันกำลัง misremember บางสิ่งบางอย่างหรือเป็นไปได้ที่จะเพิ่มเครื่องสองเครื่องใน AD และวางเครื่องอื่น ๆ จากโดเมนได้อย่างมีประสิทธิภาพ ฉันผิดที่คิดว่านี่เป็นสิ่งที่โฆษณาไม่ควรอนุญาตตั้งแต่แรกไหม ฉันคิดว่ามันจะเป็นคำเตือนเหมือนโฆษณาทำเมื่อคุณลองเพิ่มชื่อผู้ใช้ที่มีอยู่แล้วภายในโครงสร้างโฆษณา

13 active-directory  hostname 

ฉันมีเว็บแอปพลิเคชั่นบางตัวที่ใช้ Active Directory เพื่อตรวจสอบสิทธิ์ สิ่งที่ฉันต้องการจะทำคือให้หน้าเว็บแบบง่ายที่จะอนุญาตให้ผู้ใช้อัปเดตรหัสผ่าน AD ของพวกเขา นี่ไม่ใช่ปัญหาเมื่อผู้ใช้ส่วนใหญ่มีเครื่อง windows ที่เชื่อมต่อกับเซิร์ฟเวอร์ AD นี้ (และสามารถ ctrl-alt-del เพื่อเปลี่ยนรหัสผ่าน) แต่เราย้ายไปจากที่นั่นและเซิร์ฟเวอร์โฆษณาส่วนใหญ่สำหรับเว็บ ปพลิเคชัน มีวิธีแก้ปัญหาง่าย ๆ สำหรับสิ่งนี้หรือฉันกำลังดูผู้จัดการ LDAP ตัวใหญ่หรือไม่?

13 active-directory  authentication  password 

ฉันไม่ใช่ผู้ดูแลระบบที่เชี่ยวชาญใน Active Directory ดังนั้นฉันต้องการความช่วยเหลือ ที่ทำงานของฉันเราได้ซื้อเซิร์ฟเวอร์ใหม่ที่มีระบบปฏิบัติการเซิร์ฟเวอร์ 2008 และตัวควบคุมโดเมน AD เก่าทำงานบนเซิร์ฟเวอร์ 2003 ความคิดคือการทำให้เซิร์ฟเวอร์ 2008 เป็น DC ใหม่และเซิร์ฟเวอร์ 2003 เป็นเซิร์ฟเวอร์ไฟล์ วิธีที่ดีที่สุดในการย้ายโฆษณาและการตั้งค่าสมาชิกกลุ่มสิทธิอื่น ๆ ไปยังเซิร์ฟเวอร์ใหม่คืออะไร และคุณจะลบการตั้งค่าโฆษณาจากเดิมได้อย่างไร ขอบคุณล่วงหน้า.

13 windows-server-2003  windows-server-2008  active-directory 

ทุกคนพูดถึงตัวควบคุมโดเมนและพวกเขาควรมีใบรับรองติดตั้ง แต่ในตอนท้ายของวันจะเป็นตัวเลือก เมื่อติดตั้งแล้วใช้ใบรับรองนั้นจริง ๆ ความเข้าใจของฉันคืออย่างน้อยก็จำเป็นสำหรับ: การรับรองสมาร์ทการ์ด LDAPS อย่างไรก็ตามฉันกำลังค้นหาเพื่อทราบว่ามีการกระทำดั้งเดิมเฉพาะโดย DC หรือ Active Directory ที่ตัวควบคุมโดเมนใช้ประโยชน์จากใบรับรองหรือไม่ ฉันตระหนักถึงผลกระทบด้านความปลอดภัย / แนวปฏิบัติที่ดีที่นี่ :) ฉันแค่สนใจกลไกในการเล่น

13 active-directory  domain-controller  certificate  ad-certificate-services 

เซิร์ฟเวอร์ Microsoft SQL ของเรากำลังทำงานบน Windows Server ซึ่งเป็นส่วนหนึ่งของโดเมน Active Directory เพื่อการจัดการผู้ใช้ที่ง่ายการอนุญาต SQL ของเรานั้นถูกตั้งค่าโดยใช้กลุ่มผู้ใช้ Active Directory ดังที่อธิบายไว้ในโพสต์นี้ ตอนนี้ใช้ได้ดีตราบใดที่ทุกคนทำงานในโดเมน ผู้คนลงชื่อเข้าใช้คอมพิวเตอร์โดยใช้ข้อมูลรับรอง AD ของพวกเขาและสามารถเชื่อมต่อกับเซิร์ฟเวอร์ SQL ได้โดยใช้ "Windows Authentication" ปัญหาคือผู้ใช้ของเราจะทำงานบนคอมพิวเตอร์ไคลเอนต์อื่นที่ไม่ได้เป็นส่วนหนึ่งของโดเมน Active Directory (และการเพิ่มลงในโดเมนไม่ใช่ตัวเลือก) ฉันหวังว่าพวกเขาจะสามารถใช้ข้อมูลรับรอง AD ของพวกเขาเพื่อเข้าสู่เซิร์ฟเวอร์โดยใช้การตรวจสอบความถูกต้องของโฆษณาตามที่กล่าวไว้ในหน้าจอเข้าสู่ระบบของเซิร์ฟเวอร์ SQL อย่างไรก็ตามเรื่องนี้ดูเหมือนจะไม่ทำงาน การเข้าสู่ระบบด้วยการรับรองความถูกต้องของรหัสผ่านไดเรกทอรี Acive ให้ปัญหาใบรับรอง ข้อผิดพลาด: "ห่วงโซ่ใบรับรองออกโดยหน่วยงานที่ไม่น่าเชื่อถือ" Cannot connect to x.x.x.x. =================================== A connection was successfully established with the server, …

13 windows-server-2008  active-directory  sql-server-2008  authentication  cross-domain 

เป็นการยากที่จะบอกสิ่งที่ถูกถามที่นี่ คำถามนี้คลุมเครือคลุมเครือไม่สมบูรณ์กว้างเกินไปหรือโวหารและไม่สามารถตอบได้อย่างสมเหตุสมผลในรูปแบบปัจจุบัน สำหรับความช่วยเหลือในการทำความเข้าใจคำถามนี้เพื่อที่จะสามารถเปิด, ไปที่ศูนย์ช่วยเหลือ ปิดให้บริการใน8 ปีที่ผ่านมา มีวิธีการ ping และเซิร์ฟเวอร์ ldap หรือไม่? ฉันได้เห็น ldapsearch และ ldapwhoami แต่จะขอบคุณบางสิ่งบางอย่างที่มากกว่า ping โดยพื้นฐานแล้วเรามีที่อยู่ bip ต่อหน้าตัวเลือกเซิร์ฟเวอร์ LDAP และกำลังต้องการยืนยันว่าเรากำลังเชื่อมต่อกับที่ใด

13 active-directory  ldap