คำถามติดแท็ก domain-controller

หนึ่งในลูกค้าของเราคือ บริษัท Tier 1 PCI และผู้ตรวจสอบได้ให้คำแนะนำเกี่ยวกับเราในฐานะผู้ดูแลระบบและสิทธิ์การเข้าถึงของเรา เราจัดการโครงสร้างพื้นฐานที่ใช้ Windows ทั้งหมดของพวกเขาโดยประมาณ 700 เดสก์ท็อป / 80 เซิร์ฟเวอร์ / 10 ตัวควบคุมโดเมน พวกเขาแนะนำว่าเราย้ายไปยังระบบที่เรามีบัญชีแยกกันสามบัญชี: DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC ที่ไหน WSเป็นบัญชีที่ล็อกออนเข้าสู่เวิร์กสเตชันเท่านั้นเป็นผู้ดูแลท้องถิ่นบนเวิร์กสเตชัน ที่ไหน SRVเป็นบัญชีที่ล็อกออนเข้าสู่ Non DC Servers เท่านั้นคือ Local Administrator บนเซิร์ฟเวอร์ ที่ไหน DCเป็นบัญชีที่เข้าสู่ระบบของ Domain Controllers โดยเฉพาะบัญชีผู้ดูแลโดเมน มีการใช้นโยบายเพื่อป้องกันการเข้าสู่ระบบผิดประเภทจากบัญชีที่ไม่ถูกต้อง (รวมถึงการลบการเข้าสู่ระบบแบบโต้ตอบสำหรับบัญชีผู้ดูแลโดเมนบนเครื่องที่ไม่ใช่ DC) นี่คือเพื่อป้องกันสถานการณ์ที่เวิร์กสเตชันที่ถูกบุกรุกสามารถเปิดเผยโทเค็นการเข้าสู่ระบบของผู้ดูแลระบบโดเมนและใช้งานซ้ำกับตัวควบคุมโดเมน สิ่งนี้ดูเหมือนจะไม่เพียง แต่เป็นนโยบายที่ล่วงล้ำมากสำหรับการดำเนินงานในแต่ละวันของเรา แต่ยังมีงานจำนวนมากเพื่อจัดการกับสิ่งที่เป็นการโจมตี / การใช้ประโยชน์ที่ไม่น่าจะเกิดขึ้น (นี่คือความเข้าใจของฉัน . ฉันสนใจที่จะรับฟังมุมมองของผู้ดูแลระบบคนอื่น ๆ …

14 domain-controller  user-accounts  pci-dss 

เมื่อใดก็ตามที่ผมทำงานตัวช่วยสร้างผลนโยบายกลุ่มและเลือก Domain Controller เป็นเครื่องคอมพิวเตอร์เป้าหมายการแสดงสรุปBUILTIN\Administratorsในรายการของ "การรักษาความปลอดภัยกลุ่มสมาชิกเมื่อนโยบายกลุ่มถูกนำมาใช้" ภายใต้การกำหนดค่าคอมพิวเตอร์ที่แสดงด้านล่าง: (เหลือชื่อโดเมนผู้ใช้และคอมพิวเตอร์) เนื่องจาก Domain Controllers ไม่ได้เป็นสมาชิกของผู้ดูแลระบบ (อย่างน้อยไม่ได้มาจากสิ่งที่ฉันเห็นใน ADUC) คำถามของฉันคืออะไรทำไม? ตัวควบคุมโดเมนจริง ๆ แล้วเป็นสมาชิกของกลุ่มผู้ดูแลหรือ GPResults ผิด (และทำไม)

14 windows-server-2008  active-directory  group-policy  domain-controller 

เรามีเซิร์ฟเวอร์ Hyper-V จริง 2 เซิร์ฟเวอร์ที่ใช้งาน 8 VM ระหว่างเซิร์ฟเวอร์แต่ละตัวมีตัวควบคุมโดเมนที่ใช้งานใน VM และเซิร์ฟเวอร์ทั้งหมดนั้นเป็น 2008R2 VM PDC ถูกตั้งค่าเป็น NTP และซิงค์กับ time.microsoft.com และส่วนที่เหลือรวมถึงฟิสิคัลเซิร์ฟเวอร์คือ NT5DS PDC ของ VM หลักนี้จะถือ FSMO อย่างแน่นอนและ UDP 123 นั้นเปิดใช้งานอยู่ เมื่อฉันรัน w32tm / query / status ฉันได้รับผู้ให้บริการการซิงโครไนซ์ VM IC Time บน VM DC ทั้งสองฉันรู้ว่านี่หมายถึงการซิงค์กับโฮสต์ เมื่อฉันรัน w32tm / resync / rediscover ฉันได้รับ "ไม่ซิงค์ซ้ำเพราะไม่มีข้อมูลเวลา" …

13 domain-controller  hyper-v-server-2008-r2 

ขออภัย - ฉันไม่ใช่ผู้ดูแลระบบ Windows จริงๆเพียงแค่พยายามผ่านการโต้ตอบ LDAP บางอย่างใน Java ฉันกำลังค้นหาวัตถุจำนวนมากด้วย "DEL:" ในชื่อจำเพาะ รายการเด็กกำพร้าเหล่านี้รอการรวบรวมขยะหรือไม่ ฉันจะลบออกได้อย่างไร ฉันไม่สามารถค้นหาพวกเขาผ่าน ADUC ได้ แต่ฉันสามารถค้นหาพวกมันผ่าน Java LDAP

13 windows-server-2008  active-directory  ldap  domain-controller 

ฉันเคยเห็นคำถามและเอกสารอื่นเกี่ยวกับการทำสิ่งนี้ แต่มีบางสิ่งที่ยังคงทำให้ฉันสับสน นี่คือเอกสารและคำถามที่ฉันได้เห็น: ออกตัวควบคุมโดเมน Windows 2003 Dead การยึดบทบาท FSMOจาก Petri ใช้ NTDSUtil.exe เพื่อถ่ายโอนหรือยึดบทบาท FSMO ไปยังตัวควบคุมโดเมน - Microsoft Knowledgebase การจัดวางและเพิ่มประสิทธิภาพ FSMO บนตัวควบคุมโดเมน Active Directory - Microsoft Knowledgebase วิธีลบข้อมูลใน Active Directory หลังจากการลดระดับโดเมนคอนโทรลเลอร์ที่ไม่สำเร็จ สภาพแวดล้อมประกอบด้วยเซิร์ฟเวอร์ Windows สองเครื่องและไคลเอนต์จำนวนมาก ตัวควบคุมโดเมนคือ Windows 2003 SP2 ที่ทำงานพร้อมกับ Windows 2000 Native AD เซิร์ฟเวอร์อื่น (ไม่ใช่ DC เลย) คือ Windows 2000 SP4 …

13 windows-server-2003  active-directory  domain-controller 

ทุกคนพูดถึงตัวควบคุมโดเมนและพวกเขาควรมีใบรับรองติดตั้ง แต่ในตอนท้ายของวันจะเป็นตัวเลือก เมื่อติดตั้งแล้วใช้ใบรับรองนั้นจริง ๆ ความเข้าใจของฉันคืออย่างน้อยก็จำเป็นสำหรับ: การรับรองสมาร์ทการ์ด LDAPS อย่างไรก็ตามฉันกำลังค้นหาเพื่อทราบว่ามีการกระทำดั้งเดิมเฉพาะโดย DC หรือ Active Directory ที่ตัวควบคุมโดเมนใช้ประโยชน์จากใบรับรองหรือไม่ ฉันตระหนักถึงผลกระทบด้านความปลอดภัย / แนวปฏิบัติที่ดีที่นี่ :) ฉันแค่สนใจกลไกในการเล่น

13 active-directory  domain-controller  certificate  ad-certificate-services 

ทำไมคุณไม่ควรคืนค่า DC ที่สำรองไว้เมื่อ 6 เดือนก่อน? ในขณะที่ฉันกำลังเรียนรู้บริการโดเมน Active Directory ฉันเจอคำถามนี้ในหนึ่งในบล็อก แต่ฉันไม่สามารถหาคำตอบโดยละเอียดได้ ดังนั้นใครก็ได้โปรดอธิบายแนวคิดนี้ให้ฉันฟัง

12 active-directory  domain-controller  azure-active-directory 

ฉันมีแล็ปท็อป Windows 7 ที่เชื่อมต่อกับตัวควบคุมโดเมน Windows ตัวควบคุมโดเมนไม่ทำงานอีกต่อไปและถูกปิด แล็ปท็อปตอนนี้ทำงานได้ดี แต่ฉันต้องการทราบผลกระทบของการรักษาบัญชีที่ฉันใช้เป็นบัญชีโดเมนแม้ว่าจะไม่เข้าร่วมเครือข่ายนั้นอีก นอกจากนี้ฉันต้องการทราบวิธีแปลงบัญชีโดเมนของฉันเป็นบัญชีท้องถิ่น ฉันได้อ่านรายการไม่กี่ที่นี่ แต่พวกเขาดูเหมือนว่าพวกเขาจะเกี่ยวข้องกับระบบปฏิบัติการรุ่นเก่า ท้ายที่สุดฉันไม่ต้องการกำหนดค่าแอปพลิเคชันทั้งหมดอีกครั้ง ซึ่งฉันได้ปรับไปตามความชอบและขั้นตอนการทำงานของฉัน การสร้างบัญชีในเครื่องจากศูนย์หมายความว่าฉันต้องกำหนดค่าแอปทั้งหมดของฉันอีกครั้งและในบางกรณีจะต้องติดตั้งใหม่ กรุณาแนะนำ ขอบคุณ

12 windows-7  domain  domain-controller  local 

ฉันกำลังใช้ ADSI Edit เพื่อดูคุณสมบัติ LDAP ของบัญชีผู้ใช้เดียวในโฆษณา ฉันเห็นคุณสมบัติเช่น userPrincipalName แต่ฉันไม่เห็นชื่อโดเมนแบบเต็ม (FQDN) หรือชื่อโดเมน netbios เราจะตั้งค่า Global Catalog (GC) เพื่อให้เราสามารถเข้าถึง LDAP สำหรับหลายโดเมนและผ่านการกำหนดค่าในแอปพลิเคชันที่เราจับคู่คุณสมบัติ LDAP กับคุณสมบัติโปรไฟล์ผู้ใช้ภายในแอปพลิเคชัน ด้วยโฆษณาทั่วไปชื่อโดเมน FQDN และ netbios จะเหมือนกันสำหรับผู้ใช้ทั้งหมด แต่ด้วย GC ที่เกี่ยวข้องเราต้องการข้อมูลเพิ่มเติมนี้ เราต้องการชื่อโดเมน netbios เท่านั้น (FQDN ไม่ดีพอ) อาจมีแบบสอบถาม LDAP ที่สามารถทำได้เพื่อขอข้อมูลนี้จากวัตถุระดับบนสุดใน AD หรือไม่

11 active-directory  ldap  domain-controller 

ฉันมีเครือข่ายประมาณ 70 เครื่องปัจจุบันมี DC สองเครื่องที่ใช้ Windows Server 2003 (DC0 และ DC1) DC0 เป็น Powerge 1850 อายุห้าขวบและเมื่อไม่นานมานี้ได้กลายเป็นสิ่งสกปรกมากขึ้นเรื่อย ๆ ฉันต้องการแทนที่เครื่องนี้ แต่ฉันระมัดระวังเนื่องจากมีขอบเขตขนาดใหญ่สำหรับสิ่งที่ผิดพลาด วิธีที่ฉันคิดว่าทำสิ่งนี้คือการสร้างเครื่องใหม่จากนั้นทำ DCPROMO และใช้งานตัวควบคุมโดเมนสามเดือนหรือมากกว่านั้นจนกว่าฉันจะมีความสุขที่ทุกอย่างทำงานได้อย่างที่ควรจะเป็นก่อนที่จะเกษียณเครื่องเก่า สิ่งที่ต้องกังวลเป็นพิเศษคือการจำลองบทบาทจากคอนโทรลเลอร์ปัจจุบัน (เช่นการตั้งค่า GP) และการแยกการปิดเครื่องที่มีจนถึงปัจจุบันเป็น 'หลัก' หากมีเหตุผลที่น่าสนใจในการใช้ Server 2008 ฉันยินดีที่จะทำเช่นนั้น แต่ฉันไม่รู้ว่าจะทำให้เกิดปัญหากับเครื่อง 2003 ที่มีอยู่ของฉันหรือไม่ คำแนะนำใด ๆ เกี่ยวกับการปฏิบัติที่ดีที่สุดหรือประสบการณ์ก่อนหน้านี้จะยินดีมากที่สุด

11 windows-server-2003  migration  domain-controller 

เราใช้ Samba บน Ubuntu 14.04 LTS เป็น PDC (ตัวควบคุมโดเมนหลัก) ด้วยโปรไฟล์ข้ามเขต ทุกอย่างทำงานได้ดียกเว้นถ้าเราพยายามบังคับใช้การเข้ารหัสผ่านการตั้งค่า: server signing = mandatory smb encrypt = mandatory ใน[global]ส่วนของ /etc/samba/smb.conf หลังจากทำเช่นนั้นให้ชนะ 8.0 และชนะลูกค้า 8.1 (ไม่ได้ลองคนอื่น) บ่น: การDie Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.แปลภาษาอังกฤษของข้อความนี้:The trust relationship between this workstation and the primary domain could …

11 security  samba  encryption  samba4  domain-controller 

MS ใช้ความเจ็บปวดอย่างมากในการลบ 'ผู้ใช้และกลุ่มภายใน' ออกจากเครื่องมือ GUI และแม้ว่าคุณจะจั๊กจี้ lusrmgr.msc โดยตรงก็บ่นว่าสแน็ปอินจะไม่ทำงานบนตัวควบคุมโดเมน คำถามคือ "ทำไมไม่" เหตุใดจึงไม่เหมาะสมที่ DC จะมีกลุ่มความปลอดภัยในพื้นที่

11 windows-server-2008  security  domain-controller 

เหตุใดตัวควบคุมโดเมนที่ลดระดับยังคงตรวจสอบผู้ใช้อยู่ เมื่อใดก็ตามที่ผู้ใช้เข้าสู่เวิร์กสเตชันด้วยบัญชีโดเมน DC ที่ลดระดับนี้จะตรวจสอบสิทธิ์พวกเขา บันทึกความปลอดภัยแสดงการเข้าสู่ระบบการออกจากระบบและการเข้าสู่ระบบพิเศษ บันทึกความปลอดภัยของ DCs ใหม่ของเราแสดงการเข้าสู่ระบบของเครื่องและการออกจากระบบ แต่ไม่มีอะไรเกี่ยวข้องกับผู้ใช้โดเมน พื้นหลัง server1 (Windows Server 2008): เพิ่งลดระดับ DC, ไฟล์เซิร์ฟเวอร์ server3 (Windows Server 2008 R2): DC ใหม่ server4 (Windows Server 2008 R2): DC ใหม่ ท่อน การรักษาความปลอดภัยเข้าสู่ระบบกิจกรรม: http://imgur.com/a/6cklL สองตัวอย่างเหตุการณ์จากเซิร์ฟเวอร์ 1 : Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL …

10 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 

ฉันมี 2 โดเมนแต่ละคนมี 2 ตัวควบคุมโดเมน: company.local ad.company.com.au ทั้งสองโดเมนอยู่ในฟอเรสต์เดียวกันและมีการตั้งค่าความน่าเชื่อถือแบบสองทิศทาง เรากำลังย้ายไปยังad.company.com.auที่อยู่ปัจจุบัน แต่มีปัญหาบางอย่างกับระบบที่จำเป็นต้องค้นหา LDAP เมื่อทำการค้นหา LDAP กับตัวควบคุมโดเมนทั้งในad.company.com.auเราได้รับการอ้างอิงcompany.com.auซึ่งไม่ได้อยู่ภายใต้การควบคุมโฆษณา: $ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <DC=company,DC=com,DC=au> with scope subtree # filter: (objectclass=*) # requesting: ALL # with manageDSAit control # …

10 active-directory  windows-server-2008-r2  ldap  domain-controller 

มีบทความ TechNet มากมายเช่นนี้ที่บอกว่าออบเจ็กต์แฟนทอมไม่ได้รับการอัปเดตหาก Infrastructure Master เป็น Global Catalog แต่นอกเหนือจากนั้นยังไม่มีข้อมูลเชิงลึกเกี่ยวกับสิ่งที่เกิดขึ้นจริงในเรื่องนี้ องค์ประกอบ ลองนึกภาพการกำหนดค่าเช่นนี้: |--------------| | example.com | | | | dedicated IM | |--------------| | | | |-------------------| | child.example.com | | | | IM on a GC | |-------------------| ตำแหน่งที่childมี DC สองแห่งที่มีทั้งแคตตาล็อกส่วนกลางหมายความว่าบทบาทต้นแบบโครงสร้างพื้นฐานอยู่ใน GC และexampleมี DC สามตัวที่มีบทบาทของ Infrastructure Master ใน DC ที่ไม่ใช่ …

10 windows  active-directory  domain-controller