我正在使用DirSync工具将我们的本地AD(从SBS 2011)同步到Azure AD,但几天之后,出现如下错误(从本地语言翻译): 该对象无法在Windows Azure Active Directory中更新,因为属性“AccountEnabled”无效。 在你的lokal目录服务中更新这个值。 有人知道这个属性是关于什么,我怎样才能解决这个问题? 我也得到一个“对象的本地ID” – 我可以在我的本地AD中以某种方式search该对象吗?
在Active Directory中有一个名为“homeMDB”的用户的属性,这将给我的用户交换数据库,但有没有办法知道用户是否通过Active Directory Exchange 2013?
有谁知道Windows主机上的Windows虚拟机是否可以利用Single Sign on? 目标是只需要login一次主机,客人就可以使用这些信息自动loginAD。
我目前是一个pipe理员,并有大约150个Windows系统运行。 之前的pipe理员在他离开之前对我来说是一场真正的噩梦。 networking分配一些Windows服务器(静态IP),而其余的机器通过DHCP服务器分配IP地址。 当我查看Active Directory中的DHCPpipe理单元时,可以看到系统名称和分配有IP地址的mac地址。 如果我为同一个系统做一个nslookup,它会显示一个不同的IP地址和名字。 我的意思是,我的DHCP列表中的计算机A被分配了10.10.10.100。 如果我通过10.10.10.100命令提示符执行nslookup,它会显示一个完全不同的计算机名称Z而不是A.而有趣的是,如果我为计算机名称Z做一个nslookup,那么ip地址也是完全不同的而不是10.10.10.100) 为什么会这样呢? 大多数电脑都运行win-server 2003标准(SP2)
我在工作场所build立了一个新的Linux环境。 我configuration了sssd并将其绑定到公司的一个Active Directory域。 我可以说sssd是部分工作,让我告诉你: 我已经清理本地机器上的sssdcaching,重新启动sssd并查询域用户: [root@pnd01 ~]# sss_cache -E [root@pnd01 ~]# service sssd restart Stopping sssd: [ OK ] Starting sssd: [ OK ] [root@pnd01 ~]# id itai.ganot uid=10238(itai.ganot) gid=10012(XXXX_ops) groups=10012(XXXX_ops) [root@pnd01 ~]# 这是sssd.conf文件: [sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services = nss, pam domains = AD [nss] filter_groups = root […]
因此,用于创buildgMSA的文档表示参数“-PrincipalsAllowedToRetrieveManagedPassword”应该限制将gMSA用于属于参数中给出的安全组的一部分的机器的能力。 例如 New-ADServiceAccount -name dev-service -DNSHostName dev-service -PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allowed-hosts 据我所知,只应允许属于安全组“gMSA-dev-service-allowed-hosts”的机器访问账户开发服务的密码,从而限制可以使用该账户的机器。 我的问题是,我不能这样工作。 即使在不是“gMSA-dev-service-allowed-hosts”成员的机器上,也可以毫无问题地使用该帐号。 我误解了-PrincipalsAllowedRetrieveManagedPassword的含义吗? 谢谢 最好, DSA
所以,我有两个森林,我们称之为alpha.example.com和bravo.example.com 。 域的NETBIOS名称分别是ALPHA和BRAVO。 这似乎意味着域命名没有问题,它们有两个不同的名称,不pipe是DNS方式还是NETBIOS方式。 我有以下服务器作为域控制器: dc01.alpha.example.com dc02.alpha.example.com dc01.bravo.example.com 当我试图在ALPHA和BRAVO之间build立一个森林信任时,我得到了“没有login服务器可用来为login请求提供服务”,实际上validation信任。 我在网上发现了一些论坛主题 ,同时也听到了一些轶事证据,说明将两个域连接在一起时,两个域中域控制器的名称都是相同的。 这对我来说似乎没有意义,听起来像是微软工具中的一个错误。 我不认为这应该是一个问题,因为dc01.alpha.example.com和dc01.bravo.example.com显然是两个不同的机器,但Windows似乎并不认同我。 我是否错过了一些能使我的设置正常工作的信息? 不幸的是,重命名域控制器对我们来说是一个糟糕的答案,因为最终的游戏将大量的森林连接在一起,这些森林都具有相同的域控制器。 这将意味着重命名一堆DC:s。 为了logging,重命名一个域控制器确实让我build立了一个信任,但是如果我能帮上忙的话,我真的不希望在现实世界中这样做。 实验室中的所有计算机都在修补程序上运行Windows Server 2012 R2,但没有安装特殊的修补程序。 DNS的设置方式如下:在ALPHA域中,为bravo.example.com添加一个存根区域,指向dc01.bravo.example.com的IP地址。 而dc01.bravo.example.com则使用dc01.alpha.example.com和dc01.bravo.example.com作为上游DNS。 这是一个hacky设置(因为它是一个实验室…),但结果是正确的工作在两种方式DNSparsing。 dc01.bravo.example.com可以parsingbravo.example.com中的名称(因为它是权威的),并且alpha.exaple.com名称可以正确parsing,因为上游DNS对它是权威的。 alpha中的parsing器可以正确parsingbravo的名称,因为存根区域(添加到AD以便两个DNS服务器都可以得到它)。 我另外尝试过: 从存根区域更改为有条件的转发器 运行森林信任而不是外部信任 症状没有改变。
我试图从我的Windows Server 2003域控制器获取域pipe理员用户列表。 我无法使用PowerShell获取它,因为ActiveDirectory模块没有安装。 我需要从CMD获得它。 我已经尝试net group /domain "Domain Admins" ,虽然这将返回所有域pipe理员用户我需要以下格式,我不知道如何获得。 有任何想法吗? 该清单应该包含: User name (Baker, John for example) sAMAccountName (`I can obtain this with net /group`) Account creation date Last logon date If the account is enabled or not 编辑:我已经尝试过dsquery group -name "Domain Admins" | dsget group -members -expand dsquery group -name "Domain Admins" […]
我试图设置一个Powershell脚本来自动添加一些用户到AD组。 当我尝试添加用户时,出现以下错误: Add-ADGroupMember : Insufficient access rights to perform the operation At line:1 char:1 + Add-ADGroupMember -Identity "Workfront_Users" -Member $FoundUser.SamA … + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (Workfront_Users:ADGroup) [Add-ADGroupMember], ADException + FullyQualifiedErrorId : Insufficient access rights to perform the operation,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMember 我有能力将用户添加到组,并且我已经确认在组上有ActiveDirectoryRights:WriteProperty。 当我向一位同事提出这个问题时,他们向我展示了通过RDP连接到其中一个数据中心并使用用户和群组工具通过GUI添加用户的“添加用户到群组”的“正确”方式。 如果我这样做,我可以添加用户,但我希望能够自动化的过程。 我这样解释的方式是,即使用户拥有正确的权限,修改AD组的能力也受到某些机器的限制(甚至对DC本身也是如此)。 我的问题是:这是一个可以存在的限制吗? 我不太了解AD的安全configuration,所以我可能会制定一些实际上不存在的安全策略。
所以我设置了一个Active Directory环境,它使用ADFS来允许我的环境之外的应用程序使用来自我的AD的凭据。 这一切都很好,但我需要的是允许这些外部应用程序列出我的广告内的用户(无论是每个人,还是只在特定的子集)的方式。 我的限制是我需要限制谁可以看到这些用户列表(即,它需要安全:我需要将有权限的应用程序列入白名单),并且外部应用程序完全独立于我的AD环境(不同的服务器,域名,networking等)。 我可以像我喜欢的那样configurationAD,并且可以完全控制外部应用程序,但是我无法改变两者之间的连接(我无法设置VPN等)。 我已经玩弄了LDAP的想法,但似乎并不build议公开地公开LDAP。 我正在考虑LDAPS,但我不确定如何推荐。 有谁知道是否有这样做的标准方式,或有任何build议?