我不希望域用户组在计算机join域时自动添加到本地“用户”组,但是我正在努力寻找如何防止这种情况。 在用户configuration – 前置 – 控制面板设置 – 本地用户和组下的默认域策略,我添加了一个名为“用户”与“删除”的动作条目“域\域用户”,但没有做任何事情。 有什么build议么? 如果重要,域和森林function级别是2012 R2。
我使用了位于这里的说明: 在CentOS 5上安装pam_mount 但是,当我添加pam_mount.so条目并重新启动计算机时,我无法login。每次inputlogin名并按Enter键时,系统都会要求我重新login,而不是密码。 我无法使用LDAP连接到Active Directory。 我必须使用Winbind。 我需要帮助。
我有两个Windows服务(一个作为networking服务运行,另一个作为本地系统运行) – 由于某些体系结构原因,这些服务无法在域用户帐户下运行。 在Active Directory(容器)中将会有一个存储,其中的条目将被添加/删除并从中读取。 然而,无论何时我试图添加/删除条目操作失败(以编程方式在.net中 – 请参阅更多详细信息: https : //stackoverflow.com/questions/20943436/service-running-as-network-service-local-system – 不能添加条目到活动 ) 我的理解是,当一个服务运行在本地系统/networking服务帐户计算机识别(域\计算机$)将通过 – 所以只要计算机帐户具有完全访问容器我应该能够执行添加/删除。 由于某种原因,它抱怨权限。 任何想法/build议/选项我可以尝试? 问候。
我们有一些在托pipe服务帐户(Windows Server 2012)下运行的IIS站点。 这些MSA是Active Directory中资源组的成员。 我们在SQL Server 2012中使用资源组作为login。这些login可以访问特定数据库上的angular色等。 问题与“访问被拒绝”或“没有select权限授予用户xxx在数据库yyy”或类似的东西,当你没有所需的权限,但你是一个具有这些权限的组成员; 当我们删除IIS站点与MSA和属于该站点的所有资源组,然后重新创build此站点,或者当我们删除数据库并创build新的数据库,删除和创buildSQL Serverlogin名和用户,或类似的东西时出现。 我们正在使用脚本来做到这一点,没有用户交互。 我不知道究竟是哪一个步骤导致这个问题,但是当我创buildSQLlogin具有相同的权限,我使用这个login从Web应用程序它的作品。 另外,当我重新启动服务器,神奇的作品。 此外,我试图回收IIS池(在属于资源组成员的MSA下运行),但没有任何更改。 有没有办法强制刷新AD组成员的SQL Server 2012年,而无需重新启动? 还是不是活动目录的问题,而不是刷新组成员身份?
Oracle身份pipe理11g(OID)是否与Microsoft Active Directory只读域控制器兼容? (RODC) 我的设置有从AD RODC导入用户的OID。 这个configuration是否被支持? 我在这里和这里阅读了一些文档,但是在OID支持的AD版本上我找不到任何东西。
我有一个WS2012盒子重复丢失了它的安全通道。 如果我尝试运行netdomvalidation/重置,我得到“没有login服务器可用”错误消息。 如果您查看问题服务器的事件日志,您会看到很多事件5719条目: 由于以下原因,此计算机无法与域中的域控制器build立安全会话: %目前没有可用于login请求的login服务器。 Netdom重置失败(没有login服务器)。 强行从领域删除箱子,然后是AD驱魔和重新join修复它一会儿,但它最终回来。 我试图更新网卡驱动程序无济于事。 我很难过 有人能给我什么我应该找的指针,在这里?
客户安装了MS小型商业服务器,并在其办公室中使用了许多iMac和MacBook。 他们将Google Apps for Business用于电子邮件,而不是Exchange。 他们的IT人员由于某种原因需要设置一些“伪”帐户 – 名称@ 远程 .domain.com。 这些都不是有效的电子邮件地址 – 他只需要为SBS所需的一些function设置帐户,但却具有误导性 – 非常类似于真正的Google Apps电子邮件地址:[email protected](即减去“ remote ” ) 他们遇到的问题是这些无效的地址出现在“目录服务”下的员工Mac地址簿中。 而且在编写电子邮件时经常select这些无效的地址,从而得到递送失败通知。 我的问题是如何防止这些无效的地址被OSX地址簿/邮件? 我似乎需要使用/ System / Library / CoreServices / Directory Utility.app禁用相关的目录服务设置,但我看不到任何相关的东西。
创build特殊权限(编辑用户对象字段,如街道,邮编等)的安全组后,我有一个问题,无法委派森林function级别的Server 2008 R2上的字段“国家/地区”的权限。 到目前为止,我一直在做的是: EDIT dssec.dat set co = 0; =>国家/地区可在AD委派向导(成功) RESET CUST授权和代表特定字段(包括国家/地区)的读/写控制 =>除国家/地区之外的所有特定字段均可编辑 RESET CUST DELEGATION和DELEGATE权限设置“读写公共信息” =>除国家/地区之外的所有特定字段均可编辑 RESET CUST DELEGATION和DELEGATE权限设置“读/写私人信息” =>国家/地区可编辑以及像login名/login前W2K字段 我想知道如何委托国家/地区领域的权限,而不会给予太多的权利!
对于在为Active Directorydevise远程authentication时似乎被提倡的拓扑复杂性,我有点困惑。 我希望对所有内部和外部应用程序的所有计算机单点login。 乍看之下,只要将正确的端口转发到我的本地活动目录服务器就是有意义的。 然后,我可以做到以下几点: 当我的网站想要validation一个用户时,站点只需要在适当的端口上ping我的外部IP就可以了。 当有人想要远程连接服务器或工作站到networking时,他们只需创build一个VPN连接。 这似乎很简单。 然而,看起来像其他人提倡创build一个本地活动目录服务器,复制最初的目录。 这是什么原因? 此外,使用Azure目录,它希望创build与本地活动目录服务器的联合服务连接 – 理论上,我是否可以将Azure用作主目录,并让我的所有工作站,服务器等使用它进行身份validation?
免责声明:我最初是在SharePoint SE上提出这个问题的,但是我想我也会在这里提出这个问题,因为它更像是一个AD问题,而不是一个SP特定的问题。 我正在尝试使用AD向导中的向导委派复制目录更改权限(下面的斯宾塞哈巴尔的UPS指南 ),但由于某种原因,该选项没有出现在权限列表中,以及许多其他人用来看。 此外,当我尝试使用ADSIEdit为configuration分区上的同一用户设置权限时,尽pipe是Admin,但所有权限选项都被禁用。 这是2008R2和SP2010的全新安装,所以我被困住了(正如我们驻留的系统pipe理员,谁设置了系统) – 任何想法?