我有一个有5名员工的小企业,我开始使用Windows Server 2008 R2为我的员工提供TS RDP访问服务器。 Server 2003的生命即将到来,我直到现在。 所以我已经安装了angular色RDP服务,文件服务和IIS。 我安装了用户应该使用的应用程序。 现在一切正常。 但是要使用组策略pipe理,我必须“事后”安装AD服务。 这样做可以没有影响后,或不build议?
活动目录属性:“gPCUserExtensionNames”包含CSE GUID和工具扩展GUIDstring值,以便为GPO行为传递信息。 我在“默认域策略”中find了与工具pipe理员GUID具有相同CSE GUID的扩展。 [{3060E8D0-7020-11D2-842D-00C04FA372D4} {3060E8CE-7020-11D2-842D-00C04FA372D4}] 我想知道这是关于什么? 它似乎不是第三方的扩展。 GUID与以CSE {3060E8CE-7020-11D2-842D-00C04FA372D4}为目标的组件“远程安装服务”的另一个CSE GUID非常相似。 注意第一部分结尾的区别(“CE” – “D0”)。 networkingsearch只是提供了大量的日志,但没有关于它所针对的“组件types”的信息。 谢谢大卫
我需要将用户帐户的userAccountControl属性设置为包括TRUSTED_TO_AUTH_FOR_DELEGATION(0x1000000)和PARTIAL_SECRETS_ACCOUNT(0x04000000)。 要设置TRUSTED_TO_AUTH_FOR_DELEGATION,执行操作的帐户需要在正在执行操作的域控制器上的安全策略中的“启用可委托委派的计算机和用户帐户”设置中列出。 一旦添加,帐户可以设置该标志就好了。 但是,如果设置PARTIAL_SECRETS_ACCOUNT,则会导致域pipe理员以外的任何帐户的访问被拒绝。 那么我的问题是,我可以委托在帐户上设置PARTIAL_SECRETS_ACCOUNT标志的权限吗?
在W7x64上运行cygwin。 由于生成的/ etc / passwd文件是静态的,所以在新雇员被雇用时,必须偶尔执行。 它轮询Windows AD,并写入密码文件。 在过去,在运行mkpasswd -l -d > /etc/passwd ,会给出(一个例子): emp1234:unused:<ID>:<GID>:Full Name,U-NET\emp1234,S-1-5-21-6794265879-946158745-9223451784-66123://domctrl/users$/emp1234:/bin/bash 注意条目中出现的是全名 。 这真是太好了,因为cygwin中的所有东西都是由员工代码编写的,例如emp1234 。 在查找文件时,我可以看到最后一个修饰符雇员代码,但是如果我想知道它是谁,我可以grep passwd文件。 现在,当我重新生成密码文件,它给了我这个: emp1234:*:<ID>:<GID>:U-NETC\emp1234,S-1-5-21-6794265879-946158745-9223451784-66123:/home/e40182:/bin/bash 没有更多的全名! 我确信我已经在过去的几个月更新了Cygwin,所以可以成为其中的一部分。 但有没有办法让mkpasswd具体要求全名? 根据Cygwin文档,该插槽应该是AD用户条目上的Comment字段。
我正在使用运行AD DS的Windows 2012计算机设置新networking。 我有几个Ubuntu 14.04我想join域进行身份validation。 我已经成功地在这些服务器上使用realmd,sssd和adcli这样做,这非常简单。 但是,至less在另外两台服务器上,我无法获得相同的设置。 两者之间的巨大差异在于它们驻留在不同的子网中。 我已经检查: – 路由 – DNS – 禁用防火墙和DC上的所有防火墙规则。 我可以成功地发出一个kinit,但是,当adcli声称它不能联系KDC。 希望你们能指出我的失败。 亲切的问候 root @ lb02:〜#ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: […]
我们正在迁移到新的Active Directory服务器。 目前的服务器是Windows 2003/2003 R2 SP2,并在DFL Windows 2000下运行(混合) Exchange安装在我们的主DC上,Windows 2003非R2机器上。 去年我们过渡到托pipe服务时,我们不再使用这个交易所。 为了迁移到新的AD服务器,我们必须提高我们现有的DFL到2003年。 我们会遇到任何问题提高与Exchange 2000服务器的DFL?
我们的Windows 2008 Server具有AD设置,让用户每30天更换一次密码。 密码过期时,不提示用户重置密码。 用户可以正常login使用过期的密码。 用户只能在尝试访问映射networking驱动器时看到其密码已过期。 用户将收到错误消息您的密码已过期。 解决此问题的唯一方法是转到该用户计算机上的networking连接,并将DNS设置为服务器的IP。 通常它被设置为自动获取DNS地址。 这个问题是一旦DNS设置为服务器的IP,它会导致间歇性的networking问题,如网页超时,根本就不加载。 错误105(net :: ERR_NAME_NOT_RESOLVED) 这个问题似乎与我的DNSconfiguration或者我的网关,但我真的不知道。
我有一个实验室环境,我需要在工作中拥有Active Directory服务/ DNS / DHCP /等。 在这个实验中,我有一个伪“生产”环境,从vCenters到Jenkins到VDItesting。 使用这个“实验室”域,我可以创build用户,一切按预期工作。 目前我遇到的挑战是这个testing环境对于团队越来越有用,用户维护开始变得麻烦。 该公司有一个主要的域名“主”,大家在这个testing环境之外使用。 我们的许多传统工具都将LDAP绑定到“主”域,因此凭证通过公司IT处理。 我正在寻找关于如何完成类似于LDAP的绑定到“主”域,填充“实验室”域没有信任的指针。 没有信任是允许的(可以理解)。 我只是想让我的服务器转发到“实验室”域(lab \ user1),这个域剥去了“lab”,并且对“main”(main \ user1)进行了证书检查。 如果有替代工具可以让我们控制将项目添加到域/处理内部权限,但通过LDAP绑定向上传递所有validation,则可以轻松调整设置环境的方式。 PS请原谅任何术语的混淆……软件开发人员只是在这个空间里弄湿了他的脚。
我遇到NPS连接策略与转发的RADIUS请求相结合的问题 – 连接策略似乎没有被评估? 我们的域名有几个单向信任。 我有一个networking策略,指出只有给定(域本地)安全组的成员才能连接。 然后,我有几个连接请求策略转发到远程域中的NPS服务器,用户名为DOMAIN-NAME\\.+ 。 转发工作正常,但似乎没有评估组成员部分? 它适用于本地OPS领域的用户,但对于所有其他人只需拥有有效凭证就足够了。 我尝试设置“忽略用户帐户拨入属性”,因为它在其他地方被build议,但它似乎没有任何区别。
我有一堆的ID可以写访问Active Directory中的一个特定的OU。 这个访问是通过安全组inheritance的。 由于这些ID所在的安全组数量众多,我无法确定哪一个提供了对这些ID的写访问权限。 有一个快速的方法找出?