我有两个独立的Windows 2008 AD域,一个用于Dev / Test,另一个用于Prod。 我有一个Win2008 / IIS7服务器上使用调用suPrincipal.SetPassword(密码)使用LogonUser模拟与域pipe理员帐户的asp.net/c#代码。 问题是相同的代码适用于我的生产AD,但在Dev / Test AD上使用两个域上具有相同权限的域帐户对其进行调用时,我得到“拒绝访问”。 在域级别是否有AD策略或设置可以防止域pipe理员调用SetPassword函数有问题?
我已经使用Samba和net ads join -kjoin了Active Directory的CentOS 6服务器。 因此它有一个像这样的keytab: Keytab name: FILE:/etc/krb5.keytab KVNO Principal —- ————————————————————————– 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 [email protected] 1 [email protected] 1 [email protected] 1 [email protected] 1 [email protected] 使用OpenSSH和pam_krb5,当反向DNS查找是myhost.ad.example.com时,我也可以使用GSSAPI进行身份validation。 到现在为止还挺好。 现在,事情是,由于各种原因,我想反向DNS查找服务器是myhost.example.org。 这甚至有可能吗? “host / [email protected]”应该是一个完全有效的Kerberos主体,但是如果我尝试在Active Directory中添加myhost.example.org作为服务主体名称,则net ads join -k失败,未能设置机器spn:约束违规“。 […]
我在域控制器上遇到了一个很奇怪的问题。 环境是: Windows 2008R2标准服务器+所有更新 一个DC +几个Windows客户端join到该AD 在该DC上安装了Symantec Endpoint Protection 12.1.x。 有人卸载它,并导致网卡失去了他们的IPconfiguration(阅读: ipconfig /all显示NO接口了,但在控制面板中,我能够看到和configuration它们)。 感谢赛门铁克的CleanWipe工具,我能够删除SEP的一些剩余部分(我想这是他们的networking保护驱动程序),并重新获得IP连接。 不幸的是,这使我的DNS和我的AD服务死亡。 当我打开DNS加载项时,出现如下所述的相同错误: Microsoft DNS – 访问被拒绝。 事件日志:DNS服务器无法打开Active Directory 我检查了我的主机文件,并重新添加localhost条目。 这没有办法。 我检查了名字parsing然后: ping localhost -> not found ipconfig /flushdns && ipconfig /displaydns – > localhost在caching中! 其他testing – 我已经添加了一个新的主机(8.8.8.8 www.google.com)到“主机”文件: ipconfig /flushdns && ipconfig /displaydns – >我在caching中看到google.com和8.8.8.8 ping www.google.com -> host not found […]
我已经使用V4.1.6-Ubuntu将我的Ubuntu服务器设置为AD DC。 当我尝试从Windows客户端访问打印机共享时,出现“非法function”错误。 我尝试了从Windows 10和Windows 7客户端。 此外,当我浏览服务器时,打印机不可见。 CUPS正在运行,从CUPS打印完美的工作。 smb.conf文件 # Global parameters [global] workgroup = WORK realm = WIN.WORK.COM netbios name = WORK-SERVER server role = active directory domain controller server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, smb dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, […]
如何configurationWindows AD以使用外部DNS服务器? 我们有一个pipe理DNS的工具。 我们正在尝试使用Windows AD进行身份validation。 为了让服务器join域,我们必须把它作为DNS指向AD服务器。 但是,这样做,指向AD服务器的DNS服务器不能再parsing我们的环境中的主机名。 我们在整个环境中使用example.com作为我们的login域。 我们所有的服务器都是servername.subdomain.example.com。 当我将servername1.subdomain.example.comjoin域时,它不能再parsingservername2.subdomain.example.com,除非我手动添加servername2.subdomain.example.com的DNS条目,在AD服务器上执行DNS。 我们不希望为每件事都创build两个DNS条目,所以我们需要AD服务器来查看DNS的外部DNS服务器。 我试图为subdomain.example.com创build一个正向查找存根区域,但是当我到达“指定要从中加载区域的DNS服务器”并input我的dns服务器时,在尝试validation时出现错误:“出现未知错误” 在添加DNS服务器时,尝试在我现有的example.com域下添加一个新的委托,会导致同样的错误。 诚然,我不是一个Windowspipe理员,我对AD的理解是最好的肤浅,但似乎我所要求的应该是相对简单的…我只是寻找一个域名主机的recursion查找控制器。 任何正确的方向指针非常赞赏。
在拥有活动目录的高度分支机构中,我正与IT部门负责人合作,并将控制权分配给相应的分支pipe理员。 我们的代表团概念目前处理组策略的方式是,我们创build一个在主控IT的控制下的组策略对象和一个分派给每个分支的分支pipe理员的组策略对象,这两个分支都与同一级别的分支OU相连,与 – 头GPO获取Enforced标志和1的链接顺序。 在定义本地组(通常只是像pipe理员或远程桌面用户这样的预先定义的组)时,我们面临的问题是委托相当棘手。 最终目标是拥有GPO在组中定义的任何内容,并在-branch成员资格定义中进行合并。 我们通过GPP来定义本地团体,如下所示: 我们正在刷新组成员身份,以确保已经通过GPP添加了一次,但被删除的组成员实际上已从客户的本地组中删除。 相同的组可能会通过GPP在-branch进行成员资格定义: 现在的结果是,只有最终的定义最终呈现在受影响的客户身上。 当使用Restricted Groups而不是GPP时,我们得到的结果几乎相同,因为Enforced链接标志为-head提供了-head GPO首选项。 并且,当将Restricted Groups与GPP在-branch上混合-branch ,我们看到不一致的结果 – 取决于哪个CSE首先运行(显然CSE的执行顺序未定义),组可能包含或不包含GPP定义的成员-branch 。 那么,集中执行某些成员资格的最明智的方法是什么,仍然允许分支机构的pipe理员?
我有一个用户最近升级到Windows 10的笔记本电脑,每天重新进入我们的域名。 我已经在AD方面进行了检查,并且没有注意到他的权限限制或者他属于哪个OU。 当他早上回到networking时,他被告知他的UAC权限已经改变。 我试图将这个复制与实际上比他有更多的限制性访问的各种用户,并且无法复制这个。 有没有人在Windows 10中看到过或听说过这种行为? 这只发生在我们注意到的Windows 10笔记本电脑上(我们也有几台Windows 7笔记本电脑。) 谢谢。
我有一个Centos 7服务器的专用networking。 每个服务器只能通过SSH堡垒到达。 而且,所有这些服务器都使用SSSD来针对LDAP目录validationSSH用户的密钥。 由于密钥是针对LDAP目录进行身份validation的,因此没有标准的authorized_keys文件。 二进制文件/usr/bin/sss_ssh_authorizedkeys不是通过一个标准的authorized_keys文件来pipe理一个针对LDAP的查询, sshd格式化为一个authorized_keys文件 – 但实际上并不是一个文件。 因此,就我所知,通过将RSA键绑定到commands=" … "条目来限制用户到特定的命令是不可能的。 SSH用户可以使用以下命令通过堡垒authentication他们的工作站: ssh -A -l [email protected] joes.workstation.ip -o ProxyCommand="ssh -l [email protected] -q bastion.ip nc joes.workstation.ip %p" 不幸的是,他们也能够在堡垒服务器上进行SSH会话,这是我不希望他们能够做到的。 无论如何,我可以使用我当前的工具 – SSSD,SSHD,一个LDAP目录 – 允许SSH用户通过堡垒,但不能进入堡垒?
我试图解决与我们的git服务器冻结问题。 我们在专用Windows Server 2012 R2标准虚拟机上运行Atlassian Stash 。 服务器有时(每周几次)会冻结几分钟。 冻结似乎只影响连接的git客户端; 机器上的其他活动运行良好。 我们仍然可以使用远程桌面来访问这个盒子。 任务pipe理器显示很less的CPU活动和可以忽略的磁盘和networkingIO数量。 我们已经注意到,该机器正在与工作站进行出站LDAP连接,而不是任何Active Directory域控制器,而是连接到笔记本电脑。 显然笔记本电脑不会回应,所以连接挂起,直到超时。 一旦超时,正常的git服务恢复。 至less,直到下一次。 我们已经validation了networking连接是由Tomcat(Stash的应用程序主机)发起的。 什么会导致此服务器尝试build立到不是Active Directory控制器的计算机的LDAP连接? Stash的目录服务configuration仅列出本地Active Directory域控制器,但我们注意到还有多个到其他有效的域控制器的出站连接。 机器如何发现这些其他域控制器? 这种机制可能解释为什么它试图与笔记本电脑谈话?
我最近搬到一个新的位置,我们有几个计算机实验室,目前正在限制访问通过运行login脚本检查用户的组成员身份,如果不是在正确的组,显示错误消息,告诉他们如果他们联系认为他们需要访问,并将其注销。 我的两个问题是,它不会显示太久的错误,所以有人可能无法读取它,脚本可以被杀死,让他们login。 我想通过启用“允许本地login”策略并添加适当的组来将此限制移至组策略。 我仍然希望能够显示我们的自定义错误消息,但想知道是否有一种方法来更改由于此策略拒绝login时出现的错误。 我知道一种方法是只更改login屏幕上的文本,但我想保持该区域相对干净(我们已经有一些文本,不想在那里放一本书)。 任何想法,不胜感激。