我和一家大型跨国公司的一家分公司签约,编写一些内部软件。 我试图用ClickOnce将这个软件推送给用户。 为了签署该应用程序,我获得了一个代码签名证书,该证书是使用AD CS服务器创build的(通过在mmc.exe中创buildCSR并将其上传到服务器的Web门户请求)。 一切似乎工作正常,但在发布后,我不断得到一个错误,指出“发布者不能validation”。 经过一番调查,我怀疑这个错误是由于我的证书的“主题”字段是空的。 pipe理员向我保证,他们已经使用Microsoft提供的“开箱即用”代码签名模板来创build证书。 我已经尝试再次请求证书,手动填写属性菜单的主题选项卡中的字段,但完成的证书仍然没有填写任何主题。我有一个完整的AD帐户,在networking上有正常的用户权限。 有谁知道我们做错了什么?
一些GNU / Linux发行版(CentOS的想法)有一个整洁的身份validationconfiguration工具,您可以在其中指定使用哪些auth方法(文件,NIS,Winbind等)。 你指定了所需的参数(例如领域,服务器地址),它为你做了一切。 Linux Mint Debian Edition似乎没有一个。 我试图让LMDE Betsy客户端loginSamba的经典PDC(而不是AD)已经工作得很好的Windows客户端。 看来我不得不做相当数量的陷阱 – 缠身configuration编辑 。 更糟糕的是,Samba Wiki只有joinAD的指令,而不是PDC 。 在这个发行版中是否有一个更简单,已经脚本化的方式来做到这一点? 我没有find一个正确的工具,在我的鼻子前? [编辑]进度:我已经到了wbinfo -u列出域用户的地步,但是getent passwd没有,我不能和域用户一起login。 我对非Samba文件做的唯一修改就是将winbind包含在nsswitch.conf中: passwd: compat winbind group: compat winbind 这是我的smb.conf: [global] netbios name = MAQUINA128 workgroup = PCOMLAB realm = PCOMLAB.INTRANET security = domain dns proxy = no log file = /var/log/samba/log.%m max log size […]
所以我想指定一个用户名并返回计算机名称。 当我运行这个,它告诉我,我的$computers obj是null 。 为什么$computers = Get-ADComputer | where {$_.accountdisabled -eq $false} $computers = Get-ADComputer | where {$_.accountdisabled -eq $false}返回null ? 我的脚本到目前为止是这样的: Function Get-Username{ $Global:Username = read-Host "Enter a username" if ($Username -eq $null){ Write-Host "Username can't be blank. Enter username" Get-Username } $UserCheck = Get-ADUser -Filter 'Name -like $Username' | FT Name, SamAccountName -A […]
有没有办法使用单个可信的第三方authentication机构(CA)签名的通配符安全证书来保护整个Active Directory(AD)域,以便远程访问将无缝地进行: RDP通过远程桌面网关(RDG)使用远程Web访问(RWA)到PC。 RDP使用远程桌面连接通过远程桌面网关(RDG)连接到远程桌面服务(RDS)服务器。 理想情况下,我喜欢这样做,以便用户在远程login时不会收到安全证书警告(无论计算机位于何处或计算机是否已join域) 浏览到https://internal.domain.com/remote ,login并selectPC-01 。 打开RemoteApp并login。 细节: 互联网域名: domain.com AD域名: internal.domain.com AD域控制器和RDG服务器完全限定的域名: server-01.internal.domain.com RDS服务器完全限定的域名: server-02.internal.domain.com PC完全合格的域名: pc-01.internal.domain.com 通配符安全证书: *.internal.domain.com 据我所知,这是不能做到的,因为一个安全证书只能安装在一台计算机上,这种情况下需要在3台计算机(RDG服务器,RDS服务器和PC)上安装安全证书。 但是,我知道AD有自己的公钥基础设施(PKI)和“内部”CA,用于确保域和join域的计算机之间的信任。 那么,有没有办法用可信的第三方CA签名的通配安全证书来取代AD的CA根安全证书? 更新2016/06/30 16:33:我已经取得了重大的进展,一旦问题得到解决,将写出答案。
AD LDS使用名为adlds-admin的Windowspipe理帐户安装在独立的Windows 2012 R2服务器上 但是,那个账户已经被误删了。 AD LDS运行良好。 我们想更新AD LDS实例的模式,但是得到错误: Operation Failed: Error code 0x2098 Insufficient access rights to perform the operation Problem 4003 INSUFF_ACCESS_RIGHTS 4003 这是以pipe理员身份login并运行ADSI编辑。 有没有办法给另一个Windowspipe理员帐户相同的权限,原来的adlds-admin有? 这将有希望然后让我们更新架构。
我的Windows Active Directory服务器上安装了Kerberos,但无法连接到UNIX中的KAdmin。 我能够在Windows中创build用户和委托人,将keytabs导出到远程linux服务器,然后成功地将kinit导出。 不过,我想确保keytabs的maxrenewlife和allow_renewable设置,因为我不认为我的keytabs正在更新成功。 1)如何在Windows AD机器上设置这些属性? 我相信这可以通过kadmin界面来完成,但我无法连接到它。 root@dagobah:# kadmin -p pele/[email protected] Authenticating as principal kadmin/[email protected] with password. Password for kadmin/[email protected]: Password for kadmin/[email protected]: kadmin: Database error! Required KADM5 principal missing while initializing kadmin interface 所以下面这个post – https://security.stackexchange.com/questions/7698/kadmin-problem-client-not-found-in-kerberos-database-while-initializing-kadmin – 我创build了kadmin / dagobah&kadmin /pipe理员委托人并重试: root@dagobah:/etc/security/keytabs# kinit kadmin Password for [email protected]: root@dagobah:/etc/security/keytabs# kadmin Authenticating as principal kadmin/[email protected] […]
我正在计划一个域名迁移,我想知道哪些计算机对象已经启动并正在运行。 已经尝试命令“dsquery计算机domainroot -stalepwd”,但我仍然有一些怀疑与输出。 有没有人有任何其他build议? 提前致谢! JFA
以前被问及类似的问题: 组策略设置,以防止询问用户在哪里存储恢复密钥 我正试图对新的XTS-AES执行encryption模式,以便如果用户计算机没有运行最新的Win 10(1511版本),则无法启用BitLocker。 现在用户得到这个提示: 我希望他们只能select新的encryption模式 – 我甚至不希望他们看到这个提示。 如果他们没有运行1511,他们将不被允许启用位柜。 我无法find似乎强制执行的政策。 有没有这样的政策?
我正在尝试使用Active Directy身份validation来集成CentOS7客户端,并使用cif自动安装用户homedirs。 我宁愿使用autofs,但到目前为止,我无法使用sec = krb5设置使cifs挂载工作。 这个消息总是失败 # mount -t cifs //fileserver.my.domain/user /mnt/user/ -orw,noperm,sec=krb5 mount error(126): Required key not available Refer to the mount.cifs(8) manual page (eg man mount.cifs) 获取autofs与cifs和AD一起工作的任何提示将是最受欢迎的。 使用RedHat的这个描述来设置身份validation是一件容易的事情,只是添加了由 realm discover MY.DOMAIN 并运行该命令 realm join MY.DOMAIN -U ad-admin-username 所以身份validation工作正常,但获得cifs和kerberos工作是超越我。
所以我一直在寻找几天来设置这个“简单”的东西。 我想有一个文件服务器,用户可以在那里login域名(域\名称)和密码。 服务器应该根据他们的名字给他们访问一个目录。 一些pipe理员(或本地用户)应该能够访问它们。 这工作,但是我正在一个虚拟机,并遵循多个半弃用的指南。 所以我在一台新的机器上复制了我的步骤,但无法使其工作。 (都是最新的Centos7.2) 我的方法简而言之: 设置时区 安装krb5-workstation并将其设置为kinit [email protected] 安装samba samba-winbind-clients设置它(见下面的configuration) net ads join -U [email protected] (成功;见下文) 开始服务smb,nmb和winbind 将/etc/nsswitch.conf中的winbind添加到passwd,shadow和group中 testing域用户:wbinfo -n用户和wbinfo -g(组) join的结果: Enter [email protected]'s password: Using short domain name — DOMAIN Joined 'SERVER' to dns domain 'domain.url' No DNS domain configured for server. Unable to perform DNS Update. DNS update failed: NT_STATUS_INVALID_PARAMETER […]