我遇到了以下问题:域中的单个用户在通过域名引用服务器时无法访问共享文件夹。 通常,用户只需在服务器名称中input地址栏即可: \\ SVR01-DC 但是,我们有一个用户不能以这种方式访问服务器(而不是任何共享文件夹),只需使用域名进行寻址即可。 但是,他们可以通过使用IP访问文件夹。 这个用户的设置是这样的: 他们是一个域用户,并已login到域。 即DOMAIN \用户 他们尝试访问的服务器位于正在尝试从其访问笔记本电脑的单独子网上。 (服务器 – 192.168.1.0;笔记本电脑 – 192.168.2.0) 与客户端笔记本电脑位于同一子网上的其他用户使用域名访问服务器没有任何问题。 有问题的用户没有问题以这种方式访问相同或不同子网上的其他服务器。 (即“\\ SVR01-APP”(子网1)或“\\ SVR02-DC”(子网2)没有问题连接)。 我还没有尝试通过不同的PC上的相同用户连接到服务器,但是当笔记本电脑移动到相同的服务器作为服务器时,它没有问题通过它的域名连接到服务器。 在这个用户的共享,用户访问或组策略设置中已经能够突出显示的其他差异或问题以及本问题中概述的解决scheme不适用 – 据我所知,所有服务/设置都是按预期工作。 编辑:类似的问题已经出现在另一个方向。 单个用户(login不同,不同的PC)在子网1上失去对SVR02-DC服务器的访问权限。 另外,在调查中,我发现两个用户都可以通过IP访问服务器,而不是域名。
我的服务器2012 R2服务器上的活动目录拒绝login我的Windows 10专业客户端。 每次显示authentication失败“用户名和密码不匹配”。 如果用户使用本地configuration文件而不是绕过Windows(活动目录)身份validation,服务器允许来自同一台计算机的具有相同凭据的远程桌面login。 我已经设法让我的两台电脑之一终于工作,通过注册到一个工作组的计算机; 重新启动; 改变电脑名称; 重新启动; 然后将其重新注册到域中; 然后重新启动。 我不确定为什么它现在在那台计算机上工作,但是,同样的程序没有修复第二台计算机。 我认为这些证书与服务器上列出的内容相符,并且它与服务器之间的连接是主动的。 这是一个已知的错误; 我怎样才能解决这个问题?
我试图在企业商业环境中的Xubuntu 16.04中joinActive Directory,所以我将通过MY.EXAMPLE.CORP来更改我的REALM名称。 我的问题是:当我跑步 net ads join -U Administrator 它要求我的ADpipe理员帐户的密码,我把密码,但它仍然存在,它不会给出错误或成功的消息。 就在那里。 terminal刚挂在那里 我尝试了kinit和klist命令,结果是: Tickect cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 11/11/16 09:58:40 11/11/16 19:58:40 krbgt/[email protected] renew until 12/11/16 09:58:34 这些是我在每个文件中所做的更改。 krb5.conf,smb.conf,nsswitch.conf 的krb5.conf [libdefaults] default_realm = MY.DOMAIN.CORP …. [realms] DOMAIN = { kdc = SERVER01.MY.DOMAIN.CORP kdc = SERVER02.MY.DOMAIN.CORP admin_server = SERVER01.MY.DOMAIN.CORP SERVER.MY.DOMAIN.CORP […]
我有一个系统,目前使用LDAP / AD服务器通过pam和pam_ldap模块进行身份validation。 为了使用此服务器进行身份validation,pam_ldap需要一个将LDAP上的数据公开给我的帐户。 帐户数据通常通过configuration的binddn和bindpw字段填充。 据我所知,pam模块使用binddn和bindpwlogin,然后为用户执行search,然后绑定每个能够login的用户。 LDAP / AD服务器的pipe理员希望我使用加载到我的系统上的Kerberos密钥表,而不是提供binddn和bindpw。 所以我的问题是: 我怎样才能configuration帕姆这种情况? 我能够获得ldapsearch命令与kerberos证书一起使用,但是pam_ldap 文档声明初始绑定仅支持简单的身份validation。 这意味着服务器需要提供binddn和bindpw(他们想要停止使用),或者允许匿名绑定,这是他们绝对不想允许的。 我发现这个页面包含一个标题为“为LDAP绑定configurationKerberos身份validation”的部分,这听起来正是我想要做的,但我一直无法弄清楚如何将其应用于我的情况。 任何帮助,方向或commiserating将不胜感激。 这是我可以find我的问题已经在这里最接近的事情: 链接 。
我是Active Directory的新手,我需要为具有两个较大位置和五个较小位置的组织实施AD,所有这些组织都通过MPLSnetworking连接。 以下是networking的简图: 这里实施AD的主要原因是中央authentication和用户维护(以及可能的组策略)。 没有漫游configuration文件,没有交换,没有文件共享或其他资源共享。 远程位置(CG)没有服务器,而且这些站点的工作站数量很less,AD的使用也有限,所以我真的不希望在这些地方安装具有相关基础设施,成本和pipe理费用的DC。 我打算只使用一个域,但还没有决定OU等(但总体上我试图保持简单)。 问题: 对于AD的这种使用,T1是否足够(每个地点的5个站通常只会login1-2次/天)? 或者是否可能会非常缓慢地login和陷入T1s? 我可以只使用一个站点(尽pipe当前的3Mbps链接@站点B [在2个月内成为10 Mbps])? 如果没有,那么把两个DC @ Site A怎么样? 对于这种情况的其他devisebuild议(请记住,我是一个AD noob)?
我有我的用户的机器Windows 10.用户驱动器在每次重新启动后都locking(只有D和E驱动器)。 我们有一个GP来阻止USB设备和光盘到包含这台PC的OU。 事情就是这台机器有问题,同一个OU下还有其他几台机器。 事件查看器在处理此GP时也显示出一些错误。 我试图通过给机器的USB接入,但问题仍然存在。 现在,每次我需要删除驱动器号时,请将PC重新连接到域,然后连接磁盘pipe理中的驱动器。 机器有以下事件logging。 事件ID 1058,219。
我有一个为用户映射驱动器的GPO。 我testing了它,它适用于新创build的testing用户。 设置为:用户configuration>首选项> Windows设置>驱动器映射: 设置 问题:一些用户没有得到驱动器! 故障排除 :执行gpresult / r查看结果。 结果:GPO在报告中没有显示AT ALL? 好吧,以便在AD中validation用户位置: DOMAIN.local > compOU > usersOU > USER USER是组的成员: TESTGROUP 在GPM中,GPO的范围是:链接: DOMAIN.local \ compOU \ usersOU 安全筛选: TESTGROUP 没有WMI过滤 为什么政策不适用,或至less出现?
我们最近从SBS 2011迁移到了Server 2016.我们在之前的SysAdmin中禁用/删除了90%的Exchange,所以不幸的是有一些问题。 在为Office 365设置Azure AD Sync时遇到了这些问题。 旧的本地交换服务器上的ExchangeActiveSyncDevices用户出现同步错误。 幸运的是我们只有5人,但我们需要解决这个问题。 使用ldp.exe和ADSI编辑您尝试删除子对象时会出现访问被拒绝错误。 有没有办法强制删除这些子对象,而不安装交换? 干杯。
我正在运行Windows Server 2012 R2。 我有一个每30分钟运行一次的任务。 基本上,它检查接口地址是否已经改变,更新configuration文件,并重新启动应用程序。 由于configuration文件位于C:\ Program Files中,因此进程必须以最高权限运行,否则对该文件的访问将被拒绝。 这工作正常 – 问题是,当重新启动的应用程序创build文件时,默认情况下它们属于pipe理员组。 我使用了一个属于pipe理员组,域pipe理组,超Vpipe理组等不同的帐户,但任何时候我尝试修改该应用程序创build的文件,我得到一个UAC提示。 我必须手动编辑创build的文件/目录的安全性,并授予自己明确的权限 – pipe理员组的权限似乎不被inheritance – 有没有人知道是什么原因造成的?
我有两个私人子网 10.9.1.0/24 10.9.137.0/24 10.9.1.0/24是在那里,我创build了一个使用MS Windows 2008R2的IP 10.9.1.10的Active Directory域控制器。 路由器和DHCP服务器是10.9.1.1 几天前,一个新的集团join了我们的部门,现在我们也控制了10.9.137.0/24。 设置非常相似,DHCP服务器和路由器是10.9.137.1。 为了连接两个networking(它们位于两个不同的物理位置),我使用预共享密钥创build了一个IPsec VPN。 然后我可以从一个networkingping到另一个networking。 我也能够使用来自两个networking的AD(10.9.1.10)上运行的相同的DNS服务。 唯一的问题是,当我尝试从第二个networking(10.9.137.0/24)到现有DC广告Windows 7 PC时,我得到AD DC无法find的错误。 它不适用于FQDN,DNS名称和IP地址。 正如我所说的,我无法find一个理由,ping的工作正常,我甚至可以连接到networking共享从一个networking到另一个。 我究竟做错了什么? AD DC是否需要位于同一个子网(10.9.0.0/16)? 我需要告诉我的AD DC,它也“服务”其他子网? 有任何想法吗? 任何线索我应该看看,我很欣赏。 谢谢,斯蒂芬妮。