我们在我们的networking中部署了DirectAccess,用于Windows 7/10客户端,这非常棒。 问题是,DA服务器/客户端证书是基于我们正在退役的内部PKI; 我们已经构build了另一个PKI(两层,离线rootca和从属ca),我们正在将所有证书迁移到其中。 我的问题是将我们的DA基础设施迁移到新的PKI。 我将需要向客户端计算机发放一个新的计算机证书模板(与旧计算机证书一起保留其现有的DAfunction); 那么一旦所有的客户端都有来自新的PKI的计算机证书,我将更新DA服务器上的证书。 我遇到的问题(或缺乏知识)是什么? 客户能否使用新的PKI颁发的新证书重新连接到DA服务器? 或者,这会打破严重,直到他们在networking上获得最新的GPUPDATE。 任何人经历过这样的事情都想分享他们的经验? 我最好的行动是什么?
这是我目前的设置:我们有2个名为TEST1和TEST2的域。 TEST1域是我的Linux客户端成功集成的默认域。 但是用户和组证书必须从另一个名为TEST2的受信任的域接收。 UID(uidNumber)和GID必须从TEST2 AD服务器获取。 以下是smb.conf文件的内容。 [global] workgroup = TEST1 realm = TEST1.LOCAL netbios name = LIN01 security = ads winbind offline logon = no allow trusted domains = yes winbind enum users = no winbind enum groups = no winbind use default domain = yes template home dir = /home/%U template shell = /bin/bash […]
最近,我负责为远程使用的工作站寻找一种集中的帐户pipe理方法。 到目前为止,AD服务器是我们为用户pipe理机器帐户的唯一解决scheme,但用户在validation到AD服务器之前必须连接到我们的VPN。 这样的事情是可能的(首先连接到VPN,然后通过互联网与AD服务器authentication),还是有更好的解决这个问题? 我们目前使用RADIUS服务器来validation我们的VPN用户以及内部系统,而AD服务器只会确保用户在机器上的账号执行正确的密码控制等。任何人都可以build议最佳的行动方式吗?
我有一个问题与多个域validationkerberos。 我在Windows Server 2012 R2上使用Alfresco 4.2f,我在两个域之间有一个森林信任(function级别2008 r2)。 我的kerberos跨域设置就像从这里的文档文档: https ://community.alfresco.com/external-link.jspa?url =https% 3A%2F%2Fissues.alfresco.com%2Fjira%2Fbrowse%2FMNT- 10368 问题是,我能够从我的主域用户login正确,但没有来自我的第二个域的用户。 我用wireshark跟踪了krb5包,如果我尝试从第二个域login,我得到以下包:“ KRB5错误:KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN ”。 在这个包中,我可以看到来自第二个域的用户试图从主域validation域。 问题是完全一样的在这里(没有答案): https : //community.alfresco.com/thread/176568-kerberos-with-multiple-domains-on-share-40d 这是我的krb5.ini: [libdefaults] default_realm = DOMAIN1.LOC dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 2h default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac [realms] DOMAIN1.LOC = { kdc = dc01.domain1.loc:88 admin_server = dc01.domain1.loc:749 default_domain = domain1.loc […]
我们有一个运行Active Directory的Windows 2008R2服务器,我已经编写了一个C#应用程序,允许IT人员将新用户添加到AD中。 我在创build或更新用户方面没有任何问题,但是当需要将它们添加到不同的安全组时,我遇到了权限问题。 在使用IT之后,我们发现我需要读,写,创build子对象和删除子对象。 当我们直接向安全组指定这些权限时,现在可以正常工作,但是如果我们在OU级应用这些相同的权限,则无法修改各个组的成员。 任何人都可以帮助我们找出在OU级别需要授予什么权限,以便我可以添加/删除该OU中的任何组的成员?
我的虚拟机上有一个Windows Server 2008。 我创build了一个域控制器,并希望与一个用户共享一个文件夹。 如果我尝试连接到文件夹,我应该input用户名,密码和域名。 连接工作,但input的域名无关紧要。 我可以input任何内容,并将连接到该文件夹。 如何避免这一点?
当遇到vCenter Server服务帐户function时,我正在Windows Server 2012 R2上安装VMWare vCenter Server 6.0。 我可以使用本地系统帐户或在我的域上指定服务帐户。 做了一些Googlesearch之后,我发现一个服务帐户允许进程作为一个用户在一台机器上运行,即使没有用户login。但是,我不明白为什么我想这样做或我怎样才能受益 如果我这样做,我想创build一个新的帐户专门用作服务帐户吗? build议该帐户有域名还是本地pipe理员?
我们的一个客户端需要具有邮箱的所有用户都被授予Full Access和Send on Behalf权限给另一个共享邮箱。 最简单的方法是为安全组提供所需的权限,但Exchange 2013只允许作为用户的代理。 我试过通过ECP和以下(假设“sharedemail”是共享邮箱和“AllUsersSecGroup”是AD安全组): Set-Mailbox -Identity "sharedemail" -GrantSendOnBehalfTo "AllUsersSecGroup" 我无法使用Add-MailboxPermission因为没有运营商的Group而不是User 。
我们正在使用freeradius&winbindd为了validation我们的EDUROAM Wifi用户对Active Directory域。 这是一种魅力,但是我们每小时几乎每两个小时(在工作时间,上午十点,十二点和上午十点) 在我们的mschapconfiguration中,我们正在调用一个脚本 ntlm_auth = "wrap_ntlm_auth.pl challenge %{%{Stripped-User-Name}:-%{%{User-Name}:-None}} %{mschap:Challenge} %{mschap:NT-Response} %{%{Calling-Station-ID}:-none}" 这个脚本基本上实现了阻止机制和用户名的映射。 最后它调用ntlm_auth,这是winbindd: ntlm_auth –use-cached-creds –username='%s' –password='%s' 要么 ntlm_auth –use-cached-creds –request-nt-key –username='%s' –challenge='%s' –nt-response='%s' 取决于是否使用密码或质询authentication。 我们感到非常困惑,为什么身份validation过程每两小时需要相当长的时间。 在我们的设置中是否有明显的错误/任务优化? smb.conf for winbindd: [global] workgroup = DOMAIN server string = %h server dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 # […]
目前,我已经为我刚刚添加到域中的新机器启用了2个GPO。 第二个GPO(stagingGPO)没有出现在gpresult / r中。 第一个(Power SettingGPO)是报告中唯一的结果。 但是,当我检查StagingGPO的本地策略设置时,它们在新添加的PC上正确设置。 第一个GPO确实设置了回送处理,我已将其设置回缺省值“未configuration”。 我运行gpupdate / force,然后用相同的结果gpresults。 为什么StagingGPO不会显示在gpresults的结果中? 编辑:这是一个设置的RSOP的屏幕截图。 这也是gpresult / r / v的输出,它们与屏幕上显示的不同。 Microsoft(R)Windows(R)操作系统组策略结果工具v2.0 c 2016 Microsoft Corporation。 版权所有。 创build于1/11/2017在2:12:46 PM WKST02上的DOMAIN \ xxxxxxxx的RSOP数据:logging模式 OSconfiguration:成员工作站操作系统版本:10.0.14393站点名称:默认第一站点名称漫游configuration文件:不适用本地configuration文件:C:\用户\ xxxxxxxxxxx通过慢速链接连接? 电脑设置 CN=WKST02,OU=Staging,DC=xxxxx,DC=xxx Last time Group Policy was applied: 1/11/2017 at 1:44:59 PM Group Policy was applied from: dc2.xxxxxx.xxxxxx Group Policy slow link threshold: 500 […]