我正在尝试使用Linux机器上的samba4版本(已连接到AD DOmain)configurationsamba共享。 我的问题是有什么办法可以configuration两个不同的AD组不同的访问权限到同一个共享? 我有两个股份:1)/ var / share1 2)/ var / share2 以下是/etc/samba/smb.conf中的共享configuration [share1] comment = Share1 Folder path = /var/share1 create mask = 0770 directory mask = 0770 read only = No valid users = @Oracle-Unix-Admin, @Oracle-Unix-Support [share2] comment = Share2 Folder path = /var/share2 create mask = 0770 directory mask = 0770 read only […]
很长的时间 我删除了AD用户,他们的Exch2016邮箱没有被标记为已断开。 总之, 我将testing用户从旧森林迁移到新森林,然后迁移他们的邮箱。 我在所有关于Prepare-MoveRequest.ps1的MS文档和ADMT的过程之后做了这个。 用户可以login,并可以发送和接收邮件。 我已经完成了这个testing,所以我从AD删除了用户以及在新林中创build的用户(而不是迁移)。 只是为了确保事情按预期工作,我稍后回去检查断开的邮箱状态,并遇到一些惊喜。 邮箱状态 Get-MailboxStatistics -Database $d -StoreMailboxIdentity $i | select DisplayName,DisconnectReason,DisconnectDate 此时,属于在新林中创build的用户的邮箱的“DisconnectReason”值为“Disabled”。 被迁移的用户仍然有$ null 尝试解决scheme Update-StoreMailboxState -Database $d -Identity $i 这不会影响已迁移用户的任何更改。 状态 Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=*)" -IncludeDeletedObjects -Properties * | select Name,Deleted 迁移的用户的邮箱处于limbo状态,AD对象已被删除,但邮箱不会转换为Disconnected状态。 试图解决scheme2 Remove-StoreMailbox -Identity $i -Database $d -MailboxState "Disabled" 返回错误: The mailbox 6b7460a9-c25b-4051-94c4-1def02663ef6 isn't disconnected.
已经有两个AD服务器的内部networking。 想要添加一个AD服务器到AWS云。 而不是设置运行AD的Windows VM,我想知道是否可以使用AWS Microsoft AD来代替。 它看起来像是一个完整的AD,它肯定会做我想在一个纯云的情况下,但我找不到明确的文件,使其与VPN上的其他AD服务器同步。
我有一台Debian Samba文件服务器作为成员服务器绑定到Active Directory。 我们为每个在该服务器上与其用户名匹配的员工创build一个员工文件夹 当员工退出时,他们的Active Directory用户帐户被取消激活并移动到停用的用户OU。 我想以编程方式删除已离职员工的员工文件夹,但找不到可区分在职员工和停用员工的工具。 我曾尝试过:“wbinfo –verbose -i”和“id”命令。 有没有人知道一个Linux命令,我可以用它来确定一个员工是否处于活动状态或停用状态,或者替代状态是一个用户账户所在的OU。
我有一个特定的OU,其中有几台机器。 我只是创build了一个域用户,这个用户在所有机器上都具有普通的本地用户的标准权限 – 他需要做的唯一的事情就是安装他想要的任何一种软件,但是没有同时是域名pipe理员或本地pipe理员。 我想也许我可以意识到这一点,使用该用户的GPO,但我还没有走得很远。 有没有办法给新创build的用户在特定的OU中的机器上安装东西的权限,而不给他所有的其他pipe理员权限?
我公司向客户销售软件解决scheme,作为交付的一部分,我们还提供硬件和configuration。 尽pipe在纸上列出了属于客户的所有硬件和操作系统,但是我们执行所有的pipe理(客户只有在请求时才能访问服务器 – 这是我们不能否认的,因为他们拥有它),但这是相当稀有)。 这是通过与客户的正常VPN连接完成的。 到目前为止,我们已经把所有的东西都放在一个工作组里了,但随着公司的发展,这种方式开始难以pipe理。 在内部,我们已经使用了活动目录(我们称之为forest internal.local ,目前的计划是创build一个独立的森林,它也可以住在家里(我们称之为customers.local ),然后为每个客户创build一个子域,即customerA.customers.local , customerB.customers.local等。每个子域在客户的网站上直接有一个DC。 这个想法是在internal.local和customers.local之间有一个单向的外部信任,这样服务台就可以使用来自internal.local的帐户连接到所有客户的设备。 在哪里我可以看到一个潜在的问题是,客户往往无缘无故地关掉一些服务器,因为他们属于客户,我们不能select把他们切换回自己。 这意味着在客户将服务器断电6个月或更长时间的情况下并不罕见。 我知道凭据在对计算机所在的域进行身份validation时会被caching一段时间(可configuration),但我的理解是,通过信任进行身份validation(甚至是从子域到父域?),无法caching凭据。 它是否正确? 如果是这样的话,那么第二个客户的唯一DC就是服务台,即使他们刚刚连接了5分钟,也不能使用来自internal.local的用户进行身份validation。 有人可以澄清是否是这样的情况? 而且,如果确实有一个DC发生长时间的倒台,那么之后将其恢复在线的后果是什么,需要纠正哪些configuration?
我很好奇,是否可以在用户loginAD帐户时自动将用户login到Windows和/或Mac上的Chrome浏览器。 我们的G Suite帐户同步来自我们AD的所有数据,并且我们使用Google的SSO,因此信息在某处。 Chrome浏览器在login时将大量设置和应用推送给我们的用户。 这是我想要做的,但在后台 https://support.google.com/chrome/answer/185277?co=GENIE.Platform%3DDesktop&hl=en
首先,上次我在几年前曾经pipe理过任何AD。 那么每个join域的计算机都会创build一个计算机帐户,并且用户需要一个用户帐户。 这是如何与临时计算机一起工作的,例如用户join他们自己的硬件,或者在云端连接一个或两个临时虚拟机,然后删除它们。 显然,这些资源并不是IT部门创build的,具体来说,它们并不是从AD删除,而是消失(删除,用户自己使用了新电脑,不再使用旧电脑,可能做了一个完整的-install等) AD是否累积了孤立的计算机帐户,以及如何清理? 我的问题是既在内部部署,也在Azure托pipe的AD。
我已经和几位同事谈了在我们的环境中使用组pipe理服务帐户的最佳做法。 理想情况下,我们将为每个服务器(例如SQLDEV01)创build每个服务1个gMSA(例如SQL Agent服务)。 这样可以最大限度地分散担忧,如果任何服务帐户(受损,删除,locking,损坏等)出现任何问题,只会影响与其关联的单个服务和单个服务器。 这种方法唯一的缺点就是可能会有大量的gMSA来创build。 但是有了这个说法,一旦创build,就没有太多的需要去pipe理它们了。 我遇到的另一个问题是命名gMSA(我相信它必须是15个字符或更less)。 想出一个名字来表示这个账户是gMSA,是为了一个特定的服务,还是为一个特定的服务器,这似乎是非常困难的。 例如,遵循典型约定的通用名称可能如下所示: gMSA_SQLDEV01_SQLAGT(20个字符) 它可以缩写为: gmsaSQLDEV01AGT(15个字符) 上面的例子恰好是15个字符,没有空余空间用于其他可能更长的服务器或服务名称。 有没有最好的做法或方法来处理这些情况: 集团托pipe服务帐户分离的担忧? 组pipe理服务帐户与长名称?
直到最近一切工作正常。 我写了一个程序,允许用户pipe理另一个用户,它更改密码并设置目标帐户的到期date。 在Active Directory用户和计算机中,我添加了要控制目标帐户的用户,并在“ 完全控制 ”的安全设置中。 直到最近,当我检查用户是否仍然列在目标帐户的安全设置中时,他们不再列出。 它似乎“坚持”了大约5到10分钟,然后自行消失。 我无法弄清楚为什么用户一直从目标帐户下的安全设置自动删除…