我有我的魔术三angular非常重要的一部分 – 我绑定到AD&OD的Mac OS X客户端可以使用域凭据login。 什么是不工作是共享从Mac服务器的文件夹到客户端。 当客户端使用Go – >连接到服务器,并指定smb:// mac-server / sharedfolder或afp:// mac-server / sharedfolder时,将提示用户input凭据,并且域凭据不起作用窗口拒绝)。 我已经尝试用域名前缀的用户名,但没有运气。 DNS工作正常,客户端可以同时parsingmac-server和AD域控制器 mac服务器的DSCONFIGAD如下: mac-server:~ macadmin$ dsconfigad -show Active Directory Forest = campus.zzz.edu Active Directory Domain = campus.zzz.edu Computer Account = mac-server$ Advanced Options – User Experience Create mobile account at login = Disabled Require confirmation = Enabled Force home to […]
我必须在这里丢失一些明显的东西。 我们有一个GPO链接到计算机OU。 用户login时,GPO运行VBlogin脚本( 用户策略)。 我正要在此GPO上启用回送处理以使其生效,但是我意识到它已经被应用到login到计算机OU中的PC的所有用户。 AD中的所有GPO都没有启用环回处理(我检查了所有这些)。 有人知道这里可能会发生什么吗?
我必须设置应用程序的用户帐户来获取我们域的用户和组成员的列表。 因此,我希望这些应用程序尽可能使用最低限度的访问权限来为用户帐户使用凭据。 我所做的是创build不能更改密码的基本用户,组成员是“域用户”,并将密码设置为一个随机生成的令人厌恶的长度。 是否有我应该使用的特定的内置安全组? 是否有另一种更安全的方式来创build用户并授予他们这种访问权限? 任何和所有的帮助将不胜感激!
如何从日志事件中了解用户是否连接到远程桌面以及何时? 我有一个AD 2003环境,我想知道某个用户何时连接到远程桌面服务。
我有一个本地域(我们称之为mycorp.local )。 在一台计算机上,我build立了一个到远程域的VPN连接(让我们假设它的DNS后缀是remote.local )。 只要我build立远程连接,本地域authentication停止工作。 例如,我尝试使用集成身份validation连接到SQL服务器,但失败并出现此错误: login失败。 login来自不受信任的域,不能与Windows身份validation一起使用。 (Microsoft SQL Server,错误:18452) 如果我断开VPN,我可以再次login到SQL。 两个域都没有信任关系。 我的第一个猜测是,VPN连接优先于本地DNS。 这就是为什么我遵循这个答案: VPN连接导致DNS使用错误的DNS服务器 。 基本上,答案允许改变接口的顺序来尝试DNSparsing。 我假设DNS设置是正确的,因为我可以在build立VPN时ping通sql和ad计算机。 是否有任何参数/configuration要应用,以确保身份validation发生在正确的域名? 如果可以帮忙的话,下面是我的设置的一些细节: 2个网卡 1可以访问ADnetworking 1与互联网接入 本地子网:192.168.10.0/24。 公制设置为1 第二张卡的子网:192.168.66.0/24。 公制设置为100 VPN连接的子网:172.16.0.0/16。 公制设置为9999 在任何情况下, ping sql , ping sql.mycorp.local , ping ad和ping ad.mycorp.local都可以正确parsingIP地址(当然可以使用一些ipconfig /flushdns )。 ipconfig /all的完整输出是: Windows IP Configuration Host Name . . . . . . […]
经过10多年的“单向”devise,我正在考虑许可结构,并意识到我们的业务已经发生了变化,足以应付我们现在的状况,而不是10年前的状况。 考虑到这一点,我创build了一组适当的人作为成员。 到现在为止还挺好。 我添加了新的组和成员后,过了几个小时。 然后,我们在我们的文件服务器上创build了一个新目录,并将新组“foo”设置为对该目录具有“完整”权限。 我是“foo”组的成员(我也是domain和entp admin的成员)。 当我点击“申请”时,目录内容就消失了(意思是把组“foo”设置为唯一可以访问新目录的组)。 点击浏览器中的目录,我得到“访问被拒绝”。 右击确认组“foo”具有完全访问权限(应包括“我”)。 检查我们的DC,我的帐户是“foo”组的骄傲成员。 连接到我所有的DC,我确认所有已复制此更新。 所以,我应该可以看到我的目录,但我不知道。 一旦我添加完全访问“大家”,我再次看到目录内容。 另外,如果我使用一个老的组,我可以看到我的文件目录很好,但新的组似乎根本没有工作。 我已经尝试将新组移到域中的新OU上,或者甚至移到一般的“用户”OU中。 它似乎没有阶段。 所有的DC和文件服务器都是win2k3。 这不应该是这个难… 任何线索? 我很难过 Thx提前。
我正在考虑启用Azure Multifactor身份validation作为远程访问scheme的服务。 这似乎没有什么大不了的。 但是,Office 365正在与DirSync一起使用。 我发现http://community.office365.com/en-us/blogs/office_365_technical_blog/archive/2013/06/19/enabling-office-365-multi-factor-authentication-for-online-administrators-grid-user- post.aspx讨论通过https://activedirectory.windowsazure.com/启用多因素。 但是,这似乎专门用于访问Office 365,而不是一般多因素使用。 此外,这是一个界面是EOL(当你login时有一个警告),所以即使这是正确的,这将是错误的。 看起来主要的门户网站有一组类似的选项,但是只能用于Office 365pipe理员访问。 如果我们在环境中没有Office 365,则可以使用DirSync的标准Azure Active Directoryconfiguration。 但是我们有Office 365。 什么是解决这个问题的正确方法? 看来我们需要做以下其中一项: 公开现有的Office 365 AAD实例。 作为Office 365门户用户访问Azure门户不会显示实例,所以我不知道我还会去哪里 以某种方式为DirSync执行多个目标 – 一个是Office 365,一个是公开的Azure Active Directory实例。 这感觉非常错误。 放弃 我想不出另一个select。 什么是正确的方法来做到这一点?
我们想要访问一些Active Directory用户,以便他们可以远程访问我们的服务器并从服务器的特殊文件夹下载。 我们给用户的许可证是时间基础。 应该有1个月,2个月,…,1年,…许可证。 目前情况 (我不想): 当创build用户并将其添加到操作系统时,会给出一个稳定的到期date。 我想要的是: 用户的到期date应在首次login后自动计算。 购买许可证时,用户可能不需要他的帐户权限。 换一种说法: 当我们创build的用户的许可证在1月1日购买时,他应该使用许可证,直到2月1日 。 不pipe他是否真的login。 他不能在2月5日来 ,因为那已经到期了,所以他开始使用他的许可证。 我想要的是,当他在2月5日来到并开始使用时,许可证更新至3月5日 。 工作环境是Windows Server 2012。 通过“ 用户 ”一词,我的意思是活动目录用户 。
尝试将权限委派给组织单位; 但无法find2特性的“用户对象”的特殊权限,他们是“读取locking时间”和“写入locking时间”的任何原因,我不能看到他们? 我正在Windows 7计算机上使用ADUC工具,包含Windows 2003 R2和Windows 2008 R2域控制器,并且我是域pipe理员。
作为向pipe理员委派任务的一部分,我们需要在ADUC中查看用户属性时启用“附加帐户”选项卡(显示最后一次密码重置,SID,GUID上次login/注销等)。 如何在所有工作站上启用它,这是一个AD模式的变化? 还是需要单独的DSA.MSC版本? 请让我知道如何实施。