我遇到过所有GPO都应用于某些用户帐户的情况,但是由于检测到速度较慢的链接,因此只有重要的GPO才能应用于其他用户。 我们的办公室位于不同的海岸,并通过VPN隧道连接。 直到本地服务器在每个办公室都可用,其中一个办公室正在连接到其他的文件,域控制器等。办公室之间的链接是10Mbps和120ms ping。 通过configuration组策略慢速链接检测并将其设置为0( Computer Configuration\Policies\Administrative Templates\System\Group Policy\Configure Group Policy slow link detection ),我已经禁用似乎存在此问题的工作站的Computer Configuration\Policies\Administrative Templates\System\Group Policy\Configure Group Policy slow link detection 。 这样做甚至在运行gpupdate /force后也无济于事。 共享命名空间也不可用,并且似乎处于脱机模式。 但是,避免名称空间时,可以访问远程办公室中每个服务器的共享。 另一方面,通过networking映射驱动器(应用策略)的dfs命名空间可以被访问而没有问题。 工作站:Windows 10(也试过Windows 8 / 8.1)服务器:Windows Server 2012 R2以太网:两个办公室之间的OpenVPN隧道10Mbps〜120ms ping
长话短说,我有一个完美的DC运行,但它是在Server 2012 R2标准评估。 为了从Eval改变。 到Full,我必须创build一个第二DC服务器,转移运营大师,降级原来的DC服务器,删除ADDS,将许可证转换为Full,激活,重新安装ADDS,促进服务器和传输FSMO的回来。 一切都没有问题,直到重新推动DC服务器… 当我尝试我得到错误 无法联系域“contoso”的Active Directory域控制器。 确保您拥有正确的DNS域名。 我正在使用正确的凭据,域名等,但我跟着以前添加第二个DC服务器的相同的过程现在不能用于添加原始DC回来。 我甚至去除了服务器上的DNSangular色,并将主DNS指向临时DC服务器,但是这并没有帮助。 我该怎么办?
任何有关在同一个Active Directory域中设置两个域控制器(DC1主站点不同网段和DC2-远程站点不同网段)的指南。 只是为了模拟目的。 谢谢。
根据SoftEther 使用Active Directory进行身份validation的文档: 为了进行NT域或活动目录authentication,进行用户authentication的SoftEther VPN服务器必须能够在Windows NT上运行,并能够参与域。 在Windows 98,Windows 98 Second Edition,Windows Millennium Edition或Linux,FreeBSD,Solaris或Macintosh OS X上运行的SoftEther VPN服务器不能进行NT域或Active Directory身份validation。 VPN服务器无法validationNT域或Active Directory。 在这种情况下,当身份validation方法设置为“NT域”或“Active Directory”域时,身份validation不起作用。 是否有可能在Linux上将服务器join到有问题的域中,甚至是否使用Samba将其configuration为DC? 任何人都可以证实我的对错吗?
我计划把我的AD的DC服务器移到更受控制的networking环境中。 现在,我的angular色已经转移到新部署的DC服务器上,下一步将分解旧的DC服务器。 目前我的服务器的大部分DNS都指向了旧的机器。 当DC服务器崩溃的时候,dns是否也会被分解? 如果1是假的,dns是否可以保存,仍然是AD集成区? 或者我应该手动更新DNS设置到新的服务器? 如果1是真的,可以build立一个辅助名称服务器与主控服务器的新的AD的DNS服务?
给定一个用户ID和一个文件夹,我怎么知道哪个组是用户拥有哪个访问权限的原因?
我有一个托pipesshd的Centos 7计算机networking,每个计算机都被configuration为在LDAP目录中查找用户的公共密钥以进行sshvalidation。 此外,所有可以访问这些Centos框的ssh用户都可以分为以下两个组:用户或pipe理员。 我想确保users组中的所有用户都将其shell设置为/bin/false并且admins组中的所有用户都将其shell设置为/bin/bash 。 在SSSD中,以下成功将所有用户的shell设置为/bin/false : [domain/mydomain.com] override_shell = /bin/false 有没有办法为每个AD组分别设置shell? 像下面的东西? [domain/[email protected]] override_shell = /bin/false [domain/[email protected]] override_shell = /bin/bash 如果是这样,怎么样?
我正在努力解决这个问题。 最近,我在Win2k8 R2域控制器上创build了一个GPO,将屏幕设置为30分钟后locking。 然后将设置应用于包含所有相关用户的安全组。 但是,在某些Windows 7 Pro机器上,超时仅在4分钟后就会触发。 我已经检查了工作站,看到GPO正在被正确拉动(它是)。 我已经检查了registry设置,看看是否应用了GPO(这是),我也检查过,看看电源pipe理是不是干涉与自己的日程安排(事实并非如此)。 我已经在影响机器上运行gpupdate / force,但我仍然没有任何喜悦。 有没有人遇到过这个问题之前,或可能提供一个可能的原因,为什么锁屏早在26分钟之前应该是?
我们有一个根域contoso.com ,其中包含一些子域名,如sitea.contoso.com , siteb.contoso.com 。 等我想启用这些子域之一的Active Directory回收站,只有在那里。 根和所有域function级别是2008R2。 包括根域在内的每个域都有自己的一组域控制器,分别pipe理。 我正在通过一些文档阅读,不幸的是他们大多数都在谈论单域森林。 根据我的理解,回收站function必须在根域contoso.com上启用,并且不能在子域上激活。 但激活后,每个子域都有自己的回收站。 它是否正确? 有没有可能激活回收站function说sitec.contoso.com而不触及根域? 我问,因为每个域是由不同的pipe理员独立pipe理,有些不想启用此function。 提前致谢。
今天的情况:我们已经在多个Ubuntu客户端上获得了sssd-config的function。 该configuration包含对LDAP服务器的authentication。 SASL-Mech被指定为“gssapi”并使用krb5-keytab文件。 Bombastic feauture:keytab文件的指定用户每90天过期一次。 不是那么糟糕,但是replace客户端上的keytab文件需要很长时间,而且额外的风险更大。 明天的情况将是:如果可能的话,我们希望使用用于login的凭证,因为LDAP不是匿名可读的,并且每个域用户都将具有读访问权限。 其实,我没有想法把活动的login凭证放在sssd上来检查对LDAP的身份validation。 任何援助将不胜感激! 在要求不使用这个用户之前:我们处于一个复杂的networking,这个networking不是由我们自己pipe理的,我们只允许使用这些用户。