实际存储在AD计算机帐户中的内容是什么? 似乎总是出现一些问题,一旦离开和重新join这个领域似乎就解决了这个问题。 到目前为止,我已经从域中删除,删除AD中的计算机帐户,然后重新join。 在AD中删除计算机帐户是否必要?
我有一个在Windows Server 2012上运行的活动目录服务器,以及一个运行open目录的mac osx 10.6服务器。 目前,我的Mac服务器连接到我的AD服务器,但是我想将其设置为它的开放目录副本。 然而,每次我尝试创build一个,它会问我目录的根密码,当我input我的Windows服务器pipe理员密码(因为Windows没有root),它说这是不正确的。 有没有办法做到这一点?
我正在尝试在Server 2012 Standard中设置DAC。 但是,客户如何拥有群组会让人感到困惑。 共8个组(包括pipe理员和所有用户)。 但是,1个用户可能是3个不同组的成员,另一个用户可能是3个成员中的2个成员,也可能是2个成员中的另外一个成员。 28个用户中只有less数用户在同一组中。 所以,由主要群体设立似乎并不是最佳做法。 所以,当组织不是最好的时候,寻求build立用户访问DAC的build议。 任何人有任何想法,链接,例子,或可以共享,以协助? 在此先感谢,吉恩
使用这个链接 ,我已经build立了一个服务器,正确join到Active Directory服务器,但出于某种原因,我无法使用我在笔记本电脑上创build的几个testing用户的Kerberos票证来validation服务器。 本地笔记本电脑上的所有用户都具有相同的.ssh / config,并且全部使用相同的/etc/krb5.conf; 所有的用户也可以通过使用kinit成功地从AD获得有效的票证。 但是,当我尝试SSH到前面提到的连接到AD的服务器时,会出现问题。 当我尝试用我自己的帐户“parkel”login时,它会要求我input密码,然后input我的AD密码,然后通过身份validationlogin服务器,第一次login时,我的homedir已正确我被分配到AD中gidNumber中设置的组中; 在世界上一切似乎都好。 我testing了在AD中更改gidNumber,所有更改都在激活后立即激活。 世界上所有人似乎都还好。 那是什么时候开始的问题。 在看到我的成功之后,我在AD做了两个testing账户,这是我以前工作的AD-account的副本,'test1'和'test2'。 我在我的笔记本电脑上更换了这个账号,做了kinit并拿到了一张票。 但是,当我尝试login到服务器时,它只是尝试使用密码进行身份validation,并且在日志中没有提到使用pam_sss进行身份validation,因为本地用户不存在,这将会失败。 我已经检查了更多的谷歌search和文档比我不愿意承认,但我真的在这里亏本; 我很确定我忽略了一些愚蠢的小细节,但我真的找不到我要去哪里错了。 包括服务器上的sshd日志以及服务器上和我的客户端上的krb5.conf中的一些输出。 SSHD输出 Dec 10 11:59:04 ldaptest.vs.lan sshd[2384]: Authorized to parkel, krb5 principal [email protected] (ssh_gssapi_krb5_cmdok) Dec 10 11:59:04 ldaptest.vs.lan sshd[2384]: Accepted gssapi-with-mic for parkel from 192.168.100.2 port 56752 ssh2 Dec 10 11:59:04 ldaptest.vs.lan systemd[1]: Created slice user-2001.slice. Dec […]
我已经写了一个powershell脚本来定期处理并将大量(超过70k)的联系人导入到Exchange环境中。 脚本工作正常,但我想尽可能加快速度。 用于导入和导出数据的最耗时的部分。 通过删除Exchange 2013 cmdlet上的大部分依赖关系,我能够缩短大量处理时间。 例如,使用“本机”Get-ADObject cmdlet来提取数据,而不是Exchange特定的Get-MailContact和Get-Contact的组合,我能够将处理时间缩短10倍。 该命令如下所示: $result = Get-ADObject -LDAPFilter "(objectClass=contact)" -searchBase "$OU" -ResultPageSize 100 -property GivenName, SN, DisplayName, Department, physicalDeliveryOfficeName , telephoneNumber, mailnickname, targetaddress | select @{ label="Email"; Expression={ ($_.targetaddress -replace "^SMTP:","").tostring().Tolower().Trim() }}, @{ N="Alias"; E={ $_.mailnickname} }, @{ N="FirstName"; E={ $_.GivenName} }, @{ N="LastName"; E={ $_.SN} }, DisplayName, @{ N="Office"; […]
也许有人可以给我一个提示。 我正在评估在大型Microsoft AD环境中将所有(人类)用户的UPN更改为build议的MS格式(与用户的主要公共邮件地址一致,包括用户可公开路由的邮件域作为UPN后缀)的先决条件。 现在,使用UPN时,更改UPN可能会中断应用程序或服务或中断用户login过程。 我知道,在大多数环境中,UPN并没有被广泛用于login,但是我仍想详细说明是否有方法来诊断login进程的UPN使用情况。 我们正在谈论2003年以上的function水平,但主动的NTLM。 相关域控制器正在运行2012和2012R2。 在这种情况下,仅限于具有3个域的单个森林。 虽然这只是环境的一小部分,但它是唯一与UPN变化相关的部分。 首先也是最简单的方法是检查login事件的域控制器上的事件日志。 问题是:就我所见而言,无论使用哪种用户标识表示方式login,它们总是以“域名\用户名”的“传统”格式login。 如果我错了, 请纠正我,因为这会大大加快速度。 接下来我想到的是Kerberos票据的networking痕迹。 如果我没有错误的Kerberos,这些最初是使用用户的密码encryption,并检查他们,我需要使用(可能)未知客户端的数据解密票。 现在,这是我不确定的地方,希望是错误的,因为在某些时候,DC需要确定他们使用哪个密码哈希来解密消息。 我承认我没有做过很多的testing,因为我不想刚刚修改DC。 也许还有一种不同的方法来处理这个我还没有想到的 – 无论如何,我希望有人可以给我一个可能的应用暗示来解决这个问题。 我不愿意“应用变化和鸭子”,我宁愿在任何可能的情况下第一次做对。
我正在用一个AD账户工作(我们称之为USER A),这个账户始终保持locking状态。 使用ALTools我想出了locking来自哪里的计算机,它是一个2008 R2服务器,它承载了一个应用程序citrix,所以用户使用terminal服务远程login到应用程序。 事情是我不知道locking来自哪里(进程,应用程序,服务,用户帐户等),因为有问题的用户在服务器上没有login尝试,也没有用户configuration文件,所以我猜测是另一个用户正在使用他的会话内的用户A凭据。 任何人都可以帮我findlocking的起源吗? 谢谢!
我有一个混合了物理和虚拟服务器的域。 前一段时间,另一个pipe理员可能已经在客户端执行了一些手动脚本更新,这些更新现在阻止安全设置中的更改到达客户端。 组策略中其他位置所做的更改可以更新。 单域控制器 – 这是由合同政策驱动的,但我把它放在那里,因为我不明白如何复制可能是一个问题,但我打开任何想法。 旧的系统pipe理员正在使用“默认域策略”,而不是用于该站点的自定义命名策略。 我将旧策略复制到一个新名称,并取消了默认策略的链接。 当我在客户端上运行gpupdate / force时,它不会给出任何错误,也不会在日志中出现。 当我运行rsop时,我仍然看到默认域策略作为安全设置的获胜策略,但是在其他地方它是最新命名的策略。 对我来说非常有趣的是,当我右键单击RSOP的属性时,我只能看到它绘制了新的策略名称,而无法find默认的域策略。 RSOP也不会引发错误。 这是我迄今为止没有成功完成的工作:1.备份和删除HKCU \ Software \ Policies 2.备份和删除HKLM \ Software \ Policies 3.备份和删除HKCU \ Software \ Microsoft \ Windows \ Current Version \ Group策略4.备份并删除HKLM \ Software \ Microsoft \ Windows \ Current Version \组策略5.删除c:\ Windows \ System32 \ Group Policy文件夹6.在DC上进行了非授权回滚 我在search过程中find的所有build议。 我有点困惑于什么可能造成这一点。 机器的所有其他行为都与良好的DNS设置一致。 […]
我试图从我的用户帐户login所有失败和成功的login审计目的(只有用户名和时间)。 有没有办法,我可以做到这一点与我的Windows活动目录?
我正在尝试了解如何将客户端join到具有单独的AD和DNS服务器的Windows域中。 我已经安装了一个具有ADangular色的服务器和一个具有DNSangular色的服务器。 即使我configuration我的dns服务器是在我的域名权威,但它不起作用。 当我尝试让客户join我的广告网域时,出现“dns名称不存在”的错误。 我读到,这可能是关于复制问题,但几个小时后,我真的不知道如何解决这个问题。 我的问题是,如何将非AD集成DNS服务器join到Windows域(即,需要将哪些DNSlogging添加到非AD集成DNS服务器才能看到域控制器?)。 我知道典型的实现是将AD集成的DNS用于Windows域,但这是我工作环境的一个要求。