基本信息 我正在CentOS(6.8)上运行sssd(1.13.3-22)以使用Active Directory(2012)进行身份validation。 我不希望使用存储在AD中的uid数字,所以我将ldap_id_mapping设置为true。 当我运行“ID有效用户名”我得到的答复“没有这样的用户”。 我查看了sssd域的日志,看到ldapsearchValidUsername没有返回任何结果。 当我用ldapsearch运行相同的查询时,它也不返回结果,但是我可以修改查询来排除uidNumber,它会返回一个结果。 请参阅下面的详细信息ldap查询信息。 详细信息 sssd_VALID.DOMAIN.CORP.log片段 [sdap_search_user_next_base] (0x0400): Searching for users with base [DC=valid,DC=domain,DC=corp] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(&(sAMAccountName=ValidUsername)(objectclass=user)(sAMAccountName=*)(&(uidNumber=*)(!(uidNumber=0))))][DC=valid,DC=domain,DC=corp]. [sdap_get_generic_op_finished] (0x0400): Search result: Success(0), no errmsg set [sdap_search_user_process] (0x0400): Search for users, returned 0 results. [sdap_get_users_done] (0x0040): Failed to retrieve users [sysdb_search_by_name] (0x0400): No such entry [sysdb_delete_user] (0x0400): Error: 2 […]
我对组策略非常陌生,但一直在试图让我们的办公室打印机可以访问我们域中的每个人。 据我所知,有三种方法可以用组策略来做到这一点: 计算机configuration – >首选项 – >控制面板设置 – >打印机(并通过IP手动添加打印机,这似乎没有设置打印服务器的真正意义?) 用户configuration – >首选项 – >控制面板设置 – >打印机(并通过打印服务器中设置的共享path添加打印机) 直接从打印服务器上下文菜单中将打印机部署到GPO 我尝试了一个空白/新的组策略的所有方法,只有2和3的结果在打印机被自动列出,并在客户机上访问(尽pipe事实上,我无法findGPO中的打印机的任何引用时执行方法3)。 我觉得最好在每台机器上部署打印机,而且这样做通过GPP优先于部署打印机(方法3),因为它可以让您稍微控制一些。 是这种情况,如果是这样,有没有什么特别的,你需要做的使用方法1为用户添加打印机? (仅供参考,运行Windows Server 2016和Windows 7客户端)
我们的域策略限制了对服务器的访问….具体来说,我需要授予服务器上某些本地用户的“允许本地login”权限。 但是,在该服务器上,gpedit不会让我这样做,因为策略是由域策略控制的。 我如何放松这一点,只是为了这个服务器(这是域的一部分),以便我可以使事情工作? 我尝试了在组策略pipe理编辑器(唯一似乎让我编辑策略的工具),添加: localserver\username但工具说“帐户无法validation…” 谢谢!
这个问题或多或less是一个“是可能的” – 问题,如果是的话,一些提示如何实现它将是很好的。 我的计划如下: 我想在Centos / Debian上将Samba 4.5.1设置为PDC。 另外我希望它被群集(=有一个故障转移服务器)。 我有两个完全相同的DELL服务器。 在那里创build的用户(LDAP用户?)应该能够在NextloudServer和Anyconnect等其他服务上login。 另外我们有一个Windows2012R2服务器,目前有自己的域名。 我希望他joinSamba域名。 所以我没有windows.local和unix.local – 这些Samba用户也应该能够在Windows机器上login。 这将是非常好的,一个文件服务器也应该joinLDAP(?)用户,我只需要关心一个用户configuration文件。 目前,我有一个用户帐户,每台服务器本地在每台机器上。 所以Nextcloud,Anyconnect,文件服务器和Windows服务器是4个具有相同用户名/密码的独立帐户。 这不是pipe理用户最聪明,最简单的方法。 我所做的 – >在运行Centos7的虚拟机上从源代码安装Samba 4.5.1。 创build一个testing域test.local,并创build用户A与samba-tool user create USERA 。 阅读samba-tool的手册页;-) 我希望这不应该在UNIX和Linux论坛上发布。 欢迎提供任何提示,提示和“如何”链接。 你的意见也。 我不希望有一个Windows Server作为PDC,因为我想专注于Linux环境的知识,而不是“Windows GUI点击”(这也是不错的,但不是我的计划;-)) 谢谢!
我们在我们的域名上有许多Mac用户; 这些机器中的很多都是从其他机构(我们与其他机构合并)中引入的。 他们正确地绑定到域,并显示在我们select的命名约定(例如COMP0015)的Active Directory上。 但是,在DHCP中,它们使用不同的ID(例如AdministratorMac3)显示。 广播这个其他名称的Mac上的ID在哪里? 我不能为我的生活findDHCP获取这些ID的地方..
我有一个简单的批处理脚本,我一直用它来启动AD用户和计算机模块,而不是我当前会话login到的域。 我一直在使用这个比我清楚记得的更长的时间,但是由于最近强制升级我的工作站到Windows 10,我不能再让批处理工作。 这是批处理的内容: runas /netonly /user:otherdomain.rootdomain.corp\otherdomusername "mmc dsa.msc /server=otherdomdc.otherdomain.rootdomain.com" 由于Windows 10,这首先失败,因为命令必须从提升的命令提示符运行。 我正在研究这个解决scheme。 我似乎无法解决的一个问题是,即使这看起来运行正常,新的AD会话实际上并没有在新的凭据和环境下正常启动。 它只启动我当前login的凭据的权限。 我正在通过RDP到目标域上的服务器来执行AD任务,但这是一个严重的效率损失。 谷歌和technet一直没有帮助,试图得到这个命令的工作,所以如果任何人在这里知道如何让这个脚本按照预期在Windows 10工作站上工作,我将非常感激。 非常感谢您的帮助。 (从stackoverflow交叉发布我的问题,以防这里有人遇到过这个问题。)
不知道我是否应该在这里或在这里问,但这是我的问题 – 我有一个服务帐户,我们用于IIS应用程序池。 我最近把它们添加到了一些AD组中,新的组没有反映这个ID。 对于普通用户,我们会要求他们注销并重新login,所以我尝试了以下方法: 重新启动应用程序池 重新启动IIS 注销并login我的本地帐户(我知道这将不起作用,但为了以防万一) 玩了一段时间后,我们重新启动服务器,瞧! 权限按预期工作。 这次很好,但我不想在生产服务器上这样做。 无论如何强迫帐户拉AD的更新?
我有一个AD域,其中2个站点的DNSangular色是在独立服务器上(每个站点中都有)为主AD域提供服务。 我已经添加了新的域控制器,并将DNS与AD集成在一起(仅在新的域控制器上,集成的DNS将区域显示为AD集成,而在独立DNS上将其configuration为主),如何合并这两个区域并摆脱独立的DNS
所以我写了一个脚本,从AD获取关于用户及其相关计算机的一些信息。 我已经在线阅读了关于Get-ADComputer cmdlet以及一些可能的错误的人们面临的一些问题。 起初我以为那是我碰到的,但现在我不太确定。 我的问题是,我的代码工作正常,但如果我添加一个不相关的代码片段从variables获取一些信息,它打破了别的东西。 看一看。 整个代码: http : //paste.ofcode.org/Hgbiukp2XYqKnv2sdUGBKb 有问题的代码位: ## Prompt host for input $username = Read-Host -Prompt "Enter the Username" ## Get list of computers $ComputerList = Get-ADComputer -Filter {ManagedBy -eq $username} -Properties ManagedBy | Select-Object -ExpandProperty Name ## Compute and format results Foreach ($Computer in $ComputerList) { $OnlineStatus = Test-Connection -ComputerName […]
我们有一个工作站在login时出现错误“此工作站和主域之间的信任关系失败”。 本地login信息在此工作站上是未知的。 除了物理上在计算机上重置本地证书并重新join域(或netdom),可以在DC上修复这个问题吗? 基本上,如果受影响工作站上的本地权限未知且无法重置,则可以将工作站信任的域从DC(或域中的任何其他工作站)修复。