我们的办公室里有一台Windows Server 2003 AD DC,我想知道是否有可能将一些员工分组使用特定的DNS转发器,有些使用不同的转发器? 我根本找不到怎么做,而且我一直在寻找一个月左右的时间。
比方说,你有一个内部网用户和外部用户使用的公共Web服务(在我的情况下是Jira)。 服务器已被configuration为使用HTTPS(安全)。 由于服务器可从外部访问,因此它位于Intranet外部的DMZ / COLO区域中。 但是,您确实希望能够让公司所有人员访问网站,而不必为他们创build帐户。 我们都知道LDAP身份validation是解决scheme,但问题是您仍然需要能够访问Intranet上的AD服务器。 像往常一样,IT安全审计会提醒您“计算机说不” ,即使您向他们解释说您可以安全地使用LDAPS连接到LDAP服务器。 在这种情况下,适当的解决scheme是什么?IT安全可以接受哪种解决scheme,并提供所需的function? 更多信息: 有趣的是,只要知道机器的IP(内部DNS不可用于DMZ),就可以从DMZ访问内部网的HTTPS服务。 安全性已经接受我们通过HTTPS将外部Jira实例链接到内部的Jira实例,但问题是这种types的身份validation – 回退不能与我们的用户数量成比例。 Atlassian指出,你不应该对超过1000个用户使用这种types的authentication,而且我们在LDAP中有12000(即使他们大多数没有使用他们仍在那里的服务)。
我们的域控制器/ Active Directory Windows 2008服务器运行速度慢了5分钟,所以所有的客户端PC也显示出较慢的时间。 更改服务器上的时间安全吗? 而用户仍然login? 另外最好的办法,以确保时间总是正确/同步? 感谢S
我有Active Directory上的qmail服务器和身份validation。 所有客户端都使用Microsoft Outlook 2007作为默认邮件客户端。 A有一个中央位置和几个远程位置连接与慢速链接速度连接。 我有附件限制在qmail上,但我有问题,当客户端附加文件本地和发送邮件,附件已上传到qmail服务器,并因为超出限制拒绝。 MS Outlook 2007中可以限制附件localy吗? 我知道Office 2010有附件限制,但我认为这不适用于Office 2007。
我在Windows Server 2012的服务器机器上设置了一个Active Directory ,我想创build一些像Windows Steady State一样在Windows XP (本地)中有限制的用户。 已经看过Windows SteadyState Handbook ( Windows Server 2008 ),但是我想知道是否有人曾经尝试过这个,限制如下: 1. Prevent locked or roaming user profiles that cannot be found on the computer from logging on 2. Do not cache copies of locked or roaming user profiles for users who have previously logged on to this computer […]
我试图运行一个脚本,修改多个AD用户帐户的密码,启用帐户,并在下次login时强制更改密码。 我使用这个代码,但是这不是工作: Get-ADUSER -Filter * -SearchScope Subtree -SearchBase "OU=myou,OU=otherou,DC=mydc,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "NewPassord" -Force) | Enable-ADAccount | Set-ADUSER -ChangePasswordAtLogon $true 如果我运行Get-ADuser行只有一个运行正常的其他行: Get-ADUSER -Filter * -SearchScope Subtree -SearchBase "OU=myou,OU=otherou,DC=mydc,DC=local" | Enable-ADAccount 我哪里错了? 我是PowerShell的新手,可能是我误解了一些东西。
我正在尝试为活动目录中的外部公司设置有限帐户。 他们需要连接到一台服务器来设置他们的软件。 我创build了一个名为“有限访问”的新组,将其作为主组,并将其从所有其他组(包括域用户)中移除。 我还没有为他们应该有权访问的服务器分配任何权限。 但显然,这不足以阻止他们login到我的所有服务器。 他们无法通过RDP访问任何内容,但可以在本地login到我的Windows 2008R2服务器。 我查看了所有组策略,并且“计算机configuration\策略\ Windows设置\安全设置\本地策略\用户权限分配\允许本地login”未定义。 在本地安全策略中,相同的设置列出了“pipe理员,备份操作员,用户”。 用户是否包含活动目录中的任何人,即使他们不在域用户中? 我希望这个特定的用户只能被允许login到一个服务器来设置他们的软件。 我需要做些什么来防止他们login到其他系统? 编辑:多一点挖掘显示Authenticated Users和INTERACTIVE是本地用户组的成员…从我读过的,这可能是不明智的改变。 那么创build一个访问NOTHING的用户帐户的正确方法是什么,然后给他们几个机器的特定权限?
我创build了一个域用户ID(例如 – Auser)。 我已将我的LDAPlogin与防火墙集成在一起。 我只使用这个用户login到防火墙。 所以,我想阻止除了防火墙以外的所有用户login。 有什么办法可以做到这一点? 据我所知,我们可以指定: – 通过右键单击域用户 – >属性 – >帐户选项卡 – > Logonto (但在这里我们必须指定计算机名称,我们没有防火墙的任何计算机名称 – 所以我不能使用此选项) 通过组策略窗口设置 – >安全设置 – >本地策略 – >用户权限分配 – >允许本地login (但它必须适用于计算机OU – 所以我也不能使用此选项) 任何其他选项,你知道吗?
我需要一个脚本,将改变我所有的广告用户电子邮件联系领域的信息。 格式将是“SAMAccountName + @ domain.com”。 我是一个powershell noob,需要一些帮助的语法。 任何帮助,将不胜感激。
我想这个问题的答案是“不”,但是我想我会在这里问一下。 我正在编写一个Web应用程序,我需要从另一个域上的子域访问JavaScript代码。 Web浏览器不允许这样做,因为它被认为是跨站点脚本。 如果两台机器都能以某种方式映射到相同的域,并将各个页面请求路由到正确的位置,则整个问题将消失。 所以http://example.com/App1.aspx和http://example.com/App2.aspx实际上会坐在不同的机器上。 这在技术上可行吗? 谢谢你的帮助。