我正在使用Powerbroker Open(以前同样打开)将CentOS 7计算机joinWindows 2012 R2域。 login等工作正常。 现在我试图通过PB的RemoteHomeDirTemplate选项来使用主目录的自动挂载 – CIFS共享应该挂载到HomeShare文件夹和用户的home文件夹中。 共享本身是由FreeNAS盒子(即Samba)提供的。 不幸的是,这是行不通的。 Syslog显示2个CIFS安装尝试,一个选项sec=krb5 ,另一个选项sec=krb5i 。 第一个由于缺less密钥而失败,第二个由于服务器不支持签名而失败。 似乎是Powerbroker不存储Kerberos票证(?)。 当Active Directory用户login时, klist显示没有任何凭据和手动mount -t cifs //myserver/myshare HomeShare -o sec=krb5,[…]失败时显示相同的错误消息。 一旦票据被kinit存储,mount命令成功并且可以访问共享。 问题是:Powerbroker在哪里(或应该)存储Kerberos票证? 还是我必须configuration一些东西,使PB让票证可用? 谢谢你的帮助! 编辑: 最后! 我发现解决scheme(就在我写下这个问题之后…):在CentOS 7上,PBIS服务configuration了systemdfunctionPrivateTmp=yes 。 启用此function后,Kerberos票证不会存储在/ tmp中,而是存储在/ tmp / systemd-private-xxxx(只能由root用户访问)中。 我编辑了服务configurationlwsmd.service并设置PrivateTmp=no 。 一个服务重启后,一切都按预期工作! 是!
我一直负责将几个AD组的成员导出为.csv ,我以前一直使用Get-ADGroupMember的Get-ADGroupMember命令来完成该任务,指定组名,select我需要的属性,并使用export-csv 。 我似乎遇到了一个问题与一个小组,虽然这似乎是有关的事实,即广告组的成员属于一个外部域在不同的森林。 本质上我运行下面的命令,但输出文件出来的空白。 Get-ADGroupMember -identity "VPN Users" | select name | Export-csv -path c:\vpnuserslist.csv -NoTypeInformation 输出如下: PS C:\Windows> Get-ADGroupMember -identity "VPN Users" | select name | Export-Csv -Path c:\vpnuserstest.csv -NoTypeInformation Get-ADGroupMember : The operation completed successfully At line:1 char:18 + Get-ADGroupMember <<<< -identity "VPN Users" | select name | Export-Csv -Path c:\vpnuserstest.csv -NoTypeInformation […]
我已经将一个用户组的以下权限分配给了父OU:允许创build/删除计算机对象允许读取允许写入所有属性。 现在,这可以让他们像我预期的那样移动计算机对象。 但是,当他们再次移动计算机对象时,他们没有权利这么做。 我错过了什么?
在主题中,如果“安全筛选”选项卡为空,但GPO中是否存在具有读取和应用权限的安全组? “安全筛选”选项卡显示“此GPO中的设置只能应用于以下组,用户和计算机:” 那么安全组是否也必须位于“安全筛选”选项卡中,还是足够了? 谢谢,
我已经安装了Windows Server 2012 R2核心版本,并希望将其推广到我的第一个域控制器。 我打算使用安装在客户端计算机上的服务器pipe理器来执行此操作。 我使用服务器pipe理器连接到服务器,并能够安装AD DSangular色和DNSangular色。 安装后,当我想部署域控制器,但是我得到一个错误: 尝试configurationAD DS时发生意外错误。 尝试获取域信息时遇到错误。 访问被拒绝 使用与安装angular色相同的用户时,会发生这种情况。 服务器IP已被设置为静态,DNS服务器指向自己,客户端和服务器是同一工作组的一部分。 我在Windows 8.1和Windows 10上都使用了RSAT工具。 作为一个停止差距,我把服务器pipe理器安装在服务器本身上,从那里我可以部署域控制器。 但是,我想了解为什么它不是从远程系统工作。 所有这些都是在虚拟机上完成的(不是真正的硬件),因此我可以在部署之前回到状态。
我们在两个位置有一个域(与vpn连接)。 在这两个地方我们都使用VMview池。 在这两个位置,我们都使用GPO将用户文件夹redirect到每个位置的文件服务器。 如果用户“留在”他们的位置一切都很好。 如果位置A的用户从位置B连接到VMview-pool(这是必要的,因为某些软件仅安装在此处),则文件夹redirect对于某些文件夹是“仅”工作的。 它正在为“文档” – 文件夹工作。 但设置“按照文档文件夹”的文件夹似乎得到重复。 在Windows资源pipe理器中有例如两个文件夹“我的图片”。 在文件系统上我可以看到原因:一个文件夹的名称是德文版“Meine Bilder”,一个文件夹的英文名称是“我的图片”。 所有服务器都是德语版本的Windows Server 2012 R2。 所有的“客户端”都是Windows 8.1 64位。
当前设置 :我在同一个森林里有两个域名,一个在美国(amer.domain.com),一个在亚洲(asia.domain.com)。 两个域都通过MPLS链路连接。 在每个物理站点中,有1个域控制器join到受信任的子域中。 示例 :新加坡的域控制器通常会joinasia.domain.com,但是会有一个域控制器join到amer.domain.com(为了参考目的,可以将其称为sng1.amer.domain.com) 问题 :在新加坡,当我想浏览amer.domain.com时,ADUC实用程序将连接到sng1.amer.domain.com 连接它大概需要1分钟,大概3-4分钟就可以简单地search对象。 当美国用户使用ADUCsearchasia.domain.com时,不会发生这种情况。asia.domain.com将连接到join到asia.domain.com的域控制器 可能是什么问题,我将如何能够确定是什么原因造成的?
我发现可以在本地AD Forest和托pipe在Azure VM上的Forest之间创build跨林Kerberos Trust。 但是,是否也可以在仅存在于Azure虚拟机上的两个独立组织之间创build一个跨林信任? 谢谢!
对不起,如果这是一个没有教养的问题,但我在这里有点绝望。 在工作中,我们有一些客户仍然使用2.0之前的ADFS版本,这些版本是SAML2的路线,我试图用这些版本作为身份提供者来创build对WebSSO的支持。 我已经支持ADFS 2.0+,Shibboleth和Okta。 我正在针对“adatum”帐户服务器进行testing,因为我一直在按照Microsoft的分步指南来获取可testing的工作设置。 到目前为止,我已经设法请求并接收ADFS在用户通过身份validation时在我的login端点提供的RequestSecurityTokenResponse有效内容,但是我不知道如何获取基本信息,例如电子邮件包括它的名字和姓氏。 我唯一一次设法根据attributeStatement语句发送任何东西的时候,是映射在指南中创build的两个“Trey * AppUsers”组中的一个。 启用身份声明E-mail或Common Name也不会添加任何内容。 我试过 创build一个新的自定义Organization Claim 从AD Account Store为它创build一个Custom Claim Extraction 将其设置为使用应该在那里的LDAP属性(我已经尝试了sAMAccountName , givenName和displayName ) 为我为SP创build的Resource Partner创build一个新的Outgoing Custom Claim Mapping ,但是我仍然没有得到任何东西… 我不知道为什么,谷歌search这些版本的ADFS的帮助是非常困难的,事实上,我不习惯Windows,我绝对不是一个系统pipe理员:D 假设这是一个值得回答的问题,有人能给我几个提示,指出我(显然)在这方面相当迟钝吗? 谢谢 :) 丹尼尔
将两个独立的公司合并成一个公司后,我们剩下两个现有的环境,一个Novell环境和一个Active Directory环境。 之前的pipe理决定不合并它们,而是分别维护两个环境,使Novell中的一个用户访问这些目录,另一个用户在Active Directory中授予访问这些networking共享和公司电子邮件的权限。 目前的pipe理层准备逐步淘汰日益古老的Novell服务器,所以我们正在准备将Novell数据迁移到我们现有的Active Directory结构中。 我现在关心的是,我们需要将权限匹配到文件夹级别范围(我们不担心细化的文件权限),但是如果我们只对这些文件运行MSDSS,则需要返回并手动授予权限。 但是,如果我们运行MSDSS将NetWare Admin和ADUC完全合并,用户Jane Doe最终将拥有2个ADUC帐户,她最初的Jane.Doe的ADUC,现在又来自JaneD的Novell。 我的问题是:MSDSS是否有办法查看JaneD的信息并查看它是否与ADUC中的用户帐户相匹配,并拒绝创build新帐户,但将JaneD对于迁移的Novell-to-Windows数据集?