我觉得这一定是一个常见问题,但我一直没有find正确的术语来find答案。 我有一个很大的活动目录组,其中包含101%的用户,我想要访问某个资源的组。 我想以某种方式明确地从这个组中删除一些用户,但将他们留在他们最初的组(这是顶级组的成员)。 例如: G1 = A,B,C G2 = D,E,F G3 = G1 + G2 – F = A,B,C,D,E 我认为在某些情况下,我可以通过组策略明确地删除这样的权限。 在这种情况下,这不起作用,我正在与Isilon NAS合作。 它看着小组成员,没有别的。 AD域由中央ITpipe理; 我相信它现在在Windows 2012 R2上运行,但我不是100%确定这一点。
鉴于一个多站点活动目录,我们遇到了慢链接检测GPO的问题。 我们希望在通过互联广域网(MPLS 4-Mbit / s)连接到主站点(使用DC)的笔记本电脑上使用慢速链接检测。 问题是,慢速链接检测没有按预期工作,所以没有一个缓慢的链接识别。 客户机是Windows 7,DC是Win Server 2008 R2。 慢速链接检测是通过策略为计算机和用户configuration的: Computer Configuration\Policies\Administrative Templates\System\Group Policy\Group Policy slow link detection User Configuration\Policies\Administrative Templates\System\Group Policy\Group Policy slow link detection 两者都被激活并设置为15000kbps。 这个设置在客户端被激活并且工作正常。 但似乎带宽计算做了一些奇怪的事情。 在通过xbootmgr / xperf进行引导分析时,我可以看到,对于计算机GPO,一个慢速链接被检测到 12618kbps (<15000kbps),所以IsSlowLink是真的 – >一切正常。 但是对于用户GPO ,检测到的带宽是228711kbps 。 没有检测到慢速链接 ,例如处理“文件夹redirect”。 我没有发现这个巨大差异的原因,networking路由不会在计算机和用户策略处理之间改变。 NLA是否可能使用任何caching内容来确定可用带宽? 我们在两个地点之间有一个河床湾优化器,是否有可能优化NLA带宽检测? 任何想法,看看如何计算返回的带宽?
我希望OU的用户有权访问在其OU中启用和禁用用户帐户。 我相信为了做到这一点,我需要授予读取和写入userAccountControl属性的有问题的OU的SELF安全主体,如下所示: 我想确保我做对了。 他们是否需要任何其他权限才能启用和禁用帐户? 他们实际上正在运行一个直接修改AccountDisabled属性的程序。
我试图弄清楚自己,但无济于事。 谷歌提供了许多教程,但我无法find任何下面的情况。 我们有一个外部合作员工,可以通过VPN访问我们的局域网,他需要访问我们的一些Web应用程序。 他的工作站在Windows 7 Professional下运行。 Web应用程序只能接受基于Kerberos的SSO身份validation – 由于安全策略,密码身份validation被禁用,并且无法更改。 Kerberos AS / KDC由Windows Server 2008 R2级别域提供,其工作站不是其成员。 我们如何从他的工作站上configurationKerberos身份validation而不将其添加到域中 ? 到目前为止,我只用于使用Kerberosconfiguration基于UNIX的系统。 在Windows下我可以想到两个不同的解决scheme: 安装外部Kerberos库(例如Windows的MIT Kerberos ) – 我假定configuration过程类似于基于UNIX的(即编辑krb5.conf ,设置默认领域并启用基于DNS的KDC定位)。 configurationWindows内置的Kerberos客户端,无需将工作站添加到域 – 我不知道这甚至是可能的。 我们需要让SSO在Mozilla Firefox中工作。 假设我们使用第一个解决scheme,我假设我们应该将network.negotiate-auth.gsslib设置为外部的Kerberos DLLpath。 这个设置可以按预期工作吗? 从上述选项中,后者是非常受欢迎的,因为我们希望避免外部依赖和可能的不兼容。
我已经通过一个中间人创build了我的SSL证书,并将证书,密钥和(链)CA连接到[General]下的Samba4configuration。 重新启动Samba时,LDAP服务器不再起作用。 这个问题似乎只发生在我使用我的可信证书时,自签名证书工作正常。 在smb.conf我添加了以下内容: tls enabled = yes tls keyfile = tls/dc1.example.com-key.pem tls certfile = tls/dc1.example.com-cert.pem tls cafile = tls/ca-chain-root.pem 当用下面的方法进行testing时,我得到一个OK回应,并且应该很好的去做: openssl verify /usr/local/samba/private/tls/dc1.example.com-cert.pem -CAfile /usr/local/samba/private/tls/ca-chain-root.pem 一旦这些更改生效,LDAP将停止运行, nmap也会确认端口636上没有任何内容,下面的testing不会返回任何内容,因为LDAP不处于活动状态: openssl s_client -showcerts -connect localhost:636 -CAfile /usr/local/samba/private/tls/ca-chain-root.pem 我确定我在这里错过了一些简单的东西,我已经正确地为我的其他服务器生成了SSL证书,没有任何问题。 任何帮助,将不胜感激。 用于生成证书的OpenSSL命令: openssl genrsa -out intermediate/private/dc1.example.com-key.pem 2048 openssl req -config intermediate/openssl.cnf -key intermediate/private/dc1.example.com-key.pem -new -sha256 -out intermediate/csr/dc1.example.com-csr.pem openssl ca […]
我正在解决为什么用户一直被locking的问题,并认为问题可能出现在域控制器上。 我用留存对象清算人清理了留下的对象,但问题仍在发生。 还使用控件userpasswords2删除caching的密码,在registry中将CachedLogonsCount设置为0,并启用组策略“删除漫游configuration文件的caching副本”。 但问题仍在发生。 我问过他们最终用户,如果他是胖胖的指法他的密码,他没有回答。 如果我可以强制用户对特定域控制器进行身份validation,则会提供DC本身无法正常运行的信息,因为大多数locking似乎在一个域控制器上发生。 谢谢!
站点2 :我有一个小分支,有1个DC和4个客户端。 网站1 :同时我的主要分支有2个区域办事处和很多客户。 我在DC-site2做了一些GP的更改,我想知道为什么他们没有向site2的客户site2 。 那么我做了一个gpresult /r ,它显示Computer Settings和User Settings都来自DC-site1.DOMAIN.COM 。 为什么? 我没有echo %logonserver% 。 结果: DC-site2 。 目前很好。 我确实set log (types冗余)。 结果: DC-site2 。 仍然看起来不错。 nltest /dsgetsite 。 结果: site2 。 好的,客户知道它在正确的位置。 nltest /dsgetdc:domain.com /Account:client-pc1$ 。 结果: DC: \\DC-site2.DOMAIN.COM 。 还好! 我勒个去? 我检查了Active Directory站点和服务,并且仅在站点2中列出了DC-site2服务器。 我检查了DNS设置,并在Forward Lookup Zones -> _msdcs.domain.com -> dc -> _sites […]
我们有Windows 7桌面和Windows Server 2012R2服务器。 我有一个用户需要映射位于不同AD域的服务器上的networking驱动器(通过WAN)。 我在那里为AD创build了一个帐户,并将其设置为“用户必须在下次login时更改密码”。 他怎么能映射networking驱动器? 映射很容易做,表面上…但是,当他试图这样做时,Windows提供了一个错误,他必须更改他的密码,但它不提供这样做的提示。 我可以login到远程域中没有桌面。 有没有办法远程设置密码? 我检查https://serverfault.com/questions/570476/how-can-a-standard-windows-user-change-their-password-from-the-command-line,但我不认为给予的技术工作在两个不同的领域。 此外,我不是一个Powershell用户:-((我可以回答你的Bash问题!:-)) 谢谢。
我将Samba版本4.1.17-Ubuntu设置为域控制器和活动目录 ,一切似乎都顺利进行,但是当我尝试在一个Windows 10 PC域成员上使用pipe理员帐户在AD中使用Windows活动目录 创build新用户 用户和计算机pipe理工具 ,我得到这个错误: 发生错误,请联系您的系统pipe理员 (当我试图复制用户时也遇到同样的问题)。 但是当我使用samba-tool来创build一个用户时,它是完美的。 这是我的smb.conf文件: [global] workgroup = EXAMPLE realm = EXAMPLE.LOCAL netbios name = LINUXSERVER server role = active directory domain controller dns forwarder = 8.8.8.8 idmap_ldb:use rfc2307 = yes [netlogon] path = /var/lib/samba/sysvol/example.local/scripts read only = No [sysvol] path = /var/lib/samba/sysvol read only = No [Users] directory_mode: […]
我试图将鱿鱼作为我的用户在活动目录中的Web代理。 我在这里跟着鱿鱼网站的教程。 当我运行命令: msktutil -c -b "CN=Administrator" -s HTTP/proxy.example.com -k /etc/squid3/PROXY.keytab \ –computer-name SQUIDPROXY-K –upn HTTP/proxy.example.com –server acdc.example.com –enctypes 28 –verbose 我得到了错误: SASL / GSSAPI身份validation已启动 错误:ldap_sasl_interactive_bind_s失败(本地错误) 附加信息:SASL(-1):通用失败:GSSAPI错误:未指定的GSS失败。 次要代码可能提供更多信息(在Kerberos数据库中找不到服务器) 错误:ldap_connect失败。 文件/etc/squid3/PROXY.tab也没有被填充。 我在互联网上search,但我无法find任何有关这个问题。 这是我的configuration文件: 的/etc/krb5.conf [logging] default = FILE kdc = FILE admin_server = FILE [libdefaults] default_realm = DOMAIN.COM dns_lookup_kdc = no dns_lookup_realm = no ticket_lifetime = […]