我可以在打印pipe理中查看几台打印机。 我已经启用了其中两个“在目录中列出”选项,但它们不出现在“Active Directory用户和计算机”下。 当我检查“目录列表”选项时,它们究竟应该出现在哪里? 我如何使它们出现在Active Directory用户和计算机中,以便我可以将它们移动到我想要的相应OU中?
(使用一次性帐户明显的原因,如果这不是正确的地方,请让我知道) 你好系统pipe理员,我已经雇用一个小公司作为唯一的系统pipe理员。 公司目前与MSP合作处理所有的IT,他们希望将大部分工作都包含在内,这就是为什么他们聘用了我。 我应该接pipeActive Directory的职责。 我已经看了一下目前的设置,提出了一些改进,并说我需要一个专门的pipe理员帐户在域pipe理员组。 然后,我继续解释为什么我需要它,它将用于什么,以及如何实施审计,让pipe理层意识到我在做什么。 我还解释说,审计不是万无一失的,因为我是成立的,所以我也必须有必要的权限来closures它。 我想我试图让每个人都知道有限制,我毕竟是pipe理员…这就是为什么我被雇用。 Bossman明显担心,并问我是否也可以访问文件共享与一些机密的东西(工资单,人事档案,无论什么…)。 “我不明确,但作为pipe理员,我可以给自己必要的权限”,我解释说。 显然这是错误的事情要说。 Bossman说,我需要弄清楚一些过程,以确保任何pipe理任务得到经理的监督。 老实说,我觉得这个方法挺冒犯的。 我可以理解我是新人,他不认识我,但他聘请我来做这个工作,我毕竟是一个经验丰富的系统pipe理员,具有很好的参考价值! 现在,为了说清楚我的感受,我已经查看了可能的解决scheme,以审核我的域pipe理员帐户和一般的pipe理任务,或启用2FA,我一直没能find解决scheme 低廉 我不能禁用域pipe理员权限和物理访问服务器和 可以让我在紧急情况下工作,没有任何pipe理人员在周围/可用(他们经常同时出国旅行,不能通过电话/电子邮件)。 到目前为止,我已经看过Netwrix Auditor( https://www.netwrix.com/active_directory_auditing.html ),AD审核,ESET安全authentication( https://www.eset.com/us/business/endpoint-安全/双因素authentication )和2FA的智能卡。 没有符合上述标准。 有没有人有这样的环境中工作的经验? 我应该担心我的未来吗? 请注意,我不为政府/国防/安全承包商工作,目前没有法律要求我监督,公司除了雇员之外不处理PII。 任何input赞赏! 编辑:正如有人在workplace.stackexchange.com上指出,交叉张贴不鼓励,让我把上述作为一个技术性问题重新说明:有没有人知道符合上述标准的产品?
我们在域控制器上安装了Windows Server 2016的Active Directory域,并在所有客户端上安装了最新的Windows 10。 不久前,我开始在域中通过组策略部署互联网安全(CIS)1级安全基准testing中心:默认域策略中的Windows 10,基于Windows Server 2012 R2文档的覆盖(没有“在2016年还没有)在默认的控制器政策。 我之前一直被Windows粗心大意地咬了一口,所以这次我一个接一个地浏览所有的设置,打开相关文档并检查任何不熟悉的选项的影响。 它运行良好 – 直到今天,当我设法最终搞砸了。 症状如下 左键单击组策略pipe理中的任何GPO将显示“访问被拒绝”错误框。 我仍然可以检查和操作对象属性,包括更改GPO状态; 打开其中一个版本的GPO显示“访问被拒绝”,尽pipe在一个不同的框中,当编辑器启动时,可见的树项目被标记为红色的X; 回到组策略pipe理,如果我去一个GPO的详细信息选项卡,我只能看到它的AD版本。 sysvol中的一个被描述为不可用; 最后,当我在任何域计算机(包括DC本身)上运行gpupdate / force时 ,我得到如下错误: 组策略的处理失败。 Windows试图从域控制器读取文件\ contoso.com \ sysvol \ contoso.com \ Policies {foo} \ gpt.ini并且不成功。 在解决此事件之前,可能不会应用组策略设置。 此问题可能是暂时的,可能是由以下一项或多项原因造成的:a)名称parsing/networking连接到当前域控制器。 b)文件复制服务延迟(在另一个域控制器上创build的文件尚未复制到当前的域控制器)。 c)分布式文件系统(DFS)客户端已被禁用。 不幸的是,我刚刚意识到我忘记检查事件日志中的相应错误代码,但是,假设我将Explorer指向\ contoso.com \ sysvol \(或者对于该服务器上的任何共享,同时使用主机和在path中的域名)我被要求的凭据,还没有find那些工作,我的赌注是“访问被拒绝”了。 顺便说一下,通过DC上的本地path访问sysvol可以正常工作。 总之,至less后面两个症状强烈地表明我设法把自己从SYSVOL的份额中解救出来; 不知道前两者是否也是由此造成的。 在一个侧面说明,重新启动域控制器到DSRM,然后回到正常模式,一切工作大约10分钟。 现在,我已经得到了最新的备份,所以我可以恢复到最后的工作状态,并完成它。 然而,我真正想要的是a)明白究竟是什么设置可能导致了这个问题(否则我很可能会很快再次遇到同样的问题),b)弄清楚如何使我的域与所有的硬化(CIS一级基准是基线 ,它们不应该对function有太大影响…)。 哦,和c)如果我仍然可以对当前的configuration做任何事情。 任何人在那里都具有强化Windows的经验,或专门应用CIS基准testing的经验,谁能给我一个正确的方向? 如果是这样,提前非常感谢! […]
让我从我的环境的一些细节开始: Windows Active Directory域环境 域控制器:Windows Server 2003 R2 问题工作站:Windows 7 Professional 64位 最近,我收到了由于login失败次数过多而导致域用户帐户被locking的报告。 我已经从用户使用两个不同的机器,Win 7 Pro x64的报告这个问题。 我只是解锁他们的帐户,让他们在途中,但有时帐户立即被重新locking,有时用户会被隔夜,每晚导致一些混乱。 由于这个问题,我在我们的SBS服务器locking策略下设置帐户locking阈值为0,所以用户可以不间断地工作,而我知道这一点。 在对这个问题做一些研究的时候,我发现一个常见的问题是,当用户的密码被改变时,他们旧的凭证被caching在某个地方,被一个进程或服务使用,导致审计失败,但是用户没有改变他们的密码在很长一段时间。 所以我正在检查其中一个工作站上的事件日志,而且我发现每秒钟都会发生一些用户的审计失败事件。 其中一个用户通过远程桌面定期使用计算机,但另外三个用户有点奇怪。 其他三个之一不访问我知道这台机器,其他两个用户不存在 。 其中一个不存在的用户有我们的域名的用户名,另一个被称为DENTAL ….在另一个用户不断注销的另一台机器上,我看到所有的奇怪和不存在的用户名被列出在事件(他们是真实的名字,但不是我们的域名用户,如鲍勃,珍妮,加里等)。 安全事件日志时间线看起来像这样,每天一整天: 审计失败 以下是不存在的用户的完整事件详细信息(login到他的电脑的唯一用户是域pipe理员): -System -Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D} EventID 4625 Version 0 Level 0 Task 12544 Opcode 0 Keywords 0x8010000000000000 -Time Created [ SystemTime] 2017-03-16T18:23:08.864151000Z EventRecordID […]
这种情况很less发生,但最近一台计算机失去了与我们的域名的信任关系,所以我想重置计算机凭证。 看着我的主DC(服务器2008 R2),我无法find那台电脑了。 我很确定,DNS / DHCP与此无关,我GOOGLE了很多论坛,build议这一点,我已经检查了这个问题。 我的猜测是,这是因为计算机被添加到域后不久被移动。 在我的情况下,这意味着它被添加到我们的子域控制器上的域,并移动到我们的主域控制器的networking。 我不能确定。 有什么方法可以找出究竟发生了什么? 我们的森林: 主要-DC, 3个儿童DC与主DC一起复制 已经尝试DCDIAG,检查日志和复制,无法find任何错误。 Sysprep也不是问题,我们用generalize来运行sysprep。 每个想法都非常感谢!
集成的企业OpenVPNconfiguration 我试图find一个如何以安全的方式configurationopenvpn的最终来源,最重要的是100%与Active Directory集成在一起。 我懒得有多个系统照顾。 我想要: OpenVPN客户端没有定制(当然除了configuration文件) 与Active Directory紧密集成 authentication的多重因素(MS证书商店+密码) 超级简单的pipe理 这是我想出来的。 这个解决scheme是否安全,是否满足上述需求? 在这一点上,我假定有一个活动的目录服务器在openvpn服务器可以连接到的地方,并且客户机连接到域。 我也将假设你有一个AD CA部署。 自动注册 这一切都始于一个古老的自动注册过程之旅。 我不打算在这里详细说明,因为本说明很好地描述了这个过程。 唯一需要注意的是我自动注册的机器证书,而不是用户证书。 一旦GPO推出,所有最终用户都将拥有由域CA签署的不可移植的私人机器证书。 现在,我们可以用OpenVPN结婚AD自动注册证书吗? 我想是的。 证书颁发机构 在AD CA上,导出CA公用证书。 在我的情况下,我把它命名为最后一个.crt的机器名称。 PKIconfiguration 这些例子假设一个基于ubuntu的操作系统。 调整您的发行包和电子证书步骤。 # install our requisite packages apt-get -y install openvpn openvpn-auth-ldap # install our ca key as root ca mkdir /usr/share/ca-certificates/extra/ cat > /usr/share/ca-certificates/extra/contoso-CONAWSDC01-CA.crt << EOM —–BEGIN […]
我正准备将18个SQL服务器从on \ colo迁移到AWS。 我们将在AWS中构build一个新的域名,并希望将旧的域名抛在后面。 我是否需要设置域信任为了我的SQL服务器没有停机? 目前在镜像configuration故障切换中进行设置。 我打算做一系列的域名信任,所以我可以把我们的域名结构扁平化,但我不确定什么最佳做法是什么时候离开一个新的旧域名。 唯一真正使用Windows服务帐户的是我们的SQL DB服务器。 有什么地方可以find信任有用吗? 任何信息都是有用的。 非常感谢! Windows Server 12 R2 + SQL 14标准版
比方说,我可以远程访问使用MSA来运行应用程序池和Windows服务的服务器。 我可以作为一个正常(而不是升级)的用户运行这些MSA下的程序吗? 例如 PsExec.exe -u domain\MsaAccount$ cmd.exe 我会说不,但我需要确定。 这并不是说我不知道他们可以用来运行诸如服务之类的东西。 我只是不希望没有提升权利的用户使用它们来做他们不允许的东西。
与Server 2012 R2独立DC有关的问题。 它能够为域PCparsingDNS,但无法parsing服务器本身的DNS。 BPA报告2个错误: AD DS:域控制器FBSERVER ..必须能够到达DNS服务器并检索与此域控制器关联的DNSlogging DNS:Zone _msdcs ..是Active Directory集成的DNS区域,必须可用。 DCDiag /testing:DNS / v报告: Testing server: Default-First-Site-Name\FBSERVER Starting test: Connectivity * Active Directory LDAP Services Check The host ed7fe2ed-4fe2-4d5b-9f31-2ab3af7ceaa4._msdcs.<mydomain>.<mysite.org> could not be resolved to an IP address. Check the DNS server, DHCP, server name, etc. Got error while checking LDAP and RPC connectivity. […]
我正在研究一个典型的Windows架构,包含DC,Exchange服务器等等。 最近,我设置了一个脚本,在用户被locking时收到通知。 它工作正常,但是我注意到一些非常奇怪的东西。 我报告了几个信息,比如用户被locking的机器,负责操作的DC等等(我可以在DC上login所有这些信息,ID 4740用于locking,4767用于解锁)。 事情是,经常(大约每天1或2),一些用户被locking从域控制器(如他在这个DC多次失败的密码)。 当然,用户不能访问DC,所以这是第一个奇怪的事情。 更奇怪的是,这些用户在1秒钟后被pipe理员自动解锁。 你知道什么可能导致这个? 我很确定它不能是任何恶意的东西。 注意 : 这是不可能的用户访问区议会(或者我真的有一个非常好的黑客隐藏在其中,我不知道他将如何做到这一点^^) 被locking的用户永远不会是一样的,这似乎是随机的 locking和解锁之间的延迟非常短(小于1秒),因此一旦人员被locking,需要准备好解锁账户,所以必须自动完成 被locking的用户从他们的电脑上被locking,因为他们应该留下来。 自动解锁只有在locking事件从DC完成时才会发生。 对于脚本调用/执行,pipe理员帐户从不使用或以任何方式引用 谢谢你的时间 ! 🙂 这里是脚本的代码(但我不认为它可以是任何用途) #Get security user lockout events. 61 seconds should be sufficient, as the scheduled task run every minute. #It leaves 1 sec for execution time. #EventID 4740 is user lockout. 4767 is unlock. $startTime […]