是否可以通过组策略设置帐户locking阈值,但只能将其应用于成员工作站上的本地帐户,而不适用于域login?
我有完整的pipe理员权限访问我正在尝试进行身份validation的AD '08服务器。 错误代码意味着无效的凭据,但我希望这是像我input错误的密码一样简单。 首先,我有一个工作在相同的域的Apache mod_ldapconfiguration。 AuthType basic AuthName "MYDOMAIN" AuthBasicProvider ldap AuthLDAPUrl "ldap://10.220.100.10/OU=Companies,MYCOMPANY,DC=southit,DC=inet?sAMAccountName?sub?(objectClass=user)" AuthLDAPBindDN svc_webaccess_auth AuthLDAPBindPassword mySvcWebAccessPassword Require ldap-group CN=Service_WebAccess,OU=Groups,OU=MYCOMPANY,DC=southit,DC=inet 我展示了这一点,因为它可以在不使用任何Kerberos的情况下工作,因为许多其他向导都build议将系统身份validation用于AD。 现在我想把它翻译成pam_ldap.conf来与OpenSSH一起使用。 /etc/pam.d/common-auth部分很简单。 auth sufficient pam_ldap.so debug 这行在任何其他之前被处理。 我相信真正的问题是configurationpam_ldap.conf。 host 10.220.100.10 base OU=Companies,MYCOMPANY,DC=southit,DC=inet ldap_version 3 binddn svc_webaccess_auth bindpw mySvcWebAccessPassword scope sub timelimit 30 pam_filter objectclass=User nss_map_attribute uid sAMAccountName pam_login_attribute sAMAccountName pam_password ad 现在我一直在使用wireshark监视AD主机上的ldapstream量。 我从Apache的mod_ldap中捕获了一个成功的会话,并将其与来自pam_ldap的失败会话进行了比较。 第一个绑定请求是使用svc_webaccess_auth帐户成功的,searchrequest是成功的,返回1的结果。使用我的用户的最后一个绑定请求失败,返回上述错误代码。 […]
我最近重新安装了Win 7 Enterprise的笔记本电脑时遇到问题。 当我尝试授予域用户在本机上的本地访问权时,计算机正在抱怨信任关系中断。 我做了以下(两次,每次使用不同的名称),它不能解决问题: 作为域pipe理员,离开域并join工作组:WORKGROUP。 重启。 作为域pipe理员,使用新的计算机名称join域。 重启。 作为域pipe理员,添加域用户作为本地pipe理员。 错误:“此工作站和主域之间的信任关系失败。” 这对我没有任何意义。 据我了解,上述过程是解决这个问题的适当方法。 到目前为止,我遇到的其他症状是: 客户机说它无法到达域。 同时,在服务器上,我看到NETLOGON的EventID 5723: The session setup from the computer [name_of_computer] failed because there is no trust account in the security database for this computer. The name of the account referenced in the security database is [name_of_computer]$. 连接到域时,无法通过主机名ping主机。 当离开域时,我可以ping主机就好了。 nslookup [fqdn]为我的域控制器返回适当的值,而nsloookup [DC […]
工作站操作系统:Windows 7 域控制器操作系统:Windows Server 2008 R2 Standard 我用秒表测量了以下内容: 笔记本电脑在工作组中时,只需17秒即可closures。 当我将相同的笔记本电脑添加到域(corp.abc.com)时,现在需要1分22秒closures。 (它只是显示closures屏幕) 为什么在将工作站添加到域时,关机时间会大大增加? 注:我没有在笔记本电脑上做任何改变,也没有添加任何软件。 我已经完成了上述testing,因为用户在将笔记本电脑添加到域后需要很长时间才能closures,因此开始抱怨。 所有运行Windows 7的笔记本都会发生这种情况。
有一个Windows SBS 2003作为DC的域。 定期,我面临的Mrxsmb(事件8003)错误,导致networking。 我们必须在networking上的其他Windows SBS 2003服务器,其中之一是造成这种情况。 我已禁用这两个计算机浏览器服务。 现在,该域中的Windows XP和Windows 7客户端在不同时间在DC日志中显示该错误。 每一次 ,它都会导致我的networking。 有什么我在这里错过吗? 作为一个临时的解决scheme,我手动“禁用”( 因为当它停止,启动选项是“手动”,它仍然给我这个错误 )在所有客户端PC中的计算机浏览器服务 – 是正确的解决scheme还是还有其他更好的解决scheme吗 如此处所述,在检查时,networking在任何时间点都没有断开连接,但是在某些情况下,PC在某些时间点重新启动。 如果你可以build议某种永久的解决scheme,将不胜感激… 提前致谢
我正在降级2003年DC。 我已经build立了一个2008r2服务器,将其设置为DC,并将所有angular色转移。 现在我准备降级旧的DC。 当我运行一个DCPROMO我得到错误 “操作失败,因为:Active Directory无法将目录分区CN =架构,CN =configuration,DC = [域],DC = com中剩余的数据传输到域控制器server2008.domain.com RPC服务器不可用“ 我需要一些见解。 根据AD,2008服务器是所有angular色的主要服务器。 我可以从这两个服务器确认这一点。
我的域名上有一台计算机突然停止通过组策略接收软件更新。 域login仍然有效,机器上的组策略仍然在更新,所以它知道有新的软件包需要安装以及在哪里查找,但是每次尝试安装软件包时都会抛出1622错误(位置未find)。 login的用户可以达到相同的networking共享,并且networking上的每台其他计算机正在安装这些软件包。 进一步调查发现,在有问题的计算机上以“系统”运行的其他服务也无法对networking共享进行身份validation。 如何在Active Directory中诊断/修复此计算机的帐户? 计算机帐户存在,并且是“域计算机”的成员 – 还是有什么我应该看? 现在的问题是:如何在AD中修复破损的机器账户而不需要重新映像?
在一个活动目录域中,我希望将一些PC分配给单个人。 例如在computer_a上,唯一允许login的人应该是person_a加上各种pipe理员。 我发现一个常见的解决scheme是使用本地loginGPO,但这需要为每台计算机创build一个新的GPO和OU,因为每台计算机都将分配给不同的用户。 有没有更好的办法? 我正在尝试的一个可能的select是: 使用GPO从本地用户组中删除以下帐户:NT AUTHORITY \ INTERACTIVE和NT AUTHORITY \ Authenticated Users 将用户域帐户添加到本地用户组 这似乎工作正常,但我担心由于两个特殊小组的移除可能造成的问题。 有更好的解决scheme吗?
我在域控制器上打开了“Active Directorypipe理中心”,并添加了“禁用/启用帐户的用户”条件。 它什么也没有返回,但我知道我们有用户帐户列在活动目录。
我们使用一个基于networking的软件,用户可以login到该软件,以pipe理访问由AD组控制的共享。 用户可以pipe理的组列表是他们具有“写入成员”安全性的组。 这允许用户维护文件共享而不需要知道AD。 我正在尝试使用quest.activeroles.admanagement编写Powershell脚本,该脚本将返回指定用户具有“写入成员”安全性的整齐列表,以清除离职用户的权限。 我需要search的组存储在一个OU中,尽pipe有超过1000个。 我到目前为止已经想出了: add-pssnapin quest.activeroles.admanagement Get-QADObject -ShowProgress -SearchRoot 'domain.server.com/path/to/OU' -SearchScope 'OneLevel' -Type Group -SizeLimit 2500 | Get-QADPermission -Rights 'WriteProperty' -Property 'member' -Account "user" -WarningAction SilentlyContinue 这工作正常(但效率不高),但主机输出相当混乱: Permissions for: full.domain.path/OU/path/group1 Ctrl Account Rights Source AppliesTo —- ——- —— —— ——— Domain\user Write member Not inherited This object and all child objects Permissions for: […]