在我的AD中有ObjectClass设置为设备的对象,我想委托控制给非pipe理员用户,所以他们将能够添加新的和删除现有对象objectClass设置为设备,而不是其他objectClass对象用户,计算机或组。 我正在使用设备类,因为这个类有macAddress属性。 使用New-ADObject命令创build新对象 New-ADObject -Type device -Name NAME -Path "OU=MAC,DC=ddomain,DC=local” -Description DESCRIPTION -OtherAttributes @{'macAddress'="0011223344"} 从我所看到的,委托控制向导或ACL编辑器不提供这样的细粒度控制,在那里我可以select自定义objectClass的安全属性应该编辑。
我正在用我们的AD Dnsparsing器遇到一些奇怪的行为。 我们的Windowsnetworking使用AD作为DNSparsing器,然后parsing像Google.com等查询。 在那里所有的罚款和花花公子。 有一天,我开始挖掘(在Windows上,耶!),向同事展示问题,我查询: $ dig ANY google.com 。 结果是非常less的,只有Alogging,最初让我想到谷歌已经杀了他们的服务。 更好的想法盛行,我问: $ dig ANY @8.8.8.8 google.com ,当然这给所有logging预期humongous结果。 我已经发现了微软方面似乎是一个caching技巧,根据当前的caching,它们将ANY查询的响应拼凑在一起。 以下步骤将有助于重现此问题。 对AD和AD DNS服务器执行所有这些步骤。 使用ANY查询来查询目标域: $ dig ANY example.com 。 注意结果只有A和AAAAlogging。 使用其他types(例如MX或TXT查询目标域: $ dig MX example.com 。 validation结果是否符合预期。 再次发出原始的ANY查询,现在注意结果包括来自步骤2的MXlogging。 我发现最好在每个testing中select一个新域,因为之前的testing将在AD DNS中caching结果。 使用Google的parsing器(或其他parsing器)来validation预期结果,例如: $ dig ANY example.com @8.8.8.8 。 任何人都可以确认吗? 这是在AD DNS设置,防止它recursion解决ANY查询 – 因为它们在某种程度上比其他任何东西都更昂贵? 我一个人发现这种行为是完全错误的。
我们有几个使用winbind连接到Active Directory的RHEL6服务器。 所有服务器都使用configurationpipe理工具进行相同的configuration。 但是,使用groups命令和/或sudo查询组时,服务器会产生不同的结果。 然而,Getent和winbind会在所有服务器上返回正确的一致结果。 user.name1和user.name2是组test.group1的成员。 test.group1是组test.group2的成员 在所有服务器上运行以下命令是一致的: # getent group test.group1 test.group1:*:16126:user.name1,user.name2 # getent group test.group2 test.group2:*:16125:user.name1,user.name2 # wbinfo –group-info test.group1 test.group1:*:16126:user.name1,user.name2 # wbinfo –group-info test.group2 test.group2:*:16125:user.name1,user.name2 但是服务器A不正确地返回: # groups user.name2 test.group1 服务器B正确返回: # groups user.name2 test.group1 test.group2 Sambaconfiguration如下所示: winbind use default domain = true winbind offline logon = false winbind separator = + […]
执行LDAP查询时,我局域网上的两个不同的Linux服务器(CentOS和Ubuntu)无法看到AD组的某些成员。 我们正在设置一个可以使用LDAP进行authentication的软件设备。 为了限制可以访问设备的内部用户的数量,我在AD创build了一个“文件传输”组,并为其添加了8个用户。 我曾尝试使用CentOS 6.5和Ubuntu 12.04.4执行以下LDAP查询: ldapsearch \ "(memberof=CN=FileTransfer,OU=Security Groups,DC=domain,DC=local)" \ dn -x -W -D 'cn=ldapquery,ou=user accounts,dc=domain,dc=local' -LLL 结果如下: dn: CN=Eva ,OU=User Accounts,DC=domain,DC=Local dn: CN=Simon ,OU=User Accounts,DC=domain,DC=Local dn: CN=Eric ,OU=User Accounts,DC=domain,DC=Local dn: CN=Ronald ,OU=User Accounts,DC=domain,DC=Local # refldap://ForestDnsZones.domain.Local/DC=ForestDnsZones,DC=domain,DC=Local # refldap://DomainDnsZones.domain.Local/DC=DomainDnsZones,DC=domain,DC=Local # refldap://domain.Local/CN=Configuration,DC=domain,DC=Local AD组包含8个成员,但LDAP查询仅返回4个成员。 我删除并重新创build了该组。 没有快乐。 我已经为该组添加了新的testing用户帐户,即使在周末结束之后,他们也不会显示出来。 我知道该域正在同步,因为只要我删除了一个“可见”用户,LDAP查询就反映了这两个Linux服务器上的更改。 任何人都可以解释这个奇怪吗?
我正在使用此命令将Linux框添加到Active Directory中: net ads join -U username%password 我必须通过检查域中已经存在的Linux框来使这个命令成为幂等的。 命令行帮助它没有用。 我想知道是否有这样的事情: net ads search computer-name 我正在使用Samba 3
我有一个顾问,他的计算机不在域上,需要访问各种networking资源。 不幸的是,在域中添加一台计算机是一个困难的官僚程序(并且在给定域限制的情况下甚至不允许他的许多开发软件运行),我们可以允许他有证书来访问networking资源。 因此,他不通过使用DFS就可以通过NET USE等访问各种networking资源。 有一个软件要求他具有与其他域用户相同的硬编码path,但是该path是他不能映射的DFSpath(即,软件在运行时检查path,并且将只在与注册path,并将在使用DFS与传统机器path的情况下拒绝) 我想知道是否有一些方法来模拟DFSpath,而不实际使用DFS。 例如, 软件需要看到的path是“\ ABC \ DFS \ software \ app.exe”,而非DFSpath是“\ DEF \ Software \ app.exe” 而我可以让他的主机文件点DEF到ABC,我不知道如果我能以某种方式使它与DFS“文件夹”,以及 有没有什么方法可以对AD进行修改,使他能够使用DFS或将其添加到域名中(这两者在政治上或技术上都是具有挑战性的)。 多谢你们
我正在为拥有总部和一些远程站点的公司工作。 我们在总部拥有一台Active Directory服务器,现在我们希望远程站点中的所有用户都能够join总部的域,并在其上工作。 我想评估我们的带宽,看看我们是否有足够的stream量来处理所有的办公室之间的stream量。 我可以做什么或者哪个工具可以用于评估和统计?
我想节省操作系统许可证,简化CRL更新并在给定服务器上拥有多个证书实例。 对我来说,这从安全的angular度来看是有道理的,因为我有: 一个充当根的CA,需要发布和更新策略服务器的CRL(下一个要点) 有许多策略服务器(第二层)受到名称约束或EKU用法的限制。 同样,这些也需要发布许多CRL和AIAlogging。 我们目前估计需要10,000到50,000个策略服务器。 每个策略服务器将在Azure blob存储中存储一个CRL,并为每个服务器提供一个专用容器以实现IO可伸缩性。 根据certutil -ping(即config参数)的输出,看起来每个ADCS实例可以有多个configuration。 另外,Certutil的其他几个参数(以及相应的API)允许我指定要连接的“实例”。 /// — NOTE: The ability to specify an individual config seems to indicate multiple PKIs are possible per box: PS C:\Windows\system32\CertSrv\en-US> certutil -ping -config "a.Issue01.bitclear.us\Secure Issuer 01a-001" Connecting to a.Issue01.bitclear.us\Secure Issuer 01a-001 … Server "Secure Issuer 01a-001" ICertRequest2 interface is alive (0ms) CertUtil: -ping […]
我们有Active Directory中的Contact对象同步到Office 365中。但是,其中很多都是用户的联系人,我们也build立了AD帐户,这意味着我们为这些人中的许多人提供了两个对象。 当我们使用SharePoint时,我们需要这两个对象都是最新的(一个用于地址簿,另一个用于SharePoint)。 Exchange Online支持邮件用户(非邮箱用户),在Exchange Online中,邮件联系人可以从AD联系人同步,那么如何同步邮件用户而不是邮件联系人? 我的理解是,这些将是我们不会授权的Active Directory用户,我假设我们将设置一个特定的AD属性,将其置于邮件用户而不是邮件联系人,但我找不到任何有关如何去做这个。
我有一个Windows 2003 AD集成DNS服务器,我只想侦听适配器IP地址上的DNSstream量。 但是,我遵循了technet文章中的步骤。 在我完成并重置DNS服务器之后,我看到UDP仅在configuration的接口上,但TCP仍在所有接口上进行侦听。 这是netstat -aon | find ":53 "的输出 netstat -aon | find ":53 " TCP 0.0.0.0:53 0.0.0.0:0 LISTENING 8040 UDP 127.0.0.1:53 *:* 8040 UDP 192.168.1.2:53 *:* 8040 UDP 192.168.2.2:53 *:* 8040 UDP 192.168.3.1:53 *:* 8040 这里是我的DNSconfiguration的截图: 编辑:要清楚,我的最终目标是在服务器上configuration一个DNS代理。 我想绑定它127.0.0.7,但我不能因为Windows DNS服务器已经在该地址上侦听。