在一个网站上,我开发了一个函数来发送电子邮件(即连接到交换)。 我需要使用Active Directory中的特殊用户才能发送群发邮件。 另一方面,该用户不应具有login到计算机的能力。 在Active Directory中,应该更改或撤销哪些权限?
我们有一些VoIP电话,我们想要融入到我们的PEAP WiFinetworking,我很关心只是创build一个标准的AD帐户,并使用它。 如果有人获得了这样的长期帐户凭证,他们就可以使用它们login主机并访问networking资源 有一些策略/设置选项用于locking本地访问,但不适用于networking访问。 例如,“login到”选项允许您限制帐户可以访问的机器,但与NPS /域控制器交谈的WiFi访问点似乎使用主机“” – 即不设置该variables。 整个解决scheme似乎只对域成员的Windows计算机工作 – 如果用户来自Unix / Mac系统(例如PEAP) 这可以扩展为关于如何使用Active Directory进行非Windows身份validation(例如LDAP)的更一般的问题。 我还没有看到任何真正的答案,所以担心这可能是不可能的 – 但你要问的权利? 🙂
是否可以将GPO从一个域应用到具有信任关系的另一个域? 我们有一个GPO,它将pipe理安全组添加到已join域的计算机的本地pipe理员组。 我的理解是,域的GPO只能应用于其自己的域内的对象。 是否可以将域A的安全组添加到域B中创build的GPO,以便将其添加到域B中的本地pipe理员组? GPO – 域A < – 信任 – >域B. 谢谢!
我们正在build立一个新的networking环境,将有两个域控制器,并遇到Windows不认识现有的域控制器(DC-01和DC-02)作为域控制器的问题。 这两台计算机在Active Directory GUI中都列为DC,并位于正确的组和文件夹中。 我们有几个运行下面代码的PowerShell脚本,它们在域控制器列表中返回一个空白集。 $DC = [System.DirectoryServices.ActiveDirectory.Domain]:: GetComputerDomain() $ DCvariables返回 Forest :MyDomain DomainControllers : DomainMode :Windows2008R2Domain Parent : PDCRoleOwner :DC-01.MyDomain RidRoleWoner :DC-01.MyDomain InfrastructureRoleOwner:DC-01.MyDomain Name :MyDomain 我们的许多脚本依赖于被填充的DomainControllersvariables。 在DomainControllers中应该有两个DC:DC-01-MyDomain和DC-02-MyDomain。 我们已经在其他类似的环境中运行脚本和设置,并且这些对象被正确地填充并且工作得很好。 我已经在我们的主要DC和次要DC上运行这个命令,并且它们返回相同的结果。 我们在这个问题上摸不着头脑。 任何帮助,将不胜感激。
我目前正在从一个前辈检索一个ASP MVC网站解决scheme,我不得不创build一个活动目录机器来支持使用它的login实现。 在用户第一次login时,我们会提示他设置密码,我们也会更新他的描述(在moniroting工具中使用通用帐户状态)。 我的问题是以下几点: 我可以使用这些代码行来更改用户的密码(input是用户的ADinput): entry.Invoke("ChangePassword", new object[] { oldpassword, newPassword }); entry.CommitChanges(); 但几行后,其描述更新失败: entry.InvokeSet("description", new object[] { UserPasswordStatus.PasswordChanged.ToString() }); entry.CommitChanges(); 导致“System.UnauthorizedAccessException:一般访问被拒绝错误”。 当我去公元时,并改变用户的安全,以完全控制自己(在“自我”参考给予),这些相同的线路顺利。 我的问题是:我需要改变什么来允许用户改变他的描述? 显然,我希望它是通用的,并默认应用于我的所有用户。 正如你可能注意到的,我是一个开发人员,我不是很习惯服务器pipe理本身,所以请尝试把它考虑在内:)
我们正在尝试用SSSD在一些Linux系统上集成ActiveDirectory。 到目前为止,我们已经将linux系统join了这个领域,我们可以使用AD定义的用户login到Linux系统。 现在每个AD用户都可以login到与SSSD集成的每个Linux系统。 我如何让用户Foologin到LinuxServer01,但阻止他login到LinuxServer02? 和/或我怎么能阻止用户login到每个Linux系统,让他在一些特定的?
所以在用SHA512configuration一个离线的根CA和在线的AD subordiante CA之后不久就可以进行validation了。 我们发现一个瘦客户端供应商(Teradici零客户端与视图6)只支持SHA1和SHA256。 我无法find任何方式configuration模板以使用SHA256与任何CSP。 我尝试了“certutil -setreg ca \ csp \ CNGHashAlgorithm 256”,但是这会使生成的每个新证书的签名无效。 除了重做整个PKI之外,有没有人有任何想法或path可以追求? 谢谢。
为了让我的头更容易,下面是我用在我的例子中的东西: deecee =我的域控制器 dctoo =另一个域控制器 internal.foo.bar =我的Windows域的完整DNSDomainName。 foo =我的Windows域的短(netbios)名称。 oursite =我们域中唯一的网站 我们将所有的日志logging打开为MS DNS服务器,并看到大量的NXDOMAIN这种forms的请求: _ldap._tcp.deecee.internal.foo.bar. 请注意,我不是在讨论_ldap._tcp.internal.foo.bar. 那些工作正常。 这是来自日志的错误条目: 2/19/2015 8:07:06 AM 0960 PACKET 0000000002F885B0 UDP Snd 10.0.0.87 5052 RQ [8385 A DR NXDOMAIN] SRV (5)_ldap(4)_tcp(6)deecee(8)internal(3)foo(3)bar(0) UDP response info at 0000000002F885B0 Socket = 332 Remote addr 10.0.0.87, port 54309 Time Query=178201, Queued=0, Expire=0 Buf length = 0x0fa0 […]
目前,我有两个森林,域A和域B,具有外部双向不可传递的信任。 域A中的用户在域B中也有帐户(并不是域B中的所有用户在域A中都有一个帐户),有些域在两个域中是相同的,有些是不同的。 域A中的用户在两个域中都有Exchange邮箱。 是否可以使用ADMT或其他方法合并(或转移?)SID,同时维护两个单独的帐户和两个帐户的完整性,以允许跨域访问资源?
我们有一个小型networking(大约150台桌面,大约20台服务器),其中大部分是Linux。 MS每隔3年左右就要对我们的MS产品进行审核。 我真的没有时间去80-90桌面,并抄下Win激活密钥,然后关联MS软件许可密钥。 有什么方法可以使用Active Directory获取这些信息? 也许使用PowerShell? 提前致谢。