我们的一个供应商要求我们提供使用特定端口和IP的Skype访问。 为了方便访问,我们需要部署一套Windows防火墙规则。 目标客户端分布在不同的OU中,因此无法基于OU进行应用。 相反,我用用户的机器创build了一个组。 问题是GPO不适用于机器。 我试过了gpupdate /force和reboot,但是这些策略并不适用。 有趣的是,如果我单独添加计算机,计算机将获得GPO。 它似乎只是计算机组不会采取GPO。 GPO的设置是: GPO应用于域的顶级,并依赖于安全性过滤。 我的安全设置目前设置为: Read Allow Apply Group Policy Allow 链接: Enforced No Link Enabled Yes 安全筛选仅列出我的组。 我删除了身份validation的用户。 GPResults The following GPOs were not applied because they were filtered out ——————————————————————- Firewall Exception for Java for Ecommerce PCs Filtering: Not Applied (Unknown Reason) Firewall Exception – Skype […]
我是在一个小型计算机实验室里设置AD的IT学生。 实验室的工作站都连接到交换机,以及运行Windows Server 2008 R2的服务器。 我已经在服务器上安装了AD DS和DNS,并且所有工作站都连接到域。 我的问题是,我不能推出除了服务器的任何计算机上的组策略更改。 工作站和服务器可以互相ping通,但gpupdate说找不到DC。 我检查了服务器pipe理器,发现很多DNS错误; 似乎几乎没有任何AD DNSlogging被创build。 我已经从AD DS和DNS服务器上的最佳实践分析器上传错误。 如果你需要的话,我也有ipconfig和dcdiag的结果。 谢谢!
我刚刚使用Windows内部数据库在我的DC上安装了AD FSangular色。 在我把所有东西都设置好之后,似乎所有东西都没有问题,但是,一旦我重新启动我的DC,在尝试加载AD FSpipe理器时,出现以下错误: 试图访问AD FSconfiguration数据库时出错:错误消息:ADMIN0017:连接到configuration服务时发生exception。 configuration服务URL“net.tcp:// localhost:1500 / policy”可能不正确,或者AD FS 2.0 Windows服务未运行。 在检查服务时,我注意到AD FS服务实际上已停止。 当试图手动启动,我得到的错误: Windows无法在本地计算机上启动Active Directory联合身份validation服务服务。 错误1064:处理控制请求时,服务中发生exception。 我不完全确定在这里做什么。 我一直在阅读,它可能与用于运行服务的服务帐户有关,但是我已经确认该帐户是正确的(解锁,正确的密码等)。 我也读过你必须明确地将这个服务帐户添加到允许在相关GPO中作为服务login的帐户列表。 任何帮助是极大的赞赏。
我们的OSX服务器4 Yosemity 10.10被绑定到一个不相关的用户“操作员”存在的AD。 据报道,OSX服务器尝试使用没有正确密码的帐户“操作员”,并且此操作会locking有效的AD帐户“操作员”。 OSX服务器中的哪个服务需要作为用户“运营商”进行身份validation?
我们已经build立了一个使用安全组进行安全筛选的GPO。 GPO链接到OU,服务器是安全组的成员(在AD中 – 稍后)。 我们还没有重新启动服务器,因为它被添加到AD中的一个新组,所以服务器不知道它是一个新组的成员。 我们可以看到,如果我们在服务器上执行GPRESULT。 新组没有显示。 但GPO是应用的,它的工作原理。 我不明白为什么。
我有一个生产服务器,我打电话给CONTOSO\MachineA ,运行SQL Server。 我有一个开发服务器,我打电话给CONTOSO\MachineB ,运行IIS。 这两个服务器都运行Windows Server 2008.我有一个域用户,我将打电话给CONTOSO\MyAppSvc 。 我有两个CNAMElogging, myapp => MachineA和myappdev => MachineB 。 我的目标是让(intranet)客户端连接到MachineB上的IIS并通过Windows身份validation进行身份validation,然后让应用程序模拟它们并以MachineA身份连接到SQL。 MachineB正在运行SQL Server的另一个实例进行testing,并且通过运行SELECT * FROM [MachineA].[My App DB].App.SomeTablevalidationSQL是否设置了正确的双跳validationSELECT * FROM [MachineA].[My App DB].App.SomeTable via SSMS (on MyWorkstation) => SQL Server (on MachineB) => SQL Server (on Machine A) 。 MyApp上IIS上的MyApp使用模拟和Windows身份validation(仅协商)进行设置,并在运行MyAppPool中运行。 system.webServer/ security/ authentication/ windowsAuthentication @useAppPoolCredentials为true, @useKernelMode为false。 MyAppSvc和MyAppSvc都被委托给无约束的委托。 MyAppSvc上有两个SPN: HTTP/myapp和HTTP/myapp.contoso.local […]
对于实验室/教学环境,我们需要将Windows 2012R2机器设置为域控制器,并在636上启用LDAPS。由于我们还需要安装ADCS,我们只让ADCS自动生成LDAPS服务的证书 。 但是,证书在一年内到期。 有一种机制,证书自动更新一年之后呢? 我似乎无法find答案。 或者我应该手动设置这样一个更远距离到期时间的证书?
有没有办法以编程方式收集在过去30天或两个date之间login到Windows服务器(特别是2008 R2)的用户列表? 有两个活动目录服务器,所有用户都是同一个域的成员。 我的最终目标是根据SPLA原因自动获取每个服务器的唯一用户列表。
目前我们的域名(比如domain.org)拥有ADFS的Office 365。 我们正在考虑将大约150个用户转换为它,他们目前都通过另一个电子邮件域(otherdomain.com)上的Exchange服务器发送电子邮件。 我们希望这些用户设置为拥有domain.org电子邮件地址的位置,但如果有人通过电子邮件发送旧的otherdomain.com地址,则会重新路由到他们。 我知道如何设置别名,并已经读取,我们需要otherdomain.com作为一个可用的UPN后缀。 这是事情变得棘手的地方。 其他域想要继续拥有自己的Active Directory并通过代理validation电子邮件。 是否有任何configuration步骤,我们需要知道或做这样的限制? 他们最终将在同一个Windows域上,但这将是一个很长的时间。 他们希望在Office 365上尽快获取电子邮件,以利用电子数据展示function和更大的邮箱存储空间。 有没有人有过类似的经历?
我已经将以下内容添加到/ etc / sudoers: %DOMAIN\\domain\ admins ALL=(ALL) ALL 当我login使用pipe理员帐户,我得到这个: [[email protected]@plex ~]$ sudo yum update -y [sudo] password for [email protected]: [email protected] is not in the sudoers file. This incident will be reported. 我希望我的ADpipe理员在Linux服务器上成为完整的root用户。 我正在使用REALMD将我的Linux机器连接到AD。