所以我pipe理这个域,其中用户主要是我们公司的员工谁被允许login到我们的域内的公司电脑。 这实际上是开箱即用的,因为所有用户都是默认的Domain Users 。 但是,我也有这些第三方软件提供商需要在某些服务器上具有pipe理员angular色的帐户,但通常需要禁止login到其他域计算机。 以下是我所尝试的:假设我创build了一个名为John的帐户,他被分配了安全组ThirdPartyStaff SG作为他的主要组。 他然后从内置的“ Domain Users组中删除。 现在ThirdPartyStaff SG和John都不是任何其他组的成员。 然后ThirdPartyStaff SG在某个服务器上具有pipe理angular色。 所以John不应该能够访问任何域名资源,对吧? 但他仍然可以在本地login到任何域计算机(不是远程的,因为他既不在pipe理员也不在RDP组)。 所以现在我担心,除了本地login之外,他可能还有其他权限(比如共享文件夹或远程计划任务pipe理等),我不知道。 现在我必须提出一个具体的规则,说明ThirdPartyStaff SG拒绝通过GPO进行本地login,以阻止他们login。 虽然这个窍门,但我真的想知道: 这种行为背后的原因(或者我所理解的错误) 你通常会如何照顾第三方员工,只给予他们指定的权利,并带走其他一切 – 不需要太多容易忘记的调整 谢谢。
Kerberos重放检测中存在误报的问题。 它发生的次数比我们预期的要多。 我们的KDC是Active Directory。 我怀疑validation器中的时间戳有效地小于RFC 4120中指定的微秒粒度。例如,可能是系统时钟的刻度小于1微秒。 任何人都可以证实或驳斥我的怀疑吗?
我想从域服务器和受信任的域中检索有关这些已安装angular色及其参数的信息(如果可能),而不是使用cmdlets,powershell运行的当前计算机。 据我所知, get-windowsfeature能够获得我所在的当前计算机中所有可用和安装的angular色。 有没有机会获得这些信息?
我正在编写一个脚本,可以自动禁用新的,未经授权的添加到特权AD组(如Domain Admins)。 该脚本在帐户“groupWatch”下运行。 我想减less到groupWatch为了禁用域pipe理员帐户所需的权限。 我有一个简单的select是让Domain Admins 由 groupWatch pipe理 ; 当需要禁用域pipe理员时,会将其从该组中删除,然后将其禁用。 我不想给groupWatch组成员pipe理权限,因为这也意味着它可以添加新的Domain Admins。
在互联网上发现不同的文章,但其中大多数只显示如何删除挥之不去的对象,我有一些关于如何拖延对象工作的问题。 让我们考虑DC1和DC2 DC1:对象U1已被垃圾收集。 DC2:对象U1存在,因为存在与TS1之后的DC1的通信问题,并且现在复制由于滞留对象而停止。 DC1如何知道对象U1是否为滞留对象,因为其所有的先前logging已被完全删除。 据我知道严格的复制将只停止与DC2的入站复制但我的问题是如何严格复制决定如果DC2与滞留的对象。 我在查看各种文章时发现了两个概念。 你可以让我知道哪一个是正确的。 概念1: 当一个对象被删除时,除了objectGUID,objectSID,nTSecurityDescriptor和uSNChanged之外的所有属性都从对象中除去。 这个属性是否存储在NTDS上并作为参考来查找和比较被拖拽的对象,如果是这样,则不会在大的环境下影响数据库的大小。 我也读过这些属性,只有存储到逻辑删除的生命周期,一旦对象被垃圾收集,其他所有剩余的属性也被删除。 概念2: 当DC2上的对象被修改/更新时,该对象被复制到DC1。 DC1试图find这个对象来更新对象,但无法这样做,它认为该对象作为延迟的对象。 简而言之,如果对象是新对象并且对象存在于其数据库中,则AD将接受这些更改。 AD不会接受更改,如果它正在接收数据库中不存在的对象的更新,从而结束带有滞留对象的DC。 有人可以引导我,因为我一直在想这些了好几天。 提前致谢。
问题 我在AD有4个用户: tst001ak1 tst001ak2(从tst001ak1复制) tst001jf1 tst001vs1 所有用户都是组SG_Blacklist的成员。 我已经build立了鱿鱼代理,应该允许除了youtube和facebook这个SG_Blacklist组的所有网站。 一切工作正常,只有一个用户 – tst001ak1。 阻止youtube和facebook,允许一切。 对于所有其他用户,我得到了鱿鱼的“访问被拒绝”的一切。 testing 好吧,让我们testing用户authentication: > root@proxy:/etc/squid3# /usr/lib/squid3/basic_ldap_auth -R -b "dc=test,dc=local" -D [email protected] -w Slaptazodis123 -f sAMAccountName=%s -h forest.test.local > tst001ak1 Slaptazodis1234 OK > tst001ak1 Slaptazodis123 ERR Success > tst001ak2 Slaptazodis1234 OK > tst001ak2 Slaptazodis123 ERR Success 确定这个function正确authentication两个用户(都有密码Slaptazodis1234) 团体: > root@proxy:/etc/squid3# /usr/lib/squid3/ext_ldap_group_acl -R -b "dc=test,dc=local" […]
我正在从事这个我从未见过的事情。 我有一个Win 2012R2服务器(在Hyper-V下运行,但我怀疑这个问题)。 此服务器是域(与AD和GPO)的成员。 我需要一个用户帐户是本地pipe理员,是一个域帐户。 这应该没有问题,我已经做了几百次,但是今天,我使用本地pipe理员帐户设置了帐户。 我确认帐户已经到位。 然后,当我尝试使用该帐户login时,它已经消失了! 用户目录在那里,但帐户不是,相应地帐户不作为pipe理员。 我一遍又一遍地input了这个账户,试图find能指出正在发生的事情的东西,但没有任何帮助。 我已经通过事件日志,直到我脸蓝,但我没有看到有用的东西。 我所学到的是,如果我在本地机器上build立一个相同的域帐户和一个标准用户,那么它不会消失,但是一旦我授予这个用户pipe理权限,它就会消失。 我有一个应用程序,我真的需要在这台机器上运行,但它需要一个本地pipe理员和域的成员的帐户。 我会很感激为什么我不能得到的任何想法。
我有一个慈善机构,我正在帮忙,它有一个运行4个Linux服务器的传统networking,每个服务器都在一个单独的build筑物中。 每个服务器运行Samba和LDAP,但他们已经设法得到Server 2016作为捐赠,所以我需要将它们移动到AD这不是一个问题。 新系统将使用不同的AD域名从头开始设置。 当前的networking在build立时运行了一个非基于TCP的应用程序,所以build筑物以桥接模式与OpenVPN连接,所有4个站点都在192.168.0 / 24上。 还设置了Linux服务器,将每个站点的数据备份到其他站点的数据。 使用AD,最好的做法是使用站点和服务join4个不同的子网,让AD进行编排,所以我需要从桥接切换到路由设置。 我的问题是我可以在同一台机器上运行桥接接口和路由隧道,并在它们之间传送数据。 我打算将VPN服务器(这是一个明星设置)移动到最快的互联网连接,这是最初的AD DC的地方,所以机器将暂时成为新的路由networking的VPN服务器,但也将连接作为尚未迁移到新子网的机器的旧桥接客户端。 然后,我可以将剩余的三个站点切换到不同的子网,并将其与最初的VPN服务器连接到vpn。 有没有人以前做过这个,或者我只是不得不切换到路由设置,并做一个大热门所有的网站? 有4个新的服务器将安装服务器2016年,他们将在作为防火墙的OpenVPN网关运行的Linux机箱后面。 谢谢, Joolz
您好,我正在考虑是否可以添加到Windows Server 2016 Essentials域的Windows 2012服务器(作为成员服务器)? 那可能吗 ? 任何人都可以看到有任何问题吗? 我知道我需要CALS的2012年服务器。
我在Active Directory实例中有一个用户,他是多个不再存在的组的成员,并且在一段时间内不存在。 我想从这些组中删除用户。 当我在ADUC中打开用户时,selectMember Of选项卡,并select组,我得到一个“服务器上没有这样的对象”的popup框。 当我尝试select列表下面的“删除”时,我得到相同的popup窗口。 如果我单击确定或应用,我会得到相同的popup窗口,并且用户不会从组中删除。 我需要能够做到这一点,而无需创build一个全新的用户对象。 是否有解决这个奇怪的问题,或手动编辑用户删除成员资格的方式? 我曾尝试使用ADUC,ADAC,PowerShell(remove-adprincipalgroupmembership)和ds *命令行工具。