我有大量独立的Active Directory域(〜150),包含2个服务器群集,我需要为智能卡login进行设置。 要做到这一点,由于我的环境,我将不得不手动请求~300个域控制器证书。 不用说,这是一个大量的手动努力,我正在寻找脚本。 要申请域控制器证书,您需要三条信息:证书请求,域名和GUID。 我可以自动生成所有这些信息,但我不知道如何更改每个域控制器的GUID以匹配直接ldap更改的证书。 有谁知道这是否会工作,否则我会打破域名?
我有一个Windows SBS 2003作为域控制器的域。 在日志中获取主浏览器错误非常常见,MRxSmb事件ID为8003.我怎样才能避免这种情况? 我做错了什么? 我知道如何解决这个问题:停止客户端上的Computer Browser服务,但我不知道如何避免这种情况,因为每当我添加一个新的客户端时,问题就会回来,我忘记停止Computer Browser服务。 错误信息: The master browser has received a server announcement from the computer [computer] that believes that it is the master browser for the domain on transport NetBT_Tcpip_{#######-####-####-#. The master browser is stopping or an election is being forced. 有没有服务器的configuration来避免这个问题?
我只有一些用户有一个奇怪的间歇性问题。 我有一个login脚本映射共享驱动器,并在用户login到计算机时发出免责声明。 最近的问题是,login脚本不会为用户运行,所以我们得到一个帮助台的电话。 当其中一个服务台技术人员login到机器上时,脚本就会出现。 然后,技术注销,用户将重新login,他们将获得login脚本。 我在这个问题结束了。 任何帮助,将不胜感激。 它已经发生在Windows XP和Vista 64上。 对不起,用户和DC在同一根线上,而且他们不在远程站点。 他们正在使用Windows Vista 64位计算机login到域。 我们确实允许注册证书login。 我有两个用户在Windows XP和Windows Vista 64位上有相同的问题。 下面是发生了什么细节:1.用户login到他们的机器,他们注意到他们的驱动器都没有映射。 2.打电话给帮助台。 3.具有域pipe理员权限的技术人员使用SET命令来标识哪个域控制器是用户的certificate。 4.然后,技术人员将用户login并重新login到计算机,然后键入SET命令来检查作为用户身份validation的域控制器。 它和以前一样是一个域控制器。login脚本工作正常,映射驱动器。 5.然后用户被要求login到机器,walla的脚本运行良好。
我正在开发一个应用程序来跟踪Active Directory域中的networking用户login/注销事件; 该应用程序将通过审核域控制器上的安全日志来工作。 审核login事件可能会有些棘手,但可以成功完成。 我的问题:我如何跟踪注销事件? 根据我所做的一些研究,看起来这些事件只能在工作站上本地logging,而不能在DC上logging。 AD用户对象上还存在“lastLogoff”属性,但实际上并没有被任何人使用。 这是一个非常具体的问题:当用户从域工作站注销时,是否logging在DC上 ? 澄清:我没有在其他审计方法中进行讨论,我不能部署login/注销脚本,我无法在任何地方安装任何东西; 我也知道打开和closures的networking会话logging,但这不是我正在寻找。 我需要审核交互式login和注销域名工作站,我可以通过只读域控制器安全日志来做到这一点; 读取每个工作站的本地事件日志是没有问题的。 如果不能这样做,没关系; 但是我需要一个明确的答案。 可以这样做吗? 如果是的话,怎么样?
如果可能,我想将我的.local域添加到我的MicrosoftOnline订阅中。 有没有人知道如何validation这样的域名,因为它不在全球DNS系统注册?
我正在设置SquidGuard(1.4),以针对Active Directory域validation用户,并根据组成员资格应用ACL; 这是我的squidGuard.conf的一个例子: src AD_Group_A { ldapusersearch ldap://my.dc.name/dc=domain,dc=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=Group_A%2cdc=domain%2cdc=com)) } src AD_Group_B { ldapusersearch ldap://my.dc.name/dc=domain,dc=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=Group_B%2cdc=domain%2cdc=com)) } dest dest_a { domainlist dest_a/domains urllist dest_b/urls log dest_a.log } dest dest_b { domainlist dest_b/domains urllist dest_b/urls log dest_b.log } acl { AD_Group_A { pass dest_a !dest_b all redirect http://some.url } AD_Group_B { pass !dest_a dest_b all redirect http://some.url } […]
在以下情况下,将两个独立的公司合并成一个具有新的AD域名的单一AD的build议策略是什么? 目前的想法是以某种方式把所有东西都合并到一个全新的2008域,主要关注的是用户和交换合并/迁移。 这两个设置是: 首先是一个更大的windows 2003 AD(以前从2000年开始升级),多台服务器运行共享点2007,Exchange 2003,IIS,terminal服务器2003和SQL Server 2005.支持大约100个用户和多个应用程序。 第二个是运行Exchange的SBS 2008和大约25个用户的较小的域。 没有其他的服务器或服务,除了文件共享担心。
是否有可能在Active Directory中定义所有用户,以便它们之间也是分层相关的? 换句话说:是否可以定义从公司顶层的pipe理人员到底层pipe理人员? Possble? 怎么样? 附加信息 我正在构build一个应用程序,用户将能够pipe理其他用户的数据。 所以用户树的根是admin,可以pipe理所有其他用户(因为它们都在子树中)。 但其他用户只能pipe理自己的用户子树…这就是为什么我需要以某种方式定义pipe理者。 如果我不会在AD做这件事情,我将不得不在我的应用程序中定义pipe理员,引用特定的AD用户帐户,并在我的数据存储中拥有这些数据,这似乎有点笨拙。 但是我可以select我想要的任何树数据库结构。 可能是读取子树节点的速度非常快,因为这个操作将是最常见的。 如果我不能一次从AD读取所有的节点,反正会慢一些。 但pipe理这个结构将是一个痛苦的@@ …
我有一个旧的旧的Windows 2000域名服务器,与过时的名称。 我创build了一个新的Windows 2008 R2 Active Directory域服务器。 我想要做的是在新域服务器上共享一个目录,并允许所有仍在login到旧域的用户访问该共享目录。 现在,虽然它需要在Windows 7中,例如当试图访问驱动器,然后清除用户名和密码,select“访问作为一个不同的用户”选项。 我的想法是移动每台计算机,直到我到达一台计算机将其从旧域移动到新的域,用户仍然可以得到所有已经移动到他们的networking文件新域中的新服务器。
呵呵,我完全被别人编辑我的post弄糊涂了…把所有的引用和链接系统搞乱了… 分叉问题(1) 任何人都可以在Windows工作站(如XP Pro)上共享运行Samba Linux Active Directory Server的经验和/或链接,就像在“Samba 4:Linux Active Directory Server”中一样? 什么是使用Cygwin与在虚拟机中运行Linux为此的赞成和反对? jscott在问题(1)中写道: “Windows,特别是其许可哲学,与GPL的理想是完全对立的 。 我无法得到:在Windows上运行GPL应用程序有什么问题? 另外, ComputerWorld告诉我们: “Bartlett说,Samba团队现在和微软有着良好的关系,密码错误从来没有出现在它的任何文档中,所以”他们从来没有想过它存在“,微软也提供了一个AD模式的副本,可以由桑巴队“ * ———- 编辑1 (关于XP Eula): 我将Windows XP的道德使用问题分为服务器问题,将Windows XP用作服务器