我有一台运行Active Directory的Windows 2008 R2服务器,并通过networking共享文件夹。 每个用户都可以列出所有的股票,即使没有权利访问它们。 这不是一个安全问题,但是当共享文件夹的数量增加时,这可能变得相当混乱。 有没有简单的方法来列出授予访问权限的文件夹?
在组策略的WinRM服务部分,我可以select禁用以下authentication机制: 基本 的CredSSP Kerberos的 谈判 考虑到安全性问题,我想禁用任何可能会增加环境中的额外漏洞的身份validation方法。 也就是说,我想尽我所能不要打破系统的预期function,并理解禁用身份validation方法会产生什么效果。 也就是说,如果我禁用CredSSP和Negotiate,我可以期待什么效果? 我希望Kerberos能用于AD环境中的所有东西,而Basic将被禁用。
我的客户端使用ActiveDirectory控制对数据库的访问。 我想要做以下事情: $cred = Get-Credential Start-Job -Credential $cred { #do some stuff with the db } 这适用于任何本地用户,但在vpn上并input我的ActiveDirectory凭据时无法进行身份validation。 我知道我可以使用runas作为ActiveDirectory用户启动进程,只要我提供/netonly标志(否则不起作用)。 我认为以下可能会有所帮助 $cred = (Get-Credential).GetNetworkCredential() 但生成的对象不能转换为PsCredential ,这是-Credential参数的作用。 与此有关的这个问题,但似乎我可能一直在问错的东西。
问题: 我无法通过在Windows XP上运行的进程以SYSTEM帐户访问Domain Computers可访问的networking共享。 我有一个2008R2域,一个2003R2文件服务器和一组客户端。 在文件服务器上,我已经创build了可供“ Domain Computers组访问的共享。 该共享应该保存一个由SYSTEM用户运行的系统服务( Wpkg-GP )从域工作站访问的只读文件存储库( Wpkg )。 现在的问题是,虽然它在Windows 7上完美运行, 但在Windows XP上完全失败 。 看来由于某种原因,Windows XP上的SYSTEM帐户无法作为计算机进行身份validation。 详细了解更多。 问题: 我做错了什么? 这可能是Windows XP系统的自然行为? 如果是这样,是否可以改变或修复? 或者有没有其他的方法来实现一个scheme,在这个scheme中,networking共享对计算机上的SYSTEM用户是可见的,用户不能访问? 细节: Domain Computers组已获得文件和共享的权限 我已经检查了更高的权限,从Read到Full Controll 我已经用安装在VBox上的全新的开箱即用操作系统testing了这个问题 由于问题是由应用程序报告的,我首先开始validation实际的SYSTEM用户权限。 在Windows版本(7和XP)上,我打开了一个提升的cmd会话模拟SYSTEM帐户(使用PsExec -s -i cmd.exe )并尝试手动挂载networking共享: net use x: \\myfs.mydomain.com\Wpkg 在Windows 7上,该驱动器已安装没有问题。 但在Windows XP上,该命令用不正确的密码和新的提示信息进行响应: [Windows XP] Password for \\myfs.mydomain.com\Wpkg is incorrect. Please […]
是否有可能在AD中获得组层次结构? 这是为了pipe理从那里的Web应用程序的权限。 我需要这样做: 用户 产品 pipe理员 任务 Subtask1 Subtask2 Subtask3 任务2 所以如果你是pipe理员,你可以参考任务和任务2及其子项。 我认为AD并没有带有RBAC层次结构,但是我想确定一下。
在我们的Active Directory域中,我们有一些奇怪的事情发生在某个用户帐户上: 在该用户对象的安全权限中,“包含来自该对象父级的可inheritance权限”标志不断被禁用。 这导致该用户的一些问题。 如果pipe理员启用它,几个小时后再次禁用它。 所以我们启用了对该用户对象的审计,以查看谁或正在做什么。 审计工作:如果我手动检查或取消选中该用户的标志,在域控制器上的安全日志中创build一个条目,指出一个目录服务对象被修改等,… 但是,它不logging禁用标志的神秘进程。 当我启用标志时,它将被logging在审计日志中。 但几个小时后,它的残疾人再次审计日志什么也没有显示。 所以我很难过 是否有任何进程或用户帐户可以修改AD对象,而不会在审计日志中显示?
虽然试图激活Windows 2008 R2托pipeJenkins版本1.514与Active Directory插件版本1.33的安全性尝试login时出现以下错误: INFO: Login attempt failed org.acegisecurity.BadCredentialsException: Incorrect password for username DN=CN=username\, username,OU=Employees,OU=Users,OU=STUFF,OU=_AccountObjects,DC=domain,DC=domain,DC=com: nested exception is com4j.ComException: 80072028 A more secure authentication method is required for this server. 我认为有趣的部分是: nested exception is com4j.ComException: 80072028 A more secure authentication method is required for this server. 我没有看到任何更改身份validation的选项。 我曾尝试设置的域名没有任何更改的错误消息。
有我可以运行在我的客户端PC上的DOS命令来获取新的组分配? 我以用户身份login。 我刚刚在主AD服务器上添加了一个安全组“Member Of”。 我可以立即提取这些信息吗? 在客户端列出组,以便我可以validation更改吗? 我更喜欢最兼容的方式,我使用XP作为客户端。
OpenVPN客户端可以login隧道服务器端的Windows AD域吗? 在我的设置中,我的OpenVPN服务器运行在join域的Linux机器上,我正在使用centrifyDC软件包对AD域中的OpenVPN客户端进行身份validation。 客户端可以访问所有域资源 – 当他们尝试访问资源时,系统会提示他们提供域凭据。 这一切都很好,但是当客户端通过SSMS访问SQL Server时,当他们select“Windows身份validation”时,他们不能独立提供他们的域凭证; 他们需要login到这个域的工作。 理想情况下,当他们login到OpenVPN时,我可以透明地做到这一点。
我一直在移动用户configuration文件从一台服务器到另一台。 对于这个问题,我们称之为“oldserver”和“newserver”,用户名为“jbloggs” 当用户注销时… 使用robocopy将jbloggs( \\oldserver\users\jbloggs )的整个configuration文件复制到新服务器。 完成后,将旧文件夹重命名为“moved_jbloggs” 然后进入活动目录,并将“configuration文件path”更改为\\\newserver\users\jbloggs\profile和“主文件夹”“将U:连接到\\newserver\users\jbloggs 我还将组策略“将文档redirect”设置从\\oldserver\users更改为\\newserver\users 但是,当jbloggslogin时,在oldserver中创build一个新的文件夹! \\oldserver\users\jbloggs\jbloggs's documents 有谁知道什么可能导致用户文件夹在旧服务器上重新创build? 是否还需要采取进一步措施?