我们目前在我们的组织部署了AD和OpenLDAP。 我想知道是否有人在类似的设置工作,并希望分享一些保持系统pipe理员健全的步骤。 细节: 你如何执行帐户configuration? 两个目录中是否都有帐户? 如果不是,决定哪个目录将存在一个新账户的逻辑在哪里? 如何处理exception? 如果对用户权利的更改保证在目录上创build或删除帐户,那么该怎么办? 如何同步帐户属性,包括密码更改? 其中一个目录被认为是“主”? 如果是的话,哪一个,为什么? 双目录环境的决定是什么? 是否有计划摆脱这种设置? 如果是这样的话 为了确保顺利(就像发生过的事情)那样,正在采取哪些措施? 你倾向于使用什么样的pipe理工具(账户删除,故障排除等)? 主办地点在DC,OpenLDAP服务器或者在不同的Windows或Linux机器上。 由于需要AD或OpenLDAP的专用应用程序,我们的组织别无select,只能实现这两个目录。
我有以下设置: ASP.Net网站,允许我的内部员工添加新的招聘信息(没有安全的数据,只是像名称/地址/电话的东西),当他们提交这个进入数据库(SQL)。 每隔几分钟一个服务运行,检查数据库,如果有新的条目,它将把它们添加到Exchange。 问题是我对服务的做事方式不满意(这不是把地址等)。 由于我没有源代码,所以我正在考虑重新创build它。 我的问题,甚至是find一个起点。 我知道我将不得不通过代码从SQL中检索数据来创build脚本: 乔·史密斯123 Main Street Nowhere,USA 19999 然后把它放到一个powershell cmdlet中(不确定的语法,但我可以弄明白,除非有人已经拥有了它)在Active Directory中以普通用户身份创build用户,同时创build邮箱。 从那里我只需要填写人的地址等在Active Directory中的字段。 最后,我们终止某人的删除例程,但是我确定它只是一个简单的cmdlet,很容易就像初始的一样,一旦我可以弄清楚如何开始… 任何人都有一些很好的参考点或已经做到了,可以分享?
是否有可能迫使完全相同的时间在AD的所有客户端? 如果是的话我该怎么做?
我们最近收购了一家与我们的公司有着相似的领域,我们希望将公司合并到我们的领域。 问题是,我们可以提供域别名,并将其映射到我们的域(例如,ComapnyA \ username – > CompanyB \ username),这意味着我们不必在旧机器上实现新域。 还是我们必须维护2个域名森林? 被收购公司使用JoeB的用户名格式,我们使用JBloggs ,我们可以将用户映射到域上的特定用户?
我试图找出这只与我的谷歌福,但是我不够熟悉的活动目录,放心地使用指南,而不是至less没有问我的具体情况。 任何指导或build议,你可以抛出我的方式将不胜感激,也是我应该在寻找的大问题是什么? 目前 我们有一个新的服务器(2008 R2标准),我们正在为一个新的域名“CompanyA”设置域控制器。 我们目前拥有域“project1”的域控制器,但是由于各种原因,我们需要更改服务器和域。 短期目标 我们想设置新的域名,以便“project1”是可信的,所以我们所有的现有账户都可以使用它。 然后,当我们设置/升级服务/帐户移动他们到新的域(例如新的SharePoint服务器,新用户,新的文件服务器等)。 长期 最终(1 – 2年),我们将删除“project1”服务器和域,并将剩余的用户和计算机迁移到新的域。 回顾一下,我正在寻找:*这会工作吗? *我该怎么办? * 潜在问题 更新 – 已实施 好吧,它有一些打嗝。 是的,你需要将它们添加到对方的DNS; 我使用有条件的转发器。 我们最大的问题是权限,外部帐户不能被添加到certian组,所以我不能让他们访问Hyper-V :(我有两个pipe理帐户可以(不能将它们添加到域pipe理员)但我希望我不限于远程桌面来pipe理服务器/ Hyper-V,RSAT是无用的,因为它从你的Windows会话中提取你的凭证。 如果你的DNS或者networking有问题,信任将会破坏/不能build立,显然这些是“常见的嫌疑人”,并且certificate是我的问题起源于哪里。
我需要编写代码(C#或Java)来从ADAM中检索用户login/注销信息,但是我不确定从哪里开始,甚至是否可能。
我们已经在URL http://alf-test.example.com/下使用Kerberos获得了启用SSO的Java应用程序。 不幸的是,有些东西不起作用,AD公司说它不知道服务的原则。 这是TGS-REQ交换: 请求: Kerberos TGS-REQ Record Mark: 1499 bytes 0… …. …. …. …. …. …. …. = Reserved: Not set .000 0000 0000 0000 0000 0101 1101 1011 = Record Length: 1499 Pvno: 5 MSG Type: TGS-REQ (12) padata: PA-TGS-REQ KDC_REQ_BODY Padding: 0 KDCOptions: 40810000 (Forwardable, Renewable, Canonicalize) Realm: EESERV.LOCAL Server Name […]
我正试图删除Exchange Server中的多个用户的邮箱。 Exchange Server位于成员服务器上(OS:Window Server 2003)。 当我尝试删除pipe理员邮箱时,它说: 注意:我必须审查我的活动导演所在的Windows服务器名称(在另一台有Windows Server 2008的计算机上)这个错误是什么意思? 看起来像从成员服务器到活动目录的服务器的连接问题,但我可以来回ping。 我该如何解决这个问题? 非常感谢。
我们有一个远程站点,除了主站点中的两个域控制器之外,还有两个域控制器。 我们需要把这两个站点之间的连接closures大约3天,但这两个站点在这个时候仍然需要独立运行。 准备这个最好的方法是什么? 我可以把链接closures3天,一切都将完美的工作,并重新同步,当他们回来在线? 我们将避免在链接处于脱机状态时执行域帐户更改和密码重置等操作。
我有一个情况,我们有一个父/子域。 我们有一个名为Enterprise Admins的通用组,在这个组中有PARENT \ Domain Admin。 在子域帐户BUILD-IN \ Administrators组下,我们放置了PARENT \ Enterprise Admins,这给了我们对子域的远程pipe理权限。 我们遇到的问题是,我们希望将PARENT \ Domain Admins添加到本地pipe理员到计算机,而无需在子域上创build域本地帐户。 我们实施了受限制的组策略,将PARENT \ Domain Admins和CHILD \ Domain Admins组添加到本地pipe理员组中,这工作。 但是,在限制性组策略中,我们添加到框中的任何自定义本地pipe理员都将被删除,并由策略取代,这是我们不想要的。 我们如何将PARENT \ Domain Admin组添加到子域上的客户端而不删除现有的域。