我在一家大公司的分公司的IT支持部门工作。 我必须照顾所有的用户,计算机等数据库我试图find一种方法来自动更新数据库尽可能多,但IT基础设施家伙没有给我足够的权限使用活动目录为了转储用户,也没有时间给我需要的信息。 几天前,我从Sysinternals发现了Active Directory资源pipe理器,它允许我浏览Active Directory,并在那里find我需要的所有信息(用户名,真实姓名,创builddate,权限,公司等)。 不幸的是,我无法将数据导出为可读的格式。 我只能以机器可读的格式拍摄整个数据库的快照。 做快照需要几个小时,恐怕基础设施人员不会像我一样定期完成整个快照。 你知道任何工具(命令行是最好的),这将允许我检索键的值或导出到XML,CSV等?
我正在使用openSUSE 11.4,它内置了Yast的Active Directoryconfiguration(可以为你做所有的pam_winbind,Kerberos,nss,Samba-client等),并且可以成功地对我的AD域进行身份validation。 我创build了一个名为LinuxAdmins的AD组,我希望让该组中的人员能够在某些Linux服务器上不使用root密码或在使用自己的密码的计算机上使用sudo。 openSUSEconfigurationAD的方式是设置带有前缀域的用户名。 所以我的用户名是MYDOMAN \ djsumdog。 如果我尝试添加以下任一行到sudoers文件,我仍然不能sudo与我的用户。 我一直收到“MYDOMAIN \ djsumdog不在sudoers文件中,这个事件会被报告。 我已经尝试了用户名和组名的单斜杠和双斜线。 %MYDOMAIN\LinuxAdmins ALL=(ALL) ALL MYDOMAIN\djsumdog ALL=(ALL) ALL 我知道在我的Gentoo框中,/etc/pam.d/su中的以下行允许wheel组中的用户在没有密码的情况下su: auth sufficient pam_wheel.so use_uid trust 但是,这似乎并没有在openSUSE(甚至与本地用户),AD用户less得多。 我也尝试使用pam_winbind.so模块: #%PAM-1.0 auth sufficient pam_rootok.so auth include common-auth auth sufficient pam_winbind.so require_membership_of=MYDOMAIN\\LinuxAdmins account sufficient pam_rootok.so account include common-account password include common-password session include common-session session optional pam_xauth.so 但我不认为这将工作,因为require_membership_of参数似乎是针对整个机器的主要身份validation。 我知道与用户的密码sudo更安全,但我会很高兴,如果我可以得到su或sudo工作通过validation用户对他或她的AD组。
我很好奇,当一个人应该使用Active Directory中的机器组? 他们常见的用例是什么? 一个人如何随着机器被多层IT操作洗牌而保持最新? 如果一个人没有权限访问用户对象来应用策略等,是否会对机器组产生影响?
我着手将Active Directory与Dell服务器的iDRAC LOM集成在一起。 其中一个先决条件是域控制器为ldap通信启用SSL。 iDRAC中的安装过程说Upload Active Directory CA Certificate 。 所以我login到我们的一个DC,去个人证书商店,而且是空的。 直到今天,我一直认为我们的域名服务使用SSL(我不是那个设置域名的人)。 我从来没有在自己的设置之前,我不太熟悉,所以我知道检查我们是否使用SSL的唯一方法是在DC上使用wireshark并捕获数据包。 在港口636捕获什么也没有,而在389捕获给我的各种数据。 所以在这一点上,我很确定我们没有使用SSL。 所以我的问题是,来回传输的目录信息被encryption有多重要? 我假设,如果没有encryption的话,无论你的域名是什么样子(无论公司是大还是小,安全规则等级不同),都会立即面临风险,那么微软就会强迫SSL。 很显然,我希望将AD与Dell服务器上的LOM集成,但在实施之前我还有一些工作要做。 我想要回答的几个问题是: 我应该知道我们面临的风险是不使用SSL 如果我按照互联网上的百万个指南之一启用SSL,会中断当前的服务吗? 或者我将能够做到这一点,客户端机器将如何被通知自动使用SSL? 我有两个DCs作为domain.local运行一个域。 既然是“内部”顶级域名(TLD),我猜我需要使用内部authentication机构而不是第三方进行设置? 根据#1的答案,你会说离开SSL是安全的吗? 你会感觉到转换为ssl所带来的好处与努力的比例是什么?
全新的服务器,2008 R2。 我希望它最终成为我的根源。 我应该继续join到域作为一个成员服务器,然后做所有的? 在join域之前,我应该运行adprep吗? 我只是问在这个点上的成员服务器…在dcpromo之前。 谢谢。 我希望服务器是森林根服务器。 它将replace当前的林根服务器。
我正在学习LPIC考试,其中包括有关Samba的部分。 我问自己,在没有任何Windows客户端或服务器的纯Unix / Linuxnetworking中,Samba是否有任何有意义或有用的应用程序?
控制台应用程序在域中的单个服务器上运行,其任务是删除某些不再处于活动状态的用户的本地区域。 这些家园位于networking上的50多个不同的服务器上。 该帐户在帐户的上下文中运行,该帐户也是每个存储服务器上的“本地pipe理员”组的成员,该组具有对相关文件夹的“完全控制”权限。 这在一些较旧的服务器上效果很好,但是在Windows 2008上它遇到了问题。 在这些服务器上,“本地pipe理员”组启用了“pipe理员批准模式”。 例如,如果我右键单击某个文件夹并尝试访问属性/安全性(使用相同的服务帐户),则会出现以下提示: 我可以按继续,然后继续使用完整的控制权限。 如果我删除文件时也是这样,事情就像打算一样工作。 是否有可能在每个用户/每个服务器的基础上禁用此function,因此它将继续适用于所有其他帐户 – 但不适用于此处的服务帐户? 如果我在这里搞砸一些术语,请原谅我。 我只是一个开发者。 🙂 编辑:明确表示,我正在谈论一台服务器上的控制台应用程序,访问networking上许多不同服务器上的homeareas。
我们的主域控制器,Server 2003 R2 X64机器,显然有一个病毒大约四个小时。 (为什么/如何是一个不同的问题,巫婆以后打猎,病毒已被清理。)在那段时间,似乎计算机浏览器服务和Windows防火墙服务被损坏。 当您尝试启动任一服务时,您会收到“错误1060:指定的服务不存在作为已安装的服务”。 服务器和工作站服务已启动并正在运行。 没有其他服务似乎受到影响,但我可能是错的。 我已经检查了计算机浏览器的registry设置,它们都是正确的,包括MaintainServerList和IsDomainMaster。 我甚至从另一台机器导入了一组正确的registry设置。 我们有一个备份域控制器,但它是古老和吱吱声。 我们的系统备份经过了四个月的时间倒退,所以恢复系统信息将是有问题的,因为信息将从四月份开始。 任何有关如何解决这些破碎的服务的意见,将不胜感激。 另外,我的安全意识是刚刚重build服务器,因为它是PDC,并且它已经被攻破了,但是很简单。 不过,我的“OMG在屁股里面有多痛苦”并不想这样做。 如果我可以修复它,我应该修复它还是通过重做服务器?
我们有多个分散在不同主机提供商的服务器。 为了学习,试验和最终的生产目的,我把其中一个设置为域控制器。 这很顺利,我们的大部分服务现在都通过AD进行validation,这对我们帮助很大。 我现在想要做的是简化多个服务器的身份validation,使他们每个人都看看域控制器。 这样,我们的开发人员就可以使用AD的相同凭据login(远程桌面)多个服务器。 我知道我必须configuration每个服务器来查看域控制器。 但是,当我尝试将域控制器添加到计算机时,虽然域控制器地址是有效的,可到达的互联网子域(如“ad.ourcompany.com”),但无法find它。 这是详细的错误信息: 注意:这些信息是针对networkingpipe理员的。 如果您不是networkingpipe理员,请通知pipe理员您已收到此信息,该信息已logging在文件C:\ Windows \ debug \ dcdiag.txt中。 当查询用于查找域ad.ourcompany.com的Active Directory域控制器的服务位置(SRV)资源logging的DNS时,发生以下错误: 错误是:“DNS名称不存在”。 (错误代码0x0000232B RCODE_NAME_ERROR) 查询是针对_ldap._tcp.dc._msdcs.ad.ourcompany.com的SRVlogging 此错误的常见原因包括以下内容: find域的AD DC所需的DNS SRVlogging未在DNS中注册。 将AD DC添加到域时,这些logging会自动注册到DNS服务器。 它们按设定的时间间隔由AD DC更新。 此计算机被configuration为使用具有以下IP地址的DNS服务器: 109.188.207.9 109.188.207.10 以下一个或多个区域不包括对其子区域的委派: ad.ourcompany.com ourcompany.com com 。 (根区) 有关更正此问题的信息,请单击“帮助”。 我错过了什么? 我是一个经验丰富的开发人员,但一个新手Sysdamin试验新的东西。 放弃 所有IP地址和域/子域已被更改以保证安全。 如果有机会,你仍然可以看到私人信息,请让我知道,以便我可以改变它。
如果我正确理解了这一点,我需要澄清。 我一直在阅读有关Active Directory和命名我的域名,而微软并没有build议使用外部公有域名的原因是DNS Split。 如果我的理解正确(如果我没有理解,请纠正),我有两个域名服务器,他们都做同样的工作,但其中一个是内部的(在我的公司),另一个是公共的。 我误解了这个,如果我确实有人可以向我解释这个吗? 我希望这个问题对于这个网站不太宽泛! 干杯。