我有一台服务器在Windows Server 2008上运行。最近我们创build了一个域,并将其添加到域。 此外,它还被提升为networking上的其他域控制器。 域用户帐户是使用与我以前的本地pipe理员帐户相同的用户名和密码创build的。 现在我无法使用我的本地帐户login。 我尝试使用SERVERNAME \用户名login,但它给不正确的密码错误信息。 有什么方法可以检索或在域计算机上创build一个新的本地pipe理员帐户
在Windows 2003/2008混合域中,是否有可能找出networking上某个特定帐户的login位置? 该帐户不断被locking,我们认为该帐户可能被logging在某个地方,但我们不知道在哪里。
有没有办法,使用防火墙,组策略设置,或其他控制,以防止某人login到域成员能够远程执行域控制器上的代码(否则他们没有networking访问),给定的他们可能会窃取某人的域pipe理员凭据? 或者是常规AD成员身份所需的networking访问,与PsExec或PowerShell的远程执行所需的networking访问密不可分? 概述一个例子: Windows服务器“member1”是一个简单AD域的域成员 Windows服务器“dc1”和“dc2”是这个简单域的域控制器 member1和DC之间有一个硬件防火墙,member1和DC之间只允许域成员所需的TCP和UDP端口 。 用户“Jack”是“member1”上的用户,除了上一个项目符号中描述的访问之外,没有对DC的networking访问权限。 杰克是狡猾的,可以通过社会工程攻击或其他方法获得域名pipe理员“吉尔”的凭据。 Jack获取这些凭证,login到member1,并可以使用PsExec或PowerShell远程执行dc1或dc2上的代码,甚至可以将自己的实用程序与.NET一起使用,因为域成员身份所需的networking访问包括执行远程调用所需的networking访问如这些。 我想通过确保member1只能在域上执行常规ADfunction(authentication,更新组策略,时间同步等)来阻止这种攻击,并防止其他操作,例如远程执行DC上的进程。
Active Directory域的哪个部分执行login服务器(域控制器)的身份validation。 LOGONSERVER env var有它的值。 C:> echo%LOGONSERVER%\ PUN5OPSDIRPIN01 有什么API可以检索这个值吗?
所以,我join了我的工作场所本地域。 我使用我的域用户login了几次,但现在计算机将无法看到域中的任何用户或组。 其实在对象“search”对话框中,我只能select当前电脑作为“位置”来search。 好奇的是,电脑的属性说,机器实际上是一部分的领域。 对这个问题有什么想法? 谢谢! 编辑: 显然我能ping通DC。 即使我不能通过命令提示符使用NET USERS / domain命令列出用户。 它失败,错误1355 – 指定的域不存在或无法联系。
我打算将办公室(windows xp sp3客户端和名为ServerA的Windows 2003服务器)迁移到Active Directory。 我已经有一个运行Windows 2008 Server的AD Server(ServerB)以兼容模式运行到2003(所以我减less了xp客户端的问题)。 主要的问题是,当我将ServerA包含到AD(ServerB)中时,xp客户端将失去对ServerA中运行的文件夹和服务的所有主动性,直到我将每个客户端都包含一个xp客户端(据我了解,ServerA中所有旧的“静态”凭证都将被删除)。 办公室是相当大的,所以我想避免在不确定的时间断开连接,而每台机器正在排除故障。 有什么解决scheme,build议或战略,以便我可以保持旧系统和新系统之间的“兼容性”模式? 我的意思是说,在将ServerAjoinAD之后,所有尚未连接到AD的XP客户端仍然可以访问资源(共享文件夹,服务等)。 非常感谢你提前
我在我的Windows / IIS网站设置中有一个固定数量的虚拟机,我不能在短期内改变: 一个Web服务器,从内存和CPU负载立场(IIS6,Server 2003)严重超载, 一个SQL Server数据库(SQL Server 2005,Server 2003) 两个AD控制器 我有一些目前在networking服务器上运行的后台服务来运行繁重的离线数据库维护工作,有时会抓取大量的内存和CPU本身。 我想把它们移走。 将它移动到SQL Server或AD控制器有什么优点和缺点? 整体系统性能更好? 你有什么build议? 没有必要build议我改变我的硬件configuration – 我不能。
我们的一台生产服务器被“克隆”成为二级testing环境。 源服务器是连接到域并具有静态IP地址的虚拟机(VMWare vSphere环境)。 当克隆的VM启动时,虚拟networking适配器已启用。 计算机名称未更改。 IP地址也不是。 不知何故,具有相同的DNS名称和IP地址的这两台服务器在同一个域上共存几天 – 可能多达一周。 我们会忙着解开一段时间的伤害… 无论是粗心还是无知,人们都会犯错误。 我可以接受这个 那么让我们假设它可能会再次发生。 我知道如何解决这个问题。 但是如何检测? 编辑 我不在寻找关于如何克隆虚拟机的说明或build议。 我不是那个任务的人。 我想知道如何快速(或立即)检测两台计算机/工作站/虚拟机具有相同的DNS名称。 UPDATE 我决定在主要的SQL Server服务启动时运行一个“检查”,试图确定是否克隆了SQL主机。 (请注意,这种策略只适用于SQL Server主机的虚拟机。) TLDR:在存储过程中对SQL主机名和域进行硬编码,并将这些值与SERVERPROPERTY(N'MachineName')和DEFAULT_DOMAIN() 。 如果值不匹配,做一些激烈的事情。 如果任何人有兴趣,我博客: SQL Server:克隆的攻击 最后的想法 当我最初发布这个问题时,我可能应该提到这个:我是一个SQL Server DBA。 即使我不是一个系统pipe理员types,我也与他们合作。 我和系统pipe理员不在同一个“团队”,但是我也没有被他们隔离。 我感谢所有的投入和我的问题无数的答案。 大多数人表示这个问题是一个培训问题,我应该教育那些涉及到的人。 我不能不同意。 这是一个明智的,主动的方法。 但是…几乎SQL Server领域以外的所有东西都超出了我的控制范围。 系统pipe理员来来去去。 他们的行为和独立于我的愿望和需求的决定。 不过,我确实可以控制从SQL Serverangular度发生的事情。 即使在行为完成后,我仍然可以积极主动。 由于我自己开发的解决scheme是SQL Server特定的, 现在显然我应该在https://dba.stackexchange.com/上发布我的问题。我认为在这里有问题仍然有一些价值,但是如果主持人希望迁移它,我明白。
如何在Windows域控制器上search两三个月的密码? 我是这个域的pipe理员。
这个周末我们换了一台几年前的Windows服务器,换上了新的。 尽pipe从旧的Active Directory导入计算机和用户,到新的服务器(丢失密码,但这不是很重要),整个体验接近一场噩梦。 个人电脑没有被服务器识别,人们无法login(关于“电脑不在服务器的安全数据库”的东西?我忘了确切的措辞)。 我们不得不: 将每个PC从域中删除,而不是将其添加到工作组(在PC上,而不是在服务器上) 将PC添加回域,然后重新启动 对于Windows 7,它还要求我们从服务器上的Active Directory中删除该计算机的旧条目,否则会发生计算机名称已被占用的冲突。 (对于显然没有必要的XP。) 这不是结束:当用户login一个新的configuration文件生成在PC上,完成新的设置和一个新的“我的文档”文件夹,结果是(Outlook)电子邮件丢失。 为了解决这个问题,我们find的唯一解决scheme就是我们所做的。 这太不切实际了。 好的,因为我们有更多的服务器升级计划,所以我必须问:我们忽略了什么? 是否有一种方法,我们可以采取,最好在服务器本身,所以所有的用户仍然可以从他们的PClogin(可能与临时密码),并保留所有的个人资料(设置,我的文件,…)那是存储在它上面? ps旧服务器是Windows Server 2003,新服务器是Windows Server 2008(升级到R2),如果这有所作为。