有没有人得到他们的Linux系统的身份validation对Active Directory不使用Likewise打开? 我们正在接近实现类似Open,但首先我们需要重新命名70个Linux服务器中的70个,以使它们的主机名不超过15个字符。 这是必需的,因为Openwise实际上将Linux计算机连接到域,并且如果由于某些传统的NetBIOS命名限制而导致主机名太长,则不能这样做。 有没有一种方法通过AD进行身份validation,也许只使用LDAP? 这样做有什么优点/缺点,而只是使用类似?
我的Windows 7(64位)计算机是AD的一部分,但后来我需要将其从旧域中删除,并join到新域。 我有pipe理员权限,所以我从旧域名中删除了我的电脑,重命名并重新启动。 我的电脑有我创build的本地pipe理员,内置pipe理员帐户已被重命名和禁用。 所以,重启后,我试图用我的本地pipe理员帐户login,但不能。 我相信我的密码是正确的。 我得到这个消息: “您无法login,因为您使用的login方法在此计算机上不被允许。” 我真的不明白为什么Windows 7不会让我作为本地pipe理员login。 现在我陷入了两者之间。 我的电脑被从旧域名中删除,所以我无法使用域帐号login,同时本地帐号也无法正常工作。 有人会提出任何想法如何解决这个问题或为什么是这样的情况? 非常感谢。
我一直在解决这个问题两年,它不断回来。 我们的Mac用户通过运行Windows Server 2008 Standard的Active Directory服务器进行身份validation。 其中一位Mac用户特别遇到了一个反复出现的问题,她无法login,导致她的AD账号在达到最大login次数前被locking。 这个问题两周前又开始了,我重新configuration了她的networking和Active Directory设置。 我以为我有这个问题修复,但上周我在办公室早,并决定安装Mac更新需要重新启动。 当用户在20分钟后尝试login时,她的帐户被locking。 她的安全日志显示此消息,“authorizationhost [96]无法validation用户(tDirStatus:-14090)”。 今天早上又发生了这样的事情,即使我没有对电脑做任何事情,她在电脑启动1.5小时后尝试login。 这也发生在我成功地使用她的ID和密码login之后,只有在我注销后才locking帐户。 我唯一能想到的就是它试图连接到我们的AD PDC上的LDAP,但我从来没有input任何凭据,没有其他人有这个问题。 所有的Mac都有Snow Leopard 10.6.7,它们都具有相同的networking和AD设置,但是这台特定的Mac仍然存在问题。
我的一个Mac启动脚本需要从AD中获取一个属性,这个属性不是我用内置工具dscl查看的,而这个工具几乎局限于用户,组和计算机search。 通常我只是做一个原始的LDAP查询,但我需要这样的情况发生之前有一个用户login提供凭据。 内置dscl显然可以从AD中获取数据,而无需用户进行身份validation,所以我假设在计算机帐户上下文中必须有一种方法。 不幸的是,我的googlefu到目前为止已经完全失败了。
我有Active Directory 2003,我的用户在Windows XP上。 我如何设置一个策略来激活用户的networkingconfiguration? 换句话说,一些用户旅行很多,所以我想让他们允许改变networkingconfiguration。
我们有两个不同的位置,在这两个站点我们有多个域控制器(Win2008)。 在我们的应用程序中,我们使用无服务器绑定来执行我们的LDAP查询http://msdn.microsoft.com/en-us/library/ms677945(v=vs.85).aspx 。 如果我们查看站点B上的LDAP:// RootDse的de DnsHostName,我们总是得到站点A的默认域控制器。因此,所有的LDAP查询都要慢得多。 有没有办法改变每个站点的默认域控制器?
我正在设置MIT Kerberos5和Active Directory之间的Kerberos信任。 然而,在我2003年的旧Kerberos书中,我们注意到“有几个应用程序,尤其是Microsoft Exchange(2000及以下),仍然使用旧的NTLM风格的身份validation”。 幸运的是,我们不使用MS Exchange,但担心我们可能会错过Kerberos不支持的重要用例。 我知道我们行业的其他组织已经做了类似的设置,我知道他们已经find了解决办法,但我还没有find一个给他们的问题的应用程序的好名单。 ServerFault社区可以帮我吗? 即使传闻证据表示赞赏。 编辑1 : 到Active Directory的API需要密码更改以纯文本而不是散列传递 。 我们希望通过站立一个用于用户身份validation的MIT领域来从我们的身份validation基础架构中移除此要求。 有一些用例可能会使帮助台的工作变得更简单,但如果IT人员打破任何应用程序,就很难让IT中的其他人同意进行更改。
我有一个客户端试图将他最近更新的ZFS / Solaris框join到我的Windows AD 2003/2008域中。 这是他正在使用的命令和他正在得到的错误; Console: root@xxx:/etc/inet# smbadm join -u USER DOMAIN After joining DOMAIN the smb service will be restarted automatically.Would you like to continue? [no]: yes Enter domain password: Joining DOMAIN … this may take a minute … failed to join DOMAIN: UNSUCCESSFUL Please refer to the system log for more information. […]
我是企业内部软件开发小组的一员。 我们被要求build立一个Active Directorypipe理Web应用程序。 主要原因之一是需要为用户执行的操作生成审计日志,如创build/删除对象,更新属性,添加/删除成员等。 我最初的立场是,所有这些function已经可以在许多工具中使用,例如活动目录用户和组pipe理单元,为什么不只是报告域控制器日志并且每天都会调用它。 我的理解是,域控制将所有内容logging到事件日志中。 由于条目数量的限制,我们的日志拥有2天左右的保留时间窗口,而且由于logging的操作types繁多,所以我们需要的具体事件就像在大海捞针一样。 我们可以在域控制器上使用configuration或报告function,使审计日志更加有用,而不是仅仅构build一个应用程序,以便我们可以包含自己的审计日志logging。
我们在我们的域名上有一个帐户封锁政策,纯粹是为了制止蛮力攻击。 在10分钟内发生50次错误的login尝试后,它locking了一个帐户10分钟。 就在最近我注意到我的域帐户被定期locking,并且在Microsoft帐户locking工具的帮助下,我设法追踪到从我的桌面PC创buildVPN连接到客户networking。 我在两个域中使用的帐户名称完全相同。 我们的AD是Server 2008 R2,客户的AD是2003 R2。 远程端点是由2003 R2服务器托pipe的PPTP隧道。 我们的networking是路由,而客户networking是一个平面/ 24networking。 我禁用了除IPv4以外的所有协议(因为我只在连接后使用RDP),并禁用了“在远程networking上使用默认网关”。 在其中一个系统上重命名我的帐户,还有另一种方法来解决这个问题吗? 请注意,这从来没有成为一个问题,直到最近,当我的台式电脑升级到Windows 7。