我有一些pipe理员抱怨某些属性,例如“用户必须在下次login时更改密码”才能生效。 (当他们重新打开属性对话框时,checkbox丢失) 我怀疑这可能与AD工具上不正确的服务包有关。 如何更新电脑上的pipe理工具? 我怎么知道我正在运行的版本?
我是一个迅速成长,即将达到100名员工的公司的“IT人物”。 虽然我的主要工作是为我们的网站和服务进行后端开发, 我也负责为用户设置和维护PC。 目前,我只是在机器上创build本地帐户,进入他们的Outlook设置,并为用户预安装一些应用程序,但pipe理这个失控。 而且我几乎无法跟上扩张的速度,更不用说指责和解雇的背景了。 “简单”解决scheme是build立一个Windows服务器,并开始使用活动目录来pipe理帐户,问题是我们的员工分散在12个地点。 现在,我正在使用logmein来远程pipe理机器。 我想转向某种基于域的login,类似于传统的活动目录设置,我在中心位置创build和configurationWindows用户帐户,然后最终用户只需login到任何带有DOMAIN /用户名的机器。 我一直在玩Windows InTune,这对于pipe理机器和部署策略来说非常棒,但这并不是我所需要的。 我一直在看Azure身份,但这意味着我仍然需要一个本地AD控制器的每个位置。 理想情况下,我希望这些服务在云中存在。 我不知道在每个地方都有一台服务器,我感觉很舒服,因为这些地方都是农村地区,我想避免发送专门的,昂贵的设备由当地的承包商安装。 一个像云主机一样的“活动目录/类似”服务看起来好像是一件容易的事情,而在阅读了诸如InTune,Azure Identity和Office365之类的产品之后,似乎可以完成…有没有人设法成功地部署这样一个系统,或知道某人的案例研究/验尸?
用户成功[email protected] 。 用户然后通过映射到[email protected] altSecurityIdentities: Kerberos:[email protected] 当用户locking屏幕时,locking屏幕为[email protected] ,用户没有(随机)密码。 通过退出到主login屏幕(其中EXAMPLE.COM是默认域/领域)并login,用户可以返回到他们的会话。 有没有办法强制[email protected]作为锁屏用户,否则会导致锁屏立即进入切换用户屏幕。 我主要对Windows 7和8感兴趣,但其他版本的知识也是有用的。
设想一个网站,显示远程registry项的价值,例如远程PC上反病毒定义的版本。 要清楚的是,有3台计算机参与,networking服务器充当中介。 该网站使用Windows身份validation,所以从Windows上的浏览器,您的AD凭据通过和IIS身份validation用户(在ASP.NET中,用户令牌已连接,并可以以编程方式检查)。 我们使用内核模式身份validation在IIS 7.5上运行,是否需要在AD中设置SPN以允许Windows身份validation的Kerberos部分发生? 该网站在AD帐户DOMAIN \ AV1下的应用程序池下运行,该帐户是有权访问局域网上计算机的组的成员。 该站点中的代码不执行模拟,因为它不想假定站点用户的ID(谁没有远程reg权限),所以它只是简单地进行远程registry调用。 Web服务器计算机帐户或 DOMAIN \ AV1帐户是否需要SPN来协商和执行Kerberos身份validation到远程计算机?
背景: 1)前段时间,一位同事做了一个干净的Windows Server 2008 R2安装,从旧的Windows Server 2003升级到域控制器,生活似乎很好。 同时,在服务器上安装了一堆软件。 2)他让我看看,因为看起来很烦恼:Active Directory用户和计算机(dsa.msc)失败,出现此错误: ERROR: Naming information cannot be located because: The specified domain either does not exist or could not be contacted. 3)进一步看: – 没有SYSVOL和NETLOGON – dcdiag通过大多数testing,但标记此错误: … Running enterprise tests on : myserver.local Starting test: LocatorCheck Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355 A Global Catalog Server could […]
我从来没有深入参与pipe理AD2003域控制器。 现在我得到一个坏域名倾倒在我的腿上。 我需要一些build议如何进行。 这是故事: 今天早些时候,我从另一个部门inheritance了一个旧的,pipe理不善的3服务器域。 (这是一家外包服务提供商在一年前肚子痛的时候经营的,从那时起它就一直没有得到提供)。 2台Windows 2003R2 DC和一台运行1个应用程序和SQL2000服务器的2003R2服务器。 在硬件的物理运输过程中,1个DC不能修复。 你可能已经猜到了,根本没有备份。 剩余的两台机器启动,并在两个IP地址被更改为我自己的范围内的新地址。 之后,这两台机器重新启动一次。 DC首先和应用程序服务器只有在DC完全启动后。 我有域pipe理员访问此域。 我可以login到两个幸存的服务器。 两台服务器都需要很长时间(DC 15分钟,应用服务器10分钟)启动到login提示符。 login后需要很长时间才能到达桌面(另外5-10分钟)。 现在这是我的问题:我需要再次运行该应用程序,直到年底。 第一笔业务似乎摆脱了失败的DC。 然后开始在这些服务器上进行清理(在这两个服务器上有大量的剩余部分删除了/或部分禁用的应用程序)。 事情是:我不知道如何去除DC。 我需要先做dcpromo,然后ntdsutil /删除服务器? 只是ntdsutil /删除服务器? IP地址的变化对此有影响吗? (如果需要,我可以暂时放回旧的IP地址。) 顺便说一下,这个域与我们的普通域有一个信任关系。 这是否会影响DC清除? 由于IP地址的变化,这个信任关系需要做些什么吗? 任何帮助将不胜感激。 更新我修复了两台机器上的DNS问题。 DC和应用程序服务器上的主DNS现在指向DC本身。 我更新了DNS中两台机器的DNSlogging。 (我无法为任何一台机器制作正确的反向PTR,不知道将会出现什么问题,新的IP范围不在这里的反向区域,这个DC不允许更新反向指针如果我添加该区域作为副本)。 这似乎已经解决了这两台机器的过度缓慢。 远程桌面loginfunction现在。 仍然有点呆滞,但是很明显,在所有事情都搞砸之前已经是这样了。 我现在正在等待有关应用程序的用户反馈。
我正在通过AD在工作中尝试bitlocker部署。 已经在互联网上search,但最有用的参考似乎是: http://technet.microsoft.com/en-us/library/cc766015(v=ws.10).aspx 服务器2012 R2,完全更新。 testing客户端是Windows 7旗舰版64位,完全更新。 由于某种原因,这是行不通的 – 我怎样才能找出什么是错的? 我创build了一个GPO,将其链接到OU,将win7机器join到域中,并将win7机器移动到OU中。 我希望它(也许是不正确的?)只是开始encryption,并将bitlocker恢复密钥保存到AD的某处(不知道在哪里可以find)。但它什么都不做。 检查BIOS是否启用了TPM。 我尝试了'''gpupdate / force'''并重新启动win7机器…但仍然没有。 计算机/策略/pipe理模板/系统/ TPM服务 (已禁用)打开TPM备份到AD 计算机/策略/pipe理模板/ Windows组件/ Bitlocker驱动器encryption (已启用)在AD(Server 2008和Vista)中存储位锁恢复信息 计算机/策略/pipe理模板/ Windows组件/ Bitlocker驱动器encryption/操作系统驱动器 (已启用)在操作系统驱动器上强制进行驱动器encryption 我注意到的第一件事是它只是说“2008年和Vista”…是否应该有一些额外的设置在其他地方的Win7和8? 天哪,find某种方式来诊断为什么它不工作,而不是盲目地猜测,真的很好。另外,如果有人成功地做了这件事,并logging了这个过程?
我正在尝试configuration在Centos 6.5上运行的SASL,以允许对企业活动目录服务器进行身份validation。 最终目标是validation在这个服务器上运行的一些subversion repos的访问权限,但是在这个阶段,我只是想让saslauthd进行身份validation,然后使用testsaslauthd进行testing。 每次在日志中使用以下命令validation都会失败: saslauthd[20843] :do_auth : auth failure: [user=MYUSER] [service=svn] [realm=MYREALM] [mech=ldap] [reason=Unknown] saslauthd[20843] :do_request : response: NO 这是我的/etc/saslauthd.conf: ldap_auth_method: bind ldap_servers: ldaps://ldap.ad.mycompany.com:3269/ ldap_bind_dn: MYBINDDN ldap_password: xxxxxxxxxx ldap_search_base: DC=mycompany,DC=xx ldap_filter: (&(cn=%u)(objectClass=person)) ldap_referrals: yes log_level: 10 请注意,我知道ldap服务器的URI,绑定的DN,密码,search的基础和filter是正确的,因为我有一个Perl脚本,使用这些来执行Web站点的身份validation,它工作正常。 perl脚本使用Net :: LDAP,绑定到AD,使用search基础search用户并筛选,然后尝试使用用户的DN和密码进行绑定。 据我所知,这正是SASL应该按照我configuration的方式进行的尝试。 我的第一个观察是,尽pipe设置了log_level为10,但我只有一行告诉我它失败,原因不明。 我使用-d(debugging)选项从shell启动saslauthd。 还有什么可以获得更多的debugging输出? 有什么办法可以loggingLDAP交互吗? 最后,任何人都可以看到我的configuration有什么问题吗? 也许一些AD怪癖需要SASLconfiguration中的特殊设置?
目前我正在进行主动目录林迁移,除此之外,已经决定开始从Windows XP升级到Windows 7的我们的客户端PC。 这让我在打印机方面遇到了一些问题,因为我们的客户在旧的森林和域名上,我们的打印服务器在新的。 我已经设置了许可权,以便每个人都可以访问,映射和打印到他们需要的打印机,但是他们习惯于在ADDS打印机目录中有打印机,当然,从打印的目录中列出打印机新域/林中的服务器不会在旧域/林中列出它们。 所以,考虑到我们的用户是……抵抗……改变的,有没有人知道一个方法来做ADDS打印机目录的跨森林search,以便用户可以看到他们期望看到什么,以及我们想在ADDS打印机目录search对话框中以打印机的方式显示它们? (下图) 到目前为止,我所能find的所有这些都是一个相当无用的Technet文章 ,它build议使用“ Microsoft Identity Integration Server 2003 ”服务器来同步森林之间的数据,我有点怀疑它会与运行Server 2012 R2域控制的Server 2008 R2 FL林/域一起工作(除了更喜欢不涉及整个新系统的pipe理和许可的解决scheme以外,还有一个该死的打印机列表)。 用户可以通过指定打印机名称将计算机configuration为使用特定的打印机,这不需要森林pipe理员的额外configuration。 但是,如果要使一个林中的用户能够浏览其他林中的打印机,请考虑使用Microsoft Identity Integration Server 2003在森林之间同步打印机数据,如本文前面的“跨森林检索应用程序数据”中所述。
使用这个官方文档作为指导,我期望SamAccountName属性从我的本地AD到Office 365同步。我认为它用来做到这一点,但现在看起来它没有太多的同步属性因为它确实创build了一个全新的,未链接的值,并将其存储在Office 365中。这对我造成了一些小问题(脚本被破坏,权限pipe理令人讨厌等),并可能成为ADFS身份validation更主要问题的一部分。 内部部署 PS C:\Windows\system32> Get-ADUser jdoe -Properties SamAccountName | fl SamAccountName SamAccountName : jdoe Office 365同步对象 PS C:\Windows\system32> Get-Mailbox jdoe | fl SamAccountName SamAccountName : $1A7H20-K1LCOJFFBHGS 我知道如何解决我的脚本中的这个问题 – 存在的ImmutableId属性可以被映射回本地GUID。 至于我与ADFS的问题,我不太确定如何继续,如果这是我的问题。 在这一点上,我真的只是想validation一下,我不是疯了,过去的某个时候这个同步,而Office 365在最近才打破它。 我也认为应该更新MS文档,以便从链接页面上的同步属性列表中排除SamAccountName 。