是否有可能强制只有一个帐户(在共享帐户的情况下)随时logging到Active Directory环境? 我们要做的是阻止在一个用户与另一个用户共享其login凭证的情况下使用“账户共享”,以便他可以拥有他不应该拥有的networking权限(即共享文件夹访问,互联网访问configuration文件等) 。 理想情况下,我们想强制一个AD规则,如果user_1已经login,然后来到另一个用户,并尝试login到相同的凭据,然后他被拒绝访问(和创build和审计logging的用户“碰撞”) 。 任何指针/链接/帮助将不胜感激。
我有一个win2k(混合模式域)与4 DCS。 其中之一也作为交换2000服务器使用来自MSA 2000arrays的2个逻辑卷。 AD等存储在本地驱动器上。 上周我们遇到了一个问题,当RAIDarrays回落到一个冗余控制器时,这暂时意味着这两个逻辑驱动器对于服务器来说不可见大约5分钟和几次重启。 日志logging这些 事件types:警告事件来源:磁盘事件类别:无事件ID:51date:06/11/2009时间:11:46:23用户:不适用计算机:server1说明:设备\ Device \ Harddisk1 \ DR1在分页操作过程中。 出现这些问题后,服务器“kerberos密钥分发”服务拒绝以“error.31附加到系统的设备不能正常工作”开始。 所有其他自动启动服务(包括networkinglogin)正在运行,并没有DNS问题等。 所有的设备也在运行,但是两个逻辑MSA磁盘现在在Windows磁盘pipe理MMC中被编号为2和4,我怀疑它们以前可能被识别为磁盘1和2,并且Windows仍然认为这是一个持续的故障? ? 复制没有受到影响,但很显然,安全日志中有许多与用户和工作站有关的Kerberos问题的审计失败。 尝试手动启动kerberos服务会在系统日志中生成以下内容。 事件types:错误事件源:服务控制pipe理器事件类别:无事件ID:7023date:09/11/2009时间:09:46:55用户:不适用计算机:Server1说明:Kerberos密钥分发中心服务终止以下错误:连接到系统的设备无法正常工作。 DCDIAG通过除“广告”和“服务”之外的所有testing,我认为这些testing直接涉及到Kerberos的失败。 任何意见,将不胜感激。
我有一个跨越几个网站的域名。 没有什么奇特的,只有一个领域。 这些站点都通过VPN连接,每个站点都有一个Windows 2003 R2域控制器。 由于各种各样的原因,其中一个远程站点正在离开我的小领域“家庭”。 我将很快断开VPN,并将其变成自治的。 我正在思考最好的方法来保持该网站在VPN不见了以后独立运行。 (我应该提到,在VPN被丢弃之后,我将物理访问新断开的站点。) 我看到几个选项。 1)什么也不做。 那么,我会改变他们的域名pipe理员密码后VPN下降,但只是让事情孤单。 那现在“孤立的”域控制器会遇到问题吗? 它当然不会有所有FSMO的angular色…但是可以修复吗? 2)降级当前DC。 重新将它预示到一个新的领域。 从旧域中删除他们的客户机,并重新添加到新的域。 有一些SQl服务器框作为旧域的服务帐户运行,我不得不修复,否则…? 3)打开其他更合乎逻辑的想法。 你将如何处理这个? 我的select是否可行? 我认为选项2是最有意义的,但也是最大的努力。 我受限于多less时间,我必须得到这些configuration,所以这个选项确实让我有点紧张。 在卷起袖子之前,我会转向专家。 不禁怀疑还有更好的办法。
我正在考虑在ZFS文件服务器上存储Active Directoryconfiguration文件。 我碰到了这些使用ZFS和本地Solaris CIFS协议与Active Directory集成的说明。 这似乎很容易实施,但过于复杂的pipe理。 这样做有没有好处,而不是使用iSCSI共享? 有最佳做法吗?
我怎样才能从一个安全组导出安全成员的名单到Excel工作表。 我在网上find了一些代码,但是我需要一个UI或者一个可以做到这一点的软件。 我打开Powershell寿… 问候, D.
我需要关于为我的基础架构安装AD DS或AD LDS的build议。 我有一个网站,截至目前没有任何login设施的访问者,现在我们正在开发一个新的应用程序,使访问者可以在网站上创build帐户。 你可以想到的最好的例子是任何电信服务提供商,他们有他们的网站,现在正在为它的客户创build一个login设施,所以用户可以创build一个帐户,并可以订阅ebill类的设施。 希望现在情况清楚。 对于这个特定的应用程序,我打算有一个Web服务器,一个应用程序服务器,一个数据库服务器,一个SMTP服务器和一个AD服务器(用于authentication用户并保存configuration文件)。 我的问题在这里开始在广告前面,在这里我需要AD DS或AD LDS在这里,我需要从AD 提供用户authentication 提供基于angular色的访问。 这是我的查询。
我有一组用户作为testing用户。 我想这样做,以便没有人可以login到这些帐户的域名,但他们需要有活跃的交换邮箱,因为这是我正在testing。 我把所有的testing用户放在同一个组里。 我可以设置一个安全策略来做到这一点吗?
我正尝试使用单个服务器configuration在Windows Server 2008 R2上设置Team Foundation Server 2010。 在configuration向导的“准备就绪检查”阶段,我遇到了一个问题,即阻止与域控制器(即Windows Server 2000)进行通信。 [系统检查] TF255435:此计算机是Active Directory域的成员,但域控制器不可访问。 networking问题可能会阻止访问域。 validationnetworking是否正常运行,然后重试准备就绪检查。 其他选项包括configurationTeam Foundation Server在自定义向导中指定本地帐户或将计算机join工作组。 http://go.microsoft.com/fwlink/?LinkID=164053&clcid=0x409 在阅读日志文件后,我遇到的主要问题似乎是: 此工作站与主域之间的信任关系失败。 (inputSystemException) 我已经在其他几个地方看到这个问题的解决scheme是: 离开域 重新开始 join工作组 重新开始 重新join域 不幸的是,我已经尝试了这几次,问题依然存在。 有什么我可以尝试在客户机或域控制器,可以帮助解决我的问题?
我有一个2个网卡的域控制器。 出于某种原因,当我从其他计算机ping它,无论是在域名和它是从一个不属于任何一个IP地址的响应。 有谁知道为什么? WAN IP:xxx.xxx.xxx.xxx LAN IP:80.0.0.2响应IP:80.9.9.1。
我读了technet,因为RPC,WMI Services使用超过1024的随机端口。 现在是因为微软端口预留使用1025-5000的问题还是可以使用多于5000端口? 我是防火墙pipe理员,想知道确切的! 这里是我发现的一些链接: http://msdn.microsoft.com/en-us/library/bb219447%28VS.85%29.aspx http://technet.microsoft.com/en-us/library/bb632618.aspx http://social.technet.microsoft.com/Forums/en-US/configmgrgeneral/thread/3107d180-ae84-4895-babd-c2891a878e4d 希望有人可以帮助..谢谢!