背景 我正在创build一项服务,允许支持人员在几小时内启用他们的firecall帐户(即如果晚上出现问题,我们无法获得拥有pipe理员权限的人,支持团队的其他成员可以启用他们的个人AD上的firecall账户,之前已经设置了pipe理员权限)。 该服务还logging了更改的原因,提醒关键人员以及其他一些位,以确保对访问权限的更改进行审计/以便我们可以确保以正确方式使用这些临时pipe理权限。 为此,我需要运行我的服务的服务帐户有权启用活动目录上的用户。 理想情况下,我想locking这个服务帐户只能启用/禁用特定AD安全组中的用户。 题 您如何授予对帐户的访问权限以启用/禁用AD中特定安全组成员的用户? 备份问题 如果安全小组无法做到这一点,有没有合适的select? 即可以通过OU来完成,还是最好编写一个脚本来遍历安全组的所有成员,并更新对象(firecall帐户)本身的权限? 提前致谢。 其他标签 (我还没有权限在这里创build新的标签,所以下面列出,以帮助进行关键字search,直到它可以被标记和这个位被编辑/删除)DSACLS,DSACLS.EXE,FIRECALL,ACCOUNT,SECURITY-GROUP
我试图列举我的林中每个用户所属的名称,samaccountname和域,并将其写入文本文件。 我现在的脚本是: Import-Module ActiveDirectory $domains = "root.org", "child1.root.org", "child2.root.org" ForEach ($d in $domains){ Get-ADUser -Filter * -ResultSetSize $null -Server $d -Properties name, samaccountname | Select-Object name, samaccountname | out-file c:\users\mdmarra\desktop\users.txt -append } 我需要的是每行结束处的$ d的值,以便输出看起来像 name samaccountname domain —- ————– —— Marra,Mark mdmarra root.org
我们有一个使用我们的Active Directory设置的LDAP服务器。 当用户login到以root用户身份安装的LDAP客户机的Linux机器上时,他们可以在不需要该用户密码的情况下直接访问任何Active Directory帐户。 这是一个很大的安全风险,有谁知道这是为什么或如何防止这种情况? 不幸的是,防止根访问不是一种select,因为某些用户在某些情况下需要它。
我从来没有一个客户问我这个问题,但是如果他们有活动目录和一个域名的话,他们会一直坚持,如果他们在家里或者离开办公室的时候,移动(公路士兵)用户将无法login他们的笔记本电脑。 我告诉他们,会使用“caching”的信誉来做到这一点。 我是对还是错? 我已经被告知,并发现一些论坛说同样的事情。 究竟是怎么回事,笔记本电脑能做到这一点呢?
我的SQL服务器灾难性地失败了。 是否可以完全删除Active Directory中的条目,以便可以使用相同的名称和IP地址添加另一台服务器? 如果是这样,请给我提供资料来源? 我无法在Google上find我要找的内容。 服务器是: 不是域控制器 AD是在2008年的一台机器上,我相信? 感谢您的时间。 编辑:有关服务器的其他信息: 这是一个SQL服务器,而不是Exchange服务器
我们目前拥有以下环境(在2008 R2上的服务器2003和terminal服务器上托pipe),我们需要将其升级到2012版本。 我们将从头开始创造一个新的环境。 域控制器 DC01 DC02 文件服务器 File01 Exchange服务器 Exchange01 terminal服务器 TS_ClientA TS_ClientB TS_ClientC 每个客户在我们的AD中都有他们自己的OU,并且使用拒绝(ADSIedit),他们在Exchange中不能看到对方,也不能作为普通对象(如文件夹权限)。 我们不想再次使用这些技巧,而是有一个深思熟虑的活动目录devise。 现在,我已经使用了这个,但似乎这是不可能的(至less,本地)。 我们仍然需要使用adsiedit和做技巧来获得多租户环境。 关于Exchange,我们考虑过为客户端使用Office 365。 我想知道我是否误解了某些内容,或者是否有什么遗漏来创build多租户2012 R2环境。
根据从networking小组收到的信息。 我已经确定这个问题很可能在于广域网上的应用服务器。 replace证书后,我运行PowerShell命令Set-AdfsSslCertificate -Thumbprint XXXX(该命令设置新证书的指纹) 运行上述命令后,运行命令Get-AdfsSslCertificate此命令确认设置了正确的证书指纹。 唯一可能需要完成的其他任务是设置服务帐户的权限。 从我的研究来看,这看起来不错。 为什么下面引用0.0.0.0:443的错误被调用? 服务器和版本Windows Server 2012 R2 ADFS 3.0 问题:更换证书并执行所需步骤后,QA系统无法正常工作。 日志中正在生成错误。 应用程序服务器日志:对端点0.0.0.0:443使用SSLconfiguration时发生错误。 错误状态代码包含在返回的数据中。 错误代码15021 Web应用程序代理日志:Web应用程序代理服务无法启动 Web应用程序代理服务:服务因以下错误而终止:与服务器的连接无法build立。 错误代码7023
在rhel7服务器上,我尝试将服务器join到域中,但是出现以下故障: net ads join -S domain.example.org -U name Enter name's password: Failed to join domain: failed to set machine kerberos encryption types: Insufficient access 与pam,krb5,samba,dns以及远程活动目录服务器中的对象相关的设置configuration正确,这意味着系统将使用rhel6和ubuntu 14.04成功绑定。 我无法find关于我得到的具体错误的很多信息。 我试图在krb5.conf中设置allow_weak_crypto = true来查看它是否与此有关,但是没有任何作用。 我遵循https://technet.microsoft.com/en-us/library/bb463167.aspx中的一些故障排除技巧,但没有运气,我尝试的东西似乎正常工作。 具体来说,我可以做到以下几点,这意味着我可以获得用户名的初始凭证: kinit name Password for [email protected]: 我也能够使用ktutil生成一个keytab文件,当我将它移动到/etc/krb5.keytab klist -e时,它显示正确的内容。 但是, networking广告join失败。 编辑:检查rhel7桑巴源包后,我在README.dc中find以下内容 : 一旦支持MIT Kerberos KDC,我们将立即提供Samba AD DCfunction。 我怀疑可能是这个问题,我不得不等待,直到准备就绪。 编辑2:使用领域和sssd而是似乎有相同的问题。 做完之后: realm -v join […]
服务原则名称是否针对Windows上的Active Directory? 或者它们也存在于Linux OpenLDAP / Kerberos KDC服务器中吗?
如何使用Powershell重命名AD域中的计算机?