我们的客户有一个位于不安全位置的DC。 pipe理层不允许使用RODC和单独的域/森林。 所有服务器将位于VMWare ESX服务器上。 我对VMWare,Windows,ADconfiguration和设置感兴趣,这些configuration和设置将保护Windows 2008R2或更新的DC免受危害。 一个可能帮助的示例configuration是使用 Bitlockerencryption 任何基于VMWare TPM的解决scheme 从AD中删除NTLM哈希(它更容易破解)。 等等。
在你嘲笑我之前说:“如果你想要Active Directory,使用Windows”或告诉我使用Google,请听我说。 我的公司非常依赖广告。 不,我们现在已经结婚了,作为财富10强公司,这并没有改变。 但是,在我们的环境中(主要是RHEL和SLES),我们有很多* nix系统,而且我还没有find一个与Active Directory集成作为标识源的好机制。 至less,我需要提供以下内容: 通过AD证书进行身份validation(让用户进入) 授权一旦通过validation(授予用户对系统区域的访问权限) 审计(能够将用户操作绑定回他们的AD证书) 支持AD组(不仅仅是vanilla LDAP,而且需要在系统上添加/删除单个用户) 不是基于AD信任的重复/镜像身份来源(我不需要两个庞大的系统) 我find的顶级解决scheme如下: Centrify公司 PowerBroker公开(PBIS公开,以前同样公开) SSSD + SELinux的 Centrify。 。 。 只是丑陋的 我从来没有真正的粉丝。 另外,为了我公司的需要,我们不能使用Centrify-Express,所以它不是免费的,没有无限的许可证。 然而,这是我们find的最好的解决scheme,而且我正在拼命寻找其他的东西。 PBIS公开是我所倾向的。 这是VMware在vShield后端使用的,它工作得很好。 它只需要一些命令来build立,它支持AD组,并且没有二级身份pipe理系统 – 它直接与AD通信。 我不走这条路的唯一原因是我喜欢原生解决scheme,如果有更好的方法来做到这一点,已经包含在现代发行版中,我完全赞成。 SSSD + SELinux听起来不错。 设置起来很糟糕,但它灵活,原生,并且得到大多数现代发行版的支持。 它所缺乏的唯一东西(据我所知)是对AD组的支持。 许多文章都build议利用FreeIPA或类似的东西来增加这个function,但经过进一步阅读,这违反了要求5,基本上创build了一个中间人身份服务。 我对基本上不重复AD或build立对二级身份服务的信任感兴趣不大。 其他我所讨论的kludge选项包括使用Puppet(我们使用)将/ etc / password,shadow,group文件推送到端点,但是这需要开发,这是非常间接的,而且我可以看到一些糟糕的东西。 更好的select是将SSSD + SELinux添加到Puppet的想法。 虽然这将简化灾难,但仍然是一场灾难。 我错过了什么,你在使用什么,以及我没有解决Linux AD集成头痛的“新热点”是什么?
从以下示例开始(在samba维基上引用): $host -t SRV _ldap._tcp.samdom.example.com. _ldap._tcp.samdom.example.com has SRV record 0 100 389 dc1.samdom.example.com. 响应中的整数是什么意思? 389很可能是涉及的TCP端口,但是0? 和100?
我是新来的服务器pipe理游戏。 我即将推出我的第一个关于密码的组策略。 我会做一些简单的事情。 使用MS内置的复杂性要求和6个月左右的最大年龄。 快速的背景。 我是这家公司在IT部门的第一个人。 我正试图让所有的东西都得到解决。 似乎有一半左右的用户(约150个)在活动目录用户属性中检查了“密码永不过期”。 如果我使用组策略密码,GP将取代AD用户属性设置? 如果不。 我只是通过广告,并取消所有帐户,我想被迫改变他们的密码? 提前致谢。 让我知道如果有更多的信息,你需要!
我试图找出当一台机器被添加到一个域时究竟发生了什么。 一旦你input域名:1)机器使用什么协议来确定使用哪个域控制器? 2)如何查询域名? 例如:域设置为dc = company,dc = com,但“Windows”域是COMPA。 一些如何将这些名称映射到对方。 我知道Active Directory和DNS是紧密集成的,但我不太了解细节。 什么是技术细节的最佳信息来源。 我能find的大部分内容都告诉你如何完成工作,但不是在封面下面发生的事情。
因此,我们的一个客户用户在域join时重命名了他们的机器。 我想也许AD有足够的智慧来更新(我对AD是相当新的,实际上是一名学徒!)但是发生的情况如下: AD中旧的计算机名称不再存在。 新电脑已join域名,可以login到域帐户,访问资源等,并在DNS中更新,所以我可以通过它的新PC名称。 但是在Active Directory或SBS控制面板(SBS 2011)中没有任何地方可以看到,因为我需要将Remote Work Webplaceconfiguration为可以通过SBS控制台访问其计算机,但我不能指出它新的改名电脑! 有任何想法吗? 谢谢!
在我的VMware ESXi环境中,有10个虚拟机正在运行。 其中一个VM是域控制器( Windows Server 2008 R2 )。 其他虚拟机在其networking设置中configuration了静态DHCP和DNS IP地址。 我的域控制器的停机时间限制有多长?
我怎样才能找回一个特定的财产? 我知道select-object cmdlet在这方面似乎很低调: PS C:\> Get-ADOrganizationalUnit -SearchBase 'OU=Houston,DC=contoso,DC=net' -Filter 'Name -like "SomeOU"' -Properties * | Select-Object Description,Streetaddress,State,postalcode | format-list 优化的版本将是: PS C:\> Get-ADOrganizationalUnit -SearchBase 'OU=Houston,DC=contoso,DC=net' -Filter 'Name -like "SomeOU"' -Properties Description,Streetaddress,State,postalcode 为什么-property开关不是单独返回input的propENTS?
我的活动目录域的名称是“mywebsite.com”,而不是“mywebsite.local”。 我不得不这样做,作为解决其他问题的办法,改变这将是一个痛苦。 当我公司内部人员访问“mywebsite.com”时,它将redirect到我们的DC,而不是我们的网站。 我怎样才能让它redirect到我们的网站?
我很熟悉在大多数情况下使用NET命令获取本地用户和组的信息。 但是,我遇到了一个问题,使用它来获取长名称域组的信息。 NET USER的输出似乎限制了大约20个字符的组名,并且我还没有find使用NET GROUP获取有关名称长于该名称的任何组的信息的方法。 当然,从我自己的工作站,我可以使用远程服务器pipe理工具实用程序(例如:“ds …”命令或PowerShell中的Active Directory模块)来获取我需要的信息。 但是,我也希望能够从其他可能没有RSAT的系统查询域组详细信息,并且可能无法安装其他工具。 虽然解决NET GROUP命令的问题会很有趣,但我不一定只限于该工具。 但是,我确实需要仅限于Windows 7(或类似的)操作系统的核心安装中提供的工具,以便我可以轻松地将解决scheme移植到不同的计算机上,在这些计算机上添加其他工具可能不是一种select。 如果有办法像WMIC或者没有额外的RSAT模块的PowerShell这样做,我肯定有兴趣听到它。 示例:“MyReallyLongDomainGroupName”是本地Admins组的成员。 那么,谁有pipe理员访问系统? 或“AnotherVerboseDomainGroupName”是在一些文件共享权限 – 谁有权访问该共享?