试图为Active Directory域创build站点pipe理员用户帐户。 使用Active Directory委托授权向导。 一个用户帐户已经授予了一个OU的权利。 但是,在尝试使用权限时,某些选项会变灰。 当前设置允许网站pipe理员编辑由网站pipe理员创build的帐户,值不会变灰。 当站点pipe理员尝试编辑由域或企业pipe理员创build的用户帐户时,某些区域变灰。 具有pipe理员权限的用户帐户,但仅限于OU,并且是子级用户。 是理想的。 在probmatic OU中有〜50个用户对象8,那些对象inheritancepwdLastSet值。 右侧的图像显示了一个inheritance特权的对象。 左侧的图像显示了一个用户对象,没有。 他们在同一个OU。 在大多数对象的安全选项卡中,doe snot拥有我的帮助台组,而右边的图像的“安全”选项卡具有带有权限的HelpdeskGroup。 由于某些原因,权限正在被一些但不是全部的对象激活。 更新 我尝试了与另一个不同森林中的OU,结果相同步骤1在林中创build一个新的用户帐户步骤2右边OU委派控制步骤3select我的新用户选中所有框使用我的新DelegatedAdmin帐户导航到UO。 OU中有4个用户。 用户1和2我无法编辑。 用户3和4我可以按预期进行编辑。 更新 我与testing用户和testingpipe理员/帮助台用户进行了testing。 在这些testingOU的一切正常,因为它应该。 我担心现在我的全局编录或模式有问题。
在Active Directory域中,如果我在域成员计算机上configurationWindows服务以启动AD用户帐户(也称为“ye olde服务帐户”),然后该服务仍在运行,但是我不重新启动服务或重新启动机器一年…服务帐户的用户对象的LastLogonTimestamp是否继续更新? 编辑:如果你说“这取决于服务”,那么以MS SQL Server为例。 我设置MSSQL引擎作为contoso \ sql-service运行。 然后,我独自一年。
我试图设置一个使用kickstart的主机块,并且有两个需要input密码的命令。 一个是kinit,对于那个,只需要生成一个keytab文件并使用-t传递它,而另一个是在执行authconfig命令时间接调用的networking连接。 有没有办法通过凭证文件或使用密码哈希来交付密码? 很明显,我不想把它作为纯文本传递。 @ewwhite感谢您的链接,我会看看。 我不确定任何事情,而且我绝对不反对使用SSSD,如果它能让我完成同样的事情,并且它允许无人值守configuration。 我使用桑巴/ Winbind有更多的关于我的舒适水平。 你能build议我怎么去做同样的事情使用SSSD记住,我不想手动input密码? 相关kickstart内容: cat << EOF > /etc/samba/smb.conf [global] encrypt passwords = yes # logs split per machine log file = /var/log/samba/log.%m # max 50KB per log file, then rotate max log size = 50 passdb backend = tdbsam EOF chkconfig smb on chkconfig nmb on service smb […]
我准备从CentOS 6最终升级到CentOS 7.现在,在版本6中,我们只是使用LDAP映射到AD进行身份validation。 然后使用Unix的Active Directory扩展中的UID和GID。 在我对CentOS 7的实验中,我查阅了文档(我认为它来自Red Hat),它解释了如何join到域中。 这个过程大多是直截了当的,主要是很好的。 但是,它不仅仅使用AD Unix属性中的UID和GID。 它将这些ID映射到完全不同的ID。 在AD中,用户在10000范围内。 CentOS7给每个用户在625000000范围内的UID。 到目前为止,在我的小规模testing(3盒)中,UID似乎是一致的,这很好。 但是,当我开始在生产中淘汰时,这将是一个逐步的升级。 我不会同时升级每个盒子。 我担心用户在不同的盒子上有不同的UID。 有没有办法让CentOS 7只使用AD Unix属性中的UID和GID? 这是我的smb.conf: [global] workgroup = COMPANY client signing = yes client use spnego = yes kerberos method = secrets and keytab log file = /var/log/samba/%m.log password server = ad_domaincontroller.company.net realm = COMPANY.NET security = ads […]
我如何将Windows Active Directory的完整备份整合到单个文件中,并且是否可以将此AD备份还原到另一台服务器? 由于连接问题,我现在无法使用活动目录复制。
我开始厌倦了在我越来越多的Solaris服务器上维护单个系统文件(现在是2,现在是10,并且日益强大)。 我将Sun Java Directory Server视为非NIS / NIS +解决scheme。 我们在这里经营一个主要的Windows商店,所以我也玩弄以下两件事之一: 使用Kerberos身份validation直接从Solaris客户端到AD(使用域控制器上的相应实用程序),或 使用Directory Server并使用其身份同步产品同步到Windows域 在这一点上,我更倾向于#2,因为如果我(或用户社区)希望在服务器之间共享凭据,那么我只需要使用AD。 任何洞察力或恐怖故事都表示赞赏。
ADFS v2服务器可以独立安装,还是与AD服务器紧密耦合?
我拥有的: 在远程NFS服务器上运行Ubuntu Jaunty挂载/ home的工作站。 用户帐户仍然在每个单独的工作站上本地创build。 运行Windows XP / Vista的工作站 NFS服务器(如上所述) Windows 2008服务器 所有机器共享一个专用networking(LAN)。 我需要做的是: 为办公室pipe理员创build用户帐户的单一直观(GUI驱动)位置。 这应该让任何人login到他们的(Linux或Windows)工作站,然后启动远程桌面,并使用相同的login到Windows 2008服务器,从networking上的任何机器。 我已经阅读了很多有关samba,LDAP和AD等的文章,现在我比之前开始研究这个问题更困惑了。 理想情况下,Linux 和 Windows用户一旦login到Win2008服务器就应该能够访问本地文件。 我是一个程序员,而不是一个互操作性的专家,我完全失去了从哪里开始努力完成这个任务,再加上我已经把东西用完了。 你会怎么做? 这甚至有可能吗? 编辑 MacOS不是一个考虑因素。 处理个人笔记本电脑最终会在插入IP时为其分配IP。我只关心存在于完全不同子网上的Linux / Windows工作站。
我试图通过LDAP查询在Active Directory中查找用户。 基本上我正在以这种方式search用户: Search DN: dc=mydomain, dc=com Filter: (sAMAccountName=USER) where USER is replaced with the provided username. 现在,如果用户只是没有域的用户名(例如“乔”),这工作正常。 不过,我收到他们的forms(域\用户名,例如“myDomain \ Joe”),显然search失败。 我看到两种方式: 在searchfilter中使用正则expression式来丢弃该域 使用完全不同的searchfilter 我不是LDAP专家,我甚至不知道是否可以在searchfilter中使用正则expression式。 有谁知道这是可能的,以及如何? PS我不能预处理用户名剥离域。 这不能改变,因为它是大系统的一部分。
我正在寻找一种方法来loggingActive Directory域控制器的ldap访问。 我希望能够将用户名和源IP地址访问logging到389和636(encryption)。 一个简单的数据包捕获将获得我的源IP,但获取用户名将不可能在ldaps上,所以我希望Windows中有一些内置的审计/debugging/日志loggingfunction,将给我这个信息。