当我们的一个用户试图loginOWA而他们的账户被locking时,他们会收到一条消息,指出他们的用户名或密码不正确。 是否有可能configurationOWA,以便告诉他们他们的账户是否被locking?
我对Kerberos如何在Active Directory环境中工作有基本的了解,以及它用来validation用户和工作站到networking上的方法,但是我的问题是,因为Kerberos依赖于发布安全令牌,最终用户然后使用它来访问networking资源,系统(便携式计算机)不在域上能够仅使用活动目录用户的用户名和密码访问相同的networking资源? 我想如果仅仅使用用户证书,Kerberos会生成一个安全令牌并将其发给系统,但是似乎应该有更多的安全性来防止非域系统访问networking资源。 如果有人能够启发我,我会感激!
我们已经通过SMTP和OWA发送恶意电子邮件的Exchange帐户被泄露的问题。 似乎很多这些帐户都是通过钓鱼攻击企图入侵的。 目前我们正在部署一些东西来加强对这些人的保护。 我们现在想要探索更主动的方式来检测被盗用的帐户。 一些没有被抛出的想法出现了: 监视传出邮件队列的可疑活动 检查IIS日志中的外部IP地址的login 限速login(自动locking帐户?) 限速电子邮件(自动locking帐户?) 如果有人执行了这样的事情,你使用的任何提示或产品? 您还试图主动检测受损的Exchange(或AD)帐户?
这个问题以前在StackOverflow,因为我认为这是一个编程问题。 看来这是更正确地设置Active Directory的问题,所以我把它移到了这里。 好吧,我已经有一段时间了,但还没有find我的解决scheme。 我经常使用我所在的服务器连接到OpenLDAP,并且SSL和LDAP都可以正常工作。 但是,现在我需要切换到Active Directory,并遇到麻烦。 为了build立系统,我做了以下工作:1)从Server 2012导出我的证书: http : //pic.dhe.ibm.com/infocenter/rdirserv/v5r1m0/index.jsp?topic=%2Fcom.ibm.rational .rds.administering.doc%2Ftopics%2Ft_Exporting_certificate_Active_Directory_server.html 2)将我的证书从DER转换为PEM: http : //www.novell.com/coolsolutions/tip/5838.html 3)确保TLS_REQCERT被设置为“从不” 4)validation我的ldap.conf文件是指向我的证书的正确位置。 繁荣! 我能够通过ldap_connect()连接,并能够与我的用户绑定。 但是,当我去修改密码的时候,我收到了“服务器不愿意执行”这个有用的错误信息。 有人build议这是SSL的问题。 所以,我用命令做了一些testing: *ldapsearch -H "ldaps://my.domain.tld" -b "" -s base -Omaxssf=0 -d7* 我收到的结果是: ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP my.domain.tld:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying ip.add.re.ss:636 ldap_pvt_connect: fd: 3 tm: -1 […]
我们有一个现有的SBS2011服务器,并希望迁移到新的2012 R2服务器。 理想情况下,我们希望在一个新的领域做到这一点 – 1,我们想重新组织OU去除“SBS”命名的东西(即所有的用户不在用户,他们在SBSUsers等)。 ..)和2.我们想要去一个更符合最佳实践(subdomain.ourdomain.com而不是name.local)的域名。 我正在试图找出执行此迁移的最佳方法。 我读过的大部分内容都是通过将新的DC添加到现有的域中来进行迁移,并将其推广,让所有内容同步,然后降级旧版本。 但是,这并不能解决我们对命名或重组的担忧。 我也想过也许是跨越森林的东西,但从我可以告诉你需要ADMT(2012年不支持),或者可能是一个付费工具(不是一个可能的select,因为我们是一个非营利和有一个最低的预算为了这)。 最后,我可以导出用户并导入它们,但是这似乎会涉及用户,计算机,组等的不同步骤,而且我担心它会如何分离。 另外,据我所知,没有上述工具之一(甚至可能还没有!),我仍然不能做到这一点,没有让所有的用户重置他们的密码。 在我们将它迁移到Office 365的时候,Exchange并不是一个variables(我不认为!),为了简单起见,现在不添加SSO,直到其他所有内容都被sorting为止。 有没有一个选项,我错过了,这将使我们能够符合我们所有的标准 – 更改域名的能力,并保持标准的OU布局,而不是SBS,不购买昂贵的第三方工具,并没有影响用户帐户/密码?
我们的networking上有大约15台电脑。 我可以改变除了一台之外的所有电脑。 我不断收到消息“请求的操作需要提升”。 当我尝试以pipe理员身份运行程序时,它会要求input我的用户名和密码。 在我进入后,我得到相同的信息:“请求的操作需要提升” 这真的很奇怪,因为我是一个域pipe理员。 我进入了活动目录,并没有注意到这台电脑与其他电脑有什么不同。 它有相同的安全选项检查,并在同一组中。 我在这里工作了几年,但是我上个月刚刚接手了这个职位。 我正在更换的人也不知道。 他告诉我总是这样。 所以,基本上,他永远不能添加或删除软件。 我需要删除一些垃圾软件,并为用户安装一些有用的程序。 电脑运行的Windows 8就像其他人一样。 我错过了什么? 这台个人电脑怎么不认可我是pipe理员? 我能做些什么呢?
我们的一些用户对他们的Windows电脑做了一些基本的pipe理。 他们的帐户是普通用户,他们有一个本地pipe理员执行任何他们喜欢的:安装一些crapware,破坏打印机设置,使病毒采取扎实的基础等(我听到他们中的一些负责任地行事,但我认为这是一个本地都市传奇)。 情况1 工作组中的Windows计算机 只有一个本地pipe理员,名为“local_admin” 当普通用户需要inputpipe理员凭证时,popup窗口填充“local_admin”,用户只需input密码即可。 ➞完美 案例2 工作组中的Windows计算机 一个名为“local_admin 1”的本地pipe理员 一个名为“local_admin 2”的本地pipe理员 当普通用户需要inputpipe理员凭证时,popup窗口是空的,用户必须input“local_admin x”和密码。 ➞我们如何预先填写“local_admin 1”? 案例3 (我们拥有的一个) 名为“company_domain”的域中的Windows计算机 电脑的名字是“local_name” 只有一个本地pipe理员,名为“local_admin”(但我认为如果他们是几个是完全一样的) 当普通用户需要inputpipe理员凭证时,popup窗口是空的,但是该域预填充“company_domain”。 因此,用户必须input用户“local_name \ local_admin”和密码,这是不方便的,因为他们大部分时间都必须记住/记下密码,并在邮件上input密码。 ➞如何预先填写本地计算机的名称来代替域名,或者预先填写完整的本地pipe理员名称“local_name \ local_admin”? 我们目前为每个用户创build一个Active Directory admin_name,然后将他们的计算机configuration为将该admin_name放入本地pipe理员组(我们可以从Active Directory中select)。 这种方法很容易出错,然后导致有问题的pipe理员权限泄漏。
我们发现Active Directory LDAP查询存在一个奇怪的问题。 情况是:在给定的OU中有一个安全组。 这个安全组需要转移到一个完全不同的 OU。 我们有一个应用程序使用LDAP对AD进行身份validation,并使用Active Directory LDAP_MATCHING_RULE_IN_CHAIN进行查询,以支持embedded的组: (memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com) 一个示例查询将是: ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Departments,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com)' dn 它将按照预期返回属于所请求的OU的完整用户列表。 但是,如果我们将该组从“ Departments\System Administrators移出并进入“ Security Groups\System Administration (并适当更新查询): (memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System Administration,OU=Security Groups,DC=ds,DC=example,DC=com) 例如: ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Security Groups,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System […]
合同员工将网域服务器添加到我们的networking中。 当它被捕获时,他已经重新格式化了服务器,但并没有将其作为域服务器删除。 我们如何正确地从Active Directory站点和服务中删除服务器?
如何configuration非pipe理员用户以允许他们在Windows 7上安装Java和Adobe Acrobat Reader(或任何其他可能需要此类权限的应用程序)的更新,而无需inputpipe理员密码。安装Microsoft产品的更新时不会出现问题。 这可以是Active Directory(Windows 2003)解决scheme,也可以是基于计算机的(可通过GPO或login脚本使用)。 编辑:只是添加一些信息。 我知道Secunia提供与WSUS集成的Secunia CSI ,并允许通过它部署其他软件更新。 但是这是付费软件,这是我想避免的。 另外给pipe理员/权力用户的权利是不是我想从那以后它打开了额外的安全漏洞。