在CentOS上,我运行realm list并查看login-formats: %[email protected] 我想更改login-formats: %[email protected] login-formats: %U 我怎么去做这个? 我假设有一个.conf文件,我已经检查了sssd.conf和krb5.conf ,甚至在这些文件上检查了man 。 我想要做的是允许活动目录用户login到使用username@host而不是username@domain@host的Linux框。 目前username@domain@host工作正常,但不是username@host 。 任何帮助是极大的赞赏。
我已经创build了一个小的脚本,以将一个名为pssfulllocation的Active Directory pc属性的值从一台PC传输到另一台PC。 为了达到这个目标,我必须使用types转换+分割。 这是有效的脚本 $oldpc=read-host "Enter old pc name" $newpc=read-host "Enter new pc name" $my=Get-ADComputer -Identity $oldpc -Properties * | select pssfulllocation $itemcast=[string]$my $b = $itemcast.Split("=")[1] $c=$b.Split("}")[0] Set-ADComputer -identity $newpc -Replace @{pSSFullLocation="$c"} 和输出将很好地做预期的工作 ..以这种方式..这是所需的结果 .. 但是,如果我不使用types转换+分割按照下面的脚本 – $oldpc=read-host "Enter old pc name" $newpc=read-host "Enter new pc name" $my=Get-ADComputer -Identity $oldpc -Properties * | select […]
看来在我的活动目录(win2k8r2)中,用户的名字是有限制的。 不是用户名,而是显示名称。 我试图添加两个用户相同(不同的帐户),但它不会让我因为重复的名称。 如果我在两个OU中尝试相同的方法,它确实有效。 有没有办法切换这个限制? 我有两个属于同一个OU的用户碰巧有相同的显示名称。
我需要在两个Active Directory域之间创build双向信任。 但pipe理层担心,在Windowslogin屏幕(其中许多使用Windows XP)的下拉列表中看到另一个域名时,用户会感到困惑,并且由于select了错误的域名,服务台呼叫login失败将飞涨。 此外,这两个域名非常相似,增加了用户的混淆。 有什么办法可以从Windowslogin屏幕的下拉列表中隐藏受信任的域?
我注意到了SLES 11.2和CentOS 6.3上的这些Kerberos keytab错误消息: sshd[31442]: pam_krb5[31442]: error reading keytab 'FILE: / etc/ krb5. keytab' /etc/krb5.keytab在我们的主机上不存在,而且根据我所知的keytab文件,我们不需要它。 根据这个kerberos keytab介绍 : keytab是一个包含Kerberos主体和encryption密钥(这些都是从Kerberos密码派生的)对的文件。 您可以使用此文件login到Kerberos而不提示input密码。 keytab文件最常见的用途是允许脚本在没有人为干预的情况下对Kerberos进行身份validation,或者将密码存储在纯文本文件中。 这听起来像我们不需要的东西,也许没有它的安全性更好。 我怎样才能防止这个错误popup在我们的系统日志? 这是我的krb5.conf如果有用的话: banjer@myhost:~> cat /etc/krb5.conf # This file managed by Puppet # [libdefaults] default_tkt_enctypes = RC4-HMAC DES-CBC-MD5 DES-CBC-CRC default_tgs_enctypes = RC4-HMAC DES-CBC-MD5 DES-CBC-CRC preferred_enctypes = RC4-HMAC DES-CBC-MD5 DES-CBC-CRC default_realm = FOO.EXAMPLE.COM dns_lookup_kdc = […]
我们正在运行在Windows 2008 / Windows 7环境中。 我的用户每天都被locking在Active Directory帐户之外。 这发生在每次重置后的10到18小时之间。 这是上周刚刚开始的。 我可以看到,locking的原因是失败的密码尝试次数。 但是,用户在解锁系统时不会失败。 因此,我认为必须有一个服务,或一些应用程序,坚持他的凭据(可能是旧的?),并试图访问networking,从而引发了停工事件。 有什么工具可以告诉我这些login失败的计算机是从哪里来的? 有什么可以推荐进一步解决这个问题? 这变得非常令人沮丧。 谢谢!
走进一个新的组织,权限是一团糟。 随着时间的推移,许多许多用户可以根据需要明确地访问文件夹和文件,而不是build立用户可以使用的组策略。 有一些组,但大部分 – 单独分配的权限都在这个地方。 任何人都可以提供任何意见,他们将如何处理这种情况? 这是交给我的首要任务之一。 我留着大约400,000行的文件/文件夹权限,每个关联的帐户及其在Excel电子表格中的权限….. 我假设第一步是确定部门内每个人都需要哪些共同的文件,然后从那里去?
预先感谢您的帮助。 我在下面的链接find了一些相关的东西,但无法通过这里find我正在寻找的解决scheme。 使用Powershell脚本检查域帐户的存在 我想要做的是从已经生成的CSV文件从我正在运行的另一个脚本的列表中获取用户名。 一旦我有这些用户名(sAMAccountname)我想检查,如果该用户名已被使用。 如果是我希望显示,也许通过Echo,然后继续检查其他名称。 如果不是那么它应该继续检查其他的名字。 这是我到现在为止。 (请记住,我是一个完整的PowerShell新手,我只是做这个绝对需要) Import-Module ActiveDirectory -ErrorAction Continue $UserCSV = import-csv "\\fs1\DisasterRecovery\Source Controlled Items\WindowsPowerShell\Test scripts\Import Production Users\Users.csv" $UserList = $UserCSV.sAMAccountname foreach($User in $UserList) { if (Get-ADUser -Filter {sAMAccountname -eq $User} ) { # Exists #echo Already Exists } else { SilentlyContinue } }
我正在玩Windows Server 2012 R2上的testing域。 我正在尽可能高的function级别运行,在我的小testing环境中没有向后兼容性问题。 不过,我已经意识到,尽pipe我支持 Kerberos AES身份validation,但对于任何用户,默认情况下都不启用。 我必须真正进入用户的属性,并检查“此帐户支持Kerberos AES 128位encryption”和/或“此帐户支持Kerberos AES 256位encryption”来启用它。 (我在将testing帐户添加到“受保护的用户”组中时首先意识到这一点,该组将策略设置为需要AES。之后,我所有的networkinglogin都开始失败,直到我检查这些checkbox。 我认为这可能是默认禁用,以确保向后兼容的一些系统,但我找不到一种方法来为所有用户启用此function,甚至解释当前的行为。 有任何想法吗?
我们有一个运行Exchange 2013的云活动目录服务器。我们有很多只有交换账户的用户,他们中的大多数将在几天内将他们的密码过期, 我想知道是否用户仍然可以通过OWA重置密码,一旦他们的密码过期了?