我在RHEL6上使用sssdconfiguration了几台Linux服务器,用Active Directory Kerberos进行身份validation。 我也启用GSSAPI身份validation,希望无密码login。 但我似乎无法得到腻子(0.63)没有密码进行身份validation。 GSSAPI适用于configuration为AD身份validation的Linux系统(openSSH客户端),使用.ssh / config设置启用GSSAPI。 它也可以从Cygwin(openSSH客户端)使用,使用相同的.ssh / config设置以及运行kinit命令来获取票据。 另外,Samba在所有的Linux系统上共享,包括主目录在Windows资源pipe理器上工作而不需要密码(我不确定GSSAPI是否在那里发挥作用) 我可以尝试对此进行哪些排查? 我的大多数用户使用腻子。 另外,我不是Windowspipe理员,所以我不能在域控制器上做任何事情。 我的帐户只具有将服务器添加到AD域的权限。 我打开了putty SSH数据包日志logging。 我发现这种有趣的,我不知道如何处理这些信息: Event Log: Server version: SSH-2.0-OpenSSH_5.3 Event Log: Using SSH protocol version 2 Event Log: We claim version: SSH-2.0-PuTTY_Release_0.63 Outgoing packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Incoming packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Event Log: […]
在我的Microsoft活动目录环境中,几乎每个组织结构都是一个组织单位。 这个规则有两个常见的例外,Computers对象和Users对象。 这些是安装Active Directory时创build的默认对象。 每当我读到关于这些对象的任何信息时,我都被告知他们使用“容器名称”来向后兼容。 据我所知,这些对象是在主动目录安装的时候configuration的。 我的主要问题是这样的: 如果您转换为使用OU的这些对象会破坏什么? 我认为唯一的方法是创build新的OU,redirect活动直接使用这些新的OU,然后删除旧的CN对象。 我意识到这不是一个推荐的程序,但我想知道为什么。 奖金问题 活动目录开发人员是否给出了为什么“计算机和用户”对象是使用CN创build而不是正常OU的原因? 甚至有可能删除默认的对象?
是否有任何工具可以折磨 – testing和衡量公元performance? 我们正在考虑对我们的环境进行相当大的扩张(想想成千上万台计算机),这会在我们的AD环境中引发大量交易。 我们怀疑我们需要为我们的核心networking添加硬件,但是我不想盲目购买硬件,浪费金钱或者损害用户的性能。 有任何想法吗? 我正在考虑一个生成综合交易的工具,但我愿意接受任何build议。
我需要将Windows Server 2003计算机升级到至less2003 R2。 我想升级到2008 R2。 我只是想validation一下,2008 R2可以join2003域名吗? 其他服务器是2003年。
有一点需要强调:客户端需要testing由SQL 2008 Server和Windows 2008 Standard Server(应用服务器)组成的支持Active Directory的CRM系统。 据我所知,Active Directory是最终用户身份validation和应用程序到SQL身份validation所必需的。 我们需要将这两台服务器从当前的域环境中提取出来,并安装在具有Internet连接但不在域( foo.local )或任何域上的testing工具上; 他们现在只是工作组中的一堆工作站。 我最初的想法是设置一个IPSec隧道到客户端的位置/从testing设施,但我想知道如果局域网子网重叠将是一个痛苦(pfSense防火墙这里)pipe理和/或如果更改IP地址两台服务器( FOOAPP和FOOSQL )到一个不同的子网,以避免重叠会导致AD域的一些悲痛(即域控制器不会“知道”这些服务器是谁)。 我的另一个想法是设置一个只读域控制器,并把它带到现场的testing设施,但从我粗略阅读的technet文档,这听起来像它需要能够与客户端位置域控制器(s )。 最后,我知道你可以使用caching的凭据脱机validation工作站:会使用成员服务器吗? 我假设不是因为发生在FOOAPP和FOOSQL之间的SQLauthentication可能根本就不使用caching,但是请赐教。 任何其他选项? 澄清 这些服务器目前尚未用于生产。 当他们join到客户的领域时,没有数据,也没有人使用它。 他们现在只是空闲的成员服务器。 SQL数据库将加载testing数据,然后用于培训,但是在用户验收/最终用户培训期结束后(移除testing数据),我们将把它们放回到客户的位置,从而投入生产。 。 我们不能在现场进行testing/培训,因为这对客户的办公室太具有破坏性,他们没有足够的会议室来容纳testing/培训小组。 编辑 我想这可以被解释为两个问题: (只读|可写)域控制器与其他域控制器隔离时会发生什么? 活动目录是否关心IP地址? 也许我可以暂时将这两台服务器放在不同的子网上,并build立一个IPSec隧道,以便testing机构中的这些服务器和工作站可以与客户办公室的域进行通信。
我如何在AD中添加或者添加描述我想离开当前的描述并且在它的前面添加一些文本 例如一台电脑的描述为“会计部”(不含引号) 我试过这个: set-QADComputer -Identity computername -Description {Disabled 8/17/2012, Termrpt "$($_.description)"} 我得到这个描述 已禁用2012/8/17,“$($ _。description)” 但是我想要像下面这样的文本前面的原始描述 残疾2012年8月17日,会计部 有任何想法吗? 我尝试了括号,但是它只是把前置文本和原始文件抹掉。
偶尔,计算机帐户可能会失去其到域控制器的安全通道。 无需重新启动计算机,如何重置安全通道? 有问题的计算机是在2008 R2function级Active Directory域和林中运行Server 2008 R2的群集SQL Server。
我真的很努力创build将导出以下内容的查询:Account FirstName LastName用户所在的OU 理想情况下,我希望它是一个CSV。 我没有访问域控制器,但可以运行DSQUERY / DSGET /等。 从我的电脑。
我有一个共享邮箱,需要使用Outlook 2010客户端部署到Exchange 2010 SP2环境中的某个部门。 我试图依靠Exchange 2010 SP1引入的自动映射function ,原因很明显,但无效。 仔细检查一下 , 这可能是因为它不适用于团队 ,熟练地阻止它成为一个有很多邮件用户pipe理的人的有用function。 上面的链接包含一个解决PowerShell脚本来读取一个组的成员资格,并直接添加这些成员具有完全访问权限,但这不提供function来更新自动映射的人join或离开部门。 是否有人知道如何使用组授予用户对邮箱的完全访问权限时使用此function的function? (或者对于如何解决这个问题有什么想法呢?现在,我正在考虑一个定期更新相关AD属性的Powershell脚本,但是…有一个更好的方法。)
正如标题所说,我必须find用户所属的所有组,并从所有组中删除其成员。 我试过这个: get-adgroup -filter * | where {(Get-ADGroupMember $_ | foreach {$_.PrimarySmtpAdress}) -contains "[email protected]"} 但它不会返回任何东西(虽然有一些项目必须返回) 至于删除,我发现没有办法做到这一点,有人可以给我一个这样的代码的例子吗? 我在谈论安全组