目标是将MS AD DC(Windows Server 2012)复制到新的Samba4 AD DC,然后将用户迁移到新的Samba域。 这是我们第一次,互联网上的各种文件都不是很令人鼓舞。 只有一个森林和一个独特的AD DC。 关注的是确保来自原始AD DC的所有必要对象都将被复制到新的Samba目录中。 在Samba wiki页面中, join域名为DC ,清楚地表明“join”最多只能用于Windows Server 2008 R2(我们有2012版本)。 那么从Samba开始,从脚本/ samba-tool导入各种MS AD对象可能会更好。 有什么build议,警告,实现一个MS 2012年AD DC到Samba 4 AD DC迁移,特别是如何确保从Windows机器的最大信息可以转移到Samba4,换句话说,生成最less给用户带来不便。 (DNS,用户,组,计算机…)
我在我的公司里设置了一个Debian服务器,用户在Active Directory中进行pipe理。 我想用ADauthentication用户,但是我认为如果可行,在AD服务器或networking出现问题的情况下,可以使用本地OpenLDAP进行authentication。 我见过有关设置传递身份validation的教程 https://wiki.debian.org/LDAP/PAM http://ltb-project.org/wiki/documentation/general/sasl_delegation 但是它没有说明如果AD服务器不可达时会发生什么。 AFAIU,请求失败。 这里有人build议使用OpenLDAP代理caching引擎设置高TTL。 我应该复制整个目录吗? 我不介意新用户是否被authentication,如果已经有本地知名用户可以使用上次接受的密码进行authentication,我会很高兴,所以最简单的解决scheme是我最喜欢的。 我search了很多术语,包括caching/caching,副本等。我没有find任何“抓我的手,并显示我怎么做,那在debian-jessie”步骤逐步的解决scheme,所以它可能是我认为相对标准的事实上有点棘手。
对不起,可怕的标题。 所以我们有一个问题,我们的文件服务器的权限设置如下: D:\Data>cacls d:\data\mydocs\johnny.depp d:\data\mydocs\Johnny.Depp BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F BUILTIN\Administrators:(ID)F CREATOR OWNER:(OI)(CI)(IO)(ID)F DOMAIN\FAccess:(OI)(CI)(ID)F 这是创build用户时,通过ADUC创build主驱动器。 pipe理员组未在父文件夹的共享或NTFS权限上指定,并且closuresinheritance。 如果我手动创build共享目录: C:\Users\Faccess>cacls d:\data\mydocs\tom.hardy d:\data\mydocs\Tom.Hardy DOMAIN\Faccess:(ID)F CREATOR OWNER:(OI)(CI)(IO)(ID)F DOMAIN\Faccess:(OI)(CI)(IO)(ID)F 这是我的期望。 那么,为什么要添加pipe理员组呢? 唯一我能想到的是ADUC正在添加它,但是我看不到任何有关它使用什么权限来创build文件夹的文档,我猜测它使用创build用户的login用户,但是又一次 – 不知道为什么会为pipe理员添加权限。 任何帮助将是伟大的
目前,我们的客户要求说,60天后,我们设备上的本地帐户应该被locking。 当AD正在实施时,本地帐户没有被使用(每个人都通过AD服务器进行authentication)。 有一天,AD服务器出现故障,没有人可以login到我们的服务器,因为所有的本地帐户已经超时和locking。 有什么办法让AD保持本地帐户活跃,所以这不会发生?
我的主(和单)DC由于错误而死(不启动),但是所有的文件都是完好的。 我可以在其他服务器上的新DC上恢复用户的选项是什么? 死了DC:Windows Server 2008 R2
我们的域名服务器是Windows Server 2008(可以说域ABC),还有另一台服务器成功添加到域(比如ABC.EFG.local) 但是我们无法使用我们的域名凭证login到(win 2012)服务器。 我们得到以下错误。 如何解决这个问题。 编辑1:域的凭据与域中的其他2008服务器正常工作。
请注意:我指的是COMPUTER帐户。 不是USER帐户。 在Active Directory中,通过在“查询设置”窗口中勾选“已禁用的帐户”(如下所示),可以轻松创build一个仅显示已禁用计算机帐户的筛选器。 这将创build以下查询: (&(objectCategory =计算机)(userAccountControl的:1.2.840.113556.1.4.803:= 2)) 我怎样才能创build一个完全相反的filter? 即我只想看到ENABLED帐户。
我收到ADFS跟踪logging下的此错误 – debugging: ServiceHostManager.LogFailedAuthenticationInfo: Token of type 'http://schemas.microsoft.com/ws/2006/05/identitymodel/tokens/UserName' validation failed with following exception details: System.ArgumentOutOfRangeException: Not a valid Win32 FileTime. Parameter name: fileTime at System.DateTime.FromFileTimeUtc(Int64 fileTime) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetPasswordExpiryDetails(SafeLsaReturnBufferHandle profileHandle, DateTime& nextPasswordChange, DateTime& lastPasswordChange) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserInfo(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String authenticationType, String issuerName) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUser(UserNameSecurityToken token, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String issuerName) […]
我有一个最初设置为domain.example.com的活动目录林。 我希望森林是example.com,然后在森林下存在域domain.example.com。 有没有一个简单的方法来实现这个活动目录?
在Active Directory下设置的用户密码不会与Office 365同步。即,用户无法使用其域密码login到Office 365门户。 目录同步工具安装在Server 2008 SP2域控制器上。 所有其他用户属性似乎正在同步。