许多工作站具有使用工作站身份validationCA模板颁发的过期计算机证书。 此模板的CA在2天内过期。 我已经部署了一个新的CA,有一个延长的date,并在本周末成功地注册了许多机器。 我现在担心closures的工作站,或者没有从企业CA获得新的计算机证书。 问: 什么是工作站证书用于? Kerberos的? 用户/机器是否可以在星期一上午(过期date)login? 一旦证书过期,机器能否获得新的证书? 由于我使用的是Windows 2012 R2,所以可能会使用低级别的NTLM作为Kerberos的替代品,这不是问题…虽然我不确定在所有情况下这是否可以接受:(例如DCOM注册的证书)
使用Active Directory在Linux(Debian)框中validation用户的最佳做法是什么? 我希望它的工作方式是将AD用户添加到一个组 – 比如说Linuxpipe理员或者Linuxnetworking服务器 ,并且根据他们的组成员身份,他们将/不会被授予对特定服务器的访问权限。 理想情况下,根帐户将是唯一以标准方式维护的帐户。 我这样做的目标如下: 允许在一个地方更改密码 自动授予某些人使用他们的AD证书访问Linux服务器 将我们所有的用户信息整合到一个数据库中 我想避免的事情是: 任何困难/反直觉为我们的活动目录pipe理员pipe理 如果AD服务器由于某种原因而无法访问,则将用户locking(即,它需要以某种方式caching凭证) 任何太复杂或者不标准的东西,下次我升级服务器时都会中断。
我试图唯一标识Active Directory域中的对象。 sAMAccountName或邮件地址可以改变,objectSid也可以改变。 但是我看到有一个objectGUID。 我只是想知道:这是否可以因为任何原因而改变,或者我可以认为这将永远不会改变? 我问的原因是我从一个应用程序中引用了一些AD对象,并且需要在几个星期或几个月后回来,仍然得到这个对象,但是应用程序无法得到任何变化的通知。 所以我需要一个永不改变的价值。
一个月前,我从2003年开始迁移到SBS 2011。当我退役了旧的2003年的DC时,我离开了这个域。 但是,AD仍然有一个计算机账户。 当我尝试删除它时,我收到这条消息(翻译): 对象SRV2003包含其他对象。 你想删除对象SRV2003和它包含的所有对象吗? 如果您取消正在进行的移除,则任何移除的对象都不会被恢复。 警告:如果选中“使用服务器控件删除子树”checkbox,则子树中的所有对象都将被删除,包括受保护的对象也不会被删除,并且删除操作无法撤消。 我怎样才能列出这些对象? 我希望他们可以安全地删除,但我想确定…
我曾经在2003-2008年代跑过Active Directory。 我记得当时我曾经有过多次的头痛: 我想升级将导致重build的域控制器硬件。 我不是一个交易networking人,而是一个程序员。 我试图做一个试图备份/恢复我的活动目录networking,但我最终没有成功。 广告和所有的服务会使机器陷入困境。 它永远启动,机器很慢。 我决定不再运行一个域,只是在当时运行一个简单的工作组。 现在试图不断学习新的东西在编程我跑到路障,因为我需要使用的一些服务只在ADnetworking上可用。 所以我的问题是: 将活动目录networking备份到另一台机器而不是Windows AD摇滚明星是否相对简单? 如果我放弃机器,备份如何? 这很简单吗? 我记得当我试图创build一个虚拟机,并尝试尝试使用它作为一个临时域控制器,以便我可以迁移一切回到新的硬件,当我提起来,但没有奏效。 我打算build立一个esxi服务器上的域控制器,我希望这将消除 AD(以及它所需要的服务)的资源密集程度要低得多吗? 我希望只分配1-2 GB的内存。 它不像我会在这个领域有很多的用户。 可能最多10个(MSA和虚拟账户)
Enforeced GPO的优先级是什么,我找不到任何MS文章给出了精确的答案。 我目前的理解如下: 假设我们有5个GPO – GPO1到GP05。 我将用一个考试问题放到上下文中。 GPO Linked to Enforced GP01 – contoso.com – No GP02 – contoso.com – Yes GP03 – Site 1 – Yes GP04 – OU1 – No GP05 – OU1 – Yes 现在我的理解意味着他们会按照这个顺序,从第一个申请到最后申请(因此是最优先的)。 GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say on any […]
在我的一个客户的子域中,他有一些(看起来像)随机用户由于“复杂性等等”而无法更改密码的问题。 然而这不是真的,当: a)pipe理员重置为新密码或 b)用户有标志“必须在login时重置密码” 我到目前为止所尝试的是: GPO:只有默认的域策略和密码设置。 这些设置是: 10的长度 复杂性启用 历史设置为5,但在这种情况下不相关(尝试不同的密码) 其他一切都是未定义的或0 PDC上的密码提供程序:我读过,您可以通过registry使用自定义密码提供程序。 我检查了一切的一切工作的域名。 这似乎是默认的。 只有我看到的是设置EveryoneIncludesAnonymous = 0 。 在为他创buildPSO之后,用户仍然无法更改自己的PW,但configuration应该可以正常工作。 看起来像他们没有应用。 PDC是可用的 域控制器上的Set-ADAccountPassword也不起作用。 用户帐户的安全描述符看起来相当不错。 每个人都有权更改密码。 在ADUC中,用户属性是可以的。 用户不能更改密码= $ false等 net user /domain Myuser输出 User name cardm004 Full Name Cardman, Michael Comment Test User User's comment Country/region code 000 (System Default) Account active Yes Account expires Never […]
出于testing目的,我试图有目的地破坏与Windows域的信任关系。 什么是最快的方法来杀死它? “不幸的是”,我build立的信任关系不是经常发生的,所以我想要一个人为地破坏信任关系的方法。 如果可能的话,我希望能够从服务器端和客户端端触发。 使用Windows Server 2016 Core和Windows 7 / 8.1客户端。
如果有一个应用于所有域计算机的禁用某些GPO的GPO,有没有办法为该域中的某些主机重新启用禁用的东西,而不将这些主机从默认的域计算机组中取出? 换句话说,另一个GPO可以将禁用的function重新启用,并将其应用于其子计算机仍然是域计算机成员的子OU。 如果是这样的话,那么在域的层次结构中究竟应该如何创buildOU,以及如何应用这两个GPO呢?
我找不到如何在Microsoftpipe理控制台(MMS)中查看Active Directory中的对象属性。 请告诉我是否可以在MMS中进行。 我发现显示对象属性的Active Directory Explorer: http : //technet.microsoft.com/en-us/sysinternals/bb963907.aspx 。 你知道更好的工具吗? 添加第一个答案后 我想要find一个简单的UI工具,允许在Active Directory中使用Active Directory Explorer浏览对象的属性: 如果您知道Active Directory Explorer更好的LDAP浏览器,请告诉我。