我们在Windows Server 2008r2function级域上启用了AD DS安全审核。 我们使用第三方工具来提醒我们更改我们的pipe理组成员资格。 我们最近删除了几个属于Domain Admins安全组成员的服务帐户,但是没有人通过我们的第三方工具发出警报。 我正在尝试确定在审核configuration中是否存在错误,第三方工具是否存在错误,或者如果安全组中的用户被删除,Windows不会logging安全组的“成员移除”事件。 更具体地说,我们正在寻找一个安全日志事件: “一个成员已从启用安全的[Universal | Global | Domain-Local]组中移除”。 这是在我们的应用程序中启动警报的事件。 在这种情况下,“成员”用户帐户被删除而没有明确从安全组中删除。 有logging“用户帐户被删除”的事件。 在这种情况下,我怀疑Windows不会logging“一个成员已从安全启用…组”事件,因为用户帐户被删除而不被明确地从安全组中删除。 我想证实这个假设。 如果我的假设是真的,那么我们需要调整我们的过程。 如果我的假设是错误的,并且Windows 应该logging此事件,那么我们的审计失败或configuration错误,或者应用程序失败。 GPO启用审计“账户pipe理”。 pipe理员安全组将“成功”审核事件添加到其安全属性中。 我们的域控制器上的安全日志大小为128mb。 我在DC上search了事件4733,4729和4757上的安全事件日志,但没有发现任何事件,但事件日志在我们域中的所有活动仅仅几个小时后就可以回收。 这些警报在过去的显式成员添加和成员删除事件工作,没有configuration已经改变(我知道,我是AD系统pipe理员)。 也许作为AD系统pipe理员,我应该已经知道这个问题的答案..但没有人知道一切:) 我也在TechNet上提出这个问题,但没有得到有用的回应。
我们计划在两个站点之间实施一个延伸的数据中心。 它们之间的连接是一个单一的100mbit的QinQ连接。 我们在站点A有大约500个用户,在站点B有200个用户。在链路上产生的stream量非常低。 免责声明:我不会通过复制,因为这是一个不同的故事。 我们在几个月内准备好了SAN复制。 L3路由等也不是问题,因为我们知道如何做到这一点。 networking计划(现在)如下: VLAN 300:站点A + B – 172.16.0.0/24 – pipe理(交换机,路由器,vsphere等) VLAN 310:站点A + B – 10.50.0.0/24 – 任一站点客户端的共享服务器 VLAN 311:站点A(+ B) – 10.51.0.0/24 – 站点A客户端的服务器 VLAN 312:站点B(+ A) – 10.52.0.0/24 – 站点B客户端的服务器 VLAN 320:站点A – 192.168.0.0/24 – 站点Abuild筑物中的客户端 VLAN 321:站点B – 192.168.10.0/24 – B站点中的客户端 这里的总体思路是,具有HA /站点感知(AD,DFS,Exchange,Lync等)的服务位于站点A的VLAN 311中,站点B的VLAN 312中。这仅仅是为了确保所有客户端正在使用服务如果站点之间的L2链路断开,则可以防止不良用户体验。 我们将使用一个AD域。 没有任何内置HA的服务器应该放在VLAN […]
在我们的AD 2003域中,每个用户在他们的计算机上获得本地pipe理权限。 其他人都可以以普通用户的身份login自己的域帐户。 现在这意味着去桌面和手动添加用户作为本地pipe理员。 有没有办法通过login脚本或GPO自动执行此过程? 我已经find了使用gpo的方法,使所有login到本地pipe理员的计算机上的人,但实际上只是想给它的计算机的主要用户(或在某些情况下,用户)。 我也看到了需要为每台计算机添加一个组的方法,但实际上并不想这样混乱AD。 我有一个列表将每个用户映射到每个计算机名称。 如果重要,桌面是xp和win7的混合体。
假设你有一个小的Windows域configuration如下: 域名是ad.example.com (按照这些准则 ) DC1在10.10.10.3 DC2在10.10.10.4 DC1和DC2正在运行AD集成的DNS和DHCP服务器angular色 AD DHCPconfiguration了10.10.10.50-99的地址池 AD DHCP发布的客户端租约的006 DNS Servers选项设置为DC运行AD集成DNS的地址(即10.10.10.3和10.10.10.4) AD集成的DNS服务器将google 8.8.8.8configuration为转发器 10.10.10.0/24子网通过内部地址为10.10.10.1的Cisco ASA连接到Internet ASA是10.10.10.0/24networking的网关 vpn.example.com是parsing为ASA外部IP地址的公共DNS项 远程Windows计算机使用指向vpn.example.com的Cisco IPSec VPN客户端通过ASA连接到10.10.10.0/24networking 远程Windows计算机从10.10.10.200-10.10.10.254发布IP地址 分离隧道被启用,使得只有10.10.10.0/24stream量被隧道化(该站点的最高可用上游带宽仅为2Mbps) 对于有时通过VPN连接的Windows笔记本电脑,他们的DNS应该如何configuration? 如果移动Windows笔记本电脑只接受随机的公共DNS服务器地址,则当隧道处于非活动状态时,它将向随机公用DNS服务器发送_ldap._tcp.site._sites.ad.example.com DNS查询。 这是标准的做法吗? 不知何故,这似乎是一个坏主意。 另一方面,如果Windows笔记本电脑configuration了只有内部DNS服务器10.10.10.3和10.10.10.4(如此处严格推荐 ),那么VPN客户端无法parsingvpn.example.com以build立VPN连接 – 这是一个鸡与鸡的问题。 在通过VPN连接的Windows笔记本电脑上,DNS应该有什么更奇怪的事情发生吗? VPN客户端对Windows DNS查询有多less控制? 应该启用DNS分割隧道? 启用DNS拆分隧道似乎意味着我们依靠VPN客户端拦截DNS查询,如_ldap._tcp.site._sites.ad.example.com以防止它们被发送到公共DNS服务器。 VPN客户端中的DNS拆分隧道是严格可靠的吗? 对于这一点,似乎有些应用程序可能完全忽略了VPN适配器,并尝试使用物理适配器上的公共DNS服务器来parsingWindows域地址。 这是我应该关心的吗? 另一种select – 通过隧道发送所有的DNS查findAD集成的DNS服务器 – 这似乎是一个坏主意,原因有两个:1)当用户是通道时,通道可能比公共DNS服务器高得多来自ASA的许多跳跃。 2)似乎名称将parsing为与ASA附近的服务器对应的IP地址,而不是远程计算机。 如果我正确理解这一点,那就意味着在CDN上访问媒体时遇到问题。 (编辑: 这是一个经历这个问题的人的例子。 )
我有一个关于共享打印机的问题,以及如何最好地限制对它们的访问。 我从打印服务器(\\ server01 \ printer01)共享一台打印机,并将其locking到只能通过共享安全选项卡访问的安全组。 我也有该打印机的AD对象,它允许任何人访问该打印机。 我认为最好是通过共享来locking它,因为我不想让任何未经validation的用户打开共享。 任何想法,我怎么能做得更好,或者我怎么完全打开了我的networking? 它似乎现在工作,除了我看AD许可的时候,去“我以为我把它locking了”。
我在两个Windows Server 2008 R2域/林(Windows Server 2008 R2上的域和林function级别)之间具有交叉林信任。 域A和B是其各自林中的森林根域,而域C是域B的子域。 A < – >乙 – Visual C 信任是使用全林authenticationconfiguration的双向传递林信任。 当我查看每个域中的TDO对象时,我看到domainB对于domainA和domainC具有TDO,但domainC对于domainB只具有TDO。 domainA同样只有domainB的TDO。 我看到每个域中的Active Directory域和信任都反映了相同的情况。 当在domainC计算机上select“login到”下拉菜单时,我只能看到列出的domainB和domainC。 在domainB计算机上select“login到”下拉列表时,我看到列出了domainB,domainC和domainA。 当在domainA计算机上select“login到”下拉菜单时,我只能看到列出的domainA和domainB。 跨林DNS名称parsing通过domainA和domainB之间的条件转发器在所有三个域之间起作用,并且我可以成功地从domainC中查询domainA中的AD SRVlogging,反之亦然。 我不理解交叉森林信任中的域传递性吗? 传递性不应该从domainC延伸到domainA,反之亦然? 编辑 根据Ryan的回答: 我已经开始思考同样的事情,但是我并没有亲身体验森林信托的经验,因为我们不知道我应该看到什么。 即使域A和域C之间存在变化,但并不意味着“可见性”。 我运行了nltest /dclist , nltest /dsgetdc和nltest /dnsgetdc并且都从域A到C成功返回,反之亦然。 令我困惑的是,当试图将用户添加到域中的域本地组时,AI只能看到位置B中的域B,而不是域C.这可能是预期的行为,但似乎很奇怪。 例如,如果我想将域C用户添加到域中的远程桌面用户域本地组,则AI不能到达那里,因为我没有在域A中的位置看到域C.没有办法“嵌套”域B组中的域C用户,然后将域B组添加到域A组(因为组范围)。 所以,如果我想授予访问域C用户login域A中的RDS服务器,我将如何实现?
每当我尝试从我的DFS打开共享时,我总是收到以下警告。 我怎样才能configurationWindows(在这种情况下,10)信任任何根据我的DFS通过GP? 看起来很奇怪,它不会自动地这样做。
我发现一个模块真的很稳定,并且想要在整个AD域中使用它。 有什么办法来自动化这个过程吗? 在普通的Powershell中,我只需要简单地使用pipe理员权限来调用这个命令: Install-Module -Name $moduleName 如果它是不受信任的存储库,那么我必须改变它: Set-PSRepository -name $repoName -InstallationPolicy trusted 我正在寻找更优雅的方式,比在计算机启动时运行这些命令简单的PS脚本。 理想的解决scheme将如下所示: 有些东西会检查,如果电脑上已经安装了模块。 如果没有,则安装模块,并且计算机现在被识别为安装有模块的机器。 如果确实安装了模块,则不采取任何操作。 甚至更好: 有一些容器,包含没有安装模块的电脑。 模块安装在此容器中的每台计算机上,然后移到其外面。 第二个可以在简单的域容器上工作,在那里我们得到了GPO的子容器,它使用上面的命令运行PS脚本。 我们可以通过使用PS Active Directory cmdlet来移动计算机。 而且我看到下一个问题,会自动从容器移动到另一个容器,在更大的规模和更长的时间内安全吗?
我正在寻找集中pipe理(和跟踪!)打印AD域的最佳方法。 我知道Windows Server可以被configuration为“打印服务”服务器,但是我的理解是,这只是将队列集中起来,并没有真正执行会计和报告(谁打印什么,何时,多久等)。 我们的打印机范围从基本的USB本地打印机(可能会或可能不会共享到附近的隔间),专用Win7 x86盒子的教室坐落在angular落,充当打印服务器(不连接到任何单独的机器,因为许多机器双启动OSX和Windows Vista或Win7)以及原生坐在networking上的较大的“大型复印机”。 自从最近被聘用以来,我已经开始在AD公布这些股票,形成一个标准化的格式,但是这个系统相当混乱。 我想有一个中央打印服务器,每个盒子报告队列,用户可以去networking上find打印机,当他们想要添加一台打印机到他们的机器(或我想部署到他们通过组策略)。 如果打印服务是要走的路,我可以使用备用的Windows 2008服务器,或者我很乐意构build一个Linux CUPS盒或其他任何东西。 我开始研究如何最好的方法来处理这个问题,但是如果有人想在这段时间内投入2美分的话,那么这个数字就会被贴出来。 谢谢。
这是一个简化,名称已经改变,以保护无辜。 The assets: Active Directory Domains corp.lan saas.lan User accounts [email protected] [email protected] Servers dc.corp.lan (domain controller) dc.saas.lan (domain controller) server.saas.lan 域之间存在单向信任,因此corp.lan中的用户帐户和saas.lan中的服务器login dc.corp.lan和dc.saas.lan之间没有防火墙 server.saas.lan位于防火墙区域,存在一组规则,因此可以与dc.saas.lan 我可以用[email protected]到server.saas.lan – 但我不明白它是如何工作的。 如果我看防火墙日志,我会在server.saas.lan和dc.saas.lan之间看到一堆login信息 我也看到server.saas.lan和dc.corp.lan之间的一堆DROPPED喋喋不休。 据推测,这是因为server.saas.lan试图[email protected]但是没有允许这些主机之间通信的防火墙规则。 但是,[email protected]可以成功login到server.saas.lan – 一旦login,我可以“echo%logonserver%”并获得\ dc.corp.lan。 所以….我有点困惑如何帐户实际得到authentication。 在server.saas.lan无法与dc.corp.lan通信之后,dc.saas.lan是否最终会与dc.corp.lan进行通信? 试图找出需要更改/修改/更改的内容。