如何更改loginWindows Vista,7,2008,2008R2计算机期间显示的每个个人用户的“用户头像”?
我很困惑。 考虑以下几点: 具有名为DOM的域的Active Directory环境 一个NetBIOS名称为VS1的IIS 7框 提供VS1别名的DNSlogging,如pineapple.london.uk.corp 作为DOM \ PineappleService运行的应用程序池 启用Windows身份validation。 客户端使用HttpWebRequest来调用框中的XML / JSON ASP.NET服务。 该服务呼叫到networking上的工作站来收集信息。 这在我使用运行IIS的IIS Express的开发中起作用,因为IISX只是一个.exe 在生产中,服务工作正常,身份validation正常,但调用导致服务(以PineappleService身份运行)访问networking内容的function失败。 我怀疑SPN注册问题,但我不知道要设置什么SPN。 最近,我偶然发现了这篇文章,似乎在说一些其他文章的飞: http://blogs.msdn.com/b/webtopics/archive/2009/01/19/service-principal-name-spn-checklist-for-kerberos-authentication-with-iis-7-0.aspx 请注意,它说 SPN要求与上面保持一致。 不像在IIS 6.0中(我们必须添加一个http /用于应用程序池标识的SPN),您不必像http /为Domain1 \ Username1添加SPN。 所以我不知道什么是对的。 我不知道是否需要注册HTTP SPN或主机SPN或使用DNS别名或NetBIOS名称,并将它们设置在PineappleService帐户或VS1计算机帐户上。 我不知道当我尝试的事情,有一个缓慢的AD复制问题,这意味着我必须等待一个小时之间的试错。 现在都很复杂 我已经作为一个系统和开发15年,我感觉到域和工作站,权利和政策的结束。 这一切都变得太多了。 谢谢你的帮助。 卢克
我正在使用与Oracle客户端一起安装的ldapsearch.exe二进制文件。 花了一段时间梳理出它想要的参数,但是我能够成功地连接到AD并parsing出文本属性(给出用户名,查找电子邮件等)。 但我也想抓住Exchange / Lync使用的头像图片。 根据我挖掘的一些微软文档,属性名称是thumbnailPhoto 。 起初我无法弄清楚,但是这个命令不会产生生气的错误信息: ldapsearch -v -h xxx.yyy.edu -Z -b cn=USERNAME,ou=Computers,ou=yyy,dc=yyy,dc=edu cn=USERNAME thumbnailPhoto 当我运行时,我得到以下输出: ldap_open( xxx.yyy.edu, 389 ) filter pattern: cn=USERNAME returning: thumbnailPhoto filter is (cn=USERNAME) CN=USERNAME,OU=Computers,OU=yyy,DC=yyy,DC=edu 1 matches 当前目录中没有文件,%TEMP%中没有文件。 如果我使用-t带或不带参数,则不会下载文件。 没有二进制垃圾填充控制台窗口。 无论是否从bash(msys)或cmd.exe运行命令,我都会得到相同的行为。 是什么赋予了? 看起来我一切正常。 但是我没有办法debugging。 我甚至没有使用正确的工具?
我正在从第三方邮件服务器(MDaemon)迁移到Office 365; 本地Active Directory不包含任何Exchange服务器,从来没有任何。 我们将需要目录同步,以使用户能够使用他们的域凭据login到Office 365; 但似乎只要启用目录同步,就不能在Office 365用户上执行任何操作:所有更改都需要在本地Active Directory上进行,然后由同步进程进行复制。 对于具有单一电子邮件地址和标准function的普通用户来说,这不是一个大问题; 但是那些需要额外地址的用户呢? 如果我需要configuration一些非标准设置,如“隐藏地址列表”或自定义邮箱配额? 从我收集的信息来看,唯一受支持的方法是在启用同步后不能直接编辑Office 365对象,而是使用Exchange属性扩展本地AD架构,然后手动编辑它们(!) 。 或者,您可以至less安装一个本地Exchange服务器,然后使用Exchangepipe理工具configuration所需的设置。 这是正确的还是我错过了什么? 有什么办法来同步用户帐户和密码,但仍然能够直接在Office 365中编辑用户设置? 如果没有(一切真的需要在本地设置,然后同步),有没有比手动编辑LDAP属性或安装本地Exchange服务器更简单的方法来做到这一点?
我正在尝试使用PowerShell DSC将域组添加到本地pipe理员组。 这里是代码: Configuration TestSetup { Node localhost { Group Administrators { GroupName = "Administrators" MembersToInclude = "MYDOMAIN\TheAdministratorsGroup" } } } 当我运行它时,会导致以下错误: PowerShell provider MSFT_GroupResource failed to execute Test-TargetResource functionality with error message: Could not find a principal with the provided name [mydomain\theadministratorsgroup] + CategoryInfo : InvalidOperation: (:) [], CimException + FullyQualifiedErrorId : ProviderOperationExecutionFailure + […]
使用MIT Kerberos,kadmin实用程序支持创build具有明确的最大票证生命周期和更新生命周期的主体(add_principal的-maxlife和-maxrenewlife参数) ,这可能与领域的默认票证生命周期和更新生命周期不同。 因此,如果您的领域的默认使用期限为24小时,续约期限为7天,则给定的本金可能分别为1小时和1天。 我试图弄清楚Active Directory的Kerberos实现是否支持相同的事情。 我的直觉拒绝了,但我很难明确地certificate这一点,除非在帐户上找不到任何明显的属性来使这种能力成为可能。 任何人都可以确认或否认我的直觉答案?
您使用什么产品来pipe理您的环境中的身份传播? 例如,乔被雇用到公司。 人力资源将Joe的个人资料input到HR员工pipe理应用程序中 传递给IT人员手动创buildJoe的Active Directory帐户,为他的工作angular色添加一堆用户组。 他们还会在不使用Active Directory进行身份validation的其他不同系统中手动创buildJoe的帐户。 等到乔接近他的时候,他已经浪费了一个星期的时间,在公司的时间挥舞着拇指和网上冲浪。 然后有一天,他们在乔的个人电脑上find了工作的第一周,所以他们给他看了门。 现在,所有同样的人必须重复这个工作来取消Joe在他所能访问的所有系统中的访问权限。 同样的过程也会重复,如果有人改变工作angular色,如另一个部门。 我正在寻找的是一个为系统pipe理员devise的工具,用于pipe理用户帐户,以便在主数据库(HR应用程序,在此示例中)中更改这些更改后可以完全自动化。 我知道微软的ILM 2007及其前身MIIS。 我发现这些产品logging不完整,完全太难以pipe理,而且我几乎没有发现在线支持。 哪些产品可能符合这个标准?
我经常需要用一个用户的域帐号login,以确保我已经正确地设置了他们的个人资料,但除了打电话给他们并给他们一个临时通行证并强迫他们改变它之外,没有简单的方法来做到这一点。不好,因为他们经常忘记,)或要求他们的密码(更糟糕)。 有什么方法可以更改用户的密码,然后将其设置回原来的? 我试图看看是否有办法得到NTLM哈希值,所以我可以稍后再设置它,但似乎没有为AD内置的工具。
我有一个2008 R2function级域,并且正在实施我的组织将要使用的第一个实际的密码策略。 为了将这一点慢慢推出给我们的用户,我们select使用细粒度的密码策略(FGPP)来仅适用于我们select的特定用户。 为此,我们将这个策略分配给一个使用它作为影子组的组。 我们已经完成了创buildPSO对象的过程,确认新策略只适用于该组内的用户。 一旦我们感到舒服,我们将删除此PSO并将密码策略移至默认域策略。 幸运的是,我只能为所有用户使用一个策略。 在5000台左右的桌面中,我们可能仍然超过75%的Windows XP。 在我们的testing中,我们发现如果这个FGPP适用于这个新组中的用户,并且在login到Windows 7个人电脑时被迫更改密码,那么效果很好。 但是,login到Windows XP PC时,仍然强制他们更改密码,但是由于错误消息使用默认域策略中的策略。 如果我们开始推出,用户在尝试input密码后会感到困惑,并且会收到一条错误消息,告诉他们在实际需求不符时尝试另一个。 正如在这篇Technet文章中所提到的那样,它说这是一个已知的行为,build议忽略它。 这对我们来说是不可能的。 如果在Windows XP电脑上出现,我们不能使用FGPP。 我们已经考虑过为所有用户设置“密码永不过期”属性,然后在默认域策略级别实现密码策略,但是如果出现问题,我们宁愿不这样做,因为可能的混乱。 有没有人曾经遇到过这个问题,或者可以提供任何build议? 这是在GINA某处的错误消息? 可以修改吗?
尽pipe关于这个问题已经有很多问题了,例如Windows AD域上的Linux,我想知道如何将Debian 6.0 Squeeze与AD集成使用开源或免费的商业用途工具 编辑 : 只有通过apt交付(安全)更新的工具是可以接受的。 到目前为止,我已经能够通过Kerberos获得实际的用户authentication工作,例如日志显示用户名/密码检查成功,但用户无法login,请参阅下面的日志摘录; 编辑 :日志更新与pamdebugging: May 12 10:06:33 debian-6-master login[10601]: pam_krb5(login:auth): pam_sm_authenticate: entry (0x0) May 12 10:06:33 debian-6-master login[10601]: pam_krb5(login:auth): (user test.linux) attempting authentication as [email protected] May 12 10:06:36 debian-6-master login[10601]: pam_krb5(login:auth): user test.linux authenticated as [email protected] May 12 10:06:36 debian-6-master login[10601]: pam_krb5(login:auth): pam_sm_authenticate: exit (success) May 12 10:06:36 debian-6-master […]