我一直在使用Windows Server多年,当我有一个需要本地pipe理员访问的人通过他们的机器,我通过组策略以类似的方式应用这个答案 。 我的一个客户有SBS 2011,实际上令人吃惊的function之一就是用户pipe理,让用户本地pipe理员访问变得容易: 这样做之后,我试图在各地寻找好几年,以便看到它实际上是在“引擎盖下”应用,但是我失败了 – 我看不到任何相关的政策。 设置或选项应用的任何地方。 有没有人知道当你改变用户的Access level时,SBS 2011实际上做了什么,并且无论如何可以在非SBS Windows服务器上轻松地复制它?
我们有一个孤立的networking服务。 这些服务需要根据Active Directory服务器对用户进行身份validation。 但是,Active Directory服务器不是直接可用的,所以我必须在隔离networking中设置LDAP代理。 LDAP代理将有权访问AD。 请注意,访问必须是只读的,这个代理将只能访问一个 AD服务器。 这可能/可行吗? 术语“代理”是一个好的术语吗? 微软的AD服务器是强制性的还是OpenLDAP能够正常工作? 我对AD / LDAP知之甚less,学习曲线如何? 几点提示从哪里开始? 谢谢。
我有一个运行在戴尔物理服务器上的Windows Server 2008 R2域控制器,型号为PowerEdge R510。 这里有一些电气问题,不幸的是,这是一个很常见的事情, 有UPS,但是它们并不像应该那样可靠,有时服务器会经历不干净的closures。 出于某种原因,我真的无法理解,有时候这个特定的DC会在不干净的关机之后出现,遇到USN的倒退,迫使我们降级并将其提升。 这完全没有意义,因为服务器是物理服务器,并且没有任何快照,克隆和/或恢复已经在其上执行; 也没有安装额外的软件,它只执行直stream任务; 具体而言,不克隆/恢复/任何软件存在。 一个文件系统的损坏至less是有道理的,但USN的回滚实际上并不是这样,因为服务器无法恢复到以前的状态。 不过这两个月至less发生过三次,绝对不是一次疯狂的事件, 但我完全无法提出解释。 这个问题可能是什么原因?
创buildPython服务来查询AD属性 我正在使用基于SASL的Python-LDAP(DIGEST-MD5)在Linux上将我们的AD与运行Python的Web服务集成以查询AD 2012用户属性(部门,部门,电话扩展,电子邮件等)。 在针对我的AD 2003的服务制定了特定的扭结之后,我开始遇到一个针对我们的新AD 2012的SPN错误,即digest-uri与服务器上的任何SPN都不匹配。 我交叉引用了两个服务器的SPN列表,它们包含相同的相似的类似物。 错误:digest-uri与为此服务器注册的任何LDAP SPN不匹配 修正? 这是通过运行修复的: setspn -A ldap/<Domain_Name> <Computer_Name> 请注意,即使运行以下命令,创build服务帐户也不能修复我的SPN错误: setspn -A ldap/<Domain_Name> <Domain_Name>/<Service_Account_Name> simple_bind_s()不需要SPN,sasl_interactive_bind_s()需要SPN 只有使用sasl_interactive_bind_s()将SPN添加到本地计算机SPN列表才能用于我的Python-LDAP服务。 我还应该注意,如果使用simple_bind_s(),则可以跳过SPN步骤,但是此方法以明文forms发送凭据,这是不可接受的。 但是我注意到,这个logging在消失之前只停留在SPN列表上一分钟左右? 当我运行setspn命令时,没有错误,事件日志完全是空的,没有重复的地方,使用基本dn上的-F森林范围的search进行检查,没有任何东西。 我已经添加并尝试重新添加和删除,并将SPN从对象移到对象,以validation它没有隐藏到任何地方,但第二次我将对象添加到任何地方,然后尝试重新添加它通知我的重复。 所以我非常有信心,没有重复隐藏的地方。 黑客 现在我已经有一个计划的任务重新运行命令,以保持在列表上的logging,所以我的服务将适当地命名为“SPN黑客” cmd.exe /C "setspn -A ldap/<Domain_Name> <Computer_Name>" 直到我可以找出为什么SPN正在被清除。 我不是这个特定AD的主要pipe理员,pipe理员可以运行一个服务来同步AD上的另一个服务的SPN,而不知道它吗? 我的标题是Web Developer,而不是借口,而是解释我对Active Directory事务的无知。 我被告知要将AD作为主用户数据库,而且我一直在阅读很多内容,但是我无法find任何人在SPN被定期“覆盖”或“清理”时遇到问题的地方,pipe理员非常熟悉SQLServer条目之外的SPN。 为什么我需要黑客? 到目前为止,我的黑客似乎没有为任何用户或服务造成任何问题,并没有产生任何错误,所以pipe理员说,他会让它运行,我会继续寻找。 但后来我发现自己处于编写一个服务的岌岌可危的境地,这个服务的实现基本上是一个cron hack / shiver …因此,任何帮助将不胜感激。 更新 在与系统pipe理员对话之后,他同意在黑客之上build立一个服务并不是一个解决scheme,因此他允许我启动一个本地服务,并使用我可以用于我的目的的端点encryption,结果是一样的。 我会留意是什么导致SPN清除。 本地绑定不是使用Python-LDAP的问题,本地服务在一个小时左右就已经启动并运行了。 不幸的是,我基本上是将包含LDAP的function封装起来,但是我们只能做我们必须做的事情。
允许域用户在机器上启动和停止服务的最佳方法是什么? 域用户不能成为pipe理员。
我已经进入Mac上的目录实用工具,点击服务选项卡,进入活动目录域和计算机ID,点击绑定button,它显示了一个小小的状态标签,闪烁5个步骤中的5个,然后说:“安发生未知错误“。 如果我忽略错误,只需在屏幕下方单击确定button,并确保在服务列表中勾选了Active Directory服务,然后转到“目录服务器”选项卡,然后尝试通过input我的广告域来添加Active Directory,计算机ID,pipe理员用户名和密码我得到一个错误“无法添加域。发生types-14090(eDSAuthFailed)的意外错误。 有任何想法吗?
我想build立一个服务器,通过SMB / CIFS和NFS导出用户主目录。 这个服务器将被join到一个Win2k3 AD域控制器,它拥有我们的用户数据库。 据我了解,winbind将在飞行中为这些用户发明UID。 此用户名-UID映射需要可用于挂载主目录的NFS客户端,否则文件所有权将无法正确显示。 我认为这可以使用SFU来实现,但是据我所知,SFU已经停止使用,并且在最新版本的Windows上不支持,所以我不想使用它。 如何最好地将此映射提供给NFS客户端? (你会认为这是一个常见的用例,但我找不到相关的howto,我的Google-fu可能很弱) 编辑:顺便说一下,在这种情况下,用户可以通过NFS进行连接,而无需先通过SMB / CIFS进行连接吗?
如何将活动目录权限分配给默认应用程序池标识[IIS APPPOOL {应用程序池名称}]? 我试图做到这一点,使Web应用程序查询活动目录组,用户和检查特定用户名或组名的存在。 谢谢。
我想知道是否可以直接从客户端机器创buildkeytab文件,而不使用Windows Server端的ktpass实用程序。 我希望这样做的主要原因是在Linux机器上使用一些shell脚本自动启用Windows Active Directory中的Kerberos身份validation集成。 谢谢
我有两个域控制器(Windows 2003)在我所支持的大多数部门所在的站点中。 我的部门也有另一个build筑(另一个地方),但是他们没有DC。 这可能是一个经典的问题,当一个公司分布在多个站点时是否安装额外的DC。 我们遇到过各种问题,例如login脚本没有映射驱动器,用户在进入之前无法login(即使他们正在input正确的密码)。 我在客户端上收到不同的错误。 其中一些是: Netlogon,5719 ,由于以下原因,此计算机无法与域domain.com中的域控制器build立安全会话:当前没有可用于login请求的login服务器。 这可能会导致身份validation问题。 确保这台电脑连接到networking。 如果问题仍然存在,请联系您的域pipe理员。 GroupPolicy,1055,组策略的处理失败。 Windows无法parsing计算机名称。 这可能是由以下其中一种情况导致的:a)当前域控制器上的名称parsing失败。 b)Active Directory复制延迟(在另一个域控制器上创build的帐户尚未复制到当前域控制器)。 在服务器上,我不断收到这些错误: Netlogon,5722,从计算机SOMEPCNAME的会话设置无法进行身份validation。 安全数据库中引用的帐户的名称是SOMEPCNAME $。 发生以下错误:访问被拒绝。 *(上面的错误不断重复同一台计算机。可能只需要重新添加到域。)* NTDS复制,1864,这是本地域控制器上以下目录分区的复制状态。 目录分区:CN =架构,CN =configuration,DC =域,DC = com 这最后一个看起来好像是一个没有完全删除的DC。 当我运行dcdiag时,它表明我们正试图复制一个不存在的服务器。 我不认为这会导致我们有这些login问题。 我想知道如果我们应该安装另一个DC或尝试别的东西。 我们的客户主要运行Windows 7,但也有一些XP和Vista客户端。 不同站点上的PC之间的带宽看起来是37.4 Mbs(只需通过此实用程序进行validation)。 任何帮助表示赞赏。