我想用realmdjoinUbuntu 14.04 LTS的Active Directory域。 要做到这一点,我刚刚安装realmd和一些依赖这个命令: aptitude install realmd sssd sssd-tools samba-common krb5-user 。 安装后,我试图join我的领域与命令realm –verbose join ad.example.com -U Administrator要求的pipe理员密码,但他们坠毁与这个输出: * Resolving: _ldap._tcp.ad.example.com * Performing LDAP DSE lookup on: 10.7.0.2 * Successfully discovered: ad.example.com Password for Administrator: * Unconditionally checking packages * Resolving required packages * Installing necessary packages: samba-common-bin * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.QARGGX […]
我的组织已经在多个海上平台上部署了2008年的RODC。 我们的想法是将我们的岸基领域扩展到我们的船上,以更好地控制安全政策。 selectRODC的假设是消耗更less的带宽。 还有安全问题,但这些是次要的。 海上互联网连接是由非常昂贵的卫星链路提供的。 速度从缓慢到不存在。 pipe理用户,计算机,组和权限更改以及GPO更新的速度令人难以忍受。 我开始相信我们已经对RODC发展了隧道愿景,并且拥有可写域控制器可能是更好的select。 我正在考虑一艘RWDC和一艘RODC。 这是一个小型的用户群,但拥有冗余是至关重要的。 还有更多,但我不能简短地总结它。 我很好奇,如果有人曾经testing过RODC和RWDC之间的带宽消耗差异吗? 用RWDCreplace其中一个RODC是否会显着增加带宽消耗? 我将redirectRODC从RWDC复制。 这将意味着一个域控制器连接到岸上。 就像现在坐的那样,通常需要几分钟的时间才能完成。 pipe理RWDC船上的pipe理员会使生活更美好。 恐惧是RWDC的喋喋不休会填满pipe道。 那么,有谁会testing这个区别?
我们有几个应用程序依靠Windows身份validation – 一些AD身份validation打开的Web应用程序,我们通常使用Windows身份validation连接到我们的SQL服务器。 这通常顺利运行。 但是,如果我们VPN'd的客户端网站虽然不起作用。 SSMS 通常从开始菜单中打开SSMS,然后select一个通常接受Windows身份validation的服务器,产生一条消息: login失败。 login来自不受信任的域,不能与Windows身份validation一起使用。 (.Net SqlClient数据提供程序) 如果我放到命令提示符并使用runas /user:domain\user启动SSMS,则可以使用该ssms进程将Windowsvalidation成功执行到我们的SQL服务器实例。 如果我查看任务pipe理器,ssms.exe(开始菜单vs runas)的两个副本具有相同的用户,并且我可以看到procexp中的进程之间没有明显的区别。 ADauthentication网站 如果我打开IE并浏览我们的任何一个需要authentication的Windows用户的网站,我会得到“你是谁”提示,那个对话框认为我是VPN用户。 我可以点击“使用另一个帐户”,然后通过validation。 外表 即使Outlook提示input用户名,当我们VPN'd! 它影响我们的Win7和Vista机器。 我们有一个XP的盒子已经有一段时间了,但我不记得有这个问题在XP的价值。 VPN连接只是使用内置的windows VPN连接,而不是华丽的思科VPN或任何性质的东西。 有没有人知道如何告诉Windows,当我们的域名资源进行身份validation时,我想成为我的普通老域名用户而不是VPN用户? 哎呀,如果我试图访问需要客户端VPN上的资源的Windowsauthentication,我会很高兴的提供一个解决scheme,让我和“你是谁”。 谢谢! 道歉,如果这是更多的超级用户问题,我不知道哪个网站最适合。 这是关于networking和基础设施,在这里困扰我们所有的开发人员,所以我希望这是一个服务器故障Q.
我们有许多运行XP SP2的电脑(以及一对运行SP1的电脑)已经投入使用,我们希望保持本地pipe理员的密码在整个OU中保持一致。 我能想到的唯一解决scheme是使用pspassword来更改所有密码,或者在PC上本地运行包含密码的脚本。 不幸的是,pspasswd不能在不在线的计算机上工作,而包含密码的本地脚本将不安全。 还有其他可行的解决scheme吗? 在密码更改时,我如何计算不在线的计算机?
有没有办法我可以审计AD来检查一个特定的密码? 我们曾经为所有新用户使用“标准”密码(例如MyPa55word )。 我想确保在我们遗产的任何地方都不再使用它。 唯一可以考虑如何做到这一点的方法是:a)以某种方式审核目录中的任何用户使用此密码或b)设置一个GP,明确禁止此密码(理想情况下,这将提示用户重置密码。 ) 任何人有任何提示,我可以如何处理这个? 钽, 本
我一直在寻找一个有数千个组的活动目录,其中组对是彼此的成员。 GroupA将GroupB作为成员。 GroupB将GroupA作为成员。 Oy公司。 我正在想通过这个圆形嵌套组的可能后果。
我GOOGLE了如何列出locking的帐户,并find两种方法到目前为止,这两个都不工作… 保存的查询 – (&(&(&(objectCategory=Person)(objectClass=User)(lockoutTime>=1)))) 列出许多账户,其中许多账户没有被locking。 如果我解锁了一个我碰巧知道被locking的东西,它仍然会被查询返回。 Powershell命令 – Search-ADAccount -LockedOut 什么也没做。 所以要么 – 我做错了什么? 或者 – 有没有一种方法可以实际工作?
在我们networking的某个地方,ldap客户端正在查询我们的AD服务器而没有正确的CA信息。 这引起域控制器事件日志中的(在我看来无用的)系统关键(源:schannel)事件ID 36887: 收到以下致命警报:46。 我如何find错误configuration的客户端?
我在这里有一个catch-22的问题。 假设我正在使用Microsoft System Center数据保护pipe理器(2010或2012,它以同样的方式)来备份我的Active Directory环境(如“我的域控制器的系统状态”)。 然后,一个完整的数据中心丢失发生。 我必须在新的硬件上重新开始,我只有我的磁带备份可用,因为它们被存储在异地。 所以我买了一些新的服务器,一个新的磁带库,新的存储等等。 现在,每个人都知道(或应该知道)为了执行Active Directory灾难恢复,我需要至less恢复域控制器的系统状态; 当然,如果我需要从原始服务器的不同硬件上恢复它,这可能会变得很棘手 ,但是我们也假定这一点已经被覆盖了。 不过, DPM需要Active Directory才能工作 ; 它甚至不会安装在独立的服务器上。 但是,当然,需要一个可用的DPM服务器才能从磁带中获取这些备份。 如何从仅使用新服务器和DPM磁带备份开始恢复Active Directory环境? 注意使用虚拟域控制器和备份完整的虚拟机可能会使恢复更容易,但实际上并没有改变这个问题:为了安装 DPM,仍然需要工作的AD环境。
由于近期勒索软件爆发(Cryptolocker / Cryptowall /等)产生的工作量,最近我的任务是实施软件限制策略来阻止临时目录中的程序执行。 这通常工作得不错,但是当我们需要安装软件的时候,我们遇到了问题,因为这些软件限制策略阻止安装者访问机器的临时目录。 我们的Active Directory层次结构基本上是按照我们的物理站点的行来组织的,我们的AD对象inheritance了几个来自域根和它们的特定站点OU的GPO。 因此,我没有select在域根目录下创build阻止的策略OU(因为不inheritance特定于站点的组策略设置会导致计算机出现严重问题,而且远程用户也不够熟练,无法解决这些问题),或者将组策略对象更靠近子OU(因为这将涉及几百个我不愿意做的脱链和重链操作),或者在每个阻塞inheritance的情况下创build一个子OU(因为我会拥有在这种情况下做几百个连接操作)。 也就是说,我需要暂时停止软件限制策略GPO的应用,以便我们可以不时地安装软件。 我试图通过在每个站点创build一个子OU来解决这个问题,并且连接了一个反向的软件限制策略,认为反向策略的更高优先级将会覆盖inheritance的策略,但是这根本不起作用 – 一个RSOP显示电脑获得免费的disallow和unrestricted规则, disallow规则在这种情况下获胜。 因此,考虑到这一切(无法重新链接所有的GPO,不能创build简单的inheritance阻止的OU,而具有更高优先级的GPO似乎不能解决我的问题),我可以做些什么来[暂时]阻止inheritance的软件限制GPO的应用程序? 假定Server 2008 R2 FL域/林中的Windows 7客户端。