我试图排除一个模糊的身份validation错误,并需要一些背景信息。 Windows(和Outlook等程序)如何处理DOMAIN\username和[email protected]有什么区别? 这两个用户名格式有什么合适的条款? 编辑 :特别是,Windows如何authentication两种用户名格式有什么不同?
用户的帐户一直在Active Directory中被locking。 这可能是由使用Windows身份validation连接到SQL Server的应用程序引起的。 有没有办法找出哪个应用程序导致它,以及为什么应用程序可能导致失败的login尝试?
我的Windows 2008 R2计算机已join到域中。 在login屏幕中,如果我input“[email protected]:something”作为用户名,我仍然可以正常login,最后附加“:something”的含义是什么? 我甚至可以看到当前用户在切换用户屏幕中显示为“[email protected]:something”。 它是Windows中的一个function吗? 还是只是一个错误? 如果它是一个function,login为“[email protected]”和以“[email protected]:login”有什么区别? 请注意,我尝试了不同的组合,如“mydomain \ username:something”和“mydomain.com:something \ username”。 除了“[email protected]:something”之外,他们都没有工作。 2012年9月10日更新 由Justin提出的RunAs问题与我想解决的问题类似,但不完全一样。 如果你这样做 runas /user:[email protected]:anything 你会得到 RUNAS ERROR: Unable to acquire user password 我证实RunAs甚至在查看[email protected]:anything时都不会打扰到LSA [email protected]:anything用户名。 RunAs应该已经完成了inputvalidation,并返回错误。 WinLogon是不同的。 它接受这种input格式并将“[email protected]:anything”传递给LSA。 我看到kerberos.dll里面的LogonUserEx2被调用。 这是要么WinLogoninputvalidation逻辑中的错误,或者这是一个真正的一些隐藏的function可接受的格式。 2012年9月26日更新 我刚刚向Microsoft Premier Support提交了一个案例。 我会在这里更新,如果我从他们得到任何更新。
我正在尝试通过Active Directory中的组策略部署MSI。 但是,这些是我login后在系统事件日志中得到的错误: 从策略安装分配应用程序XStandard失败。 错误是:%% 1274 从策略安装中删除应用程序XStandard的分配失败。 错误是:%% 2 无法将更改应用于软件安装设置。 通过组策略为该用户部署的软件的安装已经推迟到下次login,因为更改必须在用户login之前应用。 错误是:%% 1274 组策略客户端扩展软件安装无法应用一个或多个设置,因为更改必须在系统启动或用户login之前处理。 在下次启动或login此用户之前,系统将等待组策略处理完成,这可能会导致启动和启动性能降低。 当我重新启动并重新login时,我只是得到相同的消息,需要在下次login之前执行更新。 我在Windows Vista 32位笔记本电脑上。 我对通过组策略进行部署相当陌生,所以其他信息将有助于确定问题? 我尝试了不同的MSI,结果相同。 我能够在login到计算机时使用命令行和msiexec安装MSI,所以我知道MSI至less工作正常。
假设我有Active Directory中的用户的用户标识。 我想获得该用户当前所属的所有AD组的列表。 我怎么能从Windows命令行做到这一点? 我已经尝试了以下内容: dsget user "DC=jxd123" -memberof 错误: dsquery failed:'-memberof' is an unknown parameter. type dsquery /? for help.
我有一个客户,他们的员工完全是由使用苹果和Windows 7个人电脑/笔记本电脑的远程员工组成的。 用户目前没有针对某个域进行身份validation,但是由于以下几个原因,组织希望朝这个方向移动。 这些是公司拥有的机器,公司寻求对帐户停用,组策略和一些轻量级数据丢失防护(禁用远程媒体,USB等)进行一些控制。他们担心需要VPN身份validation才能访问AD会很麻烦,特别是在远程机器上被终止的员工和caching凭证的交集处。 组织中的大多数服务都是基于Google的(邮件,文件,聊天等),因此唯一的域服务是DNS和思科ASA VPN的身份validation。 客户想了解为什么将域控制器暴露给公众是不可接受的。 另外,分布式远程员工更容易接受的域结构是什么? 编辑: Centrify正在用于less数Mac客户端。
我在哪里去禁用域的密码复杂性政策? 我已经login到域控制器(Windows Server 2008),发现本地策略中的选项当然是locking的任何更改。 但是,我无法在组策略pipe理器中find相同的策略。 我必须展开哪些节点才能find它?
所以我被告知我们的PHP应用程序可能需要支持使用ADFS的身份validation。 对于一个非微软的人来说,什么是ADFS? 它与LDAP之类的东西有什么不同? 它是如何工作的? 在ADFS服务器的典型请求中将包含哪些types的信息? 它是否为authentication和授权而devise? ADFS服务器通常可以从互联网访问(而公司AD域控制器不会)? 我已经尝试阅读一些Technet文档,但它充满了微软,说这不是很有帮助。 维基百科更好(见下文),但也许一些ServerFault社区可以填补一些空白。 Active Directory联合身份validation服务(ADFS)是由Microsoft开发的一种软件组件,可安装在Windows Server操作系统上,为用户提供跨组织边界的系统和应用程序的单一login访问。 它使用基于声明的访问控制授权模型来维护应用程序安全性并实施联合身份。 基于声明的身份validation是基于关于包含在受信任的令牌中的身份的一组声明来对用户进行身份validation的过程。 在ADFS中,通过build立两个安全领域之间的信任,在两个组织之间build立联合身份。 一侧的联合服务器(帐户侧)通过Active Directory域服务中的标准方法对用户进行身份validation,然后发出包含一系列关于用户的声明(包括其身份)的令牌。 另一方面,资源方面,另一个联邦服务器validation令牌,并为本地服务器发出另一个令牌来接受声明的身份。 这允许系统向属于另一安全领域的用户提供对其资源或服务的受控访问,而不要求用户直接向系统authentication,也不需要两个系统共享用户身份或密码的数据库。 在实践中,这种方法通常被用户认为如下: 用户login到他们的本地PC(正如他们通常在早上开始工作时那样) 用户需要获取合作伙伴公司的外联网网站上的信息,例如获取定价或产品详细信息 用户导航到合作伙伴公司的外部网站 – 例如: http : //example.com 合作伙伴网站现在不需要键入任何密码,而是使用AD FS将用户凭据传递给合作伙伴Extranet站点 用户现在login到合作伙伴网站,并可以与网站“login” 从https://en.wikipedia.org/wiki/Active_Directory_Federation_Services
我想知道如何安全地从一个域的一部分的计算机中删除域用户configuration文件。 我不想从域本身删除帐户,我只需要从这台电脑中删除configuration文件,做一些清理。 我目前在Vista商用电脑上,但是我们也有Win XP Pro和Win 7 Pro。
如果你必须向某人解释Active Directory,你会如何解释它?