在工作中,我们最近收到了build议为域pipe理员提供两个单独的帐户。 一个帐户将是一个没有pipe理员权限的标准用户帐户,一个帐户将是Domain Admins的成员。 虽然我可以理解为什么这个build议正在制定,但这似乎也是一个皇家的痛苦。 我知道UAC以一种非常透明的方式pipe理这种types的权限升级。 UAC或其他解决scheme是否能够提供这种级别的保护?
我有兴趣探索在Active Directorynetworking上启用多因素域身份validation的所有选项。 我没有从这个问题中排除技术,但我更喜欢简单的实现来详细configuration。 指纹读取器是理想的,因为最终用户通常不会失去手指速度。 小硬币也可以工作,如智能卡,USB令牌等。
我已经成功地在一根棍子上设置了一个路由器,并有两个子网: 10.0 / 16 10.1 / 16 我的路由器的子接口分别设置为10.0.0.1和10.1.0.1。 运行Windows Server 2008的主域控制器位于10.0.0.3。 我的只读域控制器也运行Win 2008,位于10.1.0.3。 另外,我在这个实验室networking上有3个工作站(Windows XP)。 1台工作站位于10.0 / 16networking上,其中两台位于10.1 / 16networking上。 我在此Active Directory林中也有两个站点,并且该站点与子网和域控制器配对。 我为每个站点都有一个组,并将不同的用户添加到不同的组中,并确保分配给10.1 / 16networking密码的组被“允许”由RODCcaching。 我的目标:将10.1 / 16站点的用户(最终,文件夹,文件等)复制到10.1.0.3上的只读DC,以便在主DC不可用时RODC处理用户身份validation。 我目前能够毫无问题地向主要域控制器validation所有工作站。 我还确认了我的10.1 / 16用户账户已经被caching在RODC 10.1.0.3上。 但是,当我从networking上拔下主域控制器,然后尝试login到10.1networking上的工作站,作为从未对该特定PC进行身份validation的用户(但其帐户在RODC上caching)时,login失败因为域不可用。 显然我没有达到我的目标,我试图找出原因。 任何线索或build议?
我正在尝试确定AD树上的潜在许可问题。 我想到的就是像SysInternals FileMon一样实时监控Active Directory中的对象访问。 例如:将计算机添加到域。 野外有这样的事吗? 有没有更好的办法?
我有一个Ubuntu服务器16.04.01 LTS,我想用它作为远程用户从瘦客户端连接到Windows机器的RDP的桌面。 对于Ubuntu本地用户来说,这可以工作,我可以通过瘦客户机(HP t520)以及通过mstsc从Windows机器连接。 但是,主要想法是从瘦客户端连接活动目录用户,replaceWindows服务器terminal服务基础结构。 现有的AD结构在用户名字段中使用空格: 名字姓氏格式。 我安装了相关的winbind和samba服务,并且这在sshlogin上工作。 我可以使用AD用户名连接,主目录是在/ home / DOMAIN / firstname lastname /下第一次login时创build的,我可以使用ssh连接的所有东西。 但是,通过mstsc RDP /瘦客户端连接访问GUI,我有问题的xhost和其他服务在用户名空间绊脚石: xhost: bad hostname "lastname" X Error of failed request: BadValue (integer parameter out of range for operation) Major opcode of failed request: 109 (X_ChangeHosts) Value in failed request: 0x5 Serial number of failed request: 6 Current […]
我在这个问题上发布一个新的线程,因为我在这里find的所有解决scheme都不适合我。 我试图configuration一个apache2通过keytab在AD2012服务器上使用Kerberos进行身份validation。 首先,我激活了AD中的所有encryptionmsDS-EncryptedSupportedTypes 这是我的客户端(debian) krb5.conf : [logging] default = FILE:/var/log/krb5.log [libdefaults] default_realm = REALM.LOCAL kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true # for testing purpose only allow_weak_crypto = true default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 [realms] REALM.LOCAL = […]
当工作站或服务器尝试对另一个域上的用户进行身份validation时,工作站或服务器在联系本地域DC后是否直接与其他域的DC进行身份validation? 还是本地域DC代表工作站执行身份validation请求? 例: 我目前有两个域名。 Domain hosted.contoso.com和office.contoso.com 。 所有用户都在office.contoso.com域中创build,因此用户[email protected]想要login到机器host1.hosted.contoso.com 。 host1.hosted.contoso.com是否需要直接查看domain-control.office.contoso.com ?
在我了解sccm之前,你们可以告诉我,是否有可能更新和组织pos系统,windows更新,软件更新,这些不在广告域内…这是如何工作的工作组等等和在线链接非常赞赏…. 干杯
我们更改了其中一个ActiveDirectory用户的用户名,但是现在,几天之后,旧的用户名在login时仍在SQL Profiler中显示。 这些SID是否caching了一个用户名的副本? 我可以清除这个caching吗? 用户不具有对SQL服务器的“直接”访问权限,而是在可访问服务器的本地安全组中。
我正在使用Active Directorylogin到RHEL。 要做到这一点,我遵循这里列出的步骤: http://www.markwilson.co.uk/blog/2007/05/using-active-directory-to-authenticate-users-on-a-linux-computer.htm 我希望能够从Windows服务器共享文件夹读取数据,而不需要提示input密码。 在Windows上,我login到AD域,当我访问局域网(也是AD域的一部分)上的服务器上的Windows文件共享时,我可以访问它们没有身份validation步骤。 我在Linux上使用SMBclient来访问这些共享,但它要求input我的密码。 我希望能够脚本访问的股份上的数据,但我不能如果有一个密码提示的方式。 那么,我可以,但这不是我想要做的。 现在,由于我使用我的活动目录用户名和密码login,我不能只是访问股份,没有跳跃的额外hoop? 我知道我可以使用类似的东西来装载共享: //192.168.0.5/share/mnt/windows cifs auto,username = steve,password = secret,rw 0 0 但访问将取决于谁login…每个用户login应该有自己独特的AD访问privelages。 谢谢阅读!