我们正在build立一个SharePoint 2010网站。 别担心,这不是一个Sharepoint问题,只是将其添加到上下文中。 大多数网站将是匿名的,但是一些用户能够authentication和编辑内容。 他们使用NTLM(用户存在于AD中)。 是否有任何关于暴露NTLMlogin的用户可以通过http修改通过互联网的内容或只应通过https公开?
我在远程站点上有几个RODC,有时电源故障会损坏ADDS数据库,这需要一些时间来恢复。 我想将RODC移到虚拟机(在同一台服务器上),以便在失败的情况下只能回滚到以前的检查点。 我知道不应该在可写DC的情况下完成,但是不能find关于RODC的任何提及。 操作系统:Windows 2008R2标准 VM:Hyper-V 简介:RODC可以在hyper-v上回滚到保存状态吗? 在这种回滚之后我应该怎么做才能强制同步呢?
我最近刚刚开始在一家IT部门工作很less的公司工作,有一个域设置,但只有默认的GPO在Active Directory中分配。 无论何时用户放入USB设备,都会收到以下错误消息 每当他们点击驱动器时,它说: *Drive Letter*\ is not accessible. Access is denied. 就好像存在某种权限错误一样,但是我看不到任何会拒绝用户访问驱动器的策略,并且在驱动器上没有设置安全权限,这只是“Everyone”组的完全访问权限。 当我作为域pipe理员login时,我可以访问该驱动器,并尝试了以下操作: 格式化驱动器到NTFS 将驱动器格式化为FAT 打开CMD并执行“cacls Drive :\ / t / c / g Everyone:F” 确保“用户configuration\pipe理模板\ Windows组件\的Windows资源pipe理器\阻止访问从我的电脑驱动器”设置为未configuration(并尝试禁用) 进入“安全”选项卡并通过pipe理员帐户授予特定用户完全权限。 将设备所有权设置为不同的用户,如域用户。 帮助与此将不胜感激:)
我有一个关于活动目录权限更改密码的问题。 是否有可能撤销权限更改来自特定OU的用户的密码? 我怎样才能完成这个任务? 我知道这可以为特定的用户组完成,但是对于特定OU中的用户是否可能? UPDATE 感谢您的答复。 他们真的很有帮助。 不幸的是,由于我的低信誉,我无法对这些回应进行调整;) 95%的用户在我正在写的OU中。 我正在考虑从Everyone组中删除更改密码权限,并为可以更改其密码的用户创build组。 问题是来自这个OU的用户是在另一个应用程序,他们应该改变他们的密码使用这个应用程序,而不是在AD。 不在此OU中的用户仅在AD中,因此他们可以在AD中更改其密码。 你认为这将是一个很好的解决scheme,或者会有问题吗? 感谢帮助。
我有一个Ubuntu服务器join到我们的办公室活动目录域(Windows 2008),这一切似乎很高兴。 我可以SSH服务器使用我的AD凭据和主目录得到创build,一切都很好。 我想从服务器共享一个目录,并使用Samba使用ADauthentication(security = ads)。 在文档之后,我遇到了可以在外部看到共享的情况,但是我的AD凭据不允许我连接。 使用相同的凭据从服务器本身工作使用mount.cifs – 即我可以挂载\\localhost\share使用domain\me 我不能从我的桌面使用我的AD证书工作,但我可以连接使用一组Unix的凭据,所以看起来Samba不能解决我的广告细节,但这使我困惑,因为我可以使用安装AD凭据。如上所述的CIF。 有没有关于Windows提供Samba不理解的证书的方法? 奖金问题: 我还没有在服务器上设置Subversion,但是当我这样做时,我将能够使用AD凭据通过Apache进行HTTP访问validation?
我正在尝试为Linux服务器find一个统一的身份validationscheme来对Active Directory进行身份validation。 主要是Ubuntu和CentOS服务器。 我需要的: 免费,稳定的解决scheme 统一的UID / GID,使得文件夹的权限是相同的,不pipe它从哪个服务器上挂载 支持recursion组和组映射(EG sudo权限和login权限,以便只允许组X的成员login) 主目录crossmount,使主目录跨服务器跨越统一体验 统一支持至lessUbuntu和CentOS(理想情况下任何味道) 保持本地帐户(至less根) 理想情况下,一个解决scheme不需要计算机帐户,只需使用LDAP绑定进行身份validation,然后执行组查找授权(不知道这将如何影响其他要求) 我发现的替代scheme是: PowerBroker®身份服务开放版(以前也是开放的) Centrify Express 对Winbind 我曾经有过一次糟糕的经历(authentication是随机阻止sshlogin),但我还没有testing更新的版本。 Centrify我还没有尝试,但似乎很有希望,虽然我还没有find一个好的资源,如何实现我的目标。 Winbind我猜是最可定制的,至less为了完成我的最后一点。 我接受任何可以解决我的问题的解决scheme,但是更重要的是,我正在寻找关于如何在Ubuntu和CentOS上完成所有上述内容的安装指南 有没有免费的工具可以解决我的要求相对容易,如果是这样,什么是一个有效的configuration这样做?
什么是最常见的定期活动,以确保中等到大型活动目录实施顺利和安全地执行。
有时候(例如,当检查恶意软件感染的机器时),以离线的方式在不知道用户的密码的情况下以域用户身份login是非常有用的。 怎么做? 在任何情况下,本地计算机pipe理员帐户都可用。 我知道的一个select涉及转储caching的域凭据,然后将其解密,但这意味着密码不再是秘密,有时根本不可行。 在linux / unix中,我只需要做sudo -u'johndoe'即可完成。 Windows XP / Vista / 7中有什么等价物? 编辑:只是为了提供上下文。 这是为了检查受恶意软件感染的机器。 某些恶意软件只有在以最初受感染用户身份login时才会启动。 我不能把它放回networking来重置密码,因为这太危险了。 所以,这个盒子是离线的,我有一个本地pipe理员帐户,它是在安装时创build的,用于排除故障。
我们在我们的主办公室和我们的生产networking服务器之间使用两台SonicWall设备进行站点到站点VPN连接。 默认情况下,VPN隧道允许两个站点之间的所有stream量。 我想限制这个,这样我们就可以阻止所有来自configuration到办公室的INCOMINGstream量,这样我们的私有networking在我们的生产服务器被攻破的情况下更受保护。 但是,我所看到的一个问题是,我们join到域的服务器仍然需要能够联系我们办公室的DC来进行组策略,ldap信息等等。所有的服务和AD使用的端口,我发现RPC服务使用随机端口,这使得很难在防火墙上打孔来使其工作。 我发现了这篇 kb文章,它描述了如何将其更改为所有域控制器上的特定端口,然后允许我在防火墙上打开单个端口。 这篇文章不会去的是这样做的缺点。 我想他们有一个随机的端口的原因..并采取了这一切是消除它提供的任何好处。 将这个切换到特定的端口会损失什么? 指示让我编辑我所有的区议会登记册,我很乐意避免。 另外,如果我们能够在我们的胶粘地点拥有一个RODC,这将是一个很好的例子吗?
在试图回答这个问题时,我碰到了一些曾经困扰我的东西,而我一直没能find答案。 以下脚本块将列出本地pipe理员组的所有成员的名称。 $group = [ADSI]"WinNT://./Administrators" @($group.Invoke("Members")) | foreach {$_.GetType().InvokeMember("Name", 'GetProperty', $null, $_, $null)} 但是它只会列出名称,而没有其他属性。 我相当确定,我可以提取其他Members属性,但我不明白我将如何去确定这些其他属性是什么。 我不一定需要知道该项目的附加属性,这更多的是如何去寻找它们的问题。 (我很抱歉,如果这有点含糊,我非常自我教导,而且我很清楚,我可能会吠叫错误的树和/或经常犯下可怕的错误。)