在进行安全审查之后,我正在拆分当前在公司域中的单个计算机上的Windows 2008 Server应用程序的层。 我想将IIS 7 Web UI移动到域中的新计算机上,以便用户可以使用其AD帐户进行身份validation,并将其余(应用程序层和数据库服务器)留在当前计算机上,但从防火墙后的域中移出。 应用程序层服务需要在域服务器上的各种共享上创build文件。 以前,服务作为一个特殊的域用户运行,可以访问共享。 现在这是不可能的。 有没有办法允许域服务器上的共享文件夹(通常是资源)访问非域用户/机器?
我们有很多笔记本电脑很less连接到本地局域网。 由于他们无法经常与域控制器联系,因此将他们join到域中效果不佳 – caching的密码最终会过期,新用户无法login等。 现在我们把它们作为工作组计算机来处理,并在其上设置本地帐户。 但是,这意味着会失去所有组策略设置,远程控制,软件安装,AD清点以及来自域的一部分的所有其他优点。 在更新软件或更新库存时,基本上使我的工作比我想要的要困难得多。 别人怎么处理呢? 有些笔记本电脑连接到我们的办公室WiFi,所以应该能够与DC通话,但在用户login前似乎没有连接到WiFi,所以他们仍然无法login。 一些笔记本电脑连接到其他人的无线networking。 在用户login之前是否可以让他们连接到无线和VPN,以便与DC通信? 其他笔记本电脑使用手机上网卡,这需要一个软件客户端连接,所以login前可能无法连接。但是,如果login,Windows会更新他们的caching帐户密码,然后连接到一个VPN,所以它可以与直stream他们login后? 笔记本电脑是Windows 7和XP的50/50混合。 我目前几乎是解决scheme是join笔记本电脑域,并要求用户每几周通过以太网电缆连接到办公室networking。 哪些工作,但不是每个人都会记得或能够做到这一点。
我有多个Windows 2003服务器支持特定的networking,当一个特定的服务器脱机时,域服务开始快速失败,例如用户无法login。 我应该查看哪些检查清单,以确保可以使我的主域控制器脱机,出于工作或任何其他原因,并使域仍按预期工作。 我以为我有冗余,但事实上,事实certificate,我没有。 我想研究一下这个问题,弄清楚如何真正地为域服务提供冗余 – 非常感谢提示,技巧和评论。
有没有办法使Active Directory中的安全列表不作为通讯组列表?
如果Active Directory PDC始终是一台物理机器,还是可以在虚拟机上运行? 什么是影响/折衷/陷阱? 作为一个必然结果,运行一个也是Hyper-V主机的物理PDC呢? 那里有什么影响(尤其是对于也可能是SQL或Exchange服务器的访客虚拟机?) 注:性能影响是次要的。 我主要关心的是陷阱。
我试图让一个帐户更新所有用户对象的非常具体的属性。 我在“用户”对象上设置此安全性。 当我在安全选项卡上添加帐户时,进入高级,编辑帐户权限,并开始通过属性列表,我只能find一些,如名字,但我想让他们的大多数属性写入丢失。 我如何授予帐户对这些属性的写权限? 我需要授予以下权限的属性: 名字(givenName) 姓氏(Sn) 缩写(首字母缩写) 部门(部门) 公司(公司) 标题(标题) 经理(经理) 位置信息(physicalDeliveryOfficeName,streetAddress,postOfficeBox) 工作电话(telephoneNumber) 寻呼机(寻呼机) IP电话(ipPhone) IP电话其他(otherIpPhone) ThumbnailLogo(thumbnailLogo) jpegPhoto(jpegPhoto) 说明(displayName) 谢谢
我的公司对Access + MySQL应用程序进行了相当广泛的使用,如果我发布了源代码,可能会在Daily WTF上看到一些显着的stream量。 用户及其权限的pipe理已经失控,我似乎花费越来越多的时间来处理这些问题,或者试图弄清楚为什么有人看不到他们应该看到的东西。 它最初设置为在一个仓库中由三个用户使用。 它现在已经被四个州的二十多个用户所使用,很快就会增加更多的function,并且这些function已经与用户以大约10比1的比例增加了…实际的核心应用程序并不坏,但是pipe理用户是一个痛苦。 Access对数据本身是一个很好的前端,它存储在我们总部的MySQL后端。 用户在卫星分支处有Cisco VPN盒,而且这一点也很好。 范围从简单的仓库运输logging到成熟的客户关系pipe理/企业资源计划…呃,我想你可以称之为解决scheme。 也许是乳液。 如果我有预算,我会打电话给SAP,告诉他们有。 恐怕在可预见的将来,这个可能性已经不存在了。 遵循Google的指示(并不总是最安全的做法),我使用Access中的“用户级别安全向导”为不同的用户分配用户名和密码,当我以4-5个用户和3个活跃用户。 但现在很笨拙。 我最深切的愿望是希望有一些方法来validation用户身份,并根据Active Directory用户名和密码分配权限angular色。 我被告知这是不可能的。 几个谷歌search没有什么值得注意的。 我推测,应该可以使用Active Directory获得某种authentication框架,因为VBA具有指向Windows中各种API的链接。 但是,这是值得的时间和麻烦? 有没有人得到这个工作,或者我可能炸毁不仅我的WTF值得的应用程序,而且域?
一个域“A”的pipe理员是否可以在同一个“开箱即用”的森林中的另一个域“B”中重置用户的密码? 我相信域pipe理员不可能像这样pipe理森林中的另一个域。 除非他使用一些非标准的,恶意的,公用事业和黑客。 任何人都可以确认吗?
我们一直使用PowerBroker身份服务开放来成功地从ubuntu主机authentication活动目录用户六个月。 最近ADauthentication在多个工作站停止工作后,用户一次执行200+包的apt-get upgrade 。 身份validation尝试会给出错误信息,“密码无效”,“用户帐户已过期”或“您的帐户是否被locking? 我一直无法将问题链接到特定的软件包升级,但是使用相同的软件包版本从头开始构build的工作站不会遇到问题。 我已经尝试重新安装PBIS和validation所有的configuration文件,但我错过了一些东西….我不知所措,并会爱任何人的build议。 我宁愿不必在下次发生这种情况时重build另一个盒子! 身份validation尝试 我第一次validationAD用户帐户已启用,没有被locking,并没有过期。 本地用户身份validation通过lightdm和ssh正常工作。 lightdm 有效的凭据 错误返回给用户“密码无效,请重试。” auth.log:没有 系统日志:没有 密码错误 错误返回给用户“密码无效,请重试。” auth.log: lightdm: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:username][error code:40022] 系统日志: lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed) lsass: [lsass] Failed to authenticate user (name = 'username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = […]
我试图让我的Linux机器使用活动目录身份validation。 我相信我几乎所有的设置都正确。 我能够发出wbinfo -g和wbinfo -u ,分别查看所有组和用户。 简要介绍我的设置: 我用我的Linux机器上做用户名的用户名是nick 。 我的活动目录用户名是nwalke 。 他们有两个不同的密码。 我可以用nick和那个用户的密码login到nwalke ,我也可以用nwalke的密码login到nwalke 。 好奇的一点: 在创build活动目录用户的主目录后,我运行一个需要root权限的脚本。 这是为他们设置一些系统级的东西,比如一个samba共享。 当我以nwalke身份nwalke ,input我的nwalke密码并成功。 [sudo] password for nick: 。 如果我在这里input我的nwalke密码,它说Sorry, try again. 。 如果我input了nick的密码,那么说Sorry, user nick is not allowed to execute scriptname as root 。 如果我以nwalke身份进行nwalke ,我看到神奇的是我的用户被给予了组合。 现在,我不小心以为nick有一个100,而不是1000的UID。所以最初在我的smb.conf我有idmap uid 1000-10000 。 我能想到的唯一的事情就是我在nwalkelogin的同时仍然设置了,现在我只是被提出了一个1000的UID,迫使linux认为我是nick 。 我不确定该从哪里出发。 就像我说的,我相当确定活动目录正在与我的服务器通信,但是一定不能在linux端正确映射。 有什么想法吗? 这是我的smb.conf : [global] […]