我有一个问题。 我已经用我的office365帐户build立了第三方SSO。 第三方SSO使用我的on-premesis Active Directory进行身份validation。 唯一的区别就是在premesis SSO和这个之间使用ADFS是这个位于“在云端”…但是我离题了。 无论如何,我运行DirSync并启用office365和我的广告之间的密码同步。 这是成功的,目前正在工作。 然后我“联合”了域以使其与SSO一起工作。 我使用Windows Azure AD Powershell连接到我的office365订阅(连接msol)。 然后我成功联合了这个域名。 为了创build设置,我使用了powershell命令“Set-MsolDomainAuthentication”并添加了一些参数来设置服务。 由于我的印刷错误,我错误地设置了“IssuerUri”“LogOffUri”“PassiveLogOnUri”。 我回到了Azure AD powershell,并尝试使用“Set-MsolDomainAuthentication”命令来更正这些参数,但是它们不会更新到新值!Powershell“接受”命令,但是我看不到这些命令的前端更改url。 显然,问题是,当试图login到微软在线,它redirect到一个不正确的url,所以我不能“login”使用SSO。 我仍然通过pipe理员凭据访问后端。 任何帮助表示赞赏!
我如何configuration系统,以便每当我创build一个新用户,并在她/他的桌面上自动提供一个名为“项目”的目录? 有什么有关C:\用户\默认?
我只是想通过php(ldap)访问Active Directory-Server,以便能够使用Windows凭据进行网站login。 我在连接到虚拟机中的Windows Server 2012 R2的标准Windows上使用xampp执行此操作。 现在转向生产,我担心安全问题: 运行php的服务器必须访问Windows / AD / LDAP-Server。 但是我读到,离开从外部访问的login服务器会产生大量的暴力攻击,试图获得一些密码。 大公司,大学和学校仍然允许你在家login你的工作账户。 他们如何做到这一点没有留下一个大的安全漏洞? 除PHP / LDAP之外,还有其他的select吗,他们是否将networking服务器的IP列入白名单(我怎么做?),或者他们在同一台服务器上运行Web服务器和AD(我怎么做)?
让我先说这个,说我不是广告pipe理员,我们的广告专家是度假的 – 完美的时机 – 所以请原谅我的无知。 我有一个主域控制器ADServer (具有FSMOangular色),这是双向复制到辅助域控制器TWDC 。 domain / dhcp / dns在两台服务器上都被丢弃了,唯一有效的还原点就是备用控制器(大约20天后)。 我试图在还原的服务器上执行DSRM授权还原,但无法连接到主服务器上的域服务。 我有networking启动并运行在二级域控制器上,但是,主要看起来很漂亮的垃圾netlogon服务将无法启动日志中有多个错误: DFS namespace service could not initialize the trusted domain controller , The procession of Group Policy failed , Active Directory Web Services could not change its advertising state , This computer is now hosting the specified directory instance, but Active […]
情况:我需要每小时检查一次多个服务器的目录服务事件日志。 为了做到这一点,而不击碎数据中心,并不受networking速度的约束,我正在复制evtx文件到不同的机器。 缺点是,我正在处理的计算机上没有ADangular色,也没有安装它,这意味着logparser.exe和PowerShell Get-WinEvent等工具无法读取日志中的消息信息。 我正在寻找的是一种方式来从程序上读取事件日志中的消息或能够加载DLL /程序集,以方便阅读。 PowerShell强烈首选,因为我不是一个.NET开发人员。 提前感谢你的帮助。
服务器: CentOS 7.3.1611,启用了NFS4。 在/etc/idmapd.conf域中= my.domain.com本地用户创build为“user”,目录通过NFS导出:/ home / user / Documents 客户端:已join到AD Realm的Fedora 25:my.domain.com AD用户login工作正常。 sssd.conf已被更改,所以用户名只是'user'而不是'[email protected]'。 所以家庭目录/家庭/用户自动创build。 我已经改变了/etc/idmapd.conf与NFS服务器(my.domain.com)具有相同的域。 现在:在客户机上,我想从CentOS NFS服务器上通过NFS4挂载/ home / user / Documents。 挂载成功,但UID映射是错误的。 所以在客户端上,目录/ home / user / Documents是从NFS服务器挂载的,但是uid = 1002是NFS服务器上的'user'的UID,但是这不是正确的user'user'客户端(UID 709001103)。 $ mount -t nfs4 -vvv server:/user/Documents /home/user/Documents mount.nfs4: timeout set for Wed Mar 8 15:54:45 2017 mount.nfs4: trying text-based options 'vers=4.2,addr=192.168.95.17,clientaddr=192.168.95.28' […]
目前,我们正在为AD域控制器(无Exchange)运行SBS 2011,并考虑迁移到Server 2012 R2 Essentials的选项。 我知道Windows Server 2012 R2 Essentials必须是Active Directory林根目录下的域控制器,并且必须包含所有FSMOangular色。 我们如何用这种方法实现容错? 我们可以设置Windows Server 2012 R2 Standard机器并将其configuration为副本DC? 在这种情况下CAL是如何工作的,因为Essentials不需要CAL,但是Standard呢?
关于重build失去信任关系的文章有很多,但我认为这种情况与我读过的不一样。 我的networking中有2个2012 R2 DC,当主DC发生故障时,副DC没有占用域。 我修复了主DC,但无法完全解决次DC的问题,而且我无法获得新的DC进行正确的复制。 所以我开始从头开始离开旧的主要DC,而我创造了新的小学和中学的DC。 那已经完成了。 DCDiag在DC上都很清楚,除了在构build期间的最后24小时内出现less量系统日志问题外, repadmin /showrepl显示了成功复制的两种方式。 所以现在我需要把所有的客户都join到“新的”域中,除了它不是全新的。 域具有相同的名称,但它不是相同的一组DC。 “本地服务器事件”列表显示客户端PC正在尝试连接,因为他们在与以前具有相同名称的域中看到DC。 事件说重build信任关系,因为他们的SID是不正确的,但实际上比这更复杂。 他们无法连接,因为我还没有创build他们的用户帐户,以便他们得到一个SID。 为了继续下去,我想要求指导,以确保我以不会造成问题的方式将客户join域。 我只有11个账户可以创build,所以不是太麻烦。 但是我担心如果我不这样做,我会创造更多的问题。 所以我的问题是: 我如何重新join到新的域名,这是真正的域名和以前一样? 我只是简单地创build他们的账户,然后让他们用创build帐户时我最初设置的密码进行login? 我是否将他们从域中断开,然后重新join? 其中一个客户端是使用一系列帐户名称的TFS服务器。 如果我将它与域名断开连接,是否会产生一系列问题,导致它无法连接到新的域名系统? 最后,不是我这次需要它,但是有没有一种机制可以用来保存DC数据,从旧的主DC中导出,这些数据可以导入到新的主DC中? 试图挽救数据的“最后一沟”。 我知道这就是中学DC应该做的事情。
我正在Windows Server 2012 R2上运行文件和存储服务。 我需要运行gpupdate / force,所以需要注销。 我想确保注销后(只有一个用户曾经login过,而且用户不会在重新启动后才能注销),我的共享仍然可以被域用户使用。 我已经尝试find一个logging的答案,但我认为这可能是一个明显的答案,我找不到它写在任何地方。 请原谅我平庸的Google-Fu技能。 那么,如果您以唯一login的用户身份注销,是否持续提供文件和存储服务(更不用说ADDS,DNS和其他服务)? 重新启动此主机后,这些服务是否会自动启动,并可供域计算机使用? 还是需要login服务器才能开始提供这些服务?
有没有办法让gpresult工作,而不需要以真正的用户身份login到计算机? 假设UserA正在login到计算机XYZ 。 您通过TeamViewerlogin到或在本地作为AdminA ,您右键单击以pipe理员身份运行 ,input您在着名的gpresult / R命令中键入您的pipe理凭据,以获得计算机GPO,它根本就不在那里。 gpresult /R INFO: The user adm.test does not have RSoP data. 您尝试远程执行它也失败了… gpresult /S DDD9D5 /SCOPE COMPUTER /R INFO: The user does not have RSoP data. 如何强制它,以便您实际上可以获取该数据作为该计算机上的域pipe理员或pipe理员 (而不是用户)和从未真正login到该计算机的用户? 多年来,我认为这只是“工作”,但似乎我总是通过RDP或其他方式login到计算机,它一直工作。 现在不…我需要一种方法来正确debugging。 我的唯一select是以标准用户身份login,然后执行命令吗?