当我在Windows Server 2008或Windows Server 2012上的Active Directory重置用户密码并检查选项时, User must change password at next logon时User must change password at next logon才能阻止用户login。 但是,当我不检查此选项并重置密码并解锁他们的帐户时,用户可以成功login。 这显然存在一些安全问题。 我不是很熟悉AD,知道这是为什么发生的,有没有人看过这个?
我有一个W2K3服务器,这是一个AD DC。 它具有一个GPO,将用户的“ Desktop和“ My Documents文件夹指向\\oldserver\Users$\<username> 。 我想将他们的文件夹迁移到另一台文件服务器。 我已经有了它,所以他们的login脚本成功地将H:映射到新的服务器,并且AD DC不再共享这些文件夹。 如果相关,GPO看起来像这样: GPO安全性: 经过身份validation的用户:读取和应用被授予 WMIfilter:无 第一个标签: 设置:基本 目标:为根path下的每个用户创build一个文件夹 根path: \\oldserver\Users$ (“对于用户Clair … \\oldserver\Users$\Clair\Desktop ”这是正确的) 设置标签: 格兰特….检查 移动….没有检查(也试图检查这一点,并重新启动/ gpupdate客户端响应一个答案;相同的结果) 政策删除:离开文件夹… 域中的每个其他GPO都会为此设置显示“未configuration” 但是,当我将GPO更改为指向\\newserver (或者更好的是,只是H:\ ,这也没有效果)时,它似乎不起作用,因为作为用户login到XPSP3框给出错误: 项目经理 \\oldserver\Users$\user\Desktop不可访问。 您可能没有使用此networking资源的权限。 请联系此服务器的pipe理员以确定您是否具有访问权限。 找不到networkingpath。 尽pipe事实如此: 在该用户的机器上,我已成功运行gpupdate ,并重新启动计算机(即使它是用户策略,而不是计算机) 在oldserver上, gpresult /s oldserver /user MYDOM\user直接在用户Applied Group Policy Objects部分下打印Standardized home folders (问题中的GPO) 如果我重新打开GPE,它将新path成功地存储在Standardized home folders […]
环境: Exchange 2007 Avctive Directory 2008 R2 Outlook 2010 GAL \ OAB中的缩略图照片存在问题。 我可以添加照片,并且在连接到Exchange(使用Outlook Anywhere)时显示正常,但在断开连接时不会显示。 使用Exchange 2010,可以通过此更正 Set-OfflineAddressBook "Default Offline Address Book" -ConfiguredAttributes …但是这个命令在Exchange 2007中似乎不起作用。任何人都可以提供有关将此属性从“指标”更改为“值”的任何指导? 此外,照片也不会自动更新在用户联系人(假设有一个匹配)。 我假设通过全局地址列表同步来处理其他细节,但由于上述问题照片未被更新。 如果我查看联系人的唯一变化是照片,然后点击“更新”,它会以“无变化”的方式回应。 但是,如果我打开GAL条目,保存并合并,照片更新。 任何帮助表示赞赏。
我目前通过Cisco Meraki站点运行我的networking到站点VPNnetworking。 我目前有4个站点,所有站点都连接到站点到站点VPN,工作没有问题。 我试图build立一个域的信任与我的网站之一,但无论什么原因,当我尝试设置信任与第四个位置,它不会连接告诉我,“操作失败,错误是:指定的帐户已存在。 我查看了活动目录,看看是否任何一个服务器名称都在其他活动目录中,我没有看到它们(我甚至search过它,没有运气)。 我为每个站点设置了有条件的转发器。 我在这个问题上做了大量的search,似乎找不到任何解决办法。 我希望别人经历过这个问题,可以向我解释如何解决这个问题。 回顾一下: 我有4个站点都连接到一个站点到站点VPN(工作完美无瑕) 我正试图创build一个特定的服务器的域信任 连接到此服务器的4个域信任中的3个没有问题 我已经在所有服务器的DNS内设置了条件转发器。 (我也将每个服务器设置为DNS属性中的转发器) 出现错误“操作失败,错误是:指定的帐户已经存在。 服务器操作系统是Server 2008 R2 希望我没有遗漏任何需要的信息,但如果我有,请问,我会提供。
我正在尝试在Windows 2008 64位服务器上安装Active Directory Web服务(不,不是R2)。 我从这里下载Microsoft下载中心: http://www.microsoft.com/en-us/download/details.aspx?id=2852 也就是说,它是Windows6.0-KB968934-x64.msu 我已经尝试了手册中说我应该的那个,但是得到这个消息 更新不适用于您的系统 当它绝对应该! 我也尝试了其他软件包,但毫不奇怪,他们也没有工作。 有人知道我可以试试吗?
有问题的Linux机器是绑定到活动目录的CentOS 6.5机器。 我可以将本地用户的主要组更改为活动目录组。 但我不能将活动目录组添加到本地用户的补充组。 # usermod -g ad_group_name testuser # id testuser uid=500(testuser) gid=1234567(ad_group_name) groups=1234567(ad_group_name) # usermode -g testgroup # id testuser uid=500(testuser) gid=500(testgroup) groups=500(testgroup) 但是,如果我尝试将该组分配为辅助组,则不起作用: # usermode -a -G ad_group_name testuser # id testuser uid=500(testuser) gid=500(testgroup) groups=500(testgroup) 我可以将该用户添加到尽可能多的本地组,因为我想和它工作的很好。 只是没有活动的目录组。 我该怎么做呢? 我不介意手动编辑组文件。 但是,/ etc / groups不包含任何活动的目录组。 只有当地的团体。
我和我的团队都沉迷于这一个。 我们有两个工作域,OldDomain和NewDomain。 我们正在按照ParentCompany的规定,从OldDomain迁移到NewDomain。 信任是一种方式,OldDomain信任NewDomain,但NewDomain不信任OldDomain。 我们遇到的问题是来自NewDomain的用户已被添加到OldDomain中的域本地组。 因此,当有人要求我们在NewDomain中创buildUserB时,从UserA镜像权限,我们无法知道UserA是否是OldDomain中任何组的成员。 我需要一些build议,方向或直接帮助是一个工具,脚本或searchOldDomain的所有具有UserA作为成员的组的方法。 我在PowerShell,AD用户和计算机以及DSQuery和DSGet中查看了一些命令,但是我们唯一要做的就是将所有组及其成员从OldDomain转储到CSV,然后searchCSV为UserA的SID。 如果有人遇到过这个问题,并且可以给我一些信息,那将不胜感激!
按照这个指南 ,我试图设置FreeRADIUS来对Active Directory进行身份validation。 当我以明文forms发送密码时(使用DEFAULT Auth-Type = ntlm_auth方法),我可以得到一个Access-Accept消息。 但是,我想使用mschapv2,所以密码不是以纯文本格式发送的。 当我这样做的时候: radtest -t mschap user pass 10.10.1.21 0 d34db33f 我得到: Sending Access-Request Id 144 from 0.0.0.0:41971 to 10.10.1.21:1812 User-Name = 'user' NAS-IP-Address = 10.10.7.178 NAS-Port = 0 Message-Authenticator = 0x00 MS-CHAP-Challenge = 0xc118ac9d5a2fbfd0 MS-CHAP-Response = 0x00010000000000000000000000000000000000000000000000003f0b91a63532bc231468ae3034fa0788e64e28efa4832ecf Received Access-Reject Id 144 from 10.10.1.21:1812 to 10.10.7.178:41971 length 38 MS-CHAP-Error […]
我有一个运行Samba4作为Active Directory PDC的Ubuntu 14.04服务器。 该服务器被称为athena,其DNS名称是athena.ad.domain.com。 领域是AD.DOMAIN.COM和NetBIOS名称是DOMAIN。 当我看着我的用户,他们的用户名是[email protected]。 我想要的是他们有[email protected]。 没有别的东西需要改变,但是如果需要的话可以改变。 我尝试在/usr/local/samba/etc/smb.conf和/etc/krb.conf更改领域,然后将用户的帐户更改为[email protected],但是当我这样做时,我无法再次login。 所以目前,我回到了以前的(工作)configuration。 我是否需要重新configurationSamba(使用samba-tool domain provision)? 用户会被保留吗?
我有一个应用服务器使用LDAPS对Active Directory进行身份validation。 我通过端口636连接到AD服务器。 我正在尝试排查/debugging一些性能问题,并开始怀疑AD本身或者应用服务器和AD之间的连接。 我想运行一个tcpdump (我的第一个!),以在authentication性能不好的时期(用户正在login并在浏览器前面等待)捕获stream量。 到目前为止,从这个教程我的命令是这样的: tcpdump port <???> -v -i eth0 -w ~/capture.log 但是,因为这是我第一次使用tcpdump ,所以我抓住了一些有关端口的事情。 我知道我的应用服务器连接到AD的端口#636上的AD,但我不知道我们正在启动连接的端口(在应用服务器VM上)。 我也不知道LDAPS使用什么样的出站/入站端口来协议,而且Google在这个部门没有提供太多的帮助。 例如,我知道FTP总是使用2个TCP连接(command + data); 我想知道LDAPS是否做了类似的事情? 我想这一切要问: 如果我在应用程序服务器虚拟机上做tcpdump ,我应该捕获什么端口#的stream量? 而且,如果LDAPS为其协议使用多个端口,我可以同时在多个端口上运行tcpdump ( 如果是这样,如何 )? 而且,如果有帮助,应用程序服务器使用Java ldaptive库来启动使用AD的基于LDAPS的身份validation。