我正在一家公司的networking中,通过一个Win Server Active Directory进行configuration,连接数百台Windows计算机连接到本地域。 我们正在做一些testing来开始介绍Linux机器。 我已经用Linux Mint安装了一个,将它连接到本地域,同样,我们可以与networking用户login到这些计算机。 但是,与在Domain Admin组中的用户自动拥有pipe理员权限的Windows环境中不同,在Linux中,他们不具有root访问权限,也不能sudo。 我相信给他们sudo权利将是最简单的,但我怎样才能在sudoers文件中添加一个networking组?
看起来过去有两个属于这个域的不正确的退役域控制器(DC1和DC2)。 我基于域_msdcs.contoso.com DNS区域中的一些剩余logging,主要是NSlogging和gc子域下的Alogging来结束这个。 没有旧域控制器的Active Directory对象,可以在Active Directory用户和计算机中的OU=Domain Controllers,DC=contoso,DC=com或Active Directory站点和服务中的NTDS设置中删除build议在清理服务器元数据 。 如果我尝试使用ntdsutil删除孤立的域控制器的元数据,我得到以下错误: metadata cleanup: remove selected server dc1 Binding to localhost … Connected to localhost using credentials of locally logged on user. LDAP error 0x22(34 (Invalid DN Syntax). Ldap extended error message is 0000208F: NameErr: DSID-031001D1, problem 2006 (B AD_NAME), data 8350, best match of: 'CN=Ntds Settings,dc1' […]
我正在尝试为开发人员创build更多的“自助服务”虚拟机。 要求是在运行脚本引导机器并将其join域之后,机器的本地域控制器立即将其数据(例如新注册的机器名称)复制回主企业域控制器。 这应该允许开发人员立即通过DNS名称而不是IP地址来访问机器。 剧本: 以交互方式捕获域pipe理员凭据 join域 configuration一些本地服务器的东西 通过电子邮件发送报告 引导脚本被devise为由系统pipe理员(域pipe理员)交互地调用来为开发者设置机器,但是稍后它将被烘焙到unattend.xml中。 我已经尝试了以下方法: 1.通过WMI连接到具有域pipe理员凭据的域控制器,并在那里运行repadmin以强制复制 这似乎不起作用,因为repadmin不喜欢通过WMI调用,它宣称没有权限,因为它是如何解释凭据WMI $remotesession = new-pssession -computername "localdomaincontroller" -Credential $credential invoke-command -ScriptBlock { Repadmin /replicate corporatedomaincontroller localdomaincontroller 'DC=company,DC=com' } -Session $remotesession Remove-PSSession -Session $remotesession 2.在本地执行repadmin 所以我安装了repadmin到我的服务器模板,但是这似乎不工作,除非你先重新启动机器。 因为我想要从单个脚本启动所有的任务,这似乎不起作用。 Start-Process powershell.exe -Credential $credential "Repadmin /replicate corporatedomaincontroller localdomaincontroller 'DC=company,DC=com'" 所以任何人都可以build议,我怎样才能join到一个域的机器,并强制从单个脚本的DC复制?
我有一个客户端的SYSVOL文件夹的完整副本。 现场唯一的DC已经失败并被恢复,但是这让我想知道是否有工具查看SYSVOL文件夹的副本,以了解有关组策略应用的信息。 我知道我可以手动查看大量的信息,但是这个客户有很多GPO。 有没有人听说过或见过这样的工具? 也许是完成相同任务的另一种方式? 先谢谢你!
背景 : 在我们的环境中,用户login到Windows 7 PC,然后启动全屏Citrix XenApp(与Microsoft RDSH相同)桌面。 带单点login的Citrix Reciever用于启动XenApp桌面。 所有工作都是在XenApp桌面上完成的。 XenApp服务器不一定与Windows 7计算机在同一个AD站点中。 我们每30天执行一次密码过期。 Windows 7及更高版本提示用户通过通知区域中的气球消息重置密码。 这导致我们两个问题如下所述: 问题 1)用户在Windows 7计算机上更改密码,同时已login到Citrix XenApp,例如通过按C + A + D。 XenApp桌面会话仍使用其旧密码进行身份validation。 然后,他们在XenApp中出现问题,显然他们无法通过IIS服务器,SQL Server等进行身份validation。 2)用户在其XenApp会话中更改密码。 这意味着他们的Windows 7机器仍然使用旧密码进行validation。 他们可以通过locking屏幕并使用新密码对其进行解锁来解决这个问题,然而不幸的是,这打破了Citrix客户端的单一login过程,因此如果他们需要重新启动Citrix XenApp,除非他们注销Windows 7然后回来(这家伙有同样的问题http://discussions.citrix.com/topic/333487-published-desktop-with-receiver-password-changing/ )。 问题的症结在于,一旦shell已经加载,用户可以更改密码。 当最终用户机器运行Windows XP时,我们没有这个问题。 我想这是因为Windows XP提示用户在启动explorer.exe之前立即更改密码。 问题(S): 我们可以configurationWindows 7来提示用户在加载shell之前更改密码吗? 如果没有,是否有第三方软件可以帮助我们呢? 据推测,任何使用Windows 7或更高版本以及RDSH / Citrix桌面的组织都会遇到类似的问题。
我使用realmd / sssd将服务器join到MS Active Directory中。 我用mod_auth_kerb安装了apache,并在 Windows服务器上创build了一个keytab 。 但是,我需要将更多的SPN添加到密钥表中 。 我曾尝试使用KADMIN,但我得到一个错误: root@server /etc/httpd# kadmin -p admin@domain -q "ktadd -k /etc/httpd/krb5.keytab HTTP/service1.domain" Authenticating as principal admin@domain with password. Password for admin@domain: Password for admin@domain: kadmin: Database error! Required KADM5 principal missing while initializing kadmin interface 我一直在网上search,但像往常一样,我真的很难find任何有用的kerberos。 身份validation似乎正在工作,虽然我缺less校长; [Wed Dec 30 12:06:49.076912 2015] [auth_kerb:error] [pid 5246] [client […]
我们有一个AD环境,通过ipsec隧道连接到一个数据中心的域控制器 – DNS似乎工作正常,它们都设置为127.0.0.1 ,转发地址和每个DHCP服务器发出正确的地址。 所有子网也都正确设置在站点和服务中,而且我们在DNS(还没有)遇到问题。 但是,无论何时我们将一台计算机从不同站点(不在同一个192.168.xx/23子网中)join到域控制器的域中,我们必须手动将某个DC的IP添加到WINS服务器选项上网卡的选项。 我能想到的最好的解决scheme是将044服务器的选项044添加到每个其他站点的dhcp。 虽然这不是什么问题,但这是DNS问题的症状,将在以后的日子咬我的屁股,或者是增加了这个选项的DHCP正确的方式来处理它?
我们有很长一段时间全职员工通过远程桌面连接到她的办公室(Win7或Win8,不完全记得)的机器,这将工作24×7的全天候工作。 我们认为会有风险,家里的电脑可能会被病毒感染,或者孩子/客人可以访问,然后通过办公桌面访问内部服务/服务器,并损坏保存的信息。 尽pipe用户都在Active Directory中进行了描述,但是networking共享在所有服务器(服务器在域中,但是共享文件夹的ACL在本地创build,而不是AD推送)在本地进行pipe理。 从历史上看,有相当多的服务器产生了累积的信息,而且用户是多个用户组的成员,通过个人和群组获得她的许可。 现在我们要保持自己的个人资料和她在办公桌面上的所有工作环境,想要保持本地pipe理权限(软件开发,包括安装和卸载帮手应用程序,pipe理她PC上的共享文件夹等),要她能够研究旧文件多年积累的信息。 但是不能修改它们。 至less不是没有一些精心策划的规避活动(我们害怕被忽视而不是恶意)。 一种方法是将她的用户帐户从NT域用户转换为本地用户。 但是这样她所有的networking访问权限将被无条件地删除。 另一种方法是繁琐地枚举所有服务器和所有共享,然后在该用户的每个服务器上添加NTFS“拒绝写入”权限。 这是乏味的,这是脆弱的(将来创build/调整任何新的共享文件夹,将分享给她的一些用户组,将隐式地访问她)。 所以我认为,也许AD或组策略有自己的用户粒度拒绝SMB写入规则? 我们是否可以在AD和她目前所在的所有用户组中保留自己的个人资料,但是通过向她的帐户添加一些个人规则覆盖所有当前和未来的共享文件夹访问权限,以强制它们全部被读取? 与访问除白名单文件夹之外的共享SMB文件夹时的“user xxx @ domainyyy”类似,应拒绝所有写入,而不pipe在服务器本地为其用户组设置了哪个共享权限。 NT域或GPO中是否有这样的function? 安排她不能将RDP从她的办公室桌面转移到另一台networking机器,然后将相同的拒绝SMB写入规则固定到她的桌面帐户,而不是用户帐户也可以。 域控制器是Windows 2003,文件服务器是2003或2008或2008r2
我们正在安装一个全新的Windows Server 2008 Web群集,我们希望在服务器之间同步一些文件。 问题是域中的DC是旧的Windows Server 2003 Standard(NOT R2),它显然不包含AD模式的一些扩展。 升级架构时是否可以升级DC服务器到R2? 当我尝试在2008服务器上创build复制组时,出现以下消息: ————————— Error ————————— srv.XXXXXX.XX: The Active Directory Domain Services schema on domain controller activedc07.srv.XXXXXX.XX cannot be read. This error might be caused by a schema that has not been extended, or was extended improperly. See Help and Support Center for information about extending the […]
好吧,可能有点奇怪的问题,但有没有办法在Windowsnetworking上启用“手指”function? 我们基本上喜欢能够找出用户在networking上login的位置,以及可能的话可能哪些用户login到工作站。 我们目前处于AD2003的function级别,意图很快到AD2008,所以在该领域的兼容性是可取的。