我有一个新的客户,他们以前的ITpipe理公司是一个很难的位置。 以前的公司拒绝为任何计算机发布任何pipe理用户名或密码。 这只是一个问题,PDC也是他们的POS系统的数据库服务器。 这是一个蹩脚的情况。 我是一个交易的Linux人,所以我不是很熟悉Windows环境。 我知道我可以映像磁盘,然后将其加载到新的硬件,我知道我可以从“离线Windows密码和注册编辑器”启动光盘启动,并重写pipe理员密码。 但是,我不知道的是,如果该pipe理员帐户仅用于本地计算机,或者如果它是域的。 我在办公室安装了一个testingWindows Server 2008 R2 PDC,然后使用上面提到的磁盘重新编写密码。 但是,重新启动后,我仍然无法login到本地计算机。 Windows服务器要我login为域/pipe理员,我只写了本地/pipe理员的密码。 所以我对如何进入系统有点不知所措。 如何覆盖DOMAIN / Administrator帐户的密码? 或者,最好的问题是,如果完全物理访问,如何访问Windows Server主域控制器?
我们最近已经把所有的2003服务器域控制器都换成了2008 R2,并试图实现PSO,但是发现域function级别必须提高到2008年。我们的环境中有一个运行open目录的mac服务器,它被集成进入AD。 有谁知道,如果我提高域function级别(这是有道理的,因为我们只有2008 R2域控制器)什么影响(如果有)将在环境中的Mac上? Mac正在运行10.6.2,并且mac服务器运行相同。 Mac服务器正在运行OD并且也绑定到AD。
我在Ubuntu 10.04 Server x64上运行Samba 3.4.7,使用Likewise Open 6.0.0.8388。 此服务器已join由2008R2域控制器运行的域(function级别2003)。 在Windows服务器中,我可以授予文件夹的权限和/或共享到计算机帐户(以computername $表示)。 这允许在SYSTEM帐户下运行的服务/进程访问这些networking共享。 我试图授予我的Linux服务器相同的权限,但不pipe我做什么,我不能将一个计算机帐户添加到ACL。 setfacl不能识别用户,并通过Windows权限对话框添加它时,它只是消失后,申请。 Samba可以吗?
我有一个非常奇怪的问题,其中wbinfo -g命令正确地指出了我所感兴趣的AD域组,并显示了该组中的特定用户 – 这总是如此,所以在Linux方面似乎具有适当的信息。 然而,“groups”命令最初将显示用户是所讨论群组的一部分,但在login该用户之后的一段时间 – 群组的成员身份在“groups”命令中消失(但保留在wbinfo中 – G)。 我说不稳定,因为我没有信心,但它是某种程度上超时与某些事情的结果。 到目前为止,我已经追到了三件事情,我想也许已经造成了这个问题,但是当我试图重复时,我看不到这个问题 – 所以我留下了一些超时理论。 但这是一个不合逻辑的怪圈:wbinfo –gid-info vs wbinfo -r奇怪的是,前者会在列表中显示用户,但后者不会显示组ID。 它像wbinfo有分裂的个性。 我这次复制了这个场景,同时将所有的samba日志和syslog(ubuntu)redirect到一个文件中。 真的没有看到任何错误,除了下面的时间,我似乎失去了组:“Printcapcaching时间到期”,“重新加载printcapcaching”,“重新加载状态:错误”全部相继。 如果printcap没有正确的configuration,有可能它可能与我混淆? validation组成员身份之后的步骤是可以的,但不是以下情况: 1)退出服务器上的一堆terminal窗口,2)从服务器GUI注销用户3)在服务器上login“user5”。 以前的尝试有这个序列工作正常,后来随着时间的推移只是“失去”小组。 不要以为这是用户的login。 要么日志没有帮助,或者不知何故printcap指出错误。 Samba日志没有任何错误条件可以解释这种情况。 任何人有任何经验看到这样的事情? 是否有不同的组types/范围(域本地,全球,通用)的规则? nsswitch.conf文件是否以某种方式在caching的AD信息和文件系统实际使用的信息之间进行翻译? 任何帮助,将不胜感激。
有什么方法可以用来为NTP提供自动发现吗? 我最近搬到了一个有最近开始提供Active Directory的母公司的新工作。 我一直在实施SSSD和其他东西,对AD进行身份validation并设置NTP。 但是,他们有大量的Active Directory服务器(我必须直接指向服务器),他们有时可以更改。 有没有像ActiveMQ和其他应用程序可以设置LDAP发现或多播的方法? 如果除了试图让母公司维护更好的服务器列表以及它们的function是什么,还有什么build议吗? 谢谢!
我正试图将OS X Mavericks(10.9)客户端join到Windows Server 2008 Active Directory域,但是绑定在OS X客户端的system.log出现此错误: Oct 24 15:03:15 host.domain.com com.apple.preferences.users.remoteservice[5547]: -[ODCAddServerSheetController handleOtherActionError: gotError: Error Domain=com.apple.OpenDirectory Code=5202 "Authentication server encountered an error while attempting the requested operation." UserInfo=0x7f9e6cb3e180 {NSLocalizedDescription=Authentication server encountered an error while attempting the requested operation., NSLocalizedFailureReason=Authentication server encountered an error while attempting the requested operation.}, Authentication server encountered an error […]
我build立了一个新的2层PKI,试图用一个不再可用的CAreplace一个旧的破损的PKI。 一切似乎都在脱机的根和在线颁发的CA之间工作,但现在我试图将我的DC域控制器证书从旧的CA移到新的PKI并出现错误。 当我尝试使用新密钥在DC上手动请求时,我得到: STATUS: Request denied A certificate's basic constraint has not been observed. 我还是新来的ADCS,所以我不知道如何进一步排除故障,但看看失败的请求属性的基本约束,它显示: Subject Type=End Entity Path Length Constraint=None 而颁发CA的证书则显示: Subject Type=CA Path Length Constraint=0 我怎样才能进一步debugging,看看哪些约束是失败的,在哪里? 服务器是Windows 2012。
太阳有一个叫locking时间乘数的概念; 用户在一段时间内被locking的越多,locking时间越长。 这有助于阻止自动尝试login,因为locking时间越来越长,猜测密码和字典攻击。 同时,它也不会给合法用户造成太大的影响。 这里可以find一个简单的解释: http://docs.oracle.com/cd/E19681-01/820-3740/adrcc/index.html 我无法findActive Directory和Windowspipe理系统的类似概念。 有没有办法来复制这个?
我们刚刚开始部署一个混合Office 365解决scheme,我们已经有一些用户自己注册到Office 365,然后才能完全访问域并启用DirSync。 这导致了一些问题。 目前,我们的内部UPN后缀为company.internal但在company.internal活动目录域和信任下添加了一个额外的UPN后缀,并将一组用户以及testing用户设置为正确的外部域名。 这一切工作正常。 在运行DirSync之后,我注意到已经存在的In Cloud用户现在有两个帐户,一个是“In Cloud”,一个是“与AD同步”。 已同步的帐户名称/电子邮件是[email protected] 。 现在让他们合并…我做了一些广泛的谷歌search,并遇到两种方法: SMTP邮件匹配; proxySMTPAdresses匹配。 ImmutableID匹配到In Cloud帐户。 这两个工作都没有使用testing帐户,我可以将In Cloud用户设置为已同步用户的ImmutableID ,他们合并得很好。 我以为这种方法会继续工作,但我错了! 它不适用于任何其他用户,并一直抛出Unique AnchorSource ID错误。 我不想为所有目前拥有AD帐户的员工创build一个“新鲜的”AD帐户,以便进行SMTP匹配。 我们也有本地Exchange服务器,这是令人讨厌的。 任何人都可以给我一些build议吗? 我卡住了!
我正在面临一个问题,远程使用域帐户的机器。 问题事实: 主机虚拟机由公司A托pipe(读取域A)。 虚拟机拥有本地pipe理员以及位于虚拟机上“pipe理员”的基于“A”的用户帐户。 我属于公司B(域B)。 我使用公司A提供的VPN来访问他们的networking。 我以前能够使用域B上的计算机上的mstsc远程访问域A上的任何虚拟机。 最近,公司A将他们的域A迁移到域Z. 现在,我无法使用我的域“Z”用户帐户将域B上的计算机远程迁移到域Z上的虚拟机,但是,我可以使用本地用户帐户login。 域帐户的错误是通用凭据无效。 当我作为本地pipe理员login到VM2后,使用我的域帐户远程访问另一个VM(如VM1)时,我的域“Z”帐户正在工作。 (虚拟机1和2在域Z上) 步骤6和7中的问题仅在基于域的环境中发生SEEM环境。 (我的本地机器所在的域B和另一个公司用户所在的域C所面临的问题与我相同)。 当从本地机器上安装新鲜安装的Windows(没有域,没有AV,默认操作系统选项)的公司提供的VPN时,一切正常,即可以使用域帐户远程进入虚拟机。 作为来宾的Windows 7企业版。 Windows 7,2008 R2,8.1作为访客虚拟机。 11.在访客机器上,尝试去激活防火墙,停止Forefront安全应用程序,并从域中删除机器,直接连接到互联网,但仍然没有连接。 (也许有些组织政策导致了这个问题,而从域名上移除并不会使政策失效,令人惊讶的是C公司的人也面临同样的问题)。 我如何解决这个问题?