在我们的办公室,我们正在运行一些运行Active Directory域的Windows服务器。 我们已经制定了一系列的安全策略,包括180天的密码过期策略。 该公司的每个人都有一台笔记本电脑join到域名,Win7和Macbook Pro(山狮或狮子)的组合。 每个用户的域名login用于login到他们的笔记本电脑以及一些企业资源,包括离开办公室时的Cisco VPN连接。 当到期date到来时,对于大多数用户来说这不是问题。 他们进入办公室,获取到期通知,并在login时或通过Win7或OS X的通常更改密码选项更改密码。 问题来自less数永远偏远的办公室用户。 特别是Mac用户。 我发现有几种方法可以让用户知道到期的密码(脚本+电子邮件,adpassmon等)。 问题是实际的密码更改。 Windows用户可以在VPN中,按Ctrl-Alt-Del,更改密码,一切都更新和罚款。 如果Mac VPN进入并尝试更改密码,他们只会得到“密码未被更改”的消息(“您的系统pipe理员可能不允许您更改密码或者您的密码有其他问题…”) 。 任何人都知道为什么,或者有这个解决scheme? 我知道我可以让用户VPN和远程桌面到另一台机器来更改他们的密码,但是这将对本地机器钥匙串以及sudo权限造成破坏,而这些权限在下次访问办公室时可能会变得更糟。 编辑:我应该澄清,其中一个问题似乎是,即使有一个活动的VPN连接,OS X似乎没有尝试与AD服务器进行通信/authentication(只是继续使用caching的凭据),即使密码更改已经尝试过了。 所以,即使通过外部方法(OWA,远程桌面,我手动重置)来更改密码,OS X机器也不会有更改的密码。 这将需要用户知道2个密码一段时间,以及一些可能与钥匙扣和sudo拧的权限。
我期望将现有的2008 R2 Active Directory林迁移到新的(ish)2012林中,并且遇到了似乎没有任何兼容工具的问题。 最新版本的ADMT(v3.2)在2012 FL环境中不受支持,并且一旦将其安装在2008 R2域中并尝试迁移testing用户,就无法执行任何操作。 在线看,我发现一篇不太确切的Technet文章,说ADMT 3.2不支持2012,我的解决方法是安装一个2008 R2域控制器,降级域,迁移,然后停用2008 R2域控制器,并提升域回到2012年,这真是太可笑了。 鉴于此,有没有人对2012年的FL域名/森林进行了迁移,并且/或者对于如何解决这个问题有任何非荒谬的build议? 最糟糕的是,我想我可以在PowerShell中打出一些东西,但鉴于它是2014年,我发现缺乏对2012年的支持有点混乱,并抱着希望,我只是在这里失去了一些东西。
我们有一个孩子DC失败,并且无法进入Windows,因为目录服务失败。 已备份的活动目录的还原由于损坏而无法工作,所以我们决定降级子DC,并且现在只从PDC运行AD。 但是,从安全模式或目录服务还原模式下, dcpromo /demote不起作用。 我们不想做一个完整的重新安装,因为我们有Exchange在儿童DC上运行。 任何人都知道(如果?)我们可以在安全模式下降级DC或以其他方式进入Windows? 谢谢
我们正在开发一个Web项目,我们需要能够绑定到一个活动的目录域,然后将用户的凭据传递给域,以确保用户在我们允许他们访问我们的Web应用程序之前成功通过身份validation。 我们有HTTPS正常工作的前端接受凭据。 我们遇到的问题是我们的服务器和活动目录服务器之间的连接。 活动目录服务器由IT部门的不同部门维护,我们无法访问它。 此活动目录服务器正在使用自签名证书,并且没有完全限定的域名(即people.local)。 我读了很多地方谈论设置TLS_REQCERTvariables永远不会; 然而,我担心中间人的攻击,并不愿意离开这样的设置。 我还阅读了一些文章,讨论如何从Linux命令行查询活动目录服务器,查看自签名证书,将自签名证书保存到本地Linux服务器,然后使用此证书作为信任所以您不必将TLS_REQCERT设置为从不。 我不确定如何从Linux命令行查看和保存自签名证书。 我有一些我们正在运行的CentOS服务器,我们需要使其运行。 任何帮助,你可以提供将不胜感激。 提前致谢。
我们有以下AD拓扑: ourcompany.com east.ourcompany.com west.ourcompany.com 我们正在考虑在根ourcompany.com上安装Exchange。 是否有任何问题,我们需要知道,如果在东部和西部的儿童领域的用户? 子域中的用户能否像使用根域中的用户一样使用交换服务器?
我使用authnz_ldap_module进行Apache2身份validation时出现问题,以便从Active Directoryvalidation用户身份。 我的Apache版本是2.2.16-6+squeeze10 。 这里是我试图使用没有运气(准确地说是许多组合之一)的configuration: AuthzLDAPAuthoritative off AuthBasicProvider ldap AuthType Basic AuthName "Active Directory" AuthLDAPURL "ldap://server1.my.company.tld:3268 server2.my.company.tld:3268/dc=my,dc=company,dc=tld?sAMAccountName?sub" AuthLDAPBindDN "uid=my_user,dc=my,dc=company,dc=tld" AuthLDAPBindPassword "mypassword" Require valid-user 我在Apache的error.log获得以下条目: [debug] mod_authnz_ldap.c(379): [client some_ip_here] [12391] auth_ldap authenticate: using URL ldap://server1.my.company.tld:3268 server2.my.company.tld:3268/dc=my,dc=company,dc=tld?sAMAccountName?sub [info] [client some_ip_here] [12391] auth_ldap authenticate: user my_user authentication failed; URI / [LDAP: ldap_simple_bind_s() failed][Invalid credentials] [error] [client some_ip_here] user […]
昨天我们有一个实例,其中超过5,000个用户对象中的大约130个突然被损坏。 除了sAMAccountName和cn之外,您可以设置的每个属性都被擦除干净,包括密码,尽pipe策略禁止less于8个字符。 修改过的时间戳是彼此相隔的秒数。 他们的帐户也被禁用。 我怀疑是因为密码的空白。 当我们去重新启用帐户,我们会得到一个错误,说密码不符合要求。 所以,我们必须重置所有的密码。 这些帐户也与Exchange邮箱断开连接,我们必须重新连接它们。 即使他们所有的小组成员都被删除了。 奇怪的是,我们注意到,它们都是按字母顺序排列的cn ,在OU容器中的第一个到第三个用户之间。 除此之外,没有任何模式被发现。 起初,我认为这可能是有人写剧本并搞砸了。 但是,密码设置为空白的事实导致我相信,不能通过脚本来完成。 不幸的是,由于我不会进入的原因,我们没有审计打开。 有没有人见过这个? 你知道可能造成了什么吗?
Samba文档很清楚地表明,它只能用作NT4风格的主域控制器,不能用作Active Directory服务器。 我pipe理一组混合系统(windows xp工作站和各种不同风格的linux服务器),并希望集中authentication各种服务器应用程序以及客户端工作站。 我正在考虑build立一个Samba服务器,但是我无法findPDC和ADS提供的function之间的差异,以帮助我决定Samba服务器是否能够满足我的目标。 有谁知道我能在哪里find这样的function比较? 编辑:工作站目前不在域中。 我介绍的什么活动目录/ sambaconfiguration将是我们小组最初进入集中authentication。 这意味着设置Windows Server域控制器是一个可行的select,但是我更喜欢用Samba来做,因为我更喜欢Linux。
似乎互联网上有关NT密码的大部分信息都是关于如何破解它们的。 似乎没有一个特殊的字符列表不允许用户名。 据我所知,没有字符是不允许的。 我特别注意普通的,可打印的ASCII字符,尽pipe一些unicode也会满足一些好奇心。
有关当前的设置: 它是Windows 2008 R2 AD服务器(全部是2008R2)以及设置为站点的多个位置。 每个位置在AD服务器上都有DFS。 漫游configuration文件不被使用或configuration。 用户将其主文件夹configuration为映射S:驱动器到DFS共享文件夹。 例如:在configuration文件选项卡中,用户具有:主文件夹 – >连接 – > S:到\\domain.com\dc\users\%username% 我们还将“桌面,文档和下载”文件夹redirect到\\domain.com\dc\users 。 一切都很好。 突然间(今天),大多数地方的用户失去了本地configuration文件(包括XP和W7桌面),并获得了临时configuration文件。 此外,它看起来像本地configuration文件今天(从文件夹属性)创build。 我检查了几台机器上的事件,并没有与configuration文件或login过程有关的错误。 我在服务器的事件日志中也看不到问题。 基本上,我没有想到什么是错的,为什么机器丢失了本地configuration文件。 PS:笔记本电脑用户没有redirect他们的文件夹,但也丢失了configuration文件。