我处于中等规模的企业环境中,使用Active Directory进行身份validation等。考虑到我们是否应该为失败的login尝试激活帐户locking策略,我需要收集有关当前这类事件数量的统计信息。 我已阅读MS帐户locking最佳实践,但仍然无法理解如何做到这一点。 该文件着重于发现帐户locking的原因,而不是从事件日志中获得清晰的图像。 所以,我的问题是:我应该在哪里看, 我应该寻找什么 (特定事件ID,失败代码,其他?)来找出login失败的次数(用户反复尝试使用错误的密码)。 额外的奖金,如果我能脚本的过程。 一些额外的信息:AD服务器是Windows 2003(带有一个额外的运行Windows 2008) 请原谅我的无知。 提前谢谢了。
我有一个我在六月克隆的Windows XP系统。 从那以后,我一直在使用克隆硬盘(这是新的)。 今天早上,我把原来的驱动器放回机器,并试图login到它。 它有这样的信息:“Windows无法连接到域,或者是因为域控制器closures或者不可用,或者是因为您的计算机帐户没有被find,请稍后重试。如果此消息继续出现,请联系您的系统pipe理员寻求帮助。” 我试了一下我的账户,一位在我之前离职的前雇员,另一位同事也试图login。 全部与上述消息一起失败。 使用克隆(较新的硬盘)驱动器工作正常。 我以本地pipe理员身份login,域控制器可以从本机ping通。 我还使用我的networkingloginID和密码映射了networking共享,并在networking上创build了一个文件。 系统pipe理员(小公司,没有太多的networkingpipe理经验)以前没有见过这个。 感谢您的帮助。
问题:连接到RemoteApp或远程桌面时进行双重login 环境:网关= 1服务器2008 R2 – angular色=网关,会话代理,连接pipe理器,会话主机configuration服务器 会话主机= 2个服务器2008 R2 – angular色=应用程序pipe理器和会话主机configuration testing:我可以到http://RDS.domain.com/rdweburl – 我得到提示进行身份validation(1)通过身份validation,获取远程应用程序的列表。 点击remoteapps或远程桌面,再次提示进行身份validation(2)。 通过身份validation,我可以访问应用程序或RDP。 做到目前为止。 在会话主机上签名带有cert的rdp文件。 将以下内容添加到自定义RDP设置: Authenticaton level:i:0 =如果服务器身份validation失败,请在没有警告的情况下连接到计算机(连接并不警告我)。 prompt for credentials on client:i:1 =当连接到不支持服务器身份validation的服务器时,RDC将提示input凭据。 enablecredsspsupport:i:1 =如果操作系统支持CredSSP,则RDP将使用CredSSP。 编辑在http://support.microsoft.com/kb/977507中find的JavaScript文件 添加了连接ID,并将Web访问服务器添加到会话主机服务器上的TS Web访问计算机组以及hxxp://blogs.msdn.com/b/rds/archive/2009/08/11/introducing中的已签名应用程序织网单点login换的RemoteApp和桌面,connections.aspx 注意:这个双重login发生在内部和外部。
看来,当磁盘空间不足时,所有远程login都会被阻止[我正在使用Red Hat 4.4]。 显然这是因为所有非超级用户login都必须写入/var/log/auth.log 当/ var / tmp / cores被(用户)程序崩溃填充或者生成大量日志(在/ var / tmp下)时,这是常见的情况。 可以进行哪些configuration更改以防止发生这种情况? Can +你: 把/ var / tmp放在不同的文件系统上? 把/ var / log放在不同的文件系统上? 强制执行文件系统可访问的用户和系统进程的严格分离?
我有点麻烦 login时,我的SSH连接挂起了大约10秒。我尝试禁用系统信息MOTD和一些其他的东西,但它似乎并没有工作。 尝试ssh user@host -vvv并没有帮助,因为日志在挂起之前结束。 它只是说: Last login: Wed Apr 17 12:52:04 2013 from 194.xx.xx.xx 然后挂起几秒钟,直到显示提示( user@host $ )一个有趣的事情要注意:如果我在这个挂起时按ctrl+c ,它立即解决它,并提示闪烁,所以我猜这是一个过程那是挂着的 什么是解决这个问题的最好方法?
创build没有密码的用户的好方法是什么? 没有密码,我的意思是一个帐户,只能使用su / sudo命令(如Apache或Nginx使用的“nobody”用户)的root帐户使用。 我读过在/ etc / shadow文件的密码字段中添加一个*,但是我想知道是否有办法使用useradd命令来完成。 我想到了: useradd my_new_user -s /sbin/nologin -p '*' 但我不确定useradd命令可以这样使用。 我还没有find任何参考。
我已经为客户build立了一个ArchLinux的EC2实例,目前我正处于testing阶段。 我正在使用从Windows 8的PuTTY SSH进入机器。 我已经正确设置了连接configuration文件,并指定了正确的密钥文件。 尝试login时,我将看到select要login的用户的选项。 我select“根”,连接进行没有问题,虽然我没有要求根密码。 我想禁止根login,但是当试图login时,我从系统获得的任何其他用户: Server refused our key 另外我得到一个popup窗口说: Disconnected: No supported authentication methods available (server sent: publickey) 为什么我不能像其他用户那样login? 禁止rootlogin是非常重要的。 在旁边说明,我没有提示inputroot密码是正常的吗?
我正在尝试在Domino服务器上设置Web SAMLlogin。 我从身份提供者(Oracle身份联合会11g)收到了SAML 2.0元数据XML文件。 我将元数据导入到IdPconfiguration文档,并使login的第一阶段工作,以便将用户redirect到IdP服务器进行login。 在IdPlogin完成后,我被redirect回Domino服务器,并得到“错误400 HTTP Web服务器:错误的SAML请求” 。 我已经尝试了DEBUG_SAML notes.ini设置不同的数字,最后所有的组合:DEBUG_SAML = 11199。 这显示在服务器控制台上: ProduceSaml2ADFSReply: https://oracle-idp-site.net/fed/idp/initiatesso?providerid=http://mytestsite.fi&returnurl=http://mytestsite.fi/dev/ph/xp.nsf/test.xsp&loginToRp=http://mytestsite.fi Relay state is not equal [1575470014] – [http://mytestsite.fi/dev/ph/xp.nsf/test.xsp], url decoded/decripted [ http://mytestsite.fi/dev/ph/xp.nsf?$$_vrd2=95ed6770a665e89b35e0a74c03e6b463-b4cea507-ysrLzM3LyMx47oPqJm7hhAT%2FwyC%2BkYQ8GVN1HA%2BVb2FnIek6KcAxlr%2FzuOW018x5SUc5ULLb0zLZs3avb0UaT4t%2FepmI%2FcR29lrkKXIa9lxT9XvViDytNdpVObJG] Could not decode cookie. Dump post data: PostFieldName – SAMLResponse – Data – PHNhbWxwOlJlc3BvbnNlIHhtbG5zOnNhbWxwPSJ1cm46b2FzaXM6bmFtZXM6dGM6U0FNTDoyLjA6cHJvdG9jb2wiIERlc3RpbmF0aW9uPSJodHRwOi8vZGV2LnNvdmVsbHVzdGFsby5maS9uYW1lcy5uc2Y/U0FNTExvZ2luIiBJRD0iaWQtcnpaeUlWRmY3a3BLMFR1SGVMeTR5T3RnaGFJLSIgSXNzdWVJbnN0YW50PSIyMDEzLTA5LTE5V PostFieldName – RelayState – Data – http://mytestsite.fi/dev/ph/xp.nsf/test.xsp 19.09.2013 15:17:19 HTTP Web Server: Bad […]
昨天,我遵循了Vittorio Bertocci的教程“Microsoft OWIN组件中的WS联合 – 快速入门” ,使用Azure AD身份validation设置testing应用程序。 这是我第一次使用Azure AD(我单独工作,所以不要使用AD,期间)。 我只有一个Azure AD租户包含一个应用程序。 我在租户[email protected]中创build了一个testing用户,并且可以login到应用程序中: 然后,我尝试创build一个新用户[email protected] ,他是一个现有Microsoft帐户的用户(该电子邮件地址用于login和pipe理Azure门户,以便在其他地方使用)。 已select相应的设置来创build此帐户 – > 具有现有Microsoft帐户的用户 但是,我无法以该用户的身份login到应用程序中: 任何人都可以解释为什么这是? 如果我从租户中删除用户,然后使用New user in your organsation选项重新创build,那么用户canlogin好(虽然他们被提示更改密码)。 我不明白有什么区别,尤其是当帐户在其他地方工作正常。
所以目前我们的IT高级副总裁有一个通过ADUC运行的login脚本,并执行诸如安装第三方更新,映射networking驱动器,库存计算机,将文件复制到桌面等等。 我正在寻找一些坚实的理由/例子,说明为什么这些事情在团体政策上会好一些。 与其他任何事情一样,你可以也应该在我没有想到的团体政策中做。 我的一些推理是,你可以分解任务。 第三方更新可以在注销时完成,以便用户在login时不会等待这些更新。以及推送新的安装。 除了将login脚本添加到组策略,而不是从ADUC运行它,也就意味着您不必确保它在每个用户configuration文件中,并且它将应用于每个人。