Articles of 活动目录

Active Directory – 根据组成员资格dynamic设置用户属性?

是否有可能根据组中的成员身份dynamic设置用户属性,还是必须手动更改所有现有的用户,并将该属性设置为新帐户的模板? 如果John是Pet Owners成员,那么把John的( hasPets )属性设置为hasPets 。 (非常具体的)问题在于: 我们正在使用Sonicwall(现在的DELL)SRA设备作为与AD集成的VPN解决scheme。 设备支持通过电子邮件发送一次性密码,但只支持两种方式指定其使用的电子邮件地址的来源: 让它从用户的用户名和域中dynamic地组装用户login到设备( user@domain )的地址。 指定要使用的AD属性,该属性保存电子邮件地址,该电子邮件地址可以是一些预先指定的(例如mail , pager等)或自定义属性之一。 在pipe道的某个地方,这些邮件最终被处理,并且OTP通过SMS被发送给尝试login到系统的用户。 之前我们使用了选项1)并让设备将OTP电子邮件发送到user@domain但是升级到新的设备模型和我们这边的后端更改应该发送到同一个电子邮件地址。 不可能的是在设备中直接设置一个全球电子邮件地址,所以我们似乎必须使用2)并为这个新的电子邮件地址设置一个AD属性。 由于VPN访问绑定到AD组,我希望这可以dynamic地完成,只有属于这些组的成员的用户,或者至less为域中的所有用户。

组策略 – 备份和还原

我目前正在自动创build我们的企业域控制器及其configuration,以防SAN故障等。我可以创build服务器,安装必要的angular色,创build完整的结构,用户和安全组等。所有简单的PowerShell命令和一点逻辑。 不过,我被封锁在组策略上。 我已经通过备份现有的简单组策略对象进行testing,授予用户一个特定的权限。 试图在新的相同的域控制器上恢复备份。 不会工作 创build空的组策略对象和导入的设置。 无法parsing身份。 有任何想法吗?

在域环境中的计算机上安装软件

我正在使用的networking非常小,我的客户端只有2个桌面,这些桌面在Windows Server 2012计算机上使用活动目录进行pipe理。 我的客户有两个不同的天气预报,他们在两台机器上运行。 这些天气程序要求您插入一个代码,然后让软件进行authentication并下载RADAR信息。 当我在用户帐户下login并插入代码时。 一切工作,因为它是假设。 但是,当您注销用户帐户并再次重新login时,他们的代码不会保存,这意味着每次用户login时都必须重新插入它。 对我来说,不寻常的是我有一个帐户,一切正常工作。 我可以login和closures软件记住的代码,就是这样。 所有其他帐户,但是我必须在他们每次login时重新input代码。 所有用户帐户都是域pipe理员,所有帐户都具有完全相同的权限。 任何人都可以给我任何build议,在哪里或我需要做什么解决这个问题? 谢谢。 感谢您的回复。 我相信我可能还需要进一步研究GPO,即使我对他们不是很熟悉。 花了几个小时的试验后,我发现问题出在registry中(我想)。 当我以本地pipe理员身份安装软件时,请插入代码使其工作,一切正常。 我可以注销并返回,一切都很好。 当我作为域用户login时,我插入代码,一切正常,但是当我注销并重新login时,代码已被删除,我必须再次插入(每次login/注销都必须执行此操作)。 所以经过几个小时的试验,我终于在一个域用户帐户下重新安装了这个软件,但是我把安装目录改成了一个修改过的名字,所以没有超过本地pipe理员的安装。 在这样做的时候,我input了注销的代码,并且一切正常。 但是,当我login到本地pipe理员帐户,代码已被删除。 这样,我就可以相信问题在于registry。 但是,就我所知,这是不确定的。 我怎样才能安装这个软件,获取代码插入,并使用户login到本机与他们的域用户帐户时,软件将记住什么代码使用?

如何删除OU中指定用户的最小密码长度?

如何删除OU中指定用户的最小密码长度? (我不希望影响我的GPO的默认域密码策略。) 当我的默认域GPO中的“最小密码长度”未configuration时,事情就像我想要的,但如果我configuration最小密码长度,它适用于我的GPO,我不想。 有问题的OU有用户“ali”和“reza”。 我希望阿里得到默认的域名政策和雷扎得到我的GPO。 我该如何做,以便Reza不会在域默认GPO中获得密码策略,但是阿里呢?

有没有办法强制删除用户从pipe理员更新权限?

我在Active Directory域中,远程login到我的域帐户在Administrators组中的服务器。 当我还在login时,其他人将我从该pipe理员组中删除。但是,我仍然保留所有pipe理员权限,直到我注销。 这似乎违反直觉,所以我想知道是否有什么我失踪? 我已经看到关于紧急注销的问题 – 这是我唯一的select,还是有其他方法强制至less一个权限更新给用户,以便他们可能仍然login时,他们至less不再具有pipe理权限?

如何find生态系统潜在的AD-groupname和OU-structure依赖关系?

目前我们正在重新devise我们的AD基础设施。 我非常担心一些组织名称或OU名称可能会对我们的生态系统(如IAM相关软件等)产生影响。 我想确保没有未知的依赖关系。 那么确定哪些IP地址/主机或脚本/进程依赖于现有的OU结构和组名是最好的方法呢? 我正在考虑使用wireshark监视LDAP查询。 但是这可能太不方便了。 你还看到了什么其他的可能性?

合适的AD结构 – 用户由组织,networking设备?

我正在研究我的第一个AD结构devise,我已经阅读了很多关于最佳实践的文档,其中大部分都是说,按照公司的组织和设备来构build用户,因为它们与GP相关。 我们公司就像一个function差别很大的部门的小城市,同时我们有计算机function的隔离networking。 我的问题是,如果这个devise是你们大多数人会考虑的最佳实践,或者某些元素像更高级别的servers一样更普遍。 我想我们已经知道了他们自己,只是不确定他们应该落在什么层次上。 domain.com CCTVnetworking 服务器 查看客户 相机 公司networking Mac客户端 台式机 笔记本电脑 电脑客户 安全terminal 会计 服务器 POSnetworking 售票terminal 食品服务terminal 现金处理terminal 服务器 员工 行政人员 财务与会计 市场销售 餐饮服务 人力资源 维护和开发 风险pipe理 安全 急救 衣柜 属性 汽车运营 另外,如果这些OU位于域下的顶层,还是应该创build一个OU来保存networking和员工呢? 我读过不要使用域根目录中的默认computers和users容器。

重复的域pipe理员用户configuration文件?

我们的域pipe理员login在个人电脑或服务器以前只有一个configuration文件位于 c:\users\administrator 不知何故,现在我们得到了一个重复的configuration文件 c:\users\administrator.domain 有谁知道为什么? 赢得7 SP1 赢得2008 R2 赢得2012 R2

ADFS没有域

是否有可能运行ADFS 2.0而不连接服务器到域? 我们使用Shibboleth作为声明提供者,所以我们实际上不需要在这里的活动目录。 我们设法设置ADFS(AdfsSetup.exe / quiet)并且configuration它没有任何问题。 然而在启动时并不是所有的端点都启动。 特别是端点net.tcp://localhost:1501/adfs/services/trusttcp/windows缺less,导致在validationSharePoint时出现以下错误: Encountered error during federation passive request. Additional Data Exception details: Microsoft.IdentityServer.Web.RequestFailedException: MSIS7012: An error occurred while processing the request. Contact your administrator for details. —> Microsoft.IdentityServer.Protocols.WSTrust.StsConnectionException: MSIS7004: An exception occurred while connecting to the federation service. The service endpoint URL 'net.tcp://localhost:1501/adfs/services/trusttcp/windows' may be incorrect or the service […]

显式拒绝ACL是否适用于域pipe理员帐户?

我需要一个双向信任的客户(源公司不希望我们有完整的pipe理权限,所以我们有许多权限问题)。 我们实际上需要域pipe理员权限,但仅限于单个OU。 如果我将一个帐户放入域pipe理安全组,然后对所有其他OU应用显式拒绝权限,会发生什么? 域pipe理员甚至会受到显式拒绝的影响吗?