Articles of 活动目录

作为Domain Admins成员的计算机帐户有什么影响?

我最近偶然发现了一个作为Domain Admins组成员的工作站帐户。 我认为这不被推荐,对吧? 不过,我很好奇这个星座的实际效果是什么:每个人都login到这台机器获得域pipe理员权限? 还是仅限于本地的SYSTEM,SERVICE等账号? 换句话说,安全漏洞有多大?

安全地设置新的域服务器有哪些最佳实践?

我刚接任一个本地小型企业的新系统pipe理员。 他们有一个非常古老的DNS服务器(8岁),运行Windows Server 2000.该服务器提供大约20到30个客户端的访问。 我们想要升级到一个新的服务器,但在此之前,我一直在寻找replace旧的DNS服务器的总体概述,因为这将是我第一次这样做。 显然安全是必须的,我熟悉使用Active Directory,但从来没有从一开始就设置。 具体而言,我正在寻找的是: 什么是一些常见的安全漏洞 做什么的基本概述(或在哪里查找概述) 最初设置的最佳做法

活动目录脚本问题

我们有100个用户的Active Directory。 我怎样才能使用脚本导出只有昨天添加的用户?

将LDAP服务器链接到Windows AD作为ACL解决scheme

我在stakoverflow问这个问题没有答案,所以我在这里尝试我的运气,因为它可能更加相关的系统pipe理员.. 我们正在尝试开发一个ACL解决scheme,以满足内部用户(目前通过Windows AD以外的项目进行pipe理)和外部用户的需求。 这个想法是有一个新的LDAP服务器,另一个Windows AD或非AD服务器,如openldap,将用于pipe理外部用户和所有用于ACL的组。 然后设置内部Windows AD的引用,以便内部和外部帐户都可以使用身份validation,而在新LDAP服务器中定义的组的成员资格将对内部和外部帐户开放。 问题是让推荐工作,首先下面这个文档http://technet.microsoft.com/en-us/library/cc978014.aspx (在“创build一个内部位置的外部交叉引用”下)似乎你需要让外部ldap服务器具有与内部域相同的域,这似乎是一个问题,至less在使用Windows AD作为外部服务器时也是如此。 此外,由于安全限制,无法创build信任关系,因此可以将内部用户添加为在外部服务器中创build的组的成员。 那么有没有办法解决这个问题? 使用openldap而不是Windows AD作为外部服务器更好吗? 任何指针将不胜感激。 干杯

passwd ldap请求到ActiveDirectory在一半的2500个用户上失败

我们只是在我的公司设置ActiveDirectory,并导入所有的Linux用户和组。 在linux客户端上:(configuration为在nsswitch.conf中要求ldap): 如果我做一个普通的ldapsearch到AD ldap服务器,我可以得到大约2580个用户的完整数量。 但是,如果我这样做,它只获得所有用户的一部分,1221年: getent passwd | wc -l 用strace运行它显示了一种尝试重新连接 我的想法是:linux身份validation过程运行ldapsearch的参数与AD ldap不兼容? 或者这可能是一个编码问题。 窗口用户在AD中input所有types的字符。 也许有人可以阐明这一点,并提示如何进一步debugging!? 这是我们的ldap.conf host audc01.mycompany.de audc03.mycompany.de base ou=location,dc=mycompany,dc=de ldap_version 3 binddn cn=manager,ou=location,dc=mycompany,dc=de bindpw Password timelimit 120 idle_timelimit 3600 nss_base_passwd cn=users,cn=import,ou=location,dc=mycompany,dc=de?sub nss_base_group ou=location,dc=mycompany,dc=de?sub # RFC 2307 (AD) mappings nss_map_objectclass posixAccount User # nss_map_objectclass shadowAccount User nss_map_objectclass posixGroup Group nss_map_attribute uid sAMAccountName nss_map_attribute […]

无法将terminal服务configuration从本地控制台更改为DOMAIN Admin?

如何做出必要的改变 tscc – [terminal服务configuration\连接] RDP-Tcp属性| 客户端设置标签 禁用以下内容:[v] 剪贴板映射 (select和禁用,所以我不能进行更改) 我怎样才能取消select该选项? 我使用Enterprise \ Adminlogin到terminal服务器,但该选项仍然被禁用? 我从AD GPO中仔细检查: 设置path: 计算机configuration/pipe理模板/ Windows组件/terminal服务/客户端/服务器数据redirect不允许剪贴板redirect – 禁用 有什么我应该做的,使我能够做出改变? 谢谢。

当我login到我的公司桌面时,我login到域。 这个域名是如何安装的?

当我必须在公司工作我的机器时,我注意到我login到一个域名(以公司名称命名),而不是真的在那台电脑上。 从我所了解的这个有几个好处,主要是我只需要一个域的密码,可以通过公司的任何一台机器工作。 我的问题是: 必须安装桌面/networking上的哪些软件才能使桌面识别并让我selectlogin到域中。 我猜想一个软件可以安装在桌面上,在那里我们可以configuration公司的域名服务器的IP地址和端口号,它处理authentication。 它是否正确? 这就让我想到另一个问题,那就是如何在公司的terminal机器上安装软件。 从pipe理员的angular度来看,物理安装和安装看起来非常的自由。 一个明显的解决scheme是通过networking安装软件(和更新)。 我的问题是: 当pipe理员通过networking安装操作系统,软件,从pipe理员机器更新到最终机器时,什么协议,关键字出现在屏幕上。 谢谢,

某些带有CNAME Web服务器的计算机上的IE Kerberos失败(主机Alogging的SPN)

众所周知,IE不喜欢对在DNS中注册为CNAME的主机执行Kerberos操作。 会发生什么事是IE转身,并使用主机的底层Alogging查找服务主体名称(SPN)。 在testingnetworking上,我们可以通过为主机的Alogging注册SPN来获得Kerberos的工作,以便在通过浏览器中的CNAME访问Web服务器时成功发生Kerberos身份validation。 使用URL中的Alogging主机直接访问Web服务器时,Kerberos身份validation正常工作,但由于各种原因,我无法控制,因此需要使用CNAME。 在生产networking上,这个相同的configuration失败,但我不明白为什么。 有什么想法吗? 这是一个使用SPNEGO库的java web应用程序 – 而不是IIS。 Kerberos身份validation在testingnetworking和生产networking中都可以正常工作(并且已经确认不会故障回到NTLM),但是CNAME访问只能在testing中使用。

用于在Microsoft ActiveDirectory中检索和修改多值属性的工具

MSAD中的大多数属性都是单值的,不会造成任何问题。 我熟悉dsquery user -samid jdoe | dsmod -webpg "http://some.url/" dsquery user -samid jdoe | dsmod -webpg "http://some.url/"方法。 但是,一些属性是多值的,例如电话号码和网页。 这些值可以通过Active Directory用户和计算机微软控制台(dsa.msc)通过单击“其他…”button显示的对话框进行pipe理,但我真的宁愿脚本修改。 在我看来,dsmod&dsget不支持多值检索和编辑; 只有该集合的第一个值似乎是可以访问的。 我对么? 如果我不正确,我将不胜感激一个语法示例。 如果我是正确的,你会推荐一个可以处理多值属性的替代脚本工具吗? 越“正式和支持”的工具,越好。

在没有域级密码的情况下,在开发域中信任我的工作域

我设置一个虚拟机来托pipeTFS的开发版本(testing插件)。 让我的工作领域的计算机需要大量的繁文and节和文书工作,我宁愿不做。 我创build了自己的虚拟机的域,我想信任该虚拟机域上的工作域中的所有用户。 但是,当我试图build立信任,我需要从我的工作领域(我没有)的密码。 我在做什么邪恶的东西? 我只是想能够作为我(我的工作域上login)我的testingTFS(VM)服务器进行身份validation。 有没有办法做到这一点不必为我的工作域有一个域级别的密码? (我的VM是Windows Server 2008 R2服务器)