我在公司环境中运行 Windows XP 桌面。如何找出我属于哪些 AD 组?
这是一个关于 Active Directory 域服务 (AD DS)的规范问题。
Active Directory 的组织方式:林、子域、树、站点或 OU
我发现自己几乎每天都在解释一些我认为是常识的知识。希望这个问题可以作为大多数基本 Active Directory 问题的规范问答。如果你觉得你可以改进这个问题的答案,请编辑掉。
是否有命令行方式列出特定 Active Directory 组中的所有用户?
我可以通过转到管理计算机-->本地用户/组-->组并双击该组来查看谁在组中。
我只需要一种命令行方式来检索数据,这样我就可以执行其他一些自动化任务。
如果您不是域管理员并且无法登录到域控制器,是否可以查看 Active Directory 组的成员?
我们在运行活动目录的公司网络上,我们想测试一些 LDAP 内容(实际上是活动目录成员资格提供程序),到目前为止,我们都无法弄清楚我们的 LDAP 连接字符串是什么。有谁知道我们如何才能找到它?我们唯一知道的是我们所在的域。
这是一个关于 Active Directory 域命名的规范问题。
在虚拟环境中对 Windows 域和域控制器进行试验后,我意识到将 Active Directory 域命名为与 DNS 域相同的名称是个坏主意(这意味着example.com当我们拥有example.com域名时,将 Active Directory 名称作为 Active Directory 名称是不好的)注册用作我们的网站)。
这个相关问题似乎支持该结论,但我仍然不确定命名 Active Directory 域还有哪些其他规则。
是否有关于 Active Directory 名称应该是什么或不应该是什么的最佳实践?
所以有人告诉我,我们的 PHP 应用程序可能需要支持使用 ADFS 的身份验证。
对于非 Microsoft 人员,ADFS 是什么?
它与 LDAP 之类的东西有何不同?
它是如何工作的?对 ADFS 服务器的典型请求中会包含哪些类型的信息?它是为身份验证和授权而设计的吗?
ADFS 服务器通常是否可以从 Internet 访问(而企业 AD 域控制器则不能)?
我试过阅读一些 Technet 文档,但它充满了微软的说法,并没有太大帮助。
维基百科更好(见下文),但也许 ServerFault 社区的一些人可以填补一些空白。
Active Directory 联合服务 (ADFS)是 Microsoft 开发的软件组件,可安装在 Windows Server 操作系统上,为用户提供对跨组织边界的系统和应用程序的单点登录访问。它使用基于声明的访问控制授权模型来维护应用程序安全并实现联合身份。
基于声明的身份验证是根据可信令牌中包含的有关其身份的一组声明来对用户进行身份验证的过程。
在 ADFS 中,通过在两个安全领域之间建立信任,在两个组织之间建立联合身份。一侧(帐户侧)的联合服务器通过 Active Directory 域服务中的标准方法对用户进行身份验证,然后发出一个令牌,其中包含有关用户的一系列声明,包括其身份。在另一端,即资源端,另一台联合服务器验证令牌并为本地服务器发出另一个令牌以接受声明的身份。这允许系统向属于另一个安全领域的用户提供对其资源或服务的受控访问,而无需用户直接向系统进行身份验证,也无需两个系统共享用户身份或密码的数据库。
在实践中,用户通常认为这种方法如下:
- 用户登录到他们的本地 PC(他们通常在早上开始工作时会这样做)
- 用户需要在合作伙伴公司的外联网网站上获取信息 - 例如获取定价或产品详细信息
- 用户导航到合作伙伴公司外联网站点 - 例如:http : //example.com
- 合作伙伴网站现在不需要输入任何密码 - 而是使用 AD FS 将用户凭据传递到合作伙伴外联网站点
- 用户现在已登录合作伙伴网站,并可以与“已登录”网站进行交互
来自https://en.wikipedia.org/wiki/Active_Directory_Federation_Services
假设我在 Active Directory 中有一个用户的用户 ID。我想获取该用户当前所属的所有 AD 组的列表。如何从 Windows 命令行执行此操作?
我尝试了以下方法:
dsget user "DC=jxd123" -memberof
错误:
dsquery failed:'-memberof' is an unknown parameter.
type dsquery /? for help.