标签: active-directory

这个问题是关于是否需要 Active Directory 来运行终端服务的讨论。但是一系列的答案和评论（主要是我的）提出了一个关于域控制器的相关问题。

在 AD 环境中只有一个域控制器显然是一种糟糕的做法。将每个域控制器放在单独的（物理或虚拟）单一功能服务器上显然也是最佳实践。然而，并不是每个人都能始终遵循最佳实践。

可以使用充当其他角色的服务器作为域控制器吗？

在确定服务器是否“双用途”时应考虑哪些因素？

域控制器角色是否会改变 Windows 操作文件系统或硬件的方式？

Windows Server 的版本之间是否存在差异？

有没有办法设置默认 UPN 后缀以创建新用户和 Active Directory？

例如，如果我将 corp.mydomain.com 作为我的 AD 域，并且我在域和信任下添加了一个备用 UPN 后缀，即 mydomain.com，是否有任何方法可以在创建新域时将该域设为默认值？用户？

我知道我可以创建一个模板用户，然后当我复制它时，它会有正确的默认后缀，但只是好奇是否有一个隐藏的设置可以控制它。

客户端加入 AD 域时会应用哪些更改？

域成员在与网络断开连接时应该如何表现？用户是否可以登录？离线时域用户策略是否仍然适用？

如果您知道提供对 Active Directory 的全面介绍的综合资源，请发布它们。

谢谢

抱歉，如果我在这里滥用术语；实际上，我对 Active Directory 和相关技术知之甚少。基本上我有一台 Linux 计算机，我希望它（或我在该计算机上的用户）与域上的用户相关联，以便我可以浏览网络和 Windows 拥有的所有内容。

这可行吗？我需要研究什么才能做这样的事情？

我是一名程序员，试图为一家小公司管理 Active Directory 设置。域控制器正在运行 Windows Small Business Server 2008。

我们有使用平板电脑的现场工作人员；平板电脑的 ThinkVantage 膨胀软件的配置问题将要求这些用户在使用平板电脑时具有管理员权限。没关系 - 当我通过电话引导他们完成修复时，他们拥有广泛的特权很有用，所以我不是在那里寻找解决方法。

我想使用组策略来设置以下场景： 特定安全组（或组织单元）中的用户在登录到某个安全组（或组织单元）中的计算机时应该在 BUILTIN/Administrators 组中。如果计算机必须在 OU 中也没关系，但我更喜欢按组分配用户。

当然，现场工作人员不应该是其他工作站上的管理员，普通办公室人员不应该是平板电脑上的管理员。

目前，这是在每个平板电脑上本地管理的，但是随着我们增加新员工，这变得越来越麻烦。

我觉得 Restricted Groups 是这里的答案，但没有 AD 概念和方法的坚实基础，我很难实现它。

这项任务的正确技术是什么，我将如何实施它？

我在 Windows Server 2003 机器上有一组私有的 Subversion 存储库，开发人员可以通过 svn:// 协议通过 SVNServe 访问这些存储库。目前，我们一直在使用每个存储库的authz和passwd文件来控制访问，但是随着存储库和开发人员数量的增加，我正在考虑改用 ActiveDirectory 中的凭据。我们在一家所有的 Microsoft 商店中运行，并在我们所有的 Web 服务器上使用 IIS 而不是 Apache，所以如果可能的话，我更愿意继续使用 SVNServe。

除了可能之外，我还关心如何迁移我们的存储库，以便现有用户的历史记录映射到正确的 ActiveDirectory 帐户。还请记住，我不是网络管理员，而且我对 ActiveDirectory 并不十分熟悉，因此如有必要，我可能需要通过其他人来获取在 ActiveDirectory 中所做的更改。

我有哪些选择？

更新 1：从SVN 文档看来，通过使用 SASL，我应该能够让 SVNServe 使用 ActiveDirectory 进行身份验证。澄清一下，我正在寻找的答案是如何配置 SVNServe（如果可能）以使用 ActiveDirectory 进行身份验证，然后如何修改现有存储库以将现有 svn 用户重新映射到他们的 ActiveDirectory 域登录帐户。

更新 2：似乎 SVNServe 中的 SASL 支持在插件模型下工作，文档仅作为示例显示。查看Cyrus SASL 库，它似乎支持多种身份验证“机制”，但我不确定哪一种用于 ActiveDirectory 支持，也无法找到有关此类问题的任何文档。

更新 3：好的，看起来为了与 ActiveDirectory 通信，我希望使用saslauthd而不是sasldb作为auxprop_plugin属性。不幸的是，根据一些帖子（可能已经过时和不准确），saslauthd似乎不是在 Windows 上构建的，这样的努力被认为是一项正在进行的工作。 …

我有一台新的笔记本电脑，打算在家里和工作中使用。我碰巧在家里有一个带有活动目录的 Windows 服务器设置，我想将笔记本电脑加入这两个域。这可能吗？

结果：我决定将其加入工作域。有时我肯定需要能够使用我在该域上的帐户登录到 Windows，而家庭网络要简单得多（主要只是文件/打印共享，但还有更多内容）。我想我可以通过手动对所需资源进行身份验证来在家进行管理，甚至可以编写一些脚本。

我正在寻找基于 Web 的界面 GUI，或者某种可以显示域复制状态的监视工具。

我知道我可以在命令行上使用带有各种选项的repadmin来查询状态。我想创建一个脚本，当他们对状态感兴趣时可以运行，但他们可能会对某种状态页面更感兴趣。

我已经设置了一个带有 AD 集成和一个启用了 ACL 的文件系统的 Samba 3 主机。使用 Windows 客户端，我可以设置用户和组权限。

到目前为止，Samba 只是映射到 POSIX ACL 的 rwx 权限，这阻止我在 Windows 上使用“修改”或“完全控制”权限。我还阅读了一些关于 xattrs 和 ZFS ACL 支持的内容。

有人可以暗示超越 POSIX ACL 以完全类似于 Windows ACE 的最佳方法是什么吗？

如果可能，我想使用树视图类型的结构查找组并检查 AD 中的成员。我没有对 DC 的 RDC 访问权限，因此我无法登录和使用 Active Directory 用户和计算机管理单元。

有没有另一种方法可以做到这一点？来自域上不是 DC 的另一台服务器？