我经常使用sysinternals AD Explorer来搜索和检查 Active Directory,没有任何大问题。
但现在我想不仅连接到单个 AD 服务器。相反,我喜欢检查全局目录。
如果我在 AD Explorer 连接对话框中只输入为全局目录提供服务的机器的 dns 名称(例如dns.to.domain.controller),我只会收到它负责的具体域,而不是整个森林(这是我的正常行为和预期)。
如果我要以dns.to.domain.controller:3268的形式为全局编录添加默认端口号 (3268),那么AD Explorer 将直接崩溃而没有任何进一步消息。
全局目录本身在给定的名称和端口号下按预期工作,导致我们的 apache 服务器完全使用此地址和端口号来验证某些用户。
这与这个问题有关:
我在全新的 AD 实验室环境中有一台成员服务器。
我有一个 Active Directory 用户ADMIN01,他是该Domain Admins组的成员
该Domain Admins全局组是成员服务器的本地成员Administrators组
在服务器成为域成员后D:添加的新驱动器的根目录上配置了以下权限:
所有人 - 特殊权限 - 仅此文件夹
遍历文件夹/执行文件
列出文件夹/读取数据
读取属性
读取扩展属性
CREATOR OWNER - 特殊权限 - 仅限子文件夹和文件
完全控制
SYSTEM - 此文件夹、子文件夹和文件
完全控制
管理员 - 此文件夹、子文件夹和文件
完全控制
在上述 ACL 下,域用户ADMIN01可以登录和访问D:驱动器、创建文件夹和文件,一切都很好。
如果我Everyone从该驱动器的根目录中删除权限,那么作为Domain Admins(例如ADMIN01)组成员的非内置用户将无法再访问该驱动器。域Administrator帐户没问题。
本地机器Administrator和Domain Admin“管理员”帐户仍然可以完全访问驱动器,但任何已添加到其中的“普通”用户都被Domain Admins拒绝访问。
无论我是创建卷并删除以Everyone本地计算机登录的权限,Administrator …
我们是一个相对较小的商店(就系统管理员的数量而言),混合了 RHEL、Solaris、Windows 2003 和 Windows 2008 服务器;总共约200台服务器。
对于我们的管理员帐户(root在 Linux 和admnistratorWindows 中),我们有一个密码方案,该方案取决于数据中心位置和服务器的其他几个记录属性。
在Linux上,我们目前的做法是创建一个共享的非特权帐户在那里我们可以su来root。在基于 Windows 的系统上,我们创建了一个具有管理员权限的附加帐户。这两个帐户共享相同的密码。
这已被证明是非常低效的。当有人离开我们的商店时,我们必须:
我想知道在类似环境中是否有人可以建议一种更明智的方式来管理这些凭据。一些相关资料:
任何想法或建议将不胜感激。这是一个困扰了一段时间的问题,我终于想解决它。
我目前正在运行 Windows Server 2008 R2,谁能告诉我如何将活动目录复制到使用 Server Core install 安装的另一台服务器。
当用户因任何原因更改其帐户密码时(阅读:已过期),并且旧密码存储在他通过 EAS 连接的移动设备中。这将导致他的帐户几乎立即被锁定 - 根据 AD 中定义的锁定策略应该如此。很容易弄清楚那部分。困难的部分是阻止它发生。我到处看。没有。基本上这个难题有四个部分:EAS 设备、TMG (ISA) 服务器、EAS 协议和最后的 AD。他们都没有办法阻止 EAS 设备无法进行身份验证。所以我想我必须想出一个聪明的解决方法。我唯一能想到的就是为所有 EAS 用户创建一个组并将他们排除在锁定策略之外,这显然违背了策略的全部目的,
问题:您能想出任何其他方法来防止 EAS 锁定帐户吗?
环境:主要是通过EAS的iOS设备。TMG 2010。Exchange 2007。AD 2008 R2。
exchange active-directory group-policy activesync microsoft-ftmg-2010
相关: 如何在 Windows 7/2k8 中启用无线域身份验证?
为了测试我尝试在上述问题中设置的通过无线连接功能登录的域,我需要一个没有在本地系统上缓存域凭据的帐户。不幸的是,我办公室里只有这么多人可以帮我测试这个,即使这样我也不想为此打扰他们。所以,我希望能够在每次登录后清除我自己的缓存凭据。
如何清除本地缓存,同时保留将来缓存凭据的能力?
windows-server-2008 active-directory windows-7 authentication
正如问题标题所说,我试图找出在 Active Directory 中创建用户帐户的时间。操作系统为 Windows Server 2003。
本周六晚上,我们将用 Windows Server 2008 R2 域控制器/dns 服务器替换我们现有的 Windows Server 2003 域控制器/dns 服务器。当前的林和域功能级别是 Windows Server 2003,我已经在现有架构操作主机上从 W2K8R2 媒体运行 adprep /forestprep 和 adprep /domainprep /gprep。我还在新服务器上安装了 AD DS 位,但还没有运行 DCPROMO。我们的 AD DNS 区域是 AD 集成的。
是否有任何理由不通过现在运行 DCPROMO 来更进一步并“预先安排”新服务器?我们不会在这个星期六晚上之前切换到他们,但我认为在此之前尽可能接近我们的准备工作没有任何坏处。
Active Directory 中的位置字段是否用于列出对象的物理位置以外的任何其他内容?
我很感兴趣,如果这只是一个用户友好的领域,可以帮助人们找到打印机等,或者对此领域的更改是否会产生其他影响。
我是一名 Windows 管理员,所以那些与 Windows 集成的人可能会最有帮助。在这一点上,我的主要挑战只是文件共享,但随着 SharePoint 使用的增加,它只会使这变得更加困难。
我已经设置了所有目录,并且允许使用所需的最少访问策略设置许多安全组。我的问题是出于人力资源和合规性原因跟踪这一切。
用户 A 需要对资源 1 的权限。他需要获得资源 1 的经理的批准,然后经理的经理也需要批准此访问权限。一旦所有这些都完成了,我就可以做出改变了。在这一点上,我们只是在纸上跟踪它,但它是如此的负担,并且当用户 A 被重新分配并且在其他情况下不再应该有权访问资源 1 时,它很可能不合规。
我知道我要找的东西应该已经存在,但我不知道去哪里找,我正在与社区联系。
编辑:
感谢您的回复。我认为他们涉及技术方面,希望我的问题不是题外话。我应该让自己更清楚自己的目标。您使用什么系统向审计员展示在 X 天用户 A 已添加/删除权限并且它已被经理 Y 批准?我目前有一个基本的票务系统,但我没有看到它以易于理解的格式提供我需要的东西。
在我的脑海中,我正在想象一些关于用户 A 的报告,该报告将显示对其权限所做的所有更改。理想情况下,链接到 Active Directory 的内容是理想的,但此时我希望找到更基本的内容。我希望有一个专门用于此的应用程序。
谢谢!
active-directory ×10
windows ×4
activesync ×1
audit ×1
exchange ×1
group-policy ×1
linux ×1
puppet ×1
security ×1
windows-7 ×1