标签: active-directory

用户的帐户在 Active Directory 中不断被锁定。这可能是由使用 Windows 身份验证连接到 SQL Server 的应用程序引起的。

有没有办法找出导致它的应用程序以及为什么该应用程序可能导致登录尝试失败？

我的 Windows 2008 R2 机器已加入域。

在登录界面，如果我输入“username@mydomain.com:something”作为用户名，我仍然可以正常登录，后面的“:something”是什么意思？

我什至可以看到当前用户在切换用户屏幕中显示为“username@mydomain.com:something”。它是 Windows 中的一项功能吗？或者这只是一个错误？如果是功能，以“username@mydomain.com”身份登录和以“username@mydomain.com:something”身份登录有什么区别？

请注意，我尝试了不同的组合，例如“mydomain\username:something”和“mydomain.com:something\username”。除了“username@mydomain.com:something”之外，它们都不起作用。

2012 年 9 月 10 日更新

Justin 提出的 RunAs 问题与我想要解决的问题相似但不完全相同。如果你这样做

runas /user:username@mydomain.com:anything

你会得到

RUNAS ERROR: Unable to acquire user password

我确认 RunAs 在看到username@mydomain.com:anything用户名时甚至都懒得调用 LSA 。RunAs 应该已经完成​​输入验证并在那里返回错误。

WinLogon 是不同的。它接受这种输入格式并将“username@mydomain.com:anything”传递给 LSA。我确实看到LogonUserEx2内部 kerberos.dll 被调用。要么是 WinLogon 输入验证逻辑中存在错误，要么这对于某些隐藏功能来说确实是一种可接受的格式。

2012 年 9 月 26 日更新

我刚刚向 Microsoft Premier Support 提交了一个案例。如果我从他们那里得到任何更新，我会在这里更新。

有没有办法（以管理员身份或以管理员组成员身份登录时）伪装成非特权用户？特别是在 AD 环境中。

例如，在 Unix 世界中，我可以执行以下操作（以 root 身份）：

# whoami
root
# su johnsmith
johnsmith> whoami
johnsmith
johnsmith> exit
# exit

我需要在用户帐户上测试/配置某些内容，而且我不想知道他们的密码或必须重置密码。

编辑：
runas不会削减它。理想情况下，我的整个桌面将成为用户的等等，而不仅仅是在 cmd 窗口中。

我通常喜欢为自己设置单独的登录，一个具有常规用户权限，另一个用于管理任务。例如，如果域是 XXXX，我会设置一个 XXXX\bpeikes 和一个 XXXX\adminbp 帐户。我一直这样做是因为坦率地说，我不相信自己以管理员身份登录，但在我工作过的每个地方，系统管理员似乎只是将他们常用的帐户添加到域管理员组中。

有没有最佳实践？我看过 MS 的一篇文章，它似乎说你应该使用运行方式，而不是以管理员身份登录，但他们没有给出一个实现的例子，我从来没有见过其他人这样做。

有没有办法（缺少活动目录浏览器）在登录到域时查看我的 OU？

在 Windows 域中，PDC 不一定是域时间服务器。如何识别权威时间服务器？

我现在已经与服务原则名称搏斗了几次，而微软的解释是不够的。我正在配置一个 IIS 应用程序以在我们的域上工作，看起来我的一些问题与我需要在运行托管我的站点的应用程序池的 Windows 服务帐户上配置特定于 http 的 SPN相关。

所有这一切让我意识到我只是没有完全理解服务类型（MSSQL、http、主机、termrv、wsman 等）、Kerberos 身份验证、活动目录计算机帐户（PCName$）、Windows 服务帐户、SPN 之间的关系，以及我用来尝试访问服务的用户帐户。

有人可以解释 Windows 服务原则名称 (SPN) 而不过度简化解释吗？

创意类比的加分点会引起中等经验的系统管理员/开发人员的共鸣。

当员工离开您的组织时，您是否删除或禁用他们的 Active Directory 帐户？我们的 SOP 是禁用、导出/清除 Exchange 邮箱，然后在“一段时间”过去后（通常每季度）删除该帐户。

有必要延迟吗？导出并清除他们的邮箱后，为什么我不应该立即删除该帐户？

这是一个关于 Active Directory 组策略基础的规范问题

什么是组策略？它是如何工作的，我为什么要使用它？

_{注意：这是对可能不熟悉它的功能和功能的新管理员的问答。}

2014 年关于 Linux 服务器和现代Windows Server 操作系统（以 CentOS/RHEL 为重点）的Active Directory 身份验证/集成的共同智慧是什么？

自从我 2004 年第一次尝试集成以来，多年来，围绕这方面的最佳实践似乎已经发生了变化。我不太确定哪种方法目前具有最大的动力。

在现场，我见过：

Winbind/Samba
直接LDAP
有时 LDAP + Kerberos
Microsoft Windows Services for Unix (SFU)
Microsoft Identity Management for Unix
NSLCD
SSSD
FreeIPA
Centrify
Powerbroker（同样 née）

Winbind 总是看起来很糟糕而且不可靠。Centrify 和 Likely 等商业解决方案总是有效，但似乎没有必要，因为此功能已融入操作系统。

我完成的最后几次安装将Microsoft Identity Management for Unix角色功能添加到 Windows 2008 R2 服务器和 Linux 端的 NSLCD（对于 RHEL5）。这在 RHEL6 之前一直有效，在那里缺乏对 NSLCD 的维护和内存资源管理问题迫使对 SSSD 进行更改。Red Hat 似乎也支持 SSSD 方法，所以这对我来说很好用。

我正在使用新安装，其中域控制器是 Windows 2008 R2核心系统，并且无法添加 Unix 角色功能的身份管理功能。而且我被告知 …