我正在尝试配置一些特殊情况的笔记本电脑。我想创建一个本地访客帐户。这很好,但是当我尝试创建它时,我提示我的访客密码不符合复杂性要求。
我尝试编辑本地安全策略以更改复杂性,但这是灰色的。是否可以使用本地覆盖域策略?
是的,我知道我可以选择更长的密码,但这不是重点。我想知道如何覆盖域策略,以防将来需要。
回到 Windows Server 2012 之前的时代,建议似乎是在虚拟化 DC 旁边至少放置一个物理域控制器。
这样做的一个理由是,如果您的 Hyper-V 主机是群集的,那么它们需要在启动期间可以联系到 DC。这对我来说完全有意义。
但是,我经常听到人们说,即使您没有集群设置,拥有物理 DC 仍然很重要(例如在一个简单的设置中,单个 Hyper-V 服务器运行几个 VM,一个其中是 DC)。这样做的理由似乎(我永远无法确定)您仍然会遇到问题,因为当 Hyper-V 主机首次启动时,网络上没有 DC。缓存凭据意味着您仍然可以登录,但是在启动期间发生的所有那些意味着周围有一个 DC 是有益的呢?这实际上是一个问题吗?实际上是否有任何可能只运行的操作在启动时会导致问题吗?例如任何组策略?我基本上要问的是,物理 DC 论点是否仅在涉及聚类时才真正站得住脚,还是(2012 年之前)在没有聚类的情况下存在重要的技术案例?此文章 由Altaro(见“的‘鸡和蛋’神话”一节)暗示没有必要,但我仍然不确定。
现在到我问题的第二(也是主要)部分:
Windows Server 2012 引入了几个旨在解决虚拟化域控制器问题的功能,包括:
所以我的第二个问题与第一个问题类似,但这次是 2012+。假设 vDC 和主机都是 2012+ 年,并且您将集群排除在外,是否还有其他类似上述问题的问题,这意味着我仍然应该考虑使用物理 DC?我是否仍然应该考虑在我的单个非集群 2012/2012R2 Hyper-V 主机旁边安装一个物理 DC,该主机上有一个虚拟化 DC?我听说有些人建议将 AD 放在 Hyper-V 主机上,但由于各种原因(一开始禁用 WB 缓存),我不喜欢这个想法。
作为旁注,我的问题隐含地假设将 Hyper-V 主机加入域以提高可管理性是有意义的。这种说法经得起推敲吗?
更新:
在阅读了一些答案后,我发现我可以用稍微不同的措辞来表达我所问的核心问题:
即使在 2012 年及以后进行了改进,事实仍然是,如果另一台主机上没有任何物理 DC 或虚拟 DC,当没有可用 DC 时,主机仍会启动。这实际上是一个问题吗?从某种意义上说,如果您完全将虚拟化排除在外,我认为这是相同(或非常相似)的问题。如果您定期在任何 DC 之前启动成员服务器,这是一个问题吗?
active-directory hyper-v windows-server-2012 windows-server-2012-r2
是否可以在 IIS 中在 IIS 中设置站点并只让某个 AD 组的用户访问它?
一位同事刚刚向我展示了我们的测试 AD 中的帐户能够a在samAccountName用丹麦字符å(ASCII 134 / å)替换其中的每个字符时进行身份验证。
例如,用户<domain>\aaa可以身份验证为ååå。
我尝试在新配置的 W2K12R2 AD(单个服务器,所有标准值)中重现它,它也可以在那里工作。我创建了一个帐户aaa(å在此过程中从未接触过这封信,因此没有包含å)并运行:
PS C:\Users\Administrator> runas /user:ååå notepad
Enter the password for ååå:
Attempting to start notepad as user "DEV-DLI\ååå" ...
PS C:\Users\Administrator>
这导致记事本启动,以aaa.
o和丹麦字符似乎也是如此ø,而最后一个丹麦特殊字符æ似乎不对应任何其他字符。对于aaaAD 中的用户,尝试使用 samAccountName 创建用户ååå将失败,并通知您The user logon name you have chosen is already in use (...).
我像疯子一样用谷歌搜索,但一直无法找出发生了什么。有没有人有任何关于为什么这有效的提示?
我管理着大约 30 台机器和 2 台终端服务器(一台生产,一台备用)的商店。我真的应该在我们的网络中部署 Active Directory 吗?
是否有任何真正的好处,可以平衡另一个 AD 服务器的存在?我们的终端服务器是独立运行的,上面没有其他服务,除了我们公司的APP。
如果我仍然在没有 AD 的情况下运行它,我会错过哪些很棒的功能?
更新:但是你们中有人在没有广告的情况下经营成功的商店吗?
我看到了大量允许 Google Apps 使用外部 AD 和 LDAP 服务进行登录的解决方案。
但是,我已经在 Google Apps 中设置了大量用户,而我正试图反其道而行之。也就是说,我希望允许用户使用我在 Google Apps 中创建的帐户登录我的外部服务器。
有没有人成功发现将 Google Apps 域用作 Open Directory、Active Directory 或 LDAP 提供程序的方法?
我在 Windows 7 工作站和笔记本电脑上多次收到此错误,因为它与域控制器失去信任,我知道如何修复它,但为什么会这样?
我有一个反复出现的 DNS 问题,它一直困扰着我们的用户,偶尔会导致他们的笔记本电脑将我们公司的域附加到所有 DNS 查询的末尾。该问题仅在用户不在现场时出现,而且似乎相当随机。它会在一天工作,然后突然显示无效条目。这主要影响 Windows XP 用户,但最近也出现在 Vista 上。这是使用 nslookup 的示例。
C:\Users\Username>nslookup www.yahoo.com
Server: Linksys
Address: 192.168.0.1
Non-authoritative answer:
Name: www.yahoo.com.EXAMPLE.COM
Address: 192.0.2.99
我已经用占位符替换了报告的 IP 地址,但我可以告诉您,它返回的是*.我们网络解决方案配置中的默认条目。由于显然www.yahoo.com.EXAMPLE.COM不存在,这是有道理的。我相信用户的内部设备运行正常。在内部,我们运行带有基于 Windows 的 DHCP 和 DNS 服务器的 Windows 2k3 Active Directory。最终问题通常会在几个小时或多次重启后自行解决。
有没有人见过这种行为?
缓存的 Active Directory 域凭据如何存储在 Windows 客户端上?它们是否存储在本地 SAM 数据库中,从而使它们容易受到与本地用户帐户相同的彩虹表攻击,或者它们的存储方式不同?请注意,我确实意识到它们被加盐和散列,以便不以纯文本形式存储,但是它们是否以与本地帐户相同的方式散列并且它们存储在同一位置?
我意识到至少他们很容易受到蛮力攻击,但这比在机器被盗时容易受到彩虹表的攻击要好得多。
在 Active Directory 中,如果您想阻止用户登录,您可以禁用他们的帐户或简单地重置他们的密码。但是,如果您有一个用户已经登录到工作站,并且您需要尽快阻止他们访问任何资源 - 您会怎么做?我说的是一种紧急情况,在这种情况下,一名工人被立即解雇,如果他们没有立即被锁定在网络之外,他们就有造成严重破坏的风险。
几天前,我遇到了一个类似的案例。起初我不知道如何行动。阻止用户访问网络共享很容易,但这还不够。最终,我使用Stop-Computer -ComputerName <name> -ForcePowerShell cmdlet关闭了目标计算机,就我而言,这解决了问题。但是,在某些情况下,这可能不是最佳选择,例如,如果您需要关闭的用户登录在多个工作站或提供重要服务的计算机上,而您无法将其关闭。
远程强制用户立即从所有工作站注销的最佳解决方案是什么?这在 Active Directory 中甚至可能吗?
security active-directory user-management windows-server-2012-r2
active-directory ×10
windows ×5
security ×2
g-suite ×1
group-policy ×1
hyper-v ×1
iis-7 ×1
ldap ×1
networking ×1
permissions ×1