在 Active Directory 环境中的 Windows XP 上 - 我从 AD 查询用户电子邮件地址的最简单方法是在命令行上给出用户名。
(假设我知道它通常保存在树中的位置)。
(我知道 net user loginname /domain 但我只想要电子邮件地址元素。)
email active-directory command-line-interface query user-accounts
我不断地设置需要活动目录帐户的研究和开发环境。由于我们将这些环境放置在孤立的网络中,因此每个环境都需要自己的活动目录。如何使用 powershell 创建新的活动目录帐户。
假设域中至少存在两个域控制器,那么在域控制器崩溃后需要采取哪些步骤来使 Active Directory 正常运行?
有没有办法从 Linux 更改我的 Windows 域密码?
我正在评估将我的组织转移到 Mercurial 的可能性,但是我遇到了两个基本要求,我找不到合适的指针。
我如何设置 Mercurial 的中央存储库以使用中央 Active Directory 对用户进行身份验证,并且只允许他们在拥有正确凭据的情况下进行推送或拉取?
如何设置 Mercurial 项目存储库以仅允许属于特定组的用户推送/拉取源代码?我们需要这个来获得每个项目的授权。
在哪些 HTTP 服务器(IIS 或 Apache 等)上支持上述两个要求?
如果我问的是一些明显的问题,或者我遗漏了有关身份验证和授权工作原理的一些基本知识,我深表歉意。
我使用的是 Windows Server 2008 R2,并且在计算机 ComputerA 的“网络服务”帐户下运行了一个 Windows 服务。此 Windows 服务想要访问共享文件夹(在另一台计算机 ComputerB 上),该文件夹授予 GroupA 组读取权限。所以需要将ComputerA的电脑账号加入GroupA,重启ComputerA。
我的问题是:有没有办法让组成员资格在不重新启动 ComputerA 的情况下立即生效?
在 Microsoft Docs 文章默认组中阅读了这两个组的描述:
域管理员
该组的成员可以完全控制域。默认情况下,该组在所有域控制器、所有域工作站和所有域成员服务器加入域时都是管理员组的成员。默认情况下,管理员帐户是该组的成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”
管理员
该组的成员可以完全控制域中的所有域控制器。默认情况下,域管理员和企业管理员组是管理员组的成员。管理员帐户也是默认成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”
并且同一篇文章指出两个组对其默认用户权限的描述完全相同:
从网络访问这台计算机;调整进程的内存配额;备份文件和目录;绕过遍历检查;更改系统时间;创建一个页面文件;调试程序;使计算机和用户帐户受信任以进行委派;从远程系统强制关闭;增加调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审计和安全日志;修改固件环境值;型材单一工艺;型材系统性能;从扩展坞中取出计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。
此外,Microsoft Docs 文章默认本地组包括对管理员组的以下描述:
该组的成员可以完全控制服务器,并可以根据需要为用户分配用户权限和访问控制权限。管理员帐户也是默认成员。当此服务器加入域时,Domain Admins 组会自动添加到该组中...”
[强调我的]
鉴于以上,我不明白:
此问题是问题的子问题,并在问题的上下文中提出:加入 AD 的机器的本地用户的上下文是域机器帐户还是本地机器帐户?
我目前有一个包含几台服务器和大约 25 台客户端 PC 的小型网络。我们正在使用 Office365 并从我们的本地服务器设置 AD 同步。我们也有使用 ADFS 的单点登录设置。
我们最近用 Azure 虚拟机替换了除 2 台之外的所有服务器。
我们现在使用内部服务器的唯一目的是 Active Directory 和 ADFS。
所以 - 我的问题是......我可以设置 Azure Active Directory,将我的内部部署目录同步到它,让 Office365 与 Azure Active Directory 通信,然后停用我的内部部署服务器吗?
我的本地客户端 PC 是否会针对 Azure Active Directory 进行身份验证?
如果答案是“是” - 关于如何实现这一目标的任何建议都会很棒。如果答案是“不”——一些关于为什么不的信息会很棒!
谢谢!
用户在连接到 Internet 时遇到问题,有些站点可以工作,有些站点则不能。
我认为这与网络设备没有任何关系,但以防万一。
2 防火墙,帕洛阿尔托
4 Cisco Nexus 55XXT 交换机
自上周大约 10 天前以来,我们没有进行任何网络更改,一切正常。
我能看到的唯一突出的是,如果我 ping 有问题的机器之一,它将解析为与机器实际拥有的 IP 不同的 IP
在最后一天,我们每小时收到多个关于 IP 冲突的网络警报 2。
这仅影响了 2 个用户
来自其中一台出现问题的 PC:
C:\>ipconfig | find "IPv4"
IPv4 Address. . . . . . . . . . . : 12.43.168.248
C:\>hostname
hostname-18
从不同的机器 Ping。
C:\>ping hostname-18
Pinging hostname-18.domain.com [12.43.168.105] with 32 bytes
来自不同机器的 Nslookup。
C:\>nslookup 12.43.168.105
Server: ad-server.domain.com
Address: 12.43.168.83
Name: hostname-18.domain.com
Address: 12.43.168.105
C:\>nslookup 12.43.168.248
Server: ad-server.domain.com
Address: 12.43.168.83
Name: hostname-18.domain.com
Address: …Windows Server 2008 引入了只读域控制器,它接收域数据库的完整副本但不能修改它,就像旧的 Windows NT BDC 一样。
我知道如何运行这些半 DC 的所有技术细节(我刚刚通过了 70-646 和 70-647),但对于最重要的问题我仍然没有明确的答案:你为什么要使用它们?
TheCleaner 的这条评论真的为我总结了:
@Massimo - 是的,你是对的。你正在为 RODC 寻找一个令人信服的理由,但没有一个。它有一些额外的安全功能来帮助减轻分支机构的安全性,并且只有在您没有 DC 并且对其安全性很了解的情况下才需要在那里部署。
这和我想的一样……安全性有所提高,是的,当然,但绝对不值得麻烦。
active-directory ×10
groups ×2
windows ×2
azure ×1
email ×1
internal-dns ×1
ldap ×1
linux ×1
mercurial ×1
nslookup ×1
powershell ×1
query ×1
samba ×1