我们在 DMZ 中很少有面向客户的服务器也有用户帐户,所有帐户都在影子密码文件中。我正在尝试整合用户登录并考虑让 LAN 用户针对 Active Directory 进行身份验证。需要身份验证的服务是 Apache、Proftpd 和 ssh。在咨询安全团队后,我设置了具有 LDAPS 代理的身份验证 DMZ,该 DMZ 又与 LAN 中的另一个 LDAPS 代理(proxy2)联系,这个代理通过 LDAP(作为 LDAP 绑定)将身份验证信息传递给 AD 控制器。第二个 LDAP 代理只需要因为 AD 服务器拒绝使用我们的安全 LDAP 实现使用 TLS。这适用于使用适当模块的 Apache。在稍后阶段,我可能会尝试将客户帐户从服务器移动到 LDAP 代理,这样它们就不会分散在服务器周围。
对于 SSH,我将 proxy2 加入了 Windows 域,以便用户可以使用他们的 Windows 凭据登录。然后我创建了 ssh 密钥并使用 ssh-copy 将它们复制到 DMZ 服务器,以便在用户通过身份验证后启用无密码登录。
这是实现这种 SSO 的好方法吗?我是否错过了这里的任何安全问题,或者可能有更好的方法来实现我的目标?
我需要为 Active Directory 环境中的一组 PC 授予一组用户的管理权限。
例如我有:
我想为 HelpDesk_User 组的每个成员授予 HelpDesk_PC 的每个计算机成员上的本地管理员权限。我可以通过组策略执行此操作吗?如何 ?
目前我手动将 HelpDesk_User 组(或该组的每个成员)添加到每台计算机的本地管理员组,有没有办法通过集中式 AD 组策略来做到这一点?
谢谢。
Windows Vista/7 的一项更有趣的功能是能够设置一张照片来代表您的用户。这在独立安装上很好,但是有没有办法在 Active Directory 中设置照片,以便无论用户在域中的哪个位置登录,照片都是一致的?
我有一个 Windows 2003 Active Directory 基础结构,有时(例如在解雇员工时)我希望在我的两个 AD 服务器之间进行即时传播。目前,我在两个地方都进行了更改,我怀疑这是不健康的,但这是我知道的确保该帐户在每台机器上都被禁用的唯一方法。
有没有更好的办法?我是否必须等待正常的传播时间才能收敛,还是有办法“强制”它?
我需要为我们拥有的域创建一个工作测试环境。我需要在测试环境中拥有来自生产环境的所有数据。这样做的最佳方法是什么?
以下是我的一些想法,但我不确定是否有更好/推荐的方法来做到这一点。
在此先感谢您的帮助!
我正在尝试使用网络组将用户添加到 Active Directory 组。我们使用域本地组来处理所有事情。当我运行命令 net group "group name" "username" /add /domain 时,它返回“找不到组名称。通过键入 NET HELPMSG 2220 可以获得更多帮助。”
如果我创建一个全局组并尝试添加它们,它可以正常工作。我宁愿不重新创建我们所有的组,只是为了能够使用它来将人员添加到组中。有什么想法/建议吗?
我们现有大约 70 名员工,但在 ActiveDirectory 中有 178 个帐户。以前的管理员从未删除旧帐户,有时甚至没有禁用它们。
事实上,我正在考虑手动审查每个帐户以确定是否可以将其删除。有没有更简单的方法可以根据条件删除帐户?例如,删除(或至少以某种方式禁用或标记)上个月左右未登录的用户?
我们有一个包含两个域的 Active Directory 林:根目录下的 ourcompany.com 和用于生产服务器的 prod.ourcompany.com。时间通过根域正确传播,但子域中的服务器无法通过 NTP 同步。所以这些服务器上的时间开始漂移,因为它们只依赖于硬件时钟。
当我在其中一台生产服务器上键入“net time”时,出现以下错误:
Could not locate a time-server.
More help is available by typing NET HELPMSG 3912.
当我输入“w32tm /resync”时,我得到以下信息:
Sending resync command to local computer
The computer did not resync because no time data was available.
“w32tm /query /source”显示以下内容:
Free-running System Clock
我们在 prod.ourcompany.com 子域中有三个域控制器(过大,但迁移的结果 - 我们还没有摆脱旧的一个。)更复杂的是,域控制器都是虚拟化的,运行在两个不同的物理主机上。但是域控制器本身的时间是准确的 - 不是 DC 的服务器有问题。
其中两个 DC 正在运行 Server 2003,包括 PDC 模拟器。第三个 DC 运行 Server 2008。(如果有帮助,我可以将 PDC 模拟器角色移至 2008 机器。)非 DC 服务器都运行 Server 2008。
所有其他 Active …
我可以毫无问题地使用 SysInternals 的“AdExplorer”访问我的公司 AD。但是,当我尝试使用通用 LDAP 浏览器(在我的示例中为 ldp.exe)访问同一个 AD 目录时,我无法获得所需的协议/身份验证方法。我想我都试过了。
AdExplorer 默认使用什么协议/设置?
情况是这样的:
我需要在我的 AD 环境中有一个特定的容器来阻止密码过期策略,但接受所有其他策略。这是否可以通过简单地在子 ou 级别添加 GPO 来工作(有问题的 ou 是 ou 的子级,其中设置了 GPO 包括密码内容)。
这些帐户(和这个 ou)已经存在并且将应用默认域策略以及其他策略,并且它们应该继续根据这些 GPO 接收策略设置,但密码过期除外。
我们已经尝试过密码不过期复选框,但似乎没有用。
提前致谢。
基普
我对此很陌生,所以我首先试图找出 ActiveDirectory 存在的原因。
active-directory ×11
windows ×2
cleanup ×1
domain ×1
group-policy ×1
kerberos ×1
ldap ×1
linux ×1
ntp ×1
password ×1
replication ×1
time ×1