题
是否有一个“正确” /标准来区分的方式Service Accounts从User Accounts公元?
更多信息
在某些情况下,我们的系统在 AD 凭据下运行(即在服务帐户下)。这些服务帐户的创建方式与用户帐户完全相同;唯一的区别是名称和描述。已经做了一些事情来区分两种帐户类型(例如帐户所在的 OU,是否启用了“密码永不过期”,如果描述中包含“服务帐户”),但没有一个规则可以可以应用于一切以清楚地区分两者。
展望未来,我们希望改进这个/春季清洁的东西,以明确区分。为此,我们可能会同时使用 OU 和描述字段。
在这样做之前,虽然我想检查一下;是应该这样做的一种方式;即专门用于此目的的某些属性(可能是一个与 Person 不同的 objectCategory 值?),或公认的标准命名约定,或者每个公司是否都有自己的方法?
我正在尝试_acme-challenge.www在 Google Domains 上创建一个带有名称的 TXT DNS 记录,以允许我验证我的 DNS(即通过_acme-challenge.www.example.com)。我已经验证了域本身;但想要验证www子域,以便我可以在证书的主题备用名称中提供它。尝试此操作时,页面给出错误:Failed to save changes to domain settings for example.com。
我正在尝试的内容是否有效/如果是这样,有人可以建议我可能遗漏了什么吗?
domain-name-system subdomain txt-record lets-encrypt google-domains
我试图在 Windows 事件日志中搜索事件数据包含字符串TCP Provider, error: 0作为较长错误消息的一部分的任何内容。为此,我创建了以下代码:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[Provider[@Name='MyDemo' or @Name='AnotherDemo'] and (Level=2 or Level=3)]][EventData[Data[contains(.,'TCP Provider, error: 0')]]]</Select>
</Query>
</QueryList>
然而,这被视为无效查询 - 我猜测 contains 语句未被识别(因为它看起来像是这里使用了特殊版本的 XPath 语法。有谁知道我正在尝试的是否可行/如何去做这件事吗?
提前致谢,
柔佛州
背景
我们目前正在将旧应用从在 Windows Server 2003 上运行升级到在 Windows Server 2012 上运行。
用户和其他系统通过 HTTP(即用户访问网站)、FTP(从客户端设备同步数据的文件)和 Windows 共享(从没有 FTP 功能的设备同步数据的文件)与该系统进行通信。
要进行此迁移,我想禁用当前的实时系统并将用户重新指向新的系统。我想确保旧网站、FTP 和文件共享无法访问,因此任何人都没有机会与旧位置通信(即,如果他们以某种方式到达旧系统,我希望他们收到错误消息;所以我们知道存在问题而不是等待某人注意到由于(例如)文件在共享上排队而引起的完整性问题)。
但是,在迁移之后,我们将运行一些测试以了解是否一切正常。如果有问题,我们可能希望回滚到当前的解决方案 - 我希望这尽可能无痛且无风险。
对于 FTP:我将停止 FTP (FileZilla) 服务;意味着回滚我只需要启动这个服务,它会立即访问,没有任何额外的配置(例如重新创建用户和权限)。
对于 HTTP:我将停止 IISAdmin 和 W3Svc 服务;同上推理。
题:
有没有一种简单的方法可以在不丢失配置设置的情况下禁用 Windows Server 2003 上的网络共享(即在不更改这些共享/它们的配置的权限的情况下使 Windows 共享不可访问)?
windows-server-2003 windows-service configuration network-share
该Search-ADAccountcmdlet 具有开关-AccountDisabled,-AccountExpired和-AccountInactive; 其结果可能既不相互排斥也不包括在内。
即,如果我们的时间跨度为 -90 天,昨天被禁用但仅处于非活动状态 1 周的帐户可能不会显示为禁用。相反,尚未禁用但有一段时间未使用的帐户将显示为不活动但未禁用。
有没有办法使用这些开关来列出所有禁用、过期的OR非活动帐户;还是我必须运行三个查询然后| select * -unique删除重复项?
背景
我正在创建一项服务,以允许支持人员在下班时间启用他们的 Firecall 帐户(即,如果晚上出现问题并且我们无法找到具有管理员权限的人,支持团队的另一名成员可以启用他们的个人AD 上的 firecall 帐户,该帐户以前已设置为具有管理员权限)。该服务还会记录更改的原因、提醒关键人员以及其他一些信息,以确保审核此访问更改/因此我们可以确保以正确的方式使用这些临时管理员权限。
为此,我需要运行我的服务的服务帐户有权在 Active Directory 上启用用户。理想情况下,我想将其锁定,以便服务帐户只能启用/禁用特定 AD 安全组中的用户。
题
您如何授予对帐户的访问权限以启用/禁用属于 AD 中特定安全组成员的用户?
备份问题
如果安全组无法做到这一点,是否有合适的替代方案?即它可以由OU完成,还是最好编写一个脚本来遍历安全组的所有成员并更新对象(firecall帐户)本身的权限?
提前致谢。
附加标签
(我还没有权限在这里创建新标签,所以在下面列出来帮助关键字搜索,直到它可以被标记并被编辑/删除) DSACLS、DSACLS.EXE、FIRECALL、ACCOUNT、SECURITY-GROUP
eventviewer ×1
groups ×1
ldap ×1
lets-encrypt ×1
powershell ×1
query ×1
security ×1
subdomain ×1
txt-record ×1
xml ×1