タグ付けされた質問 「active-directory」

誰もがドメインコントローラーについて、また証明書をインストールする必要があると話しますが、結局のところオプションです。インストール後、実際にその証明書を使用するのは何ですか？私の理解では、少なくとも以下のために必要だということです。 スマートカード認証 LDAPS ただし、ドメインコントローラーが証明書を使用するDCまたはActive Directoryによる特定のネイティブアクションがあるかどうかを知りたいですか？ 私はここでセキュリティへの影響/良い習慣を知っています:)プレイ中のメカニズムに興味があります。

12 active-directory  domain-controller  certificate  ad-certificate-services 

NTPの自動検出を提供するために使用できる方法はありますか？最近Active Directoryの提供を開始した親会社を持つ新しい仕事に移りました。私はSSSDを実装しており、ADに対して認証を行い、NTPをセットアップしています。ただし、Active Directoryサーバーが多数あり（サーバーを直接ポイントする必要があります）、変更される場合があります。 ActiveMQや他のアプリケーションのようなLDAPディスカバリーやマルチキャストなどの方法をセットアップできますか？親会社にサーバーのより良いリストとそれらが機能するドメインを維持してもらうこと以外に提案がない場合は？ ありがとう！

12 active-directory  ntp  sssd  ntpd  autodiscovery 

6か月前にバックアップされたDCを復元しないのはなぜですか？ Active Directoryドメインサービスを学習しているときに、ブログの1つでこの質問に出会いましたが、詳細な回答を見つけることができませんでした。だからこのコンセプトを誰にでも説明してください。

12 active-directory  domain-controller  azure-active-directory 

FSMOの役割は5つあることを常に理解していましたが、7つあるというメッセージが表示されることもあります。本当にいくつありますか？

12 active-directory  samba4  fsmo 

私はWindows Server 2012を使用していますが、Active Directoryはオンで動作しています。私たちが管理するすべてのプロジェクトには2つの専用グループがあり、1つは関連するすべてのファイル（請求書、時刻表、プロジェクトの管理に必要なものなど）にアクセスできるマネージャー用です。少なくとも、私はすべてのそして、プロジェクト自体のファイルにのみアクセスできるプロジェクトで実際に作業する人向けです。 プロジェクトへのファイルアクセスを許可するグループのメンバーシップをプロジェクトマネージャーに制御させる必要があります。グループの他の側面を編集することはできません。そして、理想的には、ある種のGUIを使用する必要があります。そのように説明するのは十分に難しいので、最悪のシナリオではスクリプトを作成できます。 管理グループを管理グループの[管理者]タブに追加し、[管理者がメンバーシップリストを更新できる]を有効にすると、これは十分簡単に​​見えました。だが.. 管理グループにユーザーリスト全体を表示させる必要がありますか？もしそうなら、どのように？ グループメンバーシップを編集するには、管理グループメンバーがどのように、どこでログインする必要がありますか？

12 active-directory  group-policy  windows-server-2012-r2  groups 

Active Directoryユーザーオブジェクトには、識別子と見なすことができるいくつかのフィールドが含まれています。以下に、ADUCのラベルと属性名とともにこれらの一部をリストします。 氏名-cn ？- 名前 ユーザーsAMAccountNameログオン-sAMAccountName ユーザーUPNログオン：userPrincipalName ？- 識別名 私は、ADに対して認証するカスタムコードを記述するときに、開発者にこれらの1つのみを使用して標準化するようにしようとしています。状況。上記のフィールドを使用する必要があるかどうかさえわかりません！ 他の誰かが一貫して使用するものを選びましたか？その決定にあなたに影響を与えたものは何ですか？問題を明確にするドキュメントはありますか？

12 active-directory  ldap  authentication 

組織全体でのexeの実行を制限しています。しかし、正当化と承認に基づいて、ユーザーを（特定の）ADグループに24時間追加します。 現在、X時間後にそれらのADグループからユーザーを削除するプロセスは手動です。何らかの方法で自動化しようとしています。しかし、AD 2003内でこれをネイティブに処理する方法があるかどうか疑問に思っていました。これを処理する唯一の方法は、スクリプト（powershell / vbs）を書くことですか？

12 active-directory  groups 

夏休み後に使用するトレーニング環境を設定しています。経営陣は、休暇前に今すぐクライアントを設定することを望んでいます。クライアントは出荷されるため、トレーニングが始まるまでオフラインになります。つまり、クライアントは約15週間ADと連絡を取りません。また、誰もここにいないため、サーバーは約6〜8週間シャットダウンされます。廃棄の有効期間は180日に設定されています。 この15週間でクライアントに問題が発生することはありますか？休暇が終わるまでクライアントのインストールを延期するように管理者を説得する必要がありますか？

12 windows-server-2003  active-directory  windows-xp 

現在、Server 2012を評価して、LinuxおよびWindowsワークステーションとサーバーの小規模な異種ネットワークでドメインコントローラーとして機能するようにしました。これらはすべて最終的にドメインに参加します。これは100％デュアルスタックネットワークです。すべてのデバイスにIPv4およびIPv6接続があります。ルーターは、radvd 1.9.1およびその他のさまざまな必需品を実行するLinuxサーバーです。 最初のドメインコントローラーをインストールしました。そのドメイン名はad.businessname.com（businessname.com外部DNSサーバーによって処理されます。ドメインには公開Webサイト、電子メールなどもあり、これらは現時点ではドメインに参加しません）。AD DSおよびDNSの役割と共にインストールされたサーバーコアです。すべて順調と思われ、2番目のDCをセットアップしてコンピューターに参加する準備ができましたが、... 現在、私のネットワークには追加のIPv6ルーター広告があり、一意のローカルアドレスを広告しています。また、実際のルーターが広告しているネイティブIPv6プレフィックスも広告しています。最初は、これらのRAはドメインコントローラーから発信されたものだと考えました。シャットオフすると消えたからですが、Wiresharkを実行した後、実際のIPv6ルーターから送信されたことがわかります。Wiresharkは、このバージョンのRAが、DCからのfd4a：e7ab：34a5 :: 1に対する近隣要請の直後に続くことを示しています。 奇妙なことに、ルーターは、ドメインコントローラーがネットワーク上に存在しない場合に通常送信する元のルートアドバタイズメントも送信しています。このバージョンのRAは一致します/etc/radvd.conf（コピーは下にあります）。Wiresharkとのクイックセッションでは、両方のバージョンのルーターアドバタイズメントが、実行中のLinuxルーターのMACアドレスからのものであることを確認しましたradvd。 私のIPv6接続が余分なRAの存在によって中断されていないため、これまでのところ、これらは無害に見えます。しかし、私はすでにグローバルなIPv6接続を持っているので、ULAは不要で望ましくないと思われます。 私は昨夜の多くを費やして今日何が起こっているのかを理解しようとインターネットを精査しましたが、IPヘルパーサービスと関係があるかもしれないというヒントを超えて何かを説明することはほとんどありませんでした消して）。しかし、私が聞いた限りでは、ネイティブIPv6が利用可能な場合、このサービスを無効にしても安全です。 だから私の質問は： WindowsがULAネットワークの近隣要請を送信するのはなぜですか？ 明らかにこれらのRAが送信されているのはなぜですか？ なぜ彼らは私のネイティブアドレスに加えてULAを宣伝するのですか？ これにより、後でIPv6ルーティングで問題が発生することはありませんか？ これに我慢する必要がありますか、またはWindowsとradvdをどのように動作させることができますか？ さまざまな構成情報が続きます。 次に、送信されたキャプチャされたRAを示します（radvdumpwiresharkの出力よりもIMOの方が読みやすいことが示されています）。ULAとパブリックプレフィックスの両方をアドバタイズしていることがわかります（ここではわかりにくくなっています）。ドメインコントローラーをシャットダウンすると、このバージョンのRAがネットワークに表示されなくなります。 # # radvd configuration generated by radvdump 1.9.1 # based on Router Advertisement from fe80::20c:29ff:fef4:66f1 # received by interface eth0 # interface eth0 { AdvSendAdvert on; # Note: {Min,Max}RtrAdvInterval cannot be …

12 domain-name-system  active-directory  ipv6  windows-server-2012  radvd 

私はWindows管理者なので、Windowsと統合する人が最も役立つでしょう。この時点での私の主な課題は、ファイル共有を使用することだけですが、SharePointの使用が増えるにつれて、これは難しくなります。 すべてのディレクトリをセットアップし、必要最小限のアクセスのポリシーでセットアップされた多くのセキュリティグループが許可されています。私の問題は、人事およびコンプライアンスの理由ですべてを追跡することです。 ユーザーAにはリソース1に対する許可が必要です。リソース1のマネージャーから承認を得る必要があり、マネージャーのマネージャーもこのアクセスを承認する必要があります。すべて完了したら、変更を加えることができます。この時点で、私たちはそれを紙で追跡していますが、ユーザーAが再割り当てされ、他のシナリオの中でリソース1にアクセスする必要がなくなると、そのような負担になり、コンプライアンスから外れます。 私が探しているものはすでに存在しているはずですが、どこを探すべきか分からず、コミュニティに手を差し伸べています。 編集： 回答いただきありがとうございます。彼らは技術的な側面に触れていると思うし、うまくいけば私の質問はトピックから外れていないと思います。私は自分の目標を明確にすべきでした。X日にユーザーAが許可を追加/削除し、マネージャーYによって承認されたことを監査人に示すためにどのシステムを使用しますか？現在、基本的なチケットシステムを導入していますが、必要なものがわかりやすい形式で提供されているとは思えません。 私の考えでは、ユーザーAのレポートに、権限に加えられたすべての変更が表示されるようなものを描いています。理想的にはActive Directoryにリンクするものが理想的ですが、この時点でもっと基本的なものを見つけたいと思っています。これ専用のアプリケーションがあることを期待しています。 ありがとう！

12 windows  active-directory  audit 

Active Directoryの[場所]フィールドは、オブジェクトが物理的に配置されている場所の一覧表示以外に使用されていますか？ これは、ユーザーがプリンターなどを見つけるのに役立つユーザーフレンドリーなフィールドであるか、このフィールドの変更が他の効果をもたらすかどうかに興味があります。

12 active-directory 

今週の土曜日の夕方、既存のWindows Server 2003ドメインコントローラー/ dnsサーバーをWindows Server 2008 R2ドメインコントローラー/ dnsサーバーに置き換えます。現在のフォレストおよびドメインの機能レベルはWindows Server 2003であり、既存のスキーマ操作マスターのW2K8R2メディアからadprep / forestprepおよびadprep / domainprep / gprepを既に実行しています。AD DSビットも新しいサーバーにインストールしましたが、まだDCPROMOを実行していません。AD DNSゾーンはADに統合されています。 さらに一歩進んで、DCPROMOを実行して新しいサーバーを「事前設定」しない理由はありますか？今週の土曜日の夕方まで彼らに引き継ぐことはありませんが、それまでの準備で可能な限り近くなることには何の害もありません。

12 windows  windows-server-2008  active-directory 

ユーザーが何らかの理由でアカウントのパスワードを変更した場合（読み取り：期限切れ）、古いパスワードはEASを介して接続されたモバイルデバイスに保存されます。これにより、ADで定義されたロックアウトポリシーに従って、彼のアカウントはほぼ即座にロックアウトされます。その部分を理解するのは簡単でした。難しいのは、それが起こらないようにすることです。私はいたるところを見ました。なし。基本的に、パズルには4つの部分があります。EASデバイス、TMG（ISA）サーバー、EASプロトコル、そして最後にADです。EASデバイスが認証に失敗するのを防ぐ方法はありません。だから、私は賢い回避策を考え出さなければならないと思った。そして、私が思いつく唯一のことは、すべてのEASユーザーのグループを作成し、それらをロックアウトポリシーから除外することです。これは明らかにポリシーの目的全体を無効にします。 質問：EASがアカウントをロックアウトするのを防ぐ他の方法はありますか？ 環境：ほとんどすべてEASを介したiOSデバイス。TMG2010。Exchange2007。AD2008 R2。

12 active-directory  exchange  group-policy  activesync  microsoft-ftmg-2010 

ここで何が尋ねられているかを伝えるのは難しいです。この質問は曖昧、曖昧、不完全、過度に広範、または修辞的であり、現在の形式では合理的に答えることができません。この質問を明確にして、再開できるようにするには、ヘルプセンターに アクセスしてください。 7年前に閉鎖されました。 pingおよびLDAPサーバーへの方法はありますか？ldapsearchとldapwhoamiを見てきましたが、pingのようなものをもう少し感謝します。基本的に、LDAPサーバーの選択の前にbipアドレスがあり、どのサーバーに接続しているかを確認しようとしています。

12 active-directory  ldap 

私たちは、RHEL、Solaris、Windows 2003、およびWindows 2008サーバーが混在する比較的小さなショップです（システム管理者の数に関して）。合計で約200台のサーバー。 管理者アカウント（rootLinuxおよびadmnistratorWindows）には、データセンターの場所とサーバーの文書化された他のプロパティに依存するパスワードスキームがあります。 Linuxでの現在のプラクティスは、共有できる非特権アカウントを作成するsuことrootです。Windowsベースのシステムでは、管理者権限を持つ追加のアカウントを作成します。これらのアカウントは両方とも同じパスワードを共有します。 これは非常に非効率的であることが証明されています。誰かが私たちの店を出るとき、私たちは： 管理者アカウントのパスワードスキームを変更する サーバーごとに新しい管理者パスワードを生成する 新しい非管理者アカウントのパスワードを考え出す すべてのサーバーをタッチして、パスワードを変更します 同様の環境のだれかが、これらの資格情報を管理するより健全な方法を提案できるかどうかを知りたかったのです。いくつかの関連情報： ほとんどのサーバーはADドメインの一部ですが、すべてがADドメインの一部ではありません。 私たちはすべてのLinuxサーバーをPuppetで管理しています（キー認証は私が考えたオプションでしたが、上記の3番目の懸念にしか対処しません）。 CobblerでLinuxサーバーをプロビジョニングします。 ハードウェアの約10％がVMWare専用です。そのような場合、サーバービルドにはVMWareテンプレートを使用します。 どんなアイデアや提案も大歓迎です。これは長い間残っている問題であり、最終的に解決したいと思います。

12 linux  windows-server-2008  security  active-directory  puppet