タグ付けされた質問 「active-directory」

ここにあるコメントに触発された簡単な実生活の質問： Active Directoryは、Windows 2000で初めて導入されて以来、ダイレクトRPCではなくSMTPを使用したサイト間レプリケーションをサポートしています。 しかし、実際にそれを使用した人はいますか？ はいの場合、なぜ選択されたのですか？ 設定と管理は簡単でしたか、面倒でしたか？ 信頼できましたか？

12 active-directory  smtp  replication 

AD統合とACL対応ファイルシステムを備えたSamba 3ホストをセットアップしました。Windowsクライアントを使用して、ユーザーとグループのアクセス許可を設定できます。 これまで、SambaはPOSIX ACLのrwxパーミッションにマップするだけで、Windowsで「変更」または「フルコントロール」パーミッションを使用できません。また、xattrsとZFS ACLのサポートについてもいくつか読みました。 誰かがPOSIX ACLを超えてWindows ACEに完全に似ている最善の方法についてのヒントを与えることができますか？

12 active-directory  samba  access-control-list  file-permissions  posix 

Windowsサービスアカウントを持っています。委任せずに、別の信頼できるドメインのグループ内の別のアカウントになりすます許可を与える必要があります。事実上、私のサービスアカウントは「ああ、私はBarnie@otherdomain.comです」と言っています。別のドメイン用に設定されているので、それが可能であることを知っています-しかし、私が参加する前は、どのように彼らがそれをしたのかわかりません！ 私は開発者ですが、私がいるディレクトリ管理者は何をすべきかわからないようです。どんな助けも大歓迎です！

12 active-directory  impersonation 

WebベースのインターフェイスGUI、またはドメインのレプリケーションステータスを表示する監視ツールを探しています。 コマンドラインでrepadminをさまざまなオプションとともに使用して、ステータスを照会できることは知っています。ステータスに興味があるときに実行できるスクリプトを作成することを考えましたが、おそらく何らかのステータスページに興味があるでしょう。

12 windows  windows-server-2008  replication  active-directory  network-monitoring 

開発者がsvn：//プロトコルを介してSVNServe経由でアクセスするWindows Server 2003ボックスにプライベートSubversionリポジトリのセットがあります。現在、各リポジトリのauthzおよびpasswdファイルを使用してアクセスを制御していますが、ActiveDirectoryからの資格情報の使用に切り替えることを検討しているリポジトリおよび開発者の数が増えているためです。すべてのMicrosoftショップで実行され、すべてのWebサーバーでApacheの代わりにIISを使用しているため、可能であればSVNServeの使用を継続したいと思います。 可能であることに加えて、既存のユーザーの履歴が正しいActiveDirectoryアカウントにマップされるように、リポジトリを移行する方法についても懸念しています。また、私はネットワーク管理者ではなく、ActiveDirectoryに精通していないので、必要に応じて他の人を介してActiveDirectoryで行った変更を取得する必要があることにも留意してください。 私のオプションは何ですか？ 更新1：SVNのドキュメントから、SASLを使用することで、ActiveDirectoryを使用してSVNServeを認証できるようにする必要があるようです。明確にするために、私が探している答えは、認証にActiveDirectoryを使用するためにSVNServeを構成する方法（可能な場合）に進み、既存のリポジトリを変更して既存のsvnユーザーをActiveDirectoryドメインログインアカウントに再マッピングする方法です。 更新2：SVNServeのSASLサポートはプラグインモデルから機能しているようであり、ドキュメントは例としてのみ示しています。見てみるとサイラスSASLライブラリ認証「メカニズム」の数がサポートされているように見えますが、私はわからないんだけど1は、ActiveDirectoryのサポートのために使用されるも、私は、このような事項についてのドキュメントを見つけることができました。 UPDATE 3：[OK]を、よくそれは私のActiveDirectoryとのコミュニケーションのためにのように見えるが利用しているよsaslauthdの代わりに、sasldbためauxprop_pluginプロパティ。残念なことに、一部の投稿（おそらく時代遅れで不正確な）によれば、saslauthdはWindows上に構築されておらず、そのような試みは進行中の作業ます。 更新4：このトピックで見つけた最新の投稿は、適切なバイナリ（）がMIT Kerberos Libraryを介して利用できるように聞こえますが、Nabble.comのこの投稿の著者のように聞こえますはまだ問題を抱えているようです。 更新5：TortoiseSVNの議論およびsvn.haxx.seのこの投稿からも見えますWindowsサーバー上でsaslgssapi.dllまたは必要なバイナリが利用可能で構成されている場合でも、これらのリポジトリを使用するにはクライアントも同じカスタマイズが必要です。これが当てはまる場合、これらのクライアントでTortoiseSVNやCollabNetビルドのクライアントバイナリなどの変更が行われ、そのような認証スキームをサポートする場合にのみ、WindowsクライアントからActiveDirectoryサポートを取得できます。これはこれらの投稿が示唆していることですが、これはSASLと互換性があり、クライアントで変更を必要とせず、代わりにサーバーが認証メカニズムを処理するように設定する必要があるという点で他の読書から最初に仮定したものと矛盾しています。SubversionのCyrus SASLに関するドキュメントをもう少し注意深く読んだ後セクション5では、「Cyrus SASLをサポートする1​​.5以上のクライアントは、SASLが有効な1.5以上のサーバーに対して認証できます。ただし、サーバーでサポートされるメカニズムの少なくとも1つがクライアントでもサポートされます。」そのため、クライアントとサーバー内でGSSAPIサポート（Active Directoryに必要であると理解しています）が利用可能でなければなりません。 Subversionが認証を処理する方法の内部について、私が今まで思っていた以上に多くのことを学んでいます。残念ながら、WindowsサーバーでSVNServeを使用し、Windowsクライアントからこれにアクセスするときに、Active Directory認証をサポートできるかどうかについての答えを探していました。公式文書によると、これは可能だと思われますが、たとえ可能であっても、構成が重要であることがわかります。 更新：6：Subversion 1.7での開発が終了しているため、Active Directoryを使用してSVNServeが認証を受ける状況をSubversion 1.7で改善できるかどうかについて何か追加できますか？

12 windows  active-directory  svn  ldap  svnserve 

ここで用語を誤用している場合は申し訳ありません。私は実際にActive Directoryと関連技術についてあまり知りません。基本的に、Linuxコンピューターを持っているので、そのコンピューター（またはそのコンピューター上のユーザー）をドメイン上のユーザーに関連付けて、ネットワークやその他すべてのウィンドウを閲覧できるようにします。 これは可能ですか？このようなことをするには、何を調べる必要がありますか？

12 linux  windows  active-directory 

クライアントがADドメインに参加するときに、どのような変更がクライアントに適用されますか？ ネットワークに接続されていない場合、ドメインメンバーはどのように動作しますか？ユーザーはログインできますか？ネットワーク外でもドメインユーザーポリシーは適用されますか？ Active Directoryの包括的な紹介を提供する包括的なリソースを知っている場合は、投稿してください。 ありがとう

12 active-directory 

新しいユーザーにActive Directoryを作成するためのデフォルトのUPNサフィックスを設定する方法はありますか？ たとえば、ADドメインとしてcorp.mydomain.comがあり、Domains and Trustsにmydomain.comだけの代替UPNサフィックスを追加した場合、新規作成時にそのドメインをデフォルトにする方法はありますかユーザー？ テンプレートユーザーを作成するだけで、コピーすると正しいデフォルトのサフィックスが付きますが、これを制御する隠し設定があるかどうかは知りたいです。

12 active-directory 

2つのサーバーのうちの1つを介してロックアウトされているドメインアカウントがあります。ビルトイン監査はそれだけを教えてくれます（SERVER1、SERVER2からロックアウト）。 アカウントは5分以内にロックアウトされ、1分あたり約1リクエストのようです。 私は最初に（sysinternalsから）procmonを実行して、アカウントのロックを解除した後に新しいPROCESS STARTが生成されているかどうかを確認しようとしました。疑わしいものは何も出てきません。私のワークステーション上でprocmonのを実行し、UACシェル（conscent.exe）に上昇した後のことがスタックからのように思えるntdll.dllとは、rpct4.dllあなたが（ないように注意してください）ADに対してのauthしようとすると、呼び出されます。 DCへの認証要求を引き起こしているプロセスを絞り込む方法はありますか？これは常に同じDCであるため、そのサイト内のサーバーである必要があります。私はwiresharkでコールを探すこともできますが、それが実際にそれをトリガーしているプロセスを絞り込むことはできません。 そのドメインアカウントを使用しているサービス、ドライブマッピング、またはスケジュールされたタスクもないため、ドメインの資格情報が格納されている必要があります。どのサーバーにも、そのドメインアカウントで開いているRDPセッションはありません（確認しました）。 その他のメモ はい、「成功/失敗」ログオン監査は問題のDCで有効になっています。実際にアカウントがロックアウトされるまで、失敗イベントはログに記録されません。 さらにショー掘りLSASS.exeになりKERBEROS、アカウントのロックが解除されると、問題のDCへの呼び出しを。これは、（一般的には）vpxd.exevCenterプロセスであるJavaによって呼び出されるようです。しかし、他の "server2"を見ると、アカウントのロックアウトが（また）発生する可能性があり、への呼び出しが表示さlsass.exeれず、apacheプロセスのみが生成されています。この2つの関係は、SERVER2がSERVER1のvSphereクラスターの一部である（server1がvSphere OSである）ことだけです。 DCのエラー つまり、ADから言われるのは、認証前のKerberosエラーだということだけです。klist念のため、確認したところチケットはなく、とにかくフラッシュしました。このkerberosエラーの原因はまだわかりません。 Index : 202500597 EntryType : FailureAudit InstanceId : 4771 Message : Kerberos pre-authentication failed. Account Information: Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848 Account Name: USER Service Information: Service Name: krbtgt/DOMAIN Network Information: Client Address: ::ffff:x.x.x.x Client Port: 61450 Additional Information: …

12 windows  windows-server-2008  active-directory  kerberos 

通常、ADアカウントがロックされていることを確認できます。これは、アカウントを「ロック解除」するチェックボックスとともに表示されるためです。 ただし、アカウントがロックされていないときにこのボックスをオフにする理由があるかどうかを知りたいですか？その場合、このアカウントの「ロック解除」は何をしますか？

11 windows  active-directory 

U2Fを（YubiKeyまたは同様のデバイスを使用して）Active Directory Windowsドメイン（Windows 2016サーバーになります）に統合する方法に関する情報を探しています。特に、2番目の要素としてU2Fトークンを要求するために、ワークステーション/サーバーへのWindowsログオンをセキュリティで保護することに関心があります（パスワードのみがまったく機能しないはずです）。 要するに、目標は、各認証がパスワード+ U2Fトークンまたはkerberosトークンを使用して行われることです。 この特定のシナリオに関する詳細情報や学習した教訓を見つけるためのヒントは素晴らしいでしょう。

11 active-directory  authentication  windows-server-2016  two-factor-authentication 

私の会社のネットワークでLinuxワークステーションを使用したいと考えていますが、いくつかの問題、特に802.1xiの問題に直面しています。 私は自分のマシンのrootであり、Windowsドメイン管理者なので、これが機能するために必要なものにアクセスできるはずです。現在、私のLinuxマシンの接続は制限されているため、802.1x以外のクライアントのデフォルトVLANに配置されていると思われます。 私の全体的な質問は、どうすれば有線マシンのWindowsネットワークで802.1xを使用するようにLinuxマシンを設定できますか？ネットワークは典型的なWindowsドメインであり、マシンアカウントとユーザーアカウントを使用します。 これは私がこれまでに知っている＆試したことです： 私は信じて、私はマシンの有効なクライアントマシン証明書、ドメインのCA証明書、およびクライアントの秘密鍵を取得する必要がありますするつもりです アイデア1、Windowsマシン/ドメインCAマシンから有効なキーを取得しますLinuxマシンでWindows VMを実行し、それをドメインに参加させて、Linuxマシンで有効なクライアント証明書を生成できると考えました。-そのために、Windows CAサーバーからクライアント証明書とCA証明書をエクスポートし、それらをPEM形式に変換し、Linuxのネットワークマネージャーの準備ができました（DERではなくPEMが必要であると仮定）。-次に、certmgrを使用してWindows VM自体の秘密キーをエクスポートしようとしましたが、エクスポート不可としてマークされました:-( アイデア2はpowerbrokerでした...-powerbroker open（正式には同様）を使用してLinuxマシンをドメインに参加させました。getentpasswdはすべてのドメインユーザーを表示します。-私の考えでは、これはクライアント証明書と秘密鍵をシステムのどこか（/ etc / ssl / certs？）に配置しますが、何も見つかりません アイデア3、実際に何をしているかを知っている人に尋ねる。 元々このLinuxマシンにはウィンドウがありました（Linuxのインストール時にp2vされました）ので、ネットワークスイッチが正しく設定されており、MACなどがネットワークで受け入れられていることを知っています。802.1xの問題だと確信しています 編集：そのfedora 21 xfceスピン、64ビットに言及するのを完全に忘れていました。

11 linux  windows  active-directory  802.1 

Active Directoryフォレストの名前としてルートドメイン名を使用するのがなぜ悪い考えであるかについての私の以前の質問に関連して ... 私には雇用主がおり、ITcluelessincと呼んでいますが、これは単純さ（および誠実さ）のためです。この雇用主には、外部でホストされているWebサイトwww.ITcluelessinc.comと、いくつかのActive Directoryドメインがあります。何年も前に、ITについて無知であった彼らは、という名前のActive Directoryフォレストに自分自身を設定しITcluelessinc.prv、それに対して言いようのない残虐行為を行いました。これらの言いようのない残虐行為は最終的に彼らに追いつき、すべてが崩壊しているため、恐ろしく壊れたITcluelessinc.prv森からの移住を含む「修正」するために誰かに巨額のお金を支払うことにしました。 そしてもちろん、ITについて無知であるため、彼らはそれを聞いたときに良いアドバイスを知らず、彼らがITcluelessinc.com得た健全なアドバイスの代わりに、新しいADフォレストに名前を付けるという推奨を受け入れ、それを使い始めました。数時間前に早送りすると、会社のほとんどのものが古いITcluelessinc.prvActive Directoryフォレストに参加して使用し、かなりの量の新しいものがITcluelessinc.comフォレストに参加または使用しています。これを比較的シームレスに連携させるために、DNSの条件付きフォワーダーを使用してにITcluelessinc.comトラフィックを送信し、ITcluelessinc.prvその逆も同様です。 （corp.ITcluelessinc.comとeval.ITcluelessinc.comドメインは、私が入って後で設定したドメインの名前が正しく付けられており、まだ関係ありません。） 数時間前に戻って、ITcluelessincの非技術系従業員がワークステーション（ITcluelessinc企業ネットワーク内）からwww.ITcluelessinc.comを閲覧できないことに気付き、これが問題だと判断したため、これを決定するITcluelessincのVIP従業員は、ほとんどのRicky-tickを解決する必要があります。通常、大したことではなく、wwwのDNSゾーンの下にAレコードを追加ITcluelessinc.comします。裸リンクを試さない限り、サイトを閲覧できます。 だから、それはすべて正しくセットアップされているようです。wwwDNSのフォワーダー、ホストエントリ、さらにITcluelessinc.prvDNSサーバーとしてドメインコントローラーを使用しているクライアントは、ホームネットワークから取得するWebページではなくwww.ITcluelessinc.comを参照しようとすると、接続タイムアウトが発生します。 Active Directoryフォレストとそれが必要とする条件付きフォワーダーが存在ITcluelessinc.prvする場合、ドメインの内部クライアントがwww.ITcluelessinc.comを閲覧できるようにする方法について考えている人はITcluelessinc.comいますか？または、代わりに、それを機能させる唯一の方法はITcluelessinc.comActive Directoryフォレストを削除することだと確信している人はいますか？ それはないようで、私が今持っている設定は以下のようにすべき仕事が、それは明らかではない、と私は、私はこれを使って実験するために台無しにテスト環境を調達したい見当がつかない。そして、それが価値があることのために、私はこれを修正する唯一の方法は設定した適切な名前のフォレストに移行することを幾分丁寧に提案しました、それが十分な答えではない場合、ITcluelessinc.comそれがすべてを壊すまで私たちのドメインコントローラー。

11 domain-name-system  active-directory 

WindowsドメインコントローラーのDNS機能を削除し、DNSサーバーがBIND9サーバーを指すようにします。 共存をセットアップすることは可能ですが、これには、ネットワーク内のドメインコントローラーの数に等しい数の追加のWindows DNSサーバーが必要です。 Active Directoryは、_msdcsゾーンおよび_tcp、_udpなどのその他のものを想定しています。等 主な質問は、BIND9でこのAD固有のデータをすべて処理する方法ですか？また、動的更新により、ADがさらに快適になります。 おかげで、 PS：Active Directory固有のゾーンを解決するために、BIND9がWindows DNSサーバーを指すようにすることはオプションではありません。すでにこれをしています... 編集：今日のように、私はWindows DNSなしで実行しています。これを行う方法についてのガイドを作成しており、このトピックを更新します。

11 linux  windows  domain-name-system  active-directory  bind 

Windows 2008ドメインでパスワードを変更できないユーザーがいました。彼は、選択したパスワードがそれらを満たしていると確信していても、複雑さの要件に関する不可解なメッセージを彼に与えていました。自分でテストして確認しました。 私が思い出すと、彼の最後のパスワードは、マイクロソフトが推奨するデフォルトの10日間のように、最近設定されたようです。 彼は私に非常に良い質問をしましたが、答えられませんでした。なぜパスワードの最低年齢が設定されるのでしょうか？これはどのようにセキュリティに合理的に利益をもたらすでしょうか？彼はまた、この10日間でパスワードが危険にさらされる可能性があり、それを変更できない可能性があることを指摘しました。 パスワードの最低年齢を強制する正当な理由はありますか？

11 active-directory  security  password