タグ付けされた質問 「active-directory」

Active Directoryのユーザーオブジェクトにマネージャーを設定すると、ユーザーとそのマネージャーの間に明確な関係が作成されます。これは、特にExchangeのグローバルアドレス一覧で報告されます。 グループオブジェクトの場合、Managerは、Outlookのアドレス一覧を有効にすると、グループのメンバーを編集できます。 Active Directory内のコンピューターオブジェクトに対して同じマネージャーフィールドが存在します。これはどこかの機能に関連していますか？

11 active-directory 

質問のタイトルが示すように、Active Directoryでユーザーアカウントが作成された時期を確認しようとしています。オペレーティングシステムはWindows Server 2003です。

11 windows-server-2003  active-directory  user-accounts 

関連： Windows 7 / 2k8でワイヤレス経由のドメイン認証を有効にするにはどうすればよいですか？ 上記の質問で設定しようとしているワイヤレス接続機能を介したドメインログインをテストするには、ローカルシステムにキャッシュされたドメイン資格情報を持っていないアカウントが必要です。残念ながら、これをテストするのに役立つ可能性のある人は私のオフィスに非常に多くいます。そのため、ログインするたびにキャッシュされた自分の資格情報をクリアできるようにしたいと思います。 将来的に資格情報をキャッシュする機能を維持しながら、ローカルキャッシュをクリアするにはどうすればよいですか？

11 windows-server-2008  active-directory  windows-7  authentication 

現在、専用のハードウェアでローカルに独自のドメインコントローラー（小さな会社）をホストしています。ただし、災害を軽減するために、仮想化とクラウドホスティングの使用を検討しています。 一つの考えは クラウドでホストされている仮想プライマリドメインコントローラー+オフィスでキャッシュとして実行されているローカル（セカンダリ）仮想化サーバー？ これは可能ですか、それとも他のことを検討すべきですか？まともなホスティングとDRに喜んで支払いますが、これは本当に私の経験から外れています。

11 active-directory  cloud-hosting 

GUIDでActive Directoryのオブジェクトを検索するにはどうすればよいですか？言い換えると、指定されたGUIDに属するオブジェクトを見つけるための良い方法は何でしょうか？

11 windows  windows-server-2008  active-directory  ldap 

これはこの質問に関連しています： Domain Adminsグループはd：ドライブへのアクセスを拒否しました 新しいADラボ環境にメンバーサーバーがあります。 グループのADMIN01メンバーであるActive DirectoryユーザーがいますDomain Admins Domain Adminsグローバルグループには、メンバーサーバーのローカルのメンバーであるAdministratorsグループ サーバーがドメインのメンバーになった後にD:追加された新しいドライブのルートで、次のアクセス許可が構成されます。 全員-特別な権限-このフォルダーのみ トラバースフォルダー/実行ファイル フォルダーのリスト/データの読み取り 属性を読み取る 拡張属性を読み取る 作成者所有者-特別な権限-サブフォルダーとファイルのみ フルコントロール SYSTEM-このフォルダー、サブフォルダー、およびファイル フルコントロール 管理者-このフォルダー、サブフォルダー、およびファイル フルコントロール 上記のACLの下では、ドメインユーザーADMIN01はログオンしてD:ドライブにアクセスし、フォルダーとファイルを作成できます。 Everyoneこのドライブのルートからアクセス許可を削除すると、Domain Admins（たとえばADMIN01）グループのメンバーである非組み込みユーザーはドライブにアクセスできなくなります。ドメインAdministratorアカウントは問題ありません。 ローカルマシンAdministratorとDomain Admin「管理者」アカウントには引き続きドライブへのフルアクセスがありますが、追加された「通常の」ユーザーDomain Adminsはアクセスを拒否されます。 これは、ボリュームを作成Everyoneしてローカルマシンとしてログインしたアクセス許可を削除したAdministratorか、またはDomain Admin「管理者」アカウントとしてログオンして実行したかに関係なく発生します。 前の質問で述べたように、回避策は、「ユーザーアカウント制御：管理者承認モードですべての管理者を実行する」ポリシーを、メンバーサーバーでローカルに、またはドメイン全体のGPO経由で無効にすることです。 のメンバーシップをACL Everyoneから削除すると、D:メンバーシップが付与されている非組み込みユーザーにこの問題が発生するのはなぜDomain Adminsですか？ また、これらのタイプの非組み込みDomain Adminユーザーは、単にドライブへのアクセスを拒否するのではなく、アクセス許可を上げるように促されないのはなぜですか？

11 windows  windows-server-2008  active-directory 

sysinternals AD Explorerを頻繁に使用して、大きな問題なくActive Directoryを検索および検査しています。 しかし、今では、単一のADサーバーに接続するだけではありません。代わりに、グローバルカタログを調べるのが好きです。 AD Explorer接続ダイアログ内でグローバルカタログを提供しているマシンのdns名（dns.to.domain.controllerなど）のみを入力した場合、フォレスト全体ではなく、それが担当する具体的なドメインのみを受け取ります（それは正常な動作であり、私が期待しています。 グローバルカタログのデフォルトのポート番号（3268）をdns.to.domain.controller：3268の形式で追加する場合、AD Explorerはメッセージを表示せずにクラッシュします。 グローバルカタログ自体は、指定された名前とポート番号の下で期待どおりに動作します。これにより、Apacheサーバーはこのアドレスとポート番号を正確に使用して一部のユーザーを認証します。 AD Explorerからグローバルカタログにアクセスするためのヒントはありますか？ または、グローバルカタログにアクセスするのに問題のないAD Explorerのような他の便利なツールがありますか？

11 active-directory  windows 

Exchange 2010の1人のユーザーに「送信者」アクセス許可を与えようとしています。実行しているPowershellコマンドは次のとおりです。 Add-ADPermission "User1" -User "Ourdomain\User2" -Extendedrights "Send As" Powershellは次のエラーを返します。 DC.OurDomain.priでActive Directory操作が失敗しました。このエラーは再試行できません。追加情報：アクセスが拒否されました。Active Directoryの応答：00000005：SecErr：DSID-031521D0、問題4003（INSUFF_ACCESS_RIGHTS）、データ0 + CategoryInfo：WriteError：（0：Int32）[Add-ADPermission]、ADOperationException + FullyQualifiedErrorId：EDBB94A3、Microsoft.Exchange.Management.RecipientTasks。 AddADPermission 私はPowershellコマンドの複数の代替手段を試しました-すなわち。-Identityなどを使用しますが、それとEMCウィザードはすべて同じエラーを返します。 「INSUFF_ACCESS_RIGHTS」がコマンドを実行している私を指しているのか、送信者権限を与えているユーザーを指しているのかわかりません。 Microsoft Technetの「メールボックスの送信者としてのアクセス許可の管理」 Webページをフォローしています：http : //technet.microsoft.com/en-us/library/bb676368.aspx これを行うために必要な2つの権限を追加しました。 組織管理 受信者管理 しかし、それは助けにはなりません。何か案は？ 更新 次のことを行う場合： [高度な機能]ビューで[ADユーザーとコンピューター]を開きます User1のプロパティに移動します [セキュリティ]タブの[詳細設定]をクリックします 「追加」を選択します 「User2」に入力し、「送信」を選択します ADUaCを閉じて再度開き、新しいアクセス許可を再度確認すると、ADUaCがまだ存在します。約10分後に戻った場合、これらの権限は失われています。user1はuser1のセキュリティ権限にまったく表示されません。 これまでにこの種のADの動作を見たことはないと思います。

11 active-directory  exchange  powershell  exchange-2010 

ADSI Editを使用して、ADの単一ユーザーアカウントのLDAPプロパティを調べています。userPrincipalNameなどのプロパティは表示されますが、完全修飾ドメイン名（FQDN）またはnetbiosドメイン名のプロパティは表示されません。 グローバルカタログ（GC）を設定して、複数のドメインへのLDAPアクセスを提供し、アプリケーションの構成を通じて、LDAPプロパティをアプリケーション内のユーザープロファイルプロパティにマップします。通常のADでは、FQDNとnetbiosドメイン名はすべてのユーザーで同じですが、GCが関係する場合、この追加情報が必要です。本当に必要なのはnetbiosドメイン名だけです（FQDNで十分ではありません）。 ADのよりトップレベルのオブジェクトにこの情報を要求するために実行できるLDAPクエリがあるのでしょうか？

11 active-directory  ldap  domain-controller 

これが私たちの状況の背景です... 現在、3つの完全なActive DirectoryおよびExchangeシステムを備えた3つの異なる企業としてセットアップされています。3つのオフィス（米国に1つ、ヨーロッパに2つ）は、3方向VPNセットアップを介して接続されています（したがって、各オフィスは他の2つと安全に通信できます）。Active Directoryには、セットアップごとに双方向の信頼関係セットアップがあります。すべてのシステムでServer 2003およびExchange 2003が実行されています。 企業と80ユーザーの間に約160のメールボックスがあります（追加のメールボックスは、ITサブシステム、転送アカウント、またはその他の用途のいずれかです）。 両社は（単に信頼関係を築くのではなく）公式に合併しています。そのため、各オフィスが同じシステム（ExchangeとActive Directory）上にある統合ソリューション（新しい名前に基づく）と、ITインフラストラクチャの統合（重複が多い）を検討しています。 彼らは、外部の会社を雇ってITインフラストラクチャを監査しました。彼らは、ITインフラストラクチャを外部委託することを公式に推奨しています（そして、サービスを提供したいものを推測します）。 私は何をすべきかを考え出す任務を負っています。私はそれについてかなり考えました、そして、2つのオプションを思いつきました。基本的な違いは、Exchangeがホストされている場所です（内部的には外部委託されています）。アウトソーシングは簡単に理解できるので、内部セットアップについて詳しく説明します。 高可用性が必要なため、地理的な冗長性が組み込まれている必要があります。したがって、私が思いついたのは次のとおりです（オフィスをSite1、Site2、Site3と呼びます）。 サイト1： FSMO Active Directoryロール Exchangeメールボックスの役割-プライマリ Exchangeクライアントアクセス、ハブトランスポートサーバーの役割 DFSファイル共有の役割（共有ドライブ用） サイト2： Active Directoryロール-Site1から複製 Exchangeメールボックスの役割-セカンダリ、CCRレプリケーションを使用してレプリケート Exchangeクライアントアクセス、ハブトランスポートサーバーの役割 DFSファイル共有の役割 サイト3： Active Directoryロール-Site1から複製 Exchangeクライアントアクセス、ハブトランスポートサーバーの役割 ファイル共有監視（フェールオーバー用） DFSファイル共有の役割 したがって、基本的にクラスターは、他のサイト（またはシステム）をダウンさせることなく、単一のサイト障害に耐えることができるはずです。二重サイト障害が発生した場合、Exchangeは完全に停止します。 したがって、私の懸念は次のとおりです。 これは合理的な設定ですか？それとも私は物事を複雑にしていますか？ 必要なサーバーの数（CCRメールボックスの役割はインストールされている唯一の役割でなければならないため、各サイトに3つ）。 サマライズされた状態で動作しますか（サイトまたはサーバーがダウンした場合、使用可能なノードに自動的にフェイルオーバーします）？ 各オフィスはユーザーに対してローカルクライアントアクセスサーバーを指定するため、そのサーバーはすべてのローカルリクエストの単一障害点になります（ただし、これは手動のDNS変更によって解決可能です） これが機能するためには、これらすべてのサーバーが同じIPサブネット上にある必要がありますか？または、hiearchial DNS（clientaccess.site1.foo.comなど）を使用して回避できますか？ これにより、各オフィスにMXレコードとして設定できます（各オフィスにインターネットに接続するハブトランスポートサーバーがあるため）。あるオフィスがダウンしても、他のオフィスでメールを受信できるはずです。 保守性。このセットアップは、長期的に維持するには複雑すぎる（オフィスの追加、オフィスの削除、サーバー（OSとハードウェアの両方）のアップグレードなど）のではないかと心配しています。それは正当な恐怖ですか？ さて、サーバー2003と2008のどちらを使用するかという質問もあります。内部Exchangeルートを使用する場合、2008年にアップグレードする権限を納得させることができると思います（実際、Exchange 2010を使用するにはアップグレードする必要があります） ...しかし、それは本当に必要なのか、それとも（正当なアップグレードではなく）計画に忍び込んでいる「希望」の1つなのか... さて、私の一部は、これらの問題の一部（またはほとんど）を軽減するため、外部委託されたExchangeを使用したいと考えています。しかし、コストを見た後、損益分岐点は約1年であるため、その後のアウトソーシングはかなり高価になります。私たちが依存しているいくつかの機能は、少なくとも私たちが見た企業ではアウトソーシングできないという事実と結び付けてください（共有メールボックス、SSOを含むActive Directoryカップリング、集中管理、データセキュリティなど）。だから私はこれでどこに行くべきか本当に本当に破れています... これは私が試みているこの規模の最初のプロジェクトですので、どんな助けも大歓迎です... 事前に感謝します（そして本をごめんなさい）...

11 active-directory  exchange  migration 

次を実行するアカウントを作成したい： コンピューターをドメインに参加させます（通常のユーザーのように、10に制限されません） ADのコンピューターアカウントを確認する ADからコンピューターを削除する OU間でコンピューターを移動する 他の操作を許可したくないので、ドメイン管理者アカウントは必要ありません。 誰かが許可の面で正しい方向に私を導くことができますか？委任制御ウィザードを使用する必要があるかどうかわからない場合 乾杯、 ベン

11 security  active-directory  permissions 

自宅と職場の両方で使用する新しいラップトップを持っています。自宅にActive Directoryを備えたWindowsサーバーがセットアップされているので、ラップトップを両方のドメインに参加させたいと思います。これは可能ですか？ 結果：作業ドメインに参加することにしました。私は間違いなく必要なホームネットワークがはるかに簡単である一方、（主に単にファイル/プリンタ共有がよりそこにありますが、）、時にはそのドメイン上の自分のアカウントを使用してWindowsにログインできるようにします。必要なリソースを手動で認証することで自宅で管理でき、おそらくその一部をスクリプト化することさえできると思います。

11 active-directory 

私は、小さな会社のActive Directoryセットアップを管理しようとするプログラマーです。ドメインコントローラーはWindows Small Business Server 2008を実行しています。 タブレットPCを使用するフィールドワーカーのスタッフがいます。タブレットのThinkVantageブロートウェアの構成の問題により、これらのユーザーはタブレットを使用するときに管理者権限を持っている必要があります。それは大丈夫です-電話で修正プログラムを歩いているときに彼らが幅広い特権を持っていると便利なので、回避策を探していません。 グループポリシーを使用して、次のシナリオを設定します。特定のセキュリティグループ（または組織単位）のコンピューターにログインする場合、特定のセキュリティグループ（または組織単位）のユーザーは、BUILTIN / Administratorsグループに属している必要があります。コンピューターをOUに入れる必要はありますが、グループごとにユーザーを割り当てたいと思います。 もちろん、フィールドワーカーは他のワークステーションの管理者であってはならず、バニラオフィスのスタッフはタブレットの管理者であってはなりません。 現在、これは各タブレットでローカルに管理されていますが、新しい雇用を追加するにつれて、面倒になりつつあります。 ここでは制限されたグループが答えだと思いますが、ADの概念と方法に確固たる基礎がなければ、それを実現するのに苦労しています。 このタスクの適切なテクニックは何ですか？それを実装するにはどうすればよいですか？

11 security  active-directory  permissions  group-policy 

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 私は、処理可能なActive Directoryの優れたオープンソースの代替手段を探しています。 認可/認証 グループポリシー レプリケーションと信頼の監視 さらに、これらの責任を処理する統合システムはありますか？ 編集：多くの詳細が求められているため、組織、ハードウェア/ソフトウェアのセットアップのためのインフラストラクチャをセットアップするサービスを提供しようとしています。現在、デスクトップとサーバーの両方のLinuxスタックを見ていますが、可能性があり、私は代替案を調査しています。

11 linux  active-directory  group-policy  user-management  open-source 

WindowsドメインでFirefox 3を使用している人はいますか？「正常に」とは、ADを介してデプロイし、GPOを介して設定（特にnetwork.automatic-ntlm-auth.trusted-urisを設定）、デフォルトプラグイン、および何らかの方法で更新を管理することを意味します。 FrontMotionとFirefox ADMを知っています。FrontMotion MSIインストーラーと管理テンプレートがほとんどの問題を解決するようです。しかし、更新がどのように機能するかはわかりません... MSIを手動で更新する必要はありません。 また、このためにサードパーティのパッケージを使用することに少し不満を感じています。FrontMotionがディストリビューション内のいたずらなものをパッケージ化することをそれほど心配していませんが、重要な更新などをタイムリーに行うためにそれらに依存する必要はありません。 組織でIEをFirefoxに正常に置き換えた人はいますか？デスクトップでIEを管理するのと同等の方法で管理していますか？

11 active-directory  firefox