タグ付けされた質問 「active-directory」

ADFSサーバーを実装して、サードパーティのチャットツールをSAML 2.0経由でActive Directoryに接続しました。 これまでのところすべてが正常に機能していますが、少し問題があります。ユーザーがログインするとすぐに、チャットツールが彼のアカウントを自動的に作成します。すべてのアカウントで手数料が発生するため、これは問題です。 ADFSの使用をADグループに制限する方法はありますか？

11 active-directory  adfs 

ADセットアップ内には多くのセキュリティグループがありますが、配布グループは1つだけです（以前の管理者が作成したもの）。 どちらのタイプのグループにも、ドメインオブジェクトのリストが含まれています（私が見ているグループのユーザー）。 セキュリティグループと配布グループの違いは何ですか？

11 windows-server-2003  active-directory  groups 

私は基本的に、Active Directory内のOctetString属性のいずれかに秘密キー（ハッシュ）を格納しています。 私の質問は、どの属性がデフォルトで安全であり、そこにプライベートデータを保持するのが理にかなっているのですか？この値は、現在のADパスワードと同様に、管理者でさえも（可能であれば）アクセスできないようにするパスワードと同様に考える必要があります。 以下は、Windows 2008R2 + Exchange 2010ドメインでデフォルトで有効になっている属性のリストの始まりです。 更新： デフォルトでドメイン内のすべてのユーザーに「読み取り」権限を公開しないオクテット文字列属性を知っている人はいますか？私はハッシュを公開しないで、ハッシュに基づいてレインボーテーブルを作成できるようにしたくありません。

11 security  active-directory  schema 

この質問は、ターミナルサービスを実行するためにActive Directoryが必要かどうかについての議論でした。しかし、一連の回答とコメント（主に私）は、ドメインコントローラーに関する関連する質問を持ち出しました。 AD環境でドメインコントローラーを1つだけにするのは明らかに悪い習慣です。また、各ドメインコントローラを個別の（物理または仮想）単一機能サーバーに配置することも明らかにベストプラクティスです。ただし、誰もが常にベストプラクティスに従うことができるとは限りません。 ドメインコントローラーとして他の役割を果たしているサーバーを使用しても問題ありませんか？ サーバーを「デュアルパーパス」にするかどうかを決定する際に考慮すべきことは何ですか？ ドメインコントローラーの役割は、Windowsがファイルシステムまたはハードウェア上で動作する方法を変更しますか？ Windows Serverのバージョンに違いはありますか？

11 active-directory 

グループポリシーを使用してプリンターを展開するための2つのオプションに気づきました。 GP管理でグループポリシーを作成してリンクし、[ユーザーの構成]> [設定]> [コントロールパネルの設定]> [プリンター]でプリンターを追加します。 Print Management mmcに移動し、プリンター共有を右クリックして、[Deploy with Group Policy]を選択します。次に、使用するGPO名を選択します。 これらのどちらが推奨されますか、それとも推奨されますか？動作が少し異なるようです。現在、2番目のオプションを使用してプリンターを展開していますが、展開先のGPOにアクセスして変更することはできません（空白です）。

11 active-directory  group-policy 

たぶん私のタイトルは正しくないかもしれませんが、現時点では他にどのように名前を付けるかわかりません。 メインのADドメイン管理者アカウントでWindows 10マシンにログインすると、言語設定アプリに入るときにエラーメッセージが表示されます。 （私のWindowsは別の言語なので、これは英語の実際の文字列ではなく、私の翻訳です:) c:\windows\system32\SystemSettingsAdminFlows.exe Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item. 変更をうまく加えることができるようです。それらは保存されます。エラーメッセージを少なくとも5〜6回クリックし続ける必要があります。 同じマシンのローカル管理者アカウントでログインすると、この問題は発生しません。 ローカル管理者グループを確認しましたが、ADドメイン管理者もその一部です。それ以外の場合は、ほとんどすべてを行うことができます。 ここで良い質問をすることもできません。何が起こっているのか、設定で何かを見逃したのかどうかを知りたいだけです。 更新： C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F) VORDEFINIERT\Administratoren:(RX) NT-AUTORITÄT\SYSTEM:(RX) VORDEFINIERT\Benutzer:(RX) ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX) 1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist …

11 active-directory  samba4  windows-10 

グーグルで検索しましたが、Active Directory設定でユーザー名の適切な制限セットを見つけることができません。 Active Directoryのユーザー名設定で許可されていない特殊文字を教えてください。 単一引用符（ '）は許可されているかどうか。

11 windows  networking  active-directory 

いくつかのドキュメントによると、SQLサーバーのサービスアカウントを読んだところ、データベースエンジンの起動時にSPNが作成され、Kerberos認証が可能になります。SPNを作成するためにアカウントが必要とする権限を示すドキュメントを見つけることができませんでした。それでは、SPNを作成するために、アカウントにはどのようなアクセス許可が必要ですか（可能な場合はドメイン管理者を除外する）。

11 active-directory  permissions  kerberos  spn 

Enforeced GPOの優先順位は何ですか？洗練された答えを与えるMS記事は本当に見つかりません。 私の現在の理解は次のとおりです。 5つのGPO（GPO1からGP05）があるとします。試験問題を使用して状況を説明します。 GPO Linked to Enforced GP01 - contoso.com - No GP02 - contoso.com - Yes GP03 - Site 1 - Yes GP04 - OU1 - No GP05 - OU1 - Yes 今、私の理解は、最初に適用するものから最後に適用するもの（このため、最も優先順位の高いもの）まで、この順序で適用することを意味します。 GP01 -> GP04 -> GP05 -> GP02 -> GP03 (meaning 3 has the final say …

11 active-directory  group-policy 

ドメインコントローラーで作成されたユーザーが常にドメインの一部であるのはなぜですか？ ドメインコントローラーでローカルユーザーを作成したい場合net user <username> <password> /add、そのユーザーは自動的にDomain Usersグループに含まれます。 ドメインの一部ではなく、ドメインコントローラーにローカル管理者アカウントを作成します。これは、ドメインコントローラーに対話的にログオンし、管理タスクを実行することができます。 これは可能ですか？

10 windows  active-directory 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 3年前休業。 Windows 2012サーバーで16文字より長いパスワードを作成しようとすると、パスワードが長すぎるために拒否されます。「パスワードの最大長」と呼ばれるGPOを探してみました-見つかりません。問題は、PwdFiltまたはPCNSFLTにある可能性があります。私も見たregeditのスクリーンショット。1 問題は、暗号化を行うためにインストールするSQL 2014サーバーに36文字のパスワードが必要なことです。 助言がありますか？

10 windows  active-directory  group-policy  sql  password 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 3年前休業。 私は、中小企業のクライアントにITサポートを提供する会社で働いています。私のタスクの1つは、サービスビューアーを実行することです。これには、重大なエラー/警告、およびDHCPとDNS管理コンソールのイベントビューアーのチェックが含まれます。クライアントのワークステーションのイベントビューアもチェックされますが、定期的ではありません。 これらのすべてのログの表示を一元化できる既存のソリューションはありますか？そのため、各サーバーにリモートでアクセスし、各クライアントに対して同じことを何度も繰り返す必要がありません。 各クライアントには、2003年から2012 R2までのWindowsサーバーのいくつかのバージョンがあります。

10 windows-server-2008  active-directory  windows-server-2003  windows-server-2012-r2  system-monitoring 

特にMicrosoft Windowsサーバーのドメインで.localを使用することは問題があることを読みました。また、私は読んだことがベストプラクティスの命名WindowsのActive Directory ServerFaultの記事役立ちましたが、完全に「ローカル」私はそれが何とか予約語だと思ったし、提示する問題についての私の質問に答えていませんでした。 ドメインを所有keiboom.comし、Active Directoryドメインをとして設定しましたlocal.keiboom.com。これは問題を引き起こす可能性がありますか？

10 domain-name-system  active-directory  windows-server-2012  subdomain 

Windows Server 2016はDNSポリシーをサポートします。これは、他のシナリオの中でもスプリットブレインDNSをサポートします。 DNSポリシーを構成して、DNSサーバーがDNSクエリに応答する方法を指定できます。DNS応答は、クライアントIPアドレス（場所）、時刻、およびその他のいくつかのパラメーターに基づくことができます。DNSポリシーにより、ロケーション認識DNS、トラフィック管理、ロードバランシング、スプリットブレインDNS、およびその他のシナリオが可能になります。 DNSポリシーの概要ページを読みましたが、まだすべてのDCがサーバー2016でない場合、AD統合ゾーンでこれがどのように機能するかについてのドキュメントを見つけることができません。 ダウンレベルのサーバーはポリシーを解釈してそれに応じて動作する方法がわからないので、それがうまくいくとは思えませんが、情報がADで複製されるため、古いDCが新しい属性を無視して応答する状況を予測できますいくつかの「デフォルト」の方法で（ポリシーは適用されません）、新しいDCはポリシーに従って応答します。 すべてのDCを一度にアップグレードせずに新しい機能を使用する方法を提供できるため、クライアントがDCのサブセットをポイントできる（または既に実行している）特定の状況では問題ないと思います。 しかし、私が説明したものが実際にどのように機能するのか、または混合環境で新しい機能をまったく使用できないのか、その間の何かについての情報は見つかりません。 警告 私は最近、ことを発見しました-WhatIf、-Verboseと-ErrorActionパラメータはDNSポリシーコマンドレットに壊れています。ここで投票して修正してください。そして注意してください！

10 domain-name-system  active-directory  windows-server-2016  split-dns  dns-policies 

少し複雑なIDAM設定があります。 つまり、エンドユーザーのマシンとブラウザは親ADのあるネットワークにあり、Jettyベースのアプリケーションとそれが通信できるAD（ローカルAD）は別のネットワークにあります。 2つのADの間には双方向の信頼があります。親ネットワークのブラウザは、信頼済みサイトにローカルドメインを持っています。 Jettyサーバーの設定は次のとおりです。 ローカルADのプリンシパルに対して生成されたキータブファイルを使用する ローカルADで定義されたユーザーの下でWindowsサービスとして実行されている レルム、ドメイン-レルムマッピング、およびkdcは、ローカルADのドメインに対して定義されます それはspnegoを使用します-isInitiatorはfalseに設定されます。doNotPromptはtrueです。storeKeyはtrueです 問題は： テストとして、（すなわちローカルADにリンクされている）、ローカルネットワーク内のブラウザからサーバーにアクセスすると動作します私は、HTTPトラフィックに正しいKerberosのネゴシエーションを見ることができ、Kerberosのデバッグ情報がログに表示され、ユーザーは自動的に署名されています- 。鮮やかさ。 ただし、親ネットワーク内のブラウザーからサーバーにアクセスする（これは、ユーザーが操作する方法です）ことができません。ブラウザは401 unauthを取得しますが、資格情報を要求します。資格情報を入力すると、空白の画面が表示されます。次に、アドレスバーをクリックしてEnterキーを押すと、資格情報がリモートADとローカルADのどちらであるかに応じて、次のいずれかが行われます。 ローカルADの資格情報は、ログに最初からKerberosを使用して正常にログインします（GET要求、401非認証応答、Kerberosヘッダー要求など） リモートADの資格情報がログインしていない（GETリクエスト、401 UNAUTH応答は、何がNTLMヘッダーのようになります。Authorization: Negotiate <60 or so random chars>） いずれにせよ、それが促しているという事実は間違っています！ これらの症状の説明はありますか？私たちが持っているセットアップは私たちが望むことをすることができますか？ 上記の説明については何が間違っている可能性があるかについては、私が行ったように、Jettyサーバーに関して述べた構成はすべて正確である必要があります。詳細をお知らせいたします。ADまたは親ネットワークブラウザーのいずれかに関する構成は疑わしい可能性があります。これは、私の制御下になく、自分で確認するのではなく、報告された構成を持っているためです。

10 active-directory  kerberos  jetty  spnego