タグ付けされた質問 「active-directory」

Exchange 2010では、配布グループはユニバーサルである必要があります。これはドキュメントでサポートされています ユニバーサル配布グループのみを作成するか、メールを有効にすることができます。 私は、役割ベースのセキュリティグループ構造を作成しようとしています。そのため、誰かが仕事を辞めたり変更したりする場合、ユーザーの「役割」のグループメンバーシップを変更するだけで済みます（役割は別のセキュリティグループです）。最も単純な形式では、ロールにはメンバーのユーザーが含まれ、ロール自体は他のリソース中心のセキュリティグループ（共有の読み取り/書き込みグループなど）のメンバーになります。モデルにはそれ以上のものがありますが、この質問の目的には十分です。 問題は、これらの役割グループを配布メンバーとして追加するときに発生します。「Marketing Manager」ロールを「marketing@domain.com」配布リストに追加しようとすると、ロールセキュリティグループがユニバーサルでない限り、メールはロールメンバーに転送されません。 ただし、ユニバーサルグループをグローバルグループのメンバーにすることはできません。そのため、メールを有効にできるように役割グループをユニバーサルに変換したい場合は、役割自体もメンバーになっているグループも変更する必要があります。これは、提案された構造をサポートするために、ADのほぼすべてのセキュリティグループをユニバーサルに変換することを意味します。 私たちは約1000ユーザーの単一ドメインフォレストであり、このためのすべてのグループが1000以上になるようになったら期待します。ドメインの機能レベルは2008R2です 正直なところ、これがActive Directory環境に与える影響については知りません。配布グループに役割を追加したい場合、これを行う唯一の方法は、すべてのグループをユニバーサルにすることですか？メールに使用したい場合は、「はい」と答えます。ヘルプデスクのユーザーがユーザーが必要とするグループについて心配する必要がないように、これが必要です。彼らは彼らの「役割」を知る必要があるだけです。 リンクされた質問は、単純なセキュリティグループだけでは不十分な理由を回答しますが、提案された構造、つまりすべてのグループの近くをユニバーサルに変換するか、否定的な影響があるか、または悪い習慣と見なされるかどうかを知りたいです。

10 active-directory  exchange  exchange-2010  groups 

（アンサーライターの理解に合わせて編集-ここに投稿された新しくて新鮮できれいな質問：Active Directory + Google Authenticator-Windows Serverのネイティブサポート？） これまでに行われた研究 Active Directoryフェデレーテッドサービス（AD FS）でgoogleオーセンティケーターを使用する方法に関するTechnetの記事があります：https ://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-for-multi-factor-authentication-in-ad-fs-3-0 / 奇妙なことに、それは開発プロジェクトのようで、いくつかのコードと独自のSQL DBが必要です。 ここでは特にAD FSについては触れていません。私たちは、あなたがそれに到達したときに、ADに組み込まれたGoogle認証システムRFCをサポートする2FAを探しています。

10 windows  active-directory  authentication 

すべてのオプションが設定され、回復キーがActive Directoryに格納されるように、グループポリシーでBitLockerとTPMの設定を構成しました。すべてのマシンでWindows 7を標準の企業イメージで実行しており、TPMチップが有効になっていてBIOSでアクティブになっています。 私の目標は、ユーザーがしなければならないすべてが[BitLockerを有効にする]をクリックするだけで済むようにすることです。マイクロソフトは、スクリプトを介して展開できる自動化サンプルも提供しています。しかし、これをスムーズなプロセスにするための小さな問題があります。 GUIでは、ユーザーがBitLockerを有効にすると、自動的に生成される所有者パスワードでTPMを初期化する必要があります。ただし、回復パスワードはユーザーに表示され、テキストファイルに保存するように求められます。このダイアログを抑制できないようで、ステップをスキップできません。キーがADに正常にバックアップされるため、これは不要な（そして不要な）プロンプトです。 展開をスクリプト化する場合、TPMを初期化するときにスクリプトで所有者パスワードを指定する必要があり、GUIのようにランダムに生成されるようにします。 BitLockerの展開を本当に希望どおりにゼロタッチする方法はありますか？

10 windows  active-directory  group-policy  bitlocker  tpm 

あなたは何をしようとしているのですか？ 約100の古いDNSレコードを持つDNSゾーンでDNS清掃を有効にしようとしています。 それを実現するために何を試しましたか？ みんなのお気に入りのTechNetブログ投稿に従ってDNS清掃をセットアップしました。DNS清掃を恐れないでください。ただ我慢しなさい。 最初に、すべてのドメインコントローラで清掃を無効にしました。 DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2 次に、DNSゾーンで自動清掃を有効にしました。 次に、ドメインコントローラーの1つでDNS清掃を有効にしました。 次に、数年前のtimstampsで削除されることが予想されるいくつかのレコードを見つけ、Delete this record when it becomes staleそのタイムスタンプが実際に設定されていることを確認しました。 最後に、ゾーンをリロードして14日間待機しました（更新期間と非更新期間の合計）。 どのような結果を期待しましたか？ DNSサーバーログに2501イベントが表示され、一連のDNSレコードが削除されたことを通知するはずでした。 実際に何が起こったのですか？ 何も起こらなかった。ゾーンエージング/清掃プロパティは、ゾーンが先週の2014年6月12日10:00:00 AM後に清掃される可能性があることを示しました。2501/2502イベントは記録されませんでした。「古くなった」タイムスタンプを持つすべてのレコードがまだ存在しています。 さらに7日間インクリメントして6/18/2014 10:00:00 AMにした後、ゾーンを清掃できる日付。 私が理解しているように、その日付が過去14日間になるまでは、実際に清掃されることはもちろん、清掃の対象になるものすらありません。 イベントログに記録されている2501のイベントは、右クリックして[Scavenge Stale Resource Records]を選択したときにトリガーされたイベントのみです。彼らは、清掃が今朝であった168時間後に再び実行を試みると述べています。 私は数か月間DNS清掃を有効にしていて、何かが起こるのを辛抱強く待っていました。ゾーンを複数回リロードしました（このタイムスタンプをリセットします）。 ここで何が欠けていますか？

10 windows  windows-server-2008  domain-name-system  active-directory 

私は、30台以下のPCでのWindowsログインに使用される仕事用Active Directoryネットワークの独学管理者です。私はこのシステムを、Microsoftの直接トレーニングを受けていない他の誰かから受け継いだため、いくつかのことで暗くなっています。 ネットワーク自体には、ドメインコントローラー、DNS、ファイル共有などとして機能する単一のWindows Server 2008 R2マシンがあります。ログインは正常に機能しますが、古いアカウントを無効にしているときにユーザーのリストを探し回っていましたが、よくわからないことに気付きました。 次に、いくつかのユーザーアカウントの例を示します。 ログオン名：john 名：John 姓：Smith 表示名：John Smith オブジェクトの正規名：domain.com/Users/john ログオン名：bob 名：Bob 姓：フランス語 表示名：Bobフランス語 オブジェクトの正規名：domain.com/Users/Bobフランス語 現在のドメインコントローラーは、Windows Server 2003を実行するために使用されていた別のドメインコントローラーから交換されました。最初のサンプルアカウントはServer 2003ボックスがDCのときに作成され、2番目は新しいServer 2008 R2ボックスがDCのときに作成されました。Canonical Nameが異なるのはなぜですか？ 私は、Active Directoryブラウザのユーザーリストに、アカウントの半分が「firstname」、残りが「firstname lastname」という事実に悩まされています。 機能しているアカウントを壊すことなく、それらすべてを同じにするために何かをすることができますか？

10 windows-server-2003  active-directory  windows-server-2008-r2 

私の制御が及ばない理由で、私はGPO / GPPをセットアップして100以上のプリンターを1000以上のクライアントに展開するように任されています。 良いニュースは、12を超えるサイトがあり、ほとんどの場合、サイトXのすべてのプリンターをサイトXのすべてのクライアントPCにプッシュすることを許可されていることです。 悪い知らせは、私がそれを行う方法を知っている2つの方法（「グループポリシーを使用して展開」、「プリントサーバーから」およびGPP /グループポリシーの基本設定を使用）は、私が望むよりもはるかに多くの手動作業を伴うということです。これだけの数のプリンタです。Deploy with Group Policy...たとえば、プリントサーバー上のすべてのプリンタを選択してオプションを使用することすらできないようです。たとえば、1つずつ実行することが想定されていますが、実際には起こりません。GPPはさらに悪いです、それは私がプリントサーバーからプリンターのパスを選択し、プリンター接続から取得できるはずの情報（プリンターIPなど）を手動でパンチすることを期待しているためです。 プリントサーバー上のすべてのプリンターをGPO / GPPに追加するスクリプトのGoogle-Fuが空になりました。これを半自動で行う別の方法が見当たらないようですが、こだわっています私は何かが足りないという信念を持っています。なぜなら、何人もの正気な人がGPOに手動で数百台のプリンターを追加することを選択する方法はないからです。 理想的には、GPPをプログラムで使用する方法を見つけたいと思いますが、この状況では、プリンタを手動で数十時間追加することを必要としないソリューションが最適です。 誰かがこれを行う方法を持っていますか、または私はPowerShellスクリプトを作成したり、部下をだましてこれを行わせる必要がありますか？

10 active-directory  scripting  network-printer  group-policy 

誤って作成された2つのADグループがありますが、代わりに1つのグループしかありませんでした。まったく同じユーザーが含まれています。ただし、これらのグループにはvariuosリソース（ファイル共有など）に対するさまざまなアクセス許可が割り当てられており、すべてを追跡して1つのグループのみを参照するようにリセットすることはできません。 2つのグループのうちの1つを削除して、そのSIDをもう1つのグループのSID履歴に追加すると、2つのグループを「マージ」できますか？これにより、残りのグループのメンバーは、削除されたリソースに権限が付与されているリソースにアクセスできますか？ 更新： ユーザーまたはグループのSIDの履歴にSIDを追加する簡単な方法はないようです。少なくとも、ADUCとADSIEditの両方でこれを行うことはできません。上記のトリックが機能する場合、どのようにこれを実際に達成できますか？

10 active-directory  access-control-list  groups  sid 

プリンターを含むActive Directoryラボを作成し、プリンター関連のさまざまな機能をテストする必要があります（ADへのプリンターの追加、プリンターに接続するクライアント、プリンターなど） ネットワーク上のプリンターを適切にシミュレートする良い方法はありますか？または、出力が出力されない場合でも、最終的に接続される場所に実際の物理プリンターが必要ですか？ この問題をどのように解決しますか？

10 windows  active-directory  network-printer 

2つのフォレストで構成されるActive Directoryセットアップがあります。 1つのフォレストルートドメインと2つの直接の子ドメインを持つ1つのマルチドメインフォレスト DMZ発行のための1つの単一ドメインフォレスト DMZドメインに3つの発信信頼、1つはフォレストルートドメインに対する推移的なフォレスト信頼、2つは外部の非推移的な信頼（ショートカット信頼）を作成しました。 4つのドメインすべてのDCはすべてグローバルカタログサーバーです。 以下でそれを視覚化しようとしました： さて、ここに問題があります。ドメインのdmzRoot.tldセキュリティグループへのリソースへのアクセスを許可すると、セキュリティグループのメンバーであるユーザーには機能しますが、のセキュリティグループのメンバーであっても、ドメインのユーザーには機能しません。childAchildAchildBchildA たとえば、ローカル管理者にメンバーサーバーへのアクセスを許可するとしますdmzRoot.tld。childA.ForestRoot.tld\dmzAdministratorsメンバーサーバーのローカルのビルトインAdministratorsグループに追加します。 childA.ForestRoot.tld\dmzAdministrators 次のメンバーがいます： childA \ dmzAdmin childB \ superUser 私はとして認証した場合さて、childA\dmzAdmin私は、ローカル管理者としてメンバサーバーにログオンすることができ、私はからの出力を見ている場合whoami /groups、childA.ForestRoot.tld\dmzAdministratorsグループが明確に記載されています。 childB\superUserただし、認証を行うと、アカウントにリモートログオンが許可されていないというメッセージが表示されます。アカウントを確認whoami /groupsしたところchildB\superUser、childA.ForestRoot.tld\dmzAdministratorsグループが表示されていません。 ほとんどのように思えるchildAグループSIDの認証時にPACに含まれていません飽きないchildBすべてのDCのは、GCのであっても、ユーザーを。 テストしたdmzRoot.tldのマシンでPAC検証を無効にしましたが、これは役に立ちませんでした。 これを効果的にトラブルシューティングする方法に関する提案はありますか？認証の証跡をたどって、失敗した場所を特定するにはどうすればよいですか？

10 active-directory  windows-server-2008-r2  authentication 

TechNetの記事の多くは次のようにありますが、この1かについての深さで多くの情報がないとそれはインフラストラクチャマスタはまた、グローバルカタログである場合にはファントムオブジェクトは更新されませんことを言うが、以外に、実際にこの中で起こるが、構成。 次のような構成を想像してください。 |--------------| | example.com | | | | dedicated IM | |--------------| | | | |-------------------| | child.example.com | | | | IM on a GC | |-------------------| にchildは、両方がグローバルカタログである2つのDCがあります。つまり、インフラストラクチャマスターの役割はGCにあります。また、GC exampleではない DC上にインフラストラクチャマスターの役割を持つ3つのDCがあります。 私は通常、すべてをGCにすることが最善であり、この種のことを心配する必要はないことを理解していますが、そうではないと仮定すると、このような設定から予想される正確なエラー動作と、どのドメイン（ s）この動作は現れるのでしょうか？子供か親か？

10 windows  active-directory  domain-controller 

Webアプリケーション（ホスト名：service.domain.com）があり、Kerberos認証を使用して、Windowsドメインにログインしているユーザーを識別したいと考えています。Microsoft AD（Windows Server 2008 R2）はKerberosサービスを提供しています。 このサービスは、Spring Security Kerberos拡張ライブラリを使用してSPNEGO / Kerberosプロトコルを実装するJava Webアプリケーションです。ADでkeytabファイルを作成しました。これには、Webアプリケーションを使用してクライアントブラウザーから送信されるKerberosチケットを認証するのに十分な共有シークレットが含まれています。 私の質問は、サービスホスト（service.domain.com）がKDC（kdc.domain.com）へのファイアウォールアクセス（TCP / UDP 88）を持っている必要があるか、またはサービスホストがKerberosチケットと認証を提供しますか？

10 active-directory  firewall  kerberos  springframework 

ユーザーに適用する必要があるGPOがありますが、ユーザーDOMAIN\DumbGuyがログオンしたときのみDOMAIN\DumbGuysComputer$です。ときDOMAIN\NiceReceptionistにログオンするDOMAIN\DumbGuysComputer$には、適用しないでください。ときDOMAIN\DumbGuyにログオンするDOMAIN\ReceptionstsComputer$には、適用しないでください。 1台のコンピューターで1人のユーザーにのみ適用する必要があります。 GPOをユーザーオブジェクトに適用すると、彼のすべてのコンピューターに適用されます。GPOをコンピューターオブジェクトに適用すると、そのコンピューター上のすべてのユーザーに適用されます。両方に当てはめればさらに広がります。 1台のコンピューター上の1人のユーザーにGPOを適用するにはどうすればよいですか？

10 active-directory  group-policy 

ユーザーとコンピューターは、Active Directoryに関して同等の原則として扱われると言って間違いありません。ユーザーとコンピューターの両方にパスワードがあり、ユーザーとコンピューターの両方がドメインに個別にログオンする必要があります。 自動的に起動するNetLogonサービスが、起動時にコンピューターをドメインにログオンする責任があることを理解しています。そのとき、NetLogonはDNSルックアップを介してドメインコントローラロケータロジックを使用して、ドメインコントローラを見つけます。 コンピュータが以前にドメインにログオンしたことがあり、それがどのサイトに属しているかがわかっている場合は、サイト固有のDNSクエリから開始してDCを特定し、必要に応じてより一般的なDCにフェイルバックできます。 これまでの私の仮定に誤りがある場合は、修正してください。 それでは、ユーザーはコンピューターにログインするときに、コンピューターにログオンするときに別のDCロケータープロセスを持っているのでしょうか。または、ユーザーがログオンしたときにコンピューターがすでに思いついたものを使用しますか？コンピューターとそのコンピューターにログオンしているユーザーが異なる認証DCを持つことは可能ですか？

10 active-directory 

現在、Kerberosをサポートして、RHELサーバーをADドメインに参加させるプロセスを自動化するパペットモジュールを作成しています。 現在、を介してKerberosチケット認可チケットを自動的に取得してキャッシュすることに問題がありますkinit。これを手動で行う場合は、次のようにします。 kinit aduser@REALM.COM これにより、ADユーザーパスワードの入力を求められるため、自動化に問題があります。 どうすればこれを自動化できますか？kadminADユーザーのパスワードを使用してデータベースを作成する方法について言及している投稿をいくつか見つけましたが、うまくいきませんでした。

10 linux  active-directory  authentication  kerberos 

PowerShellを使用して、x日間非アクティブであるActive Directoryドメイン内のすべてのコンピューターアカウントを見つけるにはどうすればよいですか？ 私が実際にこれを行う方法を知っていることに注意してください。これは、知識をそこに伝えるための自己回答型の質問です。他の誰かがより良い方法を持っている場合は、遠慮なく投稿してください！

10 active-directory  powershell