タグ付けされた質問 「active-directory」

バックアップから復元したWindows 2008 R2スタンドアロンドメインコントローラーがあります。元のDCはオフラインです。 有効なユーザー認証情報でログインすると、エラーが発生します。 "サーバーのセキュリティデータベースには、このワークステーションの信頼関係用のコンピューターアカウントがありません。" ドメインコントローラにログインして、壊れているものを修正するにはどうすればよいですか？これはフォレスト内で唯一のDCです。 価値があるので、私はこのサーバーをRackspaceでホストしているので、私の物理的なオプションは限られています。

10 active-directory  windows-server-2008-r2  kerberos 

私はWindows Server 2008を使用しています。1つのドメインコントローラーを持つドメインがあります（これは開発環境です）。ADスキーマを編集して、TestAttribute2（LDAP名はtestAttribute2）というカスタム属性を作成しました。数値文字列、単一値、最小値または最大値の構文を使用します。属性のOIDは1.3.6.1.4.1.39668.21769.1.1.1でした。また、Microsoftが発行したOID 1.2.840.113556.1.8000.2554.37861.10620.51629.17372.38569.15288078.14709744.1.2を使用して別のテスト属性を作成しました。属性はインデックス付けされておらず、アクティブで、GCにレプリケートされず、複製時にコピーされず、コンテナ化された検索用にインデックス付けされません。次に、この属性をpersonクラスに追加しました。 ADユーザーとコンピューターMMCの属性エディター機能、またはADSI Editを使用してこれらのカスタム属性のいずれかを設定しようとすると、MMCがクラッシュし、属性が設定されないままになります。ただし、同様のOIDを持つ他の構文（CI文字列とUnicode文字列）を持つ他のカスタム属性は、クラッシュすることなく設定できます。何が悪いのですか？

10 windows-server-2008  active-directory  schema 

AD / Linux / LDAP / KRB5ディレクトリと認証設定が機能していますが、小さな問題が1つあります。アカウントが無効になっている場合でも、SSH公開鍵認証ではユーザーのログインが許可されます。 kinitとkpasswdが「クライアントの資格情報が取り消された」ことを返すため、kerberosクライアントが無効なアカウントを識別できることは明らかです。 認証が公開鍵によって行われる無効なアカウントのログインを許可しないように（sshd_configで「UsePAM yes」を使用して）PAMを構成できますか？これはうまくいかないようです： account [default=bad success=ok user_unknown=ignore] pam_krb5.so 回答にwinbindを導入しないでください-使用しません。

10 linux  active-directory  kerberos  pam 

分離されたネットワークにサービスがあります。これらのサービスは、Active Directoryサーバーに対してユーザーを認証する必要があります。 ただし、Active Directoryサーバーは直接利用できないため、分離されたネットワークでLDAPプロキシをセットアップする必要があります。その後、LDAPプロキシはADにアクセスできます。アクセスは読み取り専用でなければならず、このプロキシは1つの ADサーバーにのみアクセスできることに注意してください。 これは可能ですか？ 「プロキシ」という用語は良い用語ですか？ Microsoft ADサーバーは必須ですか、それともOpenLDAPで問題ありませんか？ AD / LDAPに関する知識はほとんどありませんが、学習曲線はどうですか？ いくつかのヒントはどこから始めますか？ ありがとう。

10 active-directory  authentication  openldap 

2つの別個のドメインを使用して、同じサブネット内の同じネットワーク上で2つのActive Directoryドメインコントローラーを実行できるかどうかを確認しようとしています。私が接続しているスイッチを除いて、これらの2つのドメインコントローラーを（アカウントなど）にリンクしたくありません。 私の現在の懸念はDNSに関するものです-私に関する限り、これが主な問題です。ネットワーク全体を処理する単一のDHCPサーバーがあるので、すべてのクライアントにDNSサーバーIPアドレスの1つのセットを配布したいと考えています。ただし、DomainAのDNSサーバーはDomainBなどのクエリに応答できません。 これはフォワーダーで解決できると思います-IE、DHCP構成で両方のDNSサーバーのIPアドレスを設定し、*。DomainBの要求をDomainBのDNSに転送するようにDomainAに指示することができます。また、リクエストを個々のサーバーに適切に転送する単一の集約を使用することもできます。 しかし、これがうまくいくかどうか、またはより良いオプションがあるかどうかはわかりません。これがビジネスネットワークの場合は、先に進んでVLANや複数のDHCPサーバーなどをセットアップします。ただし、シンプルさを求めています（家のドメインコントローラーで実現できる限りのシンプルさ...） 同じネットワーク上で2つのドメインコントローラーを実行する理由は何ですか。私は自宅でラボを運営しており、今では、同居している人が自分のドメインコントローラーを実行していると確信しています。ただし、セキュリティ上の理由から、すべてを分離しておく必要があります。 どんな援助でもありがたいです。

10 windows-server-2008  active-directory  domain-controller  internal-dns 

私はBoswellによるLearning Exchange Server 2003を読んでおり、ADで無効にされたアカウントは電子メールを受信できないこと、およびバウンスされることを言及するセクションがあります。現在、人が退職したときに通常起こることは、アカウントが無効になり、アーカイブOUに移動し、メールが[Exchange全般]タブで他のユーザーに転送されることです。ずっと機能しているように見えますが、なぜこの本がそうでないのか疑問に思っています...単一のExchange 2003 SP2サーバーを使用しています。 無効になっているユーザーアカウントはどのような状況でメールを受信しなくなりますか？

10 active-directory  exchange-2003  user-accounts  mailbox 

Active Directory（2008 R2ネイティブレベル）とExchange 2010を使用している会社のすべてのIT責任を引き継ぎました。内部のActive Directoryドメイン名が、外部のインターネットドメイン名と同じであることがわかりました所有していません。私が読んだ限り、Exchange 2010 /サーバー2008 r2でのドメイン名の変更は不可能であることを理解しています。誰かが私に他にどのようなオプションが利用できるかを理解するのを手伝ってくれませんか？彼らは非常に大規模なインフラストラクチャを持っているので、新しいフォレストに移動することは、できれば回避したい大きな仕事になるでしょう。 よろしくお願いします。

10 windows-server-2008  exchange-2010  active-directory 

私はお客様から、次の要件（簡略化された、実際にはかなり悪い）のシナリオでActive Directoryの設計を機能させるように依頼されました。 クライアントシステム用のサブネットがあります。 サーバーシステム用のサブネットがあります。 2つのネットワークは接続されていません。 各サーバーには2つのネットワークカードが必要です。1つはサーバーのネットワーク上にあり、もう1つはクライアントのネットワーク上にあります。 クライアントとサーバー間のトラフィックは、クライアントのネットワーク上のみを流れる必要があります。 サーバー間のトラフィックは、サーバーのネットワーク上でのみ流れるはずです。 これは、ドメインコントローラにも適用されるはずです。 言うまでもなく、これはActive DirectoryがDNSを使用してドメインコントローラーを検索する方法にはあまり適していません。考えられるすべてのアプローチは、次のシナリオの1つにつながります。 DCはドメインのDNSに「クライアント側」のIPアドレスを登録します。クライアントはそのアドレスを使用してクライアントと通信しますが、サーバーとADレプリケーショントラフィックも通信します。 DCは、ドメインDNSに「サーバー側」のIPアドレスを登録します。サーバーはそのアドレスを使用してサーバーと通信し、レプリケーショントラフィックはそのネットワーク上を流れますが、クライアントはそれらに到達できません。 DCは両方の IPアドレスをドメインDNSに登録します。それは、システムがそれらに到達するために何をするかはだれの推測です。 もちろん、これらの要件は完全にクレイジーであり、2つのネットワークでDNSサービスを分割してSRVレコードを手動で入力する（argh）かサーバーに配置させるなどのクレイジーソリューションを使用しない限り、それらすべてを同時に満たすことはできません。 DNSを使用するDCとクライアントは、WINS（double-argh）を使用してDCを見つけます。 私が思いついた解決策は、「サーバー」ネットワークに2つのDCを、「クライアント」1つに2つのDCを持ち、2つのADサイトを定義し、DCレプリケーショントラフィックのみで2つのネットワーク間の境界を越えることです。各サーバーには2つのネットワークカード（2つのサーバー側DCと純粋にバックエンドサーバーを除く）がまだあるため、これにはまだ DNSの変更が必要ですが、少なくとも機能する可能性はいくつかあります。 できるだけ早く逃げる以外のアドバイスはありますか？

10 networking  domain-name-system  active-directory  domain-controller 

最近から、ADポリシーを使用して、GPO経由で小さなドメインにソフトウェアパッケージを展開しています。これはうまく機能していましたが、パッケージをアップグレードするための正しい手順は何なのかわかりません。 最初にXを展開したと想定して、「Install X」という名前のGPOを通じてバージョンaを作成します。すべて正常に動作し、時間の経過とともにバージョンbがリリースされます。（新しいバージョンの.msiが既にインストールされているバージョンのアップグレードを実行できると仮定）アップグレードを実行するには、次のオプションがあると思います。 配布ポイントの元の.msiを置き換えてから、グループポリシーエディター（GPO " Install X " を開きます）を使用して、[コンピューターの構成] / [ソフトウェアの設定] / [ソフトウェアのインストール]で[アプリケーションの再展開]にタスクを割り当てます グループポリシーエディターを使用して、コンピューターの構成/ソフトウェアの設定/ソフトウェアのインストールで新しいバージョンの新しいパッケージを作成し、このパッケージでアップグレードする古いパッケージを指定します（[アップグレード]タブで、バージョンaのパッケージを選択します。既存のパッケージをアンインストールするか、アップグレード） バージョン用のパッケージ削除するには、グループポリシーエディタを使用してA（すぐにアンインストールオプション付き）を、バージョンのために新しいパッケージを追加B 質問： 最初のオプションの欠点は何ですか？ 2番目のオプションは、GPO経由で配布されたパッケージをアップグレードする適切な/推奨される方法ですか？ GPOを介したパッケージのアップグレードに関して、他に微妙な点、ベストプラクティス、または一般的なアドバイスはありますか？ 編集：また、私は3を適切にテストしただけなので、1と2でいくつかの重要なステップが欠けている場合は、ポインタをいただければ幸いです。:)

10 active-directory  group-policy  deployment 

実行してユーザーのパスワードをリセットする方法については、たくさんのドキュメントを見てきました net user <username> * /domain またはローカルで net user <username> <new_password> しかし、私は現在のドメインのドメイン管理者ではないため、net user <my_username> * /domain（アクセスが拒否されました）を介してパスワードを変更することはできません。 私ができることは、CTRL++をALT押しDELて[パスワードの変更]をクリックすることです。この場合、現在のパスワードを再入力して新しいパスワードを入力する必要があります。 質問：どうすればスクリプトできますか？コマンドラインからパスワードを変更したい。可能？ ボーナス情報：私はWindows XP SP3マシンを使用しています。 注：会社のポリシーは、ユーザーに2週間ごとにパスワードを変更させることです。最後の24個のパスワードを使用することはできません...私は常に新しいパスワードを覚えておきたくないので、手動で「password1」...「password24」を繰り返すだけで、最終的には古いパスワードに戻ります。手動の方法ではなく、小さなバッチでこれを行うのは素晴らしいことです。

10 windows-xp  active-directory  password 

以下のポリシーを有効にしました。 「TCP / IP詳細接続を禁止する」 「LAN接続のコンポーネントのプロパティへのアクセスを禁止する」 「管理者に対してWindows 2000ネットワーク接続設定を有効にする」 これらをすべて実行した後、windows XP、2000、およびVistaを実行しているすべてのマシンで、期待どおりにネットワーク設定プロパティボタンが無効になります。 ただし、Windows 7を実行しているすべてのマシンに影響はありません。手順はまだいくつかあると思います。すべてのWindows 7マシンはドメイン上にあり、ドメインコントローラーのGPOを介してこれを制御します。 Windows 7でネットワーク接続のプロパティを無効にするために何をする必要があるか教えてください。私はネットワークの専門家ではありません。Windows7のGPOに追加された新機能に関する記事をいくつか読んだのですが、何も表示されません。 すべてがWindows XP、Vista、2003 Serverで正常に動作します。問題はWindows 7だけです。

10 windows-7  domain  active-directory 

Amazon EC2でWindows Server 2003インスタンスを実行することが可能です。 これらのマシンの1つ以上がドメインコントローラーになり、実行する他のマシンがそのドメインのメンバーになることは可能ですか？ 誰かがこれが良い/悪い考えだと思いますか？ ADポートではどのように機能しますか？サーバーのグループのみがこれらにアクセスできますか？それともすべてのユーザーに開放されますか？

10 windows-server-2003  amazon-ec2  active-directory 

コンピューターをドメインに参加させる必要がある場合にActive Directoryにコンピューターオブジェクトを作成し、それによってオブジェクトを作成する意味は何ですか？

10 active-directory 

現在、Active Directoryがセットアップされており、名前は「example.com」です。example.comのDNSエントリには、2つのドメインコントローラを指す2つのAレコードがあります。内部ユーザーがhttp://example.com/を使用してWebサイトにアクセスできるようにし たいのですが、ドメインコントローラーからサイトを実行せず、IISや他のサービスを単にインストールするだけではありませんwww.example.comへのリダイレクト。 私が正しく理解していれば、これらのエントリを削除し、WebサーバーのIPを指す新しいAレコードを追加できるはずです。通常、クライアントはSRVレコードを使用してドメインコントローラーなどを見つけるため、問題は発生しません。 これは正しいです？停止することはしたくないので、変更する前に質問します。:)

10 domain-name-system  active-directory 

ファイルサーバーはIT業界では当たり前のことであり、グループを作成してクライアント上の共有フォルダーへのクライアントアクセスを管理するためのアクセス許可を適用する方法について、一般に受け入れられている慣行（ここでは「ベスト」という言葉を使うのをためらいます）があるかどうか知りたいです。ファイルサーバー。 私の現在の仕事では、ACLの数十のグループから個々のユーザーを直接ファイルシステムに置くだけに至るまで、これを行うためのさまざまな方法をかなり混乱させてしまいました。私の仕事は、混乱を解消し、会社全体でこれに対処するためのある種の標準化された方法（大規模な環境、15万人の従業員、9万人のクライアントコンピューター、数百のファイルサーバー）を考案することでした。 この問題についての私の理解から、保護されたリソースごとに必要なアクセスレベルごとに少なくとも1つのグループが必要であるようです。このモデルは、別のアクセスレベルをサポートする必要がない限り、ファイルシステムのアクセス許可に再度触れる必要がないという点で、最も柔軟性が高いようです。欠点は、複数の共有リソースで同じグループを再利用するよりも多くのグループを作成することです。 ここに私が何を意味するかを示す例があります： FILE01という名前のファイルサーバーに "Test Results"という共有があり、読み取り専用アクセス、読み取り/書き込みアクセス、およびフルコントロールが必要なユーザーがいます。1つの保護されたリソース* 3つのアクセスレベル= 3つのセキュリティグループ。AD環境では、これらをユニバーサルグループとして作成するため、フォレスト内の任意のドメインからユーザー/グループを簡単に追加できます。各グループは共有フォルダとアクセスレベルを一意に参照するため、グループ名にはこれらの「主要な」データが組み込まれ、権限は次のようになります。 "FILE01-Test Results-FC" -- Full Control "FILE01-Test Results-RW" -- Read & Write "FILE01-Test Results-RO" -- Read Only 通常、ビルトインSYSTEMアカウントと、フルコントロールアクセス権を持つビルトインAdministratorsも含まれます。この共有へのアクセス権を実際に誰が取得するかに対する変更は、ACLに触れる必要なく、グループメンバーシップを使用して処理できるようになりました（マネージャー、技術者、QAアナリストなどの特定のビジネスロールを表す「ロール」グループを追加するか、または個人のみ） 1回限りのアクセスのユーザー）。 2つの質問： 1）これは実際にアクセス許可を処理するための推奨または有効なアプローチですか、それともより単純でエレガントなソリューションが欠けていますか？私は特に、継承を使用するソリューションに興味がありますが、物事が変わったときにファイルシステムの大部分を再ACLする必要がないという柔軟性を保持しています。 2）環境内でファイルサーバーのアクセス許可とグループ構造をどのように処理していますか？大規模な環境でも作業している人にはボーナスポイント。

10 active-directory  filesystems  ntfs  access-control-list