タグ付けされた質問 「active-directory」

ドメインはどの時点でワークグループよりもネットワークに適していますか？ それを下回ると、ドメインが得られる利益に対して単純に作業量が多すぎるしきい値はありますか？ ワークグループの管理が困難になり、ドメインがより実用的になるポイントはありますか？ この決定にはどのような基準を使用しますか？

10 windows  active-directory  domain  workgroup 

降格したドメインコントローラーが依然としてユーザーを認証しているのはなぜですか？ ユーザーがドメインアカウントでワークステーションにログオンするたびに、この降格されたDCがユーザーを認証します。そのセキュリティログには、ログオン、ログオフ、および特別なログオンが表示されます。新しいDCのセキュリティログには、一部のマシンログオンとログオフが表示されますが、ドメインユーザーとは関係ありません。 バックグラウンド server1（Windows Server 2008）：最近降格したDC、ファイルサーバー server3（Windows Server 2008 R2）：新しいDC server4（Windows Server 2008 R2）：新しいDC ログ セキュリティログイベント：http : //imgur.com/a/6cklL。 server1からの2つのサンプルイベント： Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: MYDOMAIN\auser …

10 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 

2つのドメインがあり、それぞれに2つのドメインコントローラがあります。 company.local ad.company.com.au 両方のドメインが同じフォレスト内にあり、双方向の信頼が設定されています。ad.company.com.au現在はに移行していますが、LDAPにクエリを実行する必要があるシステムに問題があります。 いずれかのドメインコントローラに対してLDAP検索を実行すると、ADの制御下にないad.company.com.au参照が取得されますcompany.com.au。 $ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <DC=company,DC=com,DC=au> with scope subtree # filter: (objectclass=*) # requesting: ALL # with manageDSAit control # # search result search: 2 result: 10 Referral text: …

10 active-directory  windows-server-2008-r2  ldap  domain-controller 

私はLinuxショップのシステム管理者です。Windowsドメインを継承する最初のステップです。用語に関する質問があります。 ユーザー名はWORKPAC \ johndoeです。ユーザー名の太字部分は何ですか？ Windowsドメインのドメイン名はworkpac.localです。そのために正しい用語を使用していますか？

10 windows-server-2008  windows-server-2003  active-directory 

自分のマシンにローカル管理者アクセス権がありますが、それでもスクリーンセーバーの設定を変更できません。グループポリシーによって何らかの形で無効にされていると思いますが、これを無効にする方法はありますか？

10 windows  active-directory  permissions 

ツリービュータイプの構造を使用して、グループを検索し、AD内のメンバーを確認したいと思います。DCへのRDCアクセス権がないため、ログインしてActive Directoryユーザーとコンピュータースナップインを使用できません。 これを行う別の方法はありますか？DCではないドメイン上の別のサーバーからですか？

10 active-directory 

Active Directoryを使用してLinux（Debian）ボックスでユーザーを認証するためのベストプラクティスは何ですか？ 私がそれを機能させる方法は、ADユーザーをグループに追加することです。たとえば、linux管理者またはlinux webserverとし、グループメンバーシップに基づいて、特定のサーバーへのアクセスを許可するかどうかを指定します。理想的には、標準的な方法で維持されるのはrootアカウントのみです。 これを行う私の目標は次のとおりです。 1か所でパスワードの変更を許可するには 特定のユーザーに、AD資格情報を使用してLinuxサーバーへのアクセスを自動的に許可するには すべてのユーザー情報を1つのデータベースにまとめる 私が避けたいことは次のとおりです。 Active Directory管理者が管理するのが難しい/直観に反するもの 何らかの理由でADサーバーに到達できない場合にユーザーをロックアウトする（つまり、何らかの方法で資格情報をキャッシュする必要がある） 次回サーバーをアップグレードするときに壊れる、複雑すぎる、または標準的でないもの。

10 linux  active-directory  debian  authentication 

samba4を1400のリモートサイトに展開しようとしている顧客向けのテスト環境をセットアップしていますが、問題が発生しています。結局のところ、問題にぶつかって解決するのが私の仕事です。 Active Directory フォレストルートと単一ドメイン：main.adlab.netdirect.ca Windows 2008 R2で作成 2008 FFL 2008 DFL 本社 AD1：Windows 2008 R2 DC AD2：Windows 2008 R2 DC Windows 7 Professionalクライアント 支店 SLES11SP2（完全に更新！）とSamba 4（sernetの4.1.1-7.suse111パッケージ） RODCとして構成されたSamba 4 特定のアカウントをRODCにキャッシュできるようにパスワードレプリケーションポリシーを構成し、それらのアカウントをRODCに入力しました。 sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2] sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' …

9 active-directory  windows-7  samba4  rodc 

残念ながら、私はその名前が会社が所有していないDNS名であるActive Directoryドメインを継承しました。これをABC.comと呼びます。代わりにcompany.comの下にあるものにしたい（ADの命名に関するMDMarraの回答によると、他のものに使用するDNS名を使用したくないので、おそらくad.company.comを使用します）が、今年は、メールをOffice 365に移行し、ディレクトリ同期を使用できるようになります。そのためには、少なくとも私たちの電子メールドメイン（company.com）に一致するUPNが必要なようです。OK、2つ目のUPNを追加するプロセスは非常に単純なようです。それをテストし、アカウントがすべて望ましいUPNになるまでアカウントを移動することは、十分に妥当と思われます。 これを行うだけの欠点はありますか？ABC.comのこの「所有されていない」ドメイン名に無期限に留まると、最終的に技術的負債の死神が到着するのでしょうか？ 参考までに、2012R2レベルのすべて（フォレスト、機能レベル、すべてのDC）を持つ単一のフォレスト、単一のドメイン、およびこのドメインにExchange 2010があります。ADには約150人のユーザーと450台のコンピューターがあります（多くの開発/テスト自動化）。私は2003年から2012R2まで安全にナビゲートしましたが、決してADの専門家とは言いません。 ドメイン名の変更が一般的に推奨されているようには見えません。また、ドメインにExchange 2010があるため、それがオプションになるとは思いません。 それを見ると、私は次のいずれかを行うことができます： 2番目のUPNを追加して完了します。作成/追加するときに、手動でUPNを設定する必要があることに対処できます... 2番目のドメインをフォレストに追加し、すべてを移動します。このレガシールートドメインは常に削除できません。 2つ目のフォレストを作成し、フォレスト<->フォレストの信頼を作成し、この新しいフォレストで最初からやりたいようにすべてを実行します。すべてを移動し、最終的に元のフォレストを削除します。非常に遅く、非常に慎重に、前後にテストされ、おそらく多大な費用がかかります（最小限の時間で）。夢の世界ではこれが最善のように見えますが、私はこれについてのビジネスケースを正当化できるかどうか確信が持てません（誰かが死神の到着が起こると述べていない限り）。 ??? 私が考えていない何か他のもの

9 active-directory 

フォルダーのアクセス許可を変更するために特権を変更する必要があった（そしてそれらを再び設定する）必要があったため、これら2つの間に違いがあることに気づきました。 PSこれが愚かな質問である場合、私はまだこれらの多くを理解していることをお詫び申し上げます。

9 active-directory  permissions 

このQ / Aを追加したのは、この制限に今日遭遇したばかりで、それに関するドキュメントが見つからなかったためです。この問題に関する古いKB記事があります が、それは現在Googleによってインデックスに登録されていません（おそらくそれが何年も前に発行され、更新されなかったためです）。この問題が他の場所で言及されることはありません。 親ドメインに子ドメインと同じ名前のOUを作成することはできますか？ 親ドメインのOUと同じ名前の子ドメインを作成することはできますか？

9 active-directory  domain  organizational-unit 

従来のドメインコントローラーではなく、Azure Active Directoryを使用しようとしています。 Azure ADを使用してユーザーを認証し、フォルダーリダイレクト、ドライブマッピング、Windows 10プライバシー設定などのGPO設定をプッシュしたいと思います。 Office 365アカウントを作成しました。これにより、ADバックエンドが作成されます。また、Azureアカウントを作成し、O365 / Azureユーザーの詳細を使用して、テスト用のWindows 10 PCをAzureドメインに追加しました。 また、Azure AD Premium試用版も購読しています。 この時点で行き詰まっています。追加したPCはAzureのどこで確認できますか？ また、Azure ADを使用して従来のグループポリシー設定をテストPCにプッシュできますか？プッシュする場合、どこでこれを構成しますか？ または、Windows Intuneなどを使用する必要がありますか？

9 windows  active-directory  group-policy  azure  azure-active-directory 

アプリケーションが存在するWindowsサーバーがあり、アプリケーションへのログイン時にドメイン資格情報を使用します。最近のペンテスト中に、テスターはアプリケーションの応答に基づいて有効なドメインユーザー名を列挙するためにアプリケーションを使用できました（無効なユーザー名と無効なパスワードでは異なる応答が返されました）。 アプリケーションは修正されているため、この情報は表示されませんが、短期間に2000,000を超える無効なユーザー名の試行があったため、この攻撃を検出する必要があったようにも思います。管理者がActive Directoryを注意深く監視しているときでも、それはわかりませんでした。どうやら障害は、アプリケーションがインストールされたサーバーのローカルイベントログにのみ表示されたようです。 私の質問：1）Active Directoryがこれらの失敗したユーザー名要求を中央の場所に記録して、それらのスパイクに気付く方法はありますか？ 2）そうでない場合、将来このタイプの攻撃を監視して積極的に検出するための最良の方法は何ですか（できれば、新しい機器をあまり購入する必要がないことを願います）。 ご協力いただきありがとうございます。

9 windows  windows-server-2008  active-directory 

Windowsで安全でないDNS更新を有効にする実際のリスクは何ですか？ 安全でないDNS更新を有効にすることは、DHCP LinuxクライアントがFQDNに自分の名前を登録できるようにするための要件です。 これらを有効にしても大丈夫かどうかを評価するために、これに伴う実際的なリスクがあることを知りたいのですが。 私の知る限りでは、マシンが別の予約名を引き継ぐことはできません。これは、私が現在唯一懸念していることです。 明らかにそれはDDOSですが、ここでイントラネットについて話していることを考えると、これが本当のリスクになるのではないかと思います。 ドメインで有効にしていますか？何か問題があったために無効にする必要がありましたか？

9 domain-name-system  active-directory  dhcp  internal-dns 

私の会社では、Azure Active Directoryを介した組み込みのユーザー管理を含め、Exchange、SharePoint、LyncなどのOffice 365を使用しています。 次に、WindowsサーバーのローカルADに切り替えます。変更をAzureに同期しますが、プライマリユーザーとグループポリシーの管理はWindowsサーバーで行われます。 Azure ADからユーザーアカウントをオンプレミス（Windowsサーバー）ADに最初に取得するにはどうすればよいですか？ edit1：誰かがMicrosoft Forefront Identity Managerを使用してこれを調べましたか？このツールはDirSyncに付属しているようです。DirSyncサーバー（「C：\ Program Files \ Windows Azure Active Directory Sync \ SYNCBUS \ Synchronization Service \ UIShell」にあります）で「miisclient.exe」を開きます。他の方向に同期するように設定できる場合があります...可能性があります。

9 active-directory  azure  windows-server-2012-r2  microsoft-forefront