タグ付けされた質問 「active-directory」

私は2つのサーバーと30のクライアントを持つ小さな組織で働いています。私たちは完全にWindows Server 2003 / XPです。私の他に、オペレーションディレクターとITコンサルティング会社は、ドメイン管理者アカウントにアクセスする必要があります。 何らかの理由（ログの変更、セキュリティなど）で複数のドメイン管理者アカウントを用意する必要がありますか？複数のドメイン管理者アカウントを持たない理由はありますか？

9 active-directory 

サーバー、特にドメインコントローラーでサーバー固有のウイルス対策、通常のウイルス対策、またはウイルス対策をまったく実行しないでください。 これがなぜ私がこの質問をしているのかについての背景です： 私は、ウイルス対策ソフトウェアがすべてのWindowsマシンで実行されているべきだと疑問に思ったことはありません。最近、Active Directoryに関連する不明瞭な問題があり、ドメインコントローラーで実行されているウイルス対策ソフトウェアまで追跡しました。 具体的な問題は、Symantec Endpoint Protectionがすべてのドメインコントローラーで実行されていることでした。場合によっては、Exchangeサーバーが各DCのシマンテックの「ネットワーク脅威防止」で誤検知を順番にトリガーしました。Exchangeは、すべてのDCへのアクセスを使い果たした後、おそらくグローバルカタログサーバーと通信できなかったか、認証を実行できなかったために、要求を拒否し始めました。 停止は一度に約10分間続き、数日に1回発生します。問題を簡単に再現することができず、問題が自動的に解決した後、一般的に調査が行われたため、問題を特定するのに長い時間がかかりました。

9 active-directory  anti-virus  symantec 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 4年前休業。 Windows環境では、サービスアカウントに関する次の問題にどのように対処しますか？ 定期的なパスワード変更-複数のマシンで単一のサービスアカウントを使用して、重大な停止期間なしに定期的にパスワードを変更するにはどうすればよいですか？それらを決して変更しない傾向がありますか？ パスワードを追跡する-必然的に複数の人がこれらを知る必要があるため、合理的に秘密に保ちながらパスワードをどのように記録しますか？ 複数のマシン/サービスで同じアカウントをどの時点で使用していますか？どのアカウントがどこで使用されているかをどのように追跡しますか？これを支援するツールはありますか？ SQL Server、Sharepointなどのアプリケーションの一般的なサービスアカウント要件に対する適切な最小限の権限設定のための適切なリソースを見つけた人はいますか？

9 windows  security  active-directory  password 

私は会社のWindowsサーバーを担当しています。AFAIK、サーバーはActive Directoryのメンバーです。プロセスLSASS.exeが大量のメモリとCPU時間を消費していることがタスクマネージャからわかりました。グーグル経由で、私はそれがおそらくいくつかの更新されたパッチで修正される可能性があることを発見しました。 ちょっと興味があるんだけど。LSASS.exeとは？それは何をするためのものか？そして、なぜそれは多くのメモリとCPU時間を必要としますか？パッチが機能しない場合は削減できますか？

9 windows  active-directory 

今年後半に、私は私の教会のActive Directoryサーバーのサポートを他の誰かに引き継ぐ予定であり、文書化して共有するためにどのような情報が重要であるかを知りたいです。使用できる優れたサンプルドキュメントはありますか？

9 active-directory  documentation 

従業員が会社を辞めました。私は彼のADアカウントが最後にいつログインしたかを調べようとします-解雇前か後か。 ユーザープロパティウィンドウには、lastLogonとlastLogonTimestampの 2つの属性があります。lastLogonの日付は解雇の日よりも前であるが、のlastLogonTimestampの日付は、解雇日（ので、この場合には、我々はセキュリティ上の問題を抱えているだろう）への後方です。 これらの属性のどれが実際の最後のADアカウントのログイン時間を示しているかを知る方法は？それらの違いは何ですか？

9 windows  active-directory  login 

ドメインコントローラーの1つに、IPv4およびIPv6アドレスを持つ外部と10.xxxアドレスを持つ内部の2つのネットワークインターフェイスがあります。 ドメインコントローラーには、RRAS（Azureを使用したVPNサイト間）、DNS、およびDHCPがインストールされています。Azure VMにある2番目のDCで複製されます。 何らかの理由で、サーバーは3つすべてのIPアドレスに対して、サーバー自体のDNSエントリを自動的に追加します。公開している2つを削除すると、しばらくして戻ってきます。ネットワーク接続のプロパティで、[この接続のアドレスをDNSに登録する]が選択されていません。 これに関して私が抱えている問題は、ADレプリケーションが間違ったIPに接続しようとするためにRPCサーバーが使用できないというメッセージが出て、ADレプリケーションが中断することです。間違ったアドレスを削除した後で手動でレプリケーションを起動すると、正常に完了します。 サーバーがDNSに外部アドレスを登録しないようにするにはどうすればよいですか？

9 domain-name-system  active-directory  windows-server-2012-r2 

私は何年にもわたってWindows Serverを使用しており、自分のマシンに対するローカル管理者アクセスを必要とする人がいる場合は、この回答と同様の方法でグループポリシーを介して適用します。 私のクライアントの1つにSBS 2011があり、実際に驚くほど便利な機能の1つは、ユーザー管理と、ユーザーにローカル管理者アクセスを与えるのがいかに簡単かです。 これを実行した後、実際に何が適用されているのかを確認するために、何年も探し回っていましたが、失敗しました-リンクされたポリシーが表示されませんでした。適用される任意の設定またはオプション。 Access levelユーザーを変更したときにSBS 2011が実際に行うことを誰かが知っていますか？とにかく、これをSBS以外のWindowsサーバーで簡単に複製できますか？

9 active-directory  group-policy  windows-sbs-2011 

OSX 10.9を2008 r2 Active Directoryにバインドするのに苦労しています。同じマシンからWindowsを起動すると、ドメインに参加できます。OSXからドメインコントローラーを正常に見つけ、Active Directoryサービスレコードの整合性を確認できました（dig -t SRV _service._tcp.fqdn.example.comを使用して_ldap、_kerberos、_kpasswd、または_gcを確認します）が、ドメインにバインドできません。DCが1つだけの小規模ネットワークに参加しようとしています。 「認証サーバーに接続できませんでした。（5200）」というメッセージが表示されます。 これは、私が使おうとするあらゆる方法に当てはまります（[ユーザーとグループ]設定ペインから参加、オープンディレクトリユーティリティからバインド、ターミナルからdsconfigadを使用）。 クライアントとDCの時間が同じなので、システム時間の問題ではないと思います。 ログファイルで注意すべき点についての問題または方向性に関する他の提案はありますか？

9 windows-server-2008  active-directory  mac-osx  bind  mac 

ローカルサイトのDCと通信するようにDMZにOWAサーバーを設定する方法はありますか？ DMZは、DCが配置されているLANと同じ（物理）サイトにあります。（DMZにはDCがありません。） この（ローカル）サブネットでDCを使用するように強制できますか？それは、世界の反対側でランダムなDCを選択するためです！

9 windows  active-directory  domain-controller  outlook-web-app 

ローカル管理者グループにドメインユーザーをリモートで追加する必要があり、ローカル管理者パスワードが必要です

9 active-directory  users  groups  local 

私たちは.netアプリケーションを開発しており、これに認証を追加しようとしています。これにはActive Directoryを使用したいのですが、開発に使用するテストサーバーでこれをできるだけ簡単にすることを目指しています。 Active Directoryを起動して実行するには何が必要ですか？Win7インストールでローカルに実行できますか？ADAMとAD LDSについて聞いたことがありますが、それらが軽量な実装であることを知っている以外に、詳細は本当にわかりません。 そう; Active Directoryをテストするための最も簡単な方法は何ですか？

9 active-directory  authentication 

私のローカルADFSサーバー（企業のADサーバーに接続されている）に接続されている.netアプリケーションがあり、すべてが正常に動作しています。私の質問は、ADFSがAzure AD、AWS、Googleログイン、Facebook、Twitter、OpenIDなどのインターネット上の追加のSSOサービスへの信頼できる接続を確立して、アプリケーションが私の以外の複数の信頼できるソースからの要求を使用できるようにすることですディレクトリをアクティブにしますか？

8 active-directory  adfs  single-sign-on 

コンピューターがネットワークに接続されているかどうかに関係なく、システムがシャットダウンされるたびにバッチスクリプトを実行する必要があります。（質問には関係ありませんが、問題のスクリプトはマシンの印刷キューをクリアします。 ただし、以下の方法を使用すると、PCがネットワークからオフラインのときにこのスクリプトを実行できません。 また、問題のPCがWindows 10 Pro x64（バージョン1809）を実行していることも付け加えておきます。ドメインコントローラーはWindows Server 2008 R2を実行しており、ここでも私が実行しましたgpedit.msc。 これまでに行ったこと： マシンシャットダウンスクリプトを使用してActive Directory グループポリシーオブジェクトを作成しました。 SYSVOLの GPOフォルダーにスクリプトを追加しました。 このGPOが実際に問題のワークステーションのハードディスクにダウンロードされているため、オフラインでアクセスできることを確認しました。 GPOで指定されたパスは相対パスであり、絶対パスではありません。 私が起こりたいこと： PCがシャットダウンされると、ClearPrintQueue.batスクリプトはPCが現在ネットワークに接続されているかどうかに関係なく実行されます。 実際に起こること： PCがシャットダウンされると、ClearPrintQueue.batスクリプトはPCが現在ネットワーク経由でSYSVOL共有に到達できる場合にのみ実行されます。 詳細： 私が行ったことは、ドメイン内にグループポリシーオブジェクトを作成し、問題のマシンを含むテストOUにリンクすることです。 GPOを編集して、[ コンピューターの構成] -> [ ポリシー] -> [ Windowsの設定] -> [ スクリプト（スタートアップ/シャットダウン）] -> [シャットダウン]に移動しました シャットダウン特性下のあたりのように： [ ファイルの表示 ]をクリックすると、エクスプローラーが開いてフォルダーが表示されます\\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown このフォルダーとClearPrintQueue.batファイルの内容は次のとおりです。 PS C:\> Get-ChildItem "\\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown" Directory: \\example.com\SysVol\example.com\Policies\{1B61F884-9D14-4065-8265-F04FFDE41683}\Machine\Scripts\Shutdown Mode LastWriteTime Length …

8 windows  active-directory  group-policy  batch 

ユーザー数は約200人です。 50はアジアにあり、50は南および東ヨーロッパにあり、約100は西ヨーロッパにあります。 私は、アジアにいる50人のユーザーにアジアのDCをポイントしたいと思います。現在、ヨーロッパのサーバーに対して認証を行っているため、そのために大幅な遅延が発生しているようです。 これを引き起こしているのは何ですか？または私の問題を解決するのは何ですか？

8 windows  windows-server-2008  active-directory  security