タグ付けされた質問 「active-directory」

Active Directoryをセットアップするか、使用するのは初めてです。 セットアップして、コンピューター（Hyper VのVM）をアクティブディレクトリに追加し、Hyper-Vを使用してVMに接続する場合、Active Directoryドメインのユーザーを使用して、 VM。 ただし、リモートデスクトップ経由でログインしようとすると、次のエラーが表示されます。 The connection was denied because the user account is not authorized for remote login. 試しました： -Active Directory内から、ユーザーが属しているグループをリモートデスクトップユーザーに追加しました。 -VM自体で、Active Directoryグループ（ログインしようとしているユーザーを含む）を追加して、ローカルセキュリティポリシーのリモートデスクトップサービスを介したログオンを許可します。 同じ許可拒否エラーがまだあります。 すべての仮想マシンでリモートデスクトップを使用してログインできるように、Active Directoryのグループを適切にセットアップするにはどうすればよいですか？ ありがとう！

40 active-directory  remote-desktop  rdp 

これは、Active Directory DNS設定に関する標準的な質問です。 関連： Active Directoryドメインサービスとは何ですか？ 複数のドメインコントローラーを備えた環境を想定（それらもすべてDNSを実行していると想定）： 各ドメインコントローラーのネットワークアダプターにDNSサーバーをどの順序でリストする必要がありますか？ 127.0.0.1を各ドメインコントローラーのプライマリDNSサーバーとして使用する必要がありますか？ 影響がある場合、どのバージョンがどのように影響を受けますか？

40 windows  domain-name-system  active-directory  domain-controller 

ログインを必要としないWebアプリケーションを作成できると言われています。ユーザーはWindowsにログインし、WindowsはActive Directory（LDAP）ルックアップを介して認証します。そうすれば、彼らは私のwebappにアクセスでき、ログインプロンプトが表示されないはずです。これらの顧客は、これをシングルサインオンと呼んでいます（おそらく間違っており、私の混乱の一部です）。 しかし、Tomcat DocsからSingle Sign Onを読んだのは次のとおりです。 シングルサインオンバルブは、仮想ホストに関連付けられたWebアプリケーションのいずれかにユーザーがサインオンし、同じ仮想ホスト上の他のすべてのWebアプリケーションでそのIDを認識できるようにする場合に使用します。 これは私には完全に明らかです。ユーザーは1回ログインする必要があり、tomcatのインスタンス上のすべてのwebappにアクセスできます。しかし、私がやらなければならないことは、なんらかの形でTomcatサーバーに資格情報を提供せずにログインさせることです。 だから、これが機能するために私は想像する： ユーザーがページをリクエストします サーバーはセッショントークンを認識せず、クライアントに資格情報を要求します。 ユーザーの介入なしのクライアントブラウザは、サーバーに資格情報を提供します。 次に、クライアントブラウザによって提供されたこれらの資格情報を使用して、LDAPでルックアップを実行します。 私は、クライアント側の証明書...このような場合にあなたがいるので、私にいくつかの理にかなって、特に国防総省PKIシステムを使用いくつかの例を見てきた要求クライアント側の本命にTomcatを設定し、私はどのようにこれを見ていない窓に、ちょうどログインを動作し、ブラウザがサーバーに渡す情報など。これはNTLMの使用目的ですか？

40 authentication  active-directory  single-sign-on  pki 

Active Directoryのグループポリシーを介してMSIを展開しようとしています。しかし、これらはログイン後にシステムイベントログに表示されるエラーです。 ポリシーインストールからのアプリケーションXStandardの割り当てに失敗しました。 エラー：%% 1274 ポリシーのインストールからアプリケーションXStandardの割り当てを削除できませんでした。エラー：%% 2 ソフトウェアインストール設定への変更の適用に失敗しました。このユーザーのグループポリシーを介して展開されたソフトウェアのインストールは、ユーザーログオンの前に変更を適用する必要があるため、次のログオンまで延期されました。エラー：%% 1274 システムスタートアップまたはユーザーログオンの前に変更を処理する必要があるため、グループポリシークライアント側拡張ソフトウェアのインストールでは、1つ以上の設定を適用できませんでした。システムは、このユーザーの次回の起動またはログオンの前に、グループポリシーの処理が完全に完了するまで待機します。これにより、起動と起動のパフォーマンスが低下する可能性があります。 再起動して再度ログインすると、次のログオンの前に更新を実行する必要があるという同じメッセージが表示されます。Windows Vista 32ビットラップトップを使用しています。グループポリシーを使用して展開するのはかなり新しいので、問題を特定するのに役立つ他の情報は何ですか？同じ結果の異なるMSIを試しました。コンピューターにログインしたときにコマンドラインとmsiexecを使用してMSIをインストールできるため、少なくともMSIが正常に機能していることがわかります。

40 active-directory  group-policy  msi 

私たちのオフィスでは、すべてのWindows 7クライアントが、オフィスの外にあるリモートのWindows 2008 ServerにRDPを試みると、このエラーメッセージを受け取ります。 システム管理者は、保存された資格情報のユーザーがリモートコンピューターXXXにログオンすることを許可しません。これは、そのIDが完全に検証されていないためです。新しい資格情報を入力してください 迅速なGoogle検索の彼らは、すべてのI編集グループポリシーを示唆していくつかの記事などにつながります 私は、このための一般的な修正は、すべてのWindows 7マシンでこれらの指示に従うことであるという印象を受けています。 オフィスLAN内のすべてのWindows 7クライアントを更新できるActive Directoryを介して何かできる方法はありますか？

39 windows-server-2008  active-directory  remote-desktop  rdp  credentials 

ユーザーのアカウントはActive Directoryでロックアウトされ続けます。これはおそらく、Windows認証を使用してSQL Serverに接続しているアプリが原因です。 どのアプリがそれを引き起こしているのか、なぜアプリがログイン試行の失敗を引き起こしているのかを調べる方法はありますか？

38 active-directory 

Windows 2008 R2マシンがドメインに参加しています。 ログオン画面で、ユーザー名として「username@mydomain.com：something」と入力しても、引き続き適切にログオンできます。最後に「：something」が追加された意味は何ですか？ ユーザー切り替え画面に現在のユーザーが「username@mydomain.com：something」として表示されていることも確認できます。Windowsの機能ですか？それとも単なるバグですか？機能の場合、「username@mydomain.com」としてログインすることと「username@mydomain.com：something」としてログインすることの違いは何ですか？ 「mydomain \ username：something」や「mydomain.com:something\username」など、さまざまな組み合わせを試しました。「username@mydomain.com：something」以外は機能しません。 2012年9月10日更新 ジャスティンが提起したRunAsの問題は似ていますが、解決したい問題とまったく同じではありません。もしあなたがそうするなら runas /user:username@mydomain.com:anything あなたは得るでしょう RUNAS ERROR: Unable to acquire user password RunAsがusername@mydomain.com:anythingユーザー名と見なすときにLSAを呼び出すことすらしないことを確認しました。RunAsは入力の検証を行い、そこでエラーを返します。 WinLogonは異なります。この形式の入力を受け入れ、「username@mydomain.com：anything」をLSAに渡します。私は見ていますLogonUserEx2内側kerberos.dllが呼ばれました。WinLogonの入力検証ロジックにバグがあるか、いくつかの隠された機能で実際に受け入れられる形式です。 2012年9月26日更新 マイクロソフトプレミアサポートにケースを送信しました。それらから更新があれば、ここで更新します。

35 active-directory  windows-server-2008-r2  domain  login 

私は通常、自分用に個別のログインを設定し、通常のユーザー権限を持つログインと、管理タスク用に個別のログインを設定します。たとえば、ドメインがXXXXの場合、XXXX \ bpeikesとXXXX \ adminbpアカウントを設定します。率直に言って、自分が管理者としてログインすることを信じていないので、私はいつもそれをしましたが、私が働いたすべての場所で、システム管理者は通常のアカウントをDomain Adminsグループに追加するだけのようです。 ベストプラクティスはありますか？MSの記事で、管理者としてログインするのではなくRun Asを使用する必要があると書かれていますが、実装の例は示しておらず、他の人がそれを行うことはありません。

33 active-directory  security  domain-controller  best-practices 

Windowsドメインでは、PDCは必ずしもドメインタイムサーバーではありません。信頼できるタイムサーバーを特定するにはどうすればよいですか？

32 active-directory 

従業員があなたの組織を退職したとき、Active Directoryアカウントを削除または無効にしますか？私たちのSOPは、Exchangeメールボックスを無効にし、エクスポート/パージし、「しばらく」が経過した後（通常は四半期ごと）、アカウントを削除します。 その遅延の必要性はありますか？メールボックスをエクスポートしてパージした後、その場でアカウントを削除しないのはなぜですか？

32 active-directory  best-practices 

（管理者または管理者グループのメンバーとしてログインした場合）特権のないユーザーになりすます方法はありますか？特にAD環境で。 たとえば、Unixの世界では、以下を（ルートとして）実行できました。 # whoami root # su johnsmith johnsmith> whoami johnsmith johnsmith> exit # exit ユーザーのアカウントで何かをテスト/構成する必要がありますが、パスワードを知ったり、リセットしたりする必要はありません。 編集： runasカットしません。理想的には、デスクトップ全体がcmdウィンドウだけでなく、ユーザーなどになります。

32 windows  windows-server-2003  active-directory  windows-xp 

Linuxサーバーおよび最新の Windows Serverオペレーティングシステム（CentOS / RHELに焦点を当てた）のActive Directory認証/統合に関する2014年の一般的な知恵とは何ですか？ 2004年に統合を最初に試みて以来、長年にわたって、これを取り巻くベストプラクティスは変わってきたようです。どの方法が現在最も勢いがあるかはよくわかりません。 フィールドで、私は見た： winbindの/ Sambaの ストレートアップ LDAP 時々 、LDAP + Kerberosの Microsoft WindowsサービスのUNIX（SFU）のための Unix用のMicrosoft ID管理 NSLCD SSSD FreeIPAの Centrify POWERBROKER（旧姓同様） Winbindは常にひどくて信頼性が低いように見えました。CentrifyやSimilarなどの商用ソリューションは常に機能していましたが、この機能はOSに組み込まれているため、不要と思われました。 私が最後に行ったいくつかのインストールでは、Windows 2008 R2サーバーに追加されたUnixのMicrosoft Identity Management機能がLinux側のNSLCD（RHEL5用）に追加されました。これは、NSLCDのメンテナンス不足とメモリリソース管理の問題によりSSSDの変更を余儀なくされたRHEL6まで機能していました。また、Red HatはSSSDアプローチを支持しているように見えたので、私の使用には問題ありませんでした。 ドメインコントローラーがWindows 2008 R2 コアシステムであり、UnixのID管理機能を追加する機能を持たない新しいインストールで作業しています。また、この機能は非推奨であり、Windows Server 2012 R2には存在しないと言われています。 この役割をインストールする利点は、このGUIが存在することです。一方、ユーザー属性を簡単にワンステップで管理できます。 しかし... リモートサーバー管理ツール（RSAT）のネットワーク情報サービス（NIS）ツールのサーバーオプションは廃止されました。ネイティブLDAP、Sambaクライアント、Kerberos、またはMicrosoft以外のオプションを使用します。 そのため、前方互換性が損なわれる可能性がある場合、信頼するのは非常に困難です。お客様はWinbindを使用したいと考えていますが、Red Hat側から見ると、すべてがSSSDの使用を指しています。 適切なアプローチは何ですか？環境で これをどのように処理しますか？

31 linux  active-directory  redhat  ldap 

これは、Active Directoryグループポリシーの基本に関する標準的な質問です グループポリシーとは何ですか？どのように機能し、なぜ使用する必要がありますか？ 注：これは、新しい管理者への質問と回答であり、その機能とその強力さに慣れていない可能性があります。

31 windows  active-directory  group-policy 

Windows Server 2012より前の時代には、仮想DCの横に少なくとも1つの物理ドメインコントローラーを配置することが推奨されるようでした。 これを正当化する理由の1つは、Hyper-Vホストがクラスター化されている場合、起動時にDCが接続可能である必要があるためです。これは私にとって完全に理にかなっています。 ただし、クラスター化されたセットアップがない場合でも、物理DCを保持することは依然として重要であると言われることがよくあります（たとえば、2つのVMを実行する単一のHyper-Vサーバーを使用した単純なセットアップでは、そのうちDCです）。これの正当性は、Hyper-Vホストが最初に起動したときにネットワーク上にDCが存在しないという意味でまだ問題があると思われました（そして、私は決して確信できませんでした）。キャッシュされた資格情報はまだログオンできることを意味しますが、起動中に発生するDCがあれば便利なことはどうですか？これは実際に問題ですか？実際にのみ実行される可能性のある操作はありますか起動時に問題が発生しますか？たとえば、グループポリシーはありますか？私が基本的に求めているのは、クラスタリングが関与している場合にのみ物理的なDC引数が本当に水を保持するのか、それとも（2012年以前）クラスタリングなしの重要な技術的ケースがあったのですか？ Altaroのこの記事（「鶏と卵」の神話を参照）は必要がないことを示唆していますが、私はまだ確信がありません。 次に、私の質問の2番目（およびメイン）の部分に進みます。 Windows Server 2012は、ドメインコントローラーの仮想化に関する問題に対処することを目的とした次の機能をいくつか導入しました。 VM生成 ID-これは、スナップショット（または、より具体的には、スナップショットへのロールバック）がサポートされていない/非常に悪いアイデアを意味するUSNロールバックの問題に対処しました クラスターブートストラップ -これは、前述のフェールオーバークラスタリングを取り巻く「鶏と卵」の問題に対処しました。フェールオーバークラスタリングでは、起動時にDCが存在する必要がなくなりました。 したがって、私の2番目の質問は最初の質問と似ていますが、今回は2012+です。vDCとホストの両方が2012+であり、方程式からクラスタリングを除外すると、物理DCを検討する必要があることを意味する上記のような問題はありますか？単一の仮想化DCが存在する単一の非クラスター化2012 / 2012R2 Hyper-Vホストと一緒に物理DCを配置することを引き続き検討する必要がありますか？ADをHyper-Vホストに配置することを提案する人もいますが、さまざまな理由（WBキャッシュが無効になっているため）が気に入らないようです。 補足として、私の質問は、管理性を向上させるためにHyper-Vホストをドメインに参加させることが理にかなっていると暗黙的に想定しています。この主張は精査に耐えますか？ 更新： いくつかの答えを読んだ後、私が質問していることの核心に到達するために、私は物事をわずかに異なるフレーズで表現できることに気付きました。 2012年以降の改善にもかかわらず、物理DCまたは仮想DCが別のホストにない場合でも、利用可能なDCがない場合にホストが起動するという事実は依然として残っています。これは実際に問題ですか？ある意味では、仮想化を写真から完全に排除するのは同じ（または非常に類似した）質問だと思います。DCの前に定期的にメンバーサーバーを起動する場合、それは問題ですか？

30 active-directory  windows-server-2012  hyper-v  windows-server-2012-r2 

Google Appsが外部ADおよびLDAPサービスをログインに使用できるようにするための多くのソリューションがあります。 ただし、Google Appsには既に多数のユーザーが設定されており、その逆を行おうとしています。つまり、ユーザーがGoogle Appsで作成したアカウントを使用して外部サーバーにログインできるようにします。 Google AppsドメインをOpen Directory、Active Directory、またはLDAPプロバイダーとして使用する方法を誰かが発見しましたか？

29 active-directory  ldap  g-suite  opendirectory