タグ付けされた質問 「active-directory」

ネットワークのどこかで、LDAPクライアントが適切なCA情報なしでADサーバーにクエリを実行しています。これにより、ドメインコントローラーのイベントログで、システムクリティカルな（ソース：schannel）イベントID 36887（私の見解では役に立たない）が呼び出されます。 次の致命的なアラートを受け取りました：46。 正しく構成されていないクライアントを見つけるにはどうすればよいですか？

8 active-directory  schannel 

ワークステーション：Windows 7（x64）[プリンターのインストールターゲット] サーバー：Windows Server 2012 R2（x64）[Active Directory、Print Server] 私はこのプリンタをグループポリシーを使用してインストールするために、頭を机にぶつけてきました。何らかの理由で、このプリンターをGPOと共に展開することはできません。私は経由で展開するには、それを設定しようとしているComputer Configuration->Policies->Windows Settings->Deployed Printers、などComputer Configuration->Preferences->Control Panel Settings->PrintersとUser Configuration->Preferences->Control Panel Settings->Printers。また、プリントサーバー管理コンソールを使用して、ユーザーまたはコンピュータ、あるいはその両方を介して追加しようとしました。私はあらゆる種類の方法を試しましたが、何も機能しません。私はたくさんのチュートリアルをたどり、何かを見逃さないようにするためにたくさんのビデオを見ましたが、それは本当に理論的には簡単な作業です...それはうまくいきません。 問題をデバッグしようとしたとき\\myserver\に、プリンターに行ってダブルクリックすると、プリンターをインストールしようとし、UACタイプのプロンプトでドライバーをインストールするように求められることがわかりました。 メッセージボックスのポップアップを停止するために、考えられるすべてのことを試しました。私はそれに掘って、私が編集した場合、GPOが呼ばれることがわかっPoint and Print Restrictionsに位置Computer Configuration->Policies->Administrative Templates->PrintersでとしていたUser Configuration->Policies->Administrative Templates->Control Panel->Printersあなたがにポリシーを設定してみてくださいDisabledまたはEnabled選択しますDo not show warning or elevation prompt2つのセキュリティプロンプトがポリシー設定の下部に表示されているため。 まあそれもバストだった... uncに移動し、管理者の資格情報を入力してプリンターを手動でインストールしようとすると、サーバーからドライバーがダウンロードされ、プリンターがインストールされます（予想どおり）。ユーザーがプリンターを削除しようとして、ログオフしてGPOに戻るとすぐになんとかして成功した場合、私がやりたいことを実行してプリンターを追加し直します。しかし、すべてのPCで初めて手動で追加する必要がありました。 これをテストし、GPOからプリンターを削除した後、ログオフして再度ログオンします。コマンドprintui /s /t2を実行してGUIを表示し、インストール済みのドライバーを簡単に削除して、PCを元の状態に戻すことができます（管理者の資格情報を要求します）。また、プリンタがにあるレジストリに保存されていることも知りましたHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections。プリンターを削除しようとして、それができないというメッセージが表示されたら、そのレジストリキーに移動して、削除しようとしたプリンターのGUIDキーを削除しました。次に、Print Spoolerサービスを再起動して、ブームが消えました。これは、目的の場所に到達するのに役立ちましたが、問題のデバッグ中にプリンターを削除するのに役立ちました。 私はどこかで原因が多分何かを変えたある種のウィンドウズセキュリティアップデートであると読んだ。これは、1つのプリンターをpwnできた場合にネットワーク全体をpwnする方法を示したいくつかの記事のためにリリースされました。ユーザーがプリンターに接続してドライバーをダウンロードしたときに何かが注入されたソフトウェアをインストールし、マシンで実行されるなど 私の主な目標は、使用しているGPOを使用して、このOU内の一連のユーザーにこのプリンターを展開できるようにすることです。しかし、私が試みるすべてのことは、それを行うために管理者がログオンすることを必要とします（少なくとも初めて）。私のプリンターがGPO経由で自動的に追加されない理由と、「このプリンターを信頼しますか？」離れるメッセージ？

8 active-directory  group-policy  windows-server-2012-r2  printer  network-printer 

（WS2012-R2）ドメインコントローラーと、ドメインのメンバーである（WS2012-R2）サーバーのセットを持っています。すべての管理者がメンバーであるグループを誤ってグループポリシーに追加しました。「ローカルでログオンアクセスを拒否」、「サービスとしてログオンを拒否」、「リモートアクセスを拒否」、「ネットワークアクセスを拒否」。これにより、私と他のすべての管理者（ビルトインアカウントを含む）がドメインコントローラーからロックアウトされました。 GPOを削除するか、拒否されたグループから管理者アカウントを削除して、サーバーへのアクセスを回復する方法はありますか？

8 active-directory  group-policy  windows-server-2012-r2 

おそらくご存じのとおり、ループバック処理は、GPOのスコープ内のコンピューターにログオンするすべてのユーザーにGPOのユーザー設定を適用する Active Directoryグループポリシーの機能です（標準的な動作は、ユーザーアカウントがGPOのスコープ内に実際に配置されています）。これは、ユーザーアカウントが実際にADのどこにあるかに関係なく、特定のコンピューターにログオンするすべてのユーザーにユーザーポリシーを付与する場合に便利です。 問題：ループバック処理が有効になっている場合、ユーザー設定を含むGPOはそれらのコンピューターを使用するすべてのユーザーに適用され、GPOでACLを使用してこれをバイパスすることはできません。これは、実際にはユーザーではなくコンピューターに適用されるためです。 質問：それらのコンピューターにログオンする必要があるが、それらのポリシー設定の影響を受けないようにする必要がある特定のユーザーに対して、ループバック処理をバイパスするにはどうすればよいですか？ 適例：ループバック処理を備えたGPOを使用して、ログオンするすべてのユーザーに重いユーザー制限を適用するターミナルサーバーがいくつかあります（基本的に、企業が承認した一連のアプリケーションしか実行できないはずです）。しかし、これはDomain Adminsにも当てはまるため、コマンドプロンプトを起動したり、タスクマネージャーを開いたりすることもできません。このシナリオで、ログオンしているユーザーが特定のグループ（Domain Adminsなど）に属している場合に、これらの設定を強制しないようにADに指示するにはどうすればよいですか？または、反対のソリューション（「特定のグループに属するユーザーにのみこれらの設定を適用する」）でも問題ありません。 ただし、ここではループバック処理について話していることを思い出してください。ポリシーはコンピューターに適用され、コンピューター内のユーザー設定はユーザーがそれらのコンピューターにログオンしているためにのみ適用されます（そうですね、わかりにくいですが、ループバック処理はグループポリシーについて正しく理解するのが最も難しい作業の 1つです）。

8 active-directory  group-policy 

この質問は、@ SwiftOnSecurityのTwitterスレッドに関連しています：https ://twitter.com/SwiftOnSecurity/status/655208224572882944 スレッドを読んでも、ローカルアカウントのネットワークログインを無効にする理由がわかりません。 だからここに私が考えていることがあります、私が間違っているところを修正してください： DCと複数のクライアントでADをセットアップしているとしましょう。クライアントの1つはジョンです。したがって、朝、ジョンは仕事に取り掛かり、AD資格情報を使用してデスクトップPCにログインします。正午に、ジョンは会議に向かい、自分のコンピューター（Windows + L）を「ロック」します。次に、リモートで（RDPなどを使用して）個人用ラップトップを使用してオフィスのPCに接続する必要があります。しかし、この新しいポリシーを使用すると、彼はそうすることができなくなります。 Securitayの説明によると、パスワードはソルト化されていません。しかし、この場合、攻撃者はどのようにしてアクセスを取得するのですか？パスワードはどちらの側でソルトされていませんか？それとも彼女が言おうとしていることとはまったく無関係なのでしょうか。これが事実である場合、彼女は実際に何を言おうとしていますか？

8 windows  active-directory  security  group-policy  windows-server-2012-r2 

質問 区別するために「正しい」/標準的な方法があるService AccountsからUser AccountsADには？ より詳しい情報 特定のシナリオでは、AD資格情報の下で（つまり、サービスアカウントの下で）システムを実行しています。これらのサービスアカウントは、ユーザーアカウントとまったく同じ方法で作成されます。唯一の違いは名前と説明です。2つのアカウントタイプを区別するためにいくつかの処理が行われています（たとえば、アカウントがどのOUにあるか、「サービスアカウント」が説明にある場合、「パスワードを無期限にする」が有効になっているかどうか）。ルールは1つではありません。 2つを明確に区別するためにすべてに適用できます。 今後、この/春のクリーンなものを改善して、区別を明確にすることを目指しています。この目的のために、OUフィールドと説明フィールドの両方を使用する可能性があります。 これを行う前に、確認したかったのですが これを行う方法です。つまり、この目的に特化した属性（Personとは異なるobjectCategory値など）、または認められている標準の命名規則、または各企業が独自のアプローチを理解していますか？

8 active-directory  ldap  best-practices 

ドメインユーザーの「HOME」環境変数をネットワークパスにマッピングすることがベストプラクティスと見なされていますか？もしそうなら、なぜですか？ 「HOME」変数とは、次のことを指します。 ％HOMEDRIVE％ ％HOMEPATH％ ％HOMESHARE％ この質問は、Gitなどの一部のアプリケーションが重要な構成ファイルをユーザーの％HOMEPATH％に保存するために発生します。ユーザーがリモートで作業している場合、またはサーバーまたはネットワークがダウンしている場合、これらのアプリケーションはリモートのHOMEPATHからコアファイルにアクセスできないため、正しく機能しなくなります。 HOMEPATHには常にデフォルトのローカルWindowsユーザーディレクトリを使用する方が理にかなっているようですが、これについて賛成または反対する文書化されたベストプラクティスは見つかりませんでした。私のオフィスでは、標準的な方法は、ユーザーHOMEPATHをネットワークフォルダーにマップすることです...

8 windows  active-directory  group-policy  home-directory  home-drive 

私の組織では、2008年のRODCを複数の海上プラットフォームに展開しています。アイデアは、陸上ベースのドメインを船に拡張して、セキュリティポリシーをより適切に制御することでした。RODCは、消費する帯域幅が少ないという想定で選択されました。セキュリティ上の懸念もありましたが、これらは二次的なものでした。 海上でのインターネット接続は、非常に高価な衛星リンクによって提供されます。速度は遅いものから存在しないものまでさまざまです。ユーザー、コンピューター、グループ、およびアクセス許可の変更とGPOの更新の管理は、非常に時間がかかります。 私たちはRODCに関してトンネルビジョンを開発しており、書き込み可能なドメインコントローラーを使用する方が良い代替案になると考え始めています。冗長性のために、1隻の船に1つのRWDCと1つのRODCを考えています。小規模なユーザーベースですが、冗長性を確保することが重要です。 これにはもっとたくさんありますが、簡潔にまとめることはできません。RODCとRWDCの帯域幅消費量の違いをテストしたことがあるかどうか知りたいのですが。RODCの1つをRWDCに置き換えると、帯域幅の消費が大幅に増加しますか？RODCをリダイレクトして、RWDCから複製します。これは、1つのドメインコントローラーが岸に戻って接続することを意味します。 物事が今座っているので、通常数分かかることをするのに数時間かかることがあります。RWDCに取り組んでいる船に管理者がいると、生活がはるかに良くなります。RWDCのおしゃべりがパイプを埋めるのではないかと恐れている。 それで、誰かが違いをテストしたことがありますか？

8 active-directory  replication  rodc 

GitLab（VM上のUbuntu 14.04 amd64にインストールされたバージョン7.12.2、Omnibusセットアップ）でLDAP認証をセットアップしようとしています。gitlab.rbファイルを次のように編集しました。 gitlab_rails['ldap_enabled'] = true gitlab_rails['ldap_servers'] = YAML.load <<-'EOS' # remember to close this block with 'EOS' below main: # 'main' is the GitLab 'provider ID' of this LDAP server label: 'LDAP' host: '********' port: 389 uid: 'sAMAccountName' method: 'plain' # "tls" or "ssl" or "plain" bind_dn: 'CN=********,OU=********,OU=********,DC=********,DC=***' password: …

8 ubuntu  active-directory  ldap  ubuntu-14.04  gitlab 

5ユーザー/ 5デバイス程度の小規模オフィス用のビジネスサーバーをセットアップしています。ここでは詳しく説明しません。 Windows Server 2012 R2 Essentialsを搭載した単一のLenovo TS440サーバー（単一のNIC）をセットアップしました。インストールとウィザードを介してステップバイステップ。セカンダリドメインコントローラはありません。可能な場合は、他の二次的な解決策を検討します。別のサーバーを購入したくありませんが、その重要性は理解しています。 このセットアッププロセス中に、すべてのワークステーションとサーバーに使用するドメイン管理者アカウントをセットアップしました。ユーザーは管理者特権を持たず、ワークステーションにはローカルアカウントがないため、サーバー認証なしではワークステーションにアクセスできません。 Comcast Businessルーター（wifiを搭載したCISCO DC3939B）があり、動的な外部IPを備えているため、ほとんど変更されません。TrendNetスイッチのTEG S80gもあります。 同軸ケーブルインターネットがルーターに接続され、次にルーターがスイッチに接続されます。 サーバーと約3台のワークステーションと2台のデバイスがスイッチに接続され、いくつかのワイヤレスデバイスがあります。 私の問題は、ルーターの電源を切り、インターネットをオフにしてシステムをテストした後、ワークステーションが正しく認証されなくなることです。インターネットはすべて利用可能ですが、インターネットがダウンしても、ワークステーションが互いに通信したり、サーバーと通信できることを確認する必要があります。そもそもインターネットアクセスがなかったかのように機能するためには、このWSE 2012 R2サーバーネットワークが必要だと思います。 DHCPを実行しているルーターと関係があるのでしょうか？ルータでDHCPを無効にできるかどうかわかりません。 ワークステーションが他のワークステーションに接続しようとしたときに発生するエラーは、ユーザー名とパスワードを再度必要とすることであり、接続に失敗することがあります。サーバーはダウンしておらず、インターネットだけです。最初はNetwork Discoveryをオンにするよう求めるプロンプトが表示されましたが、これは（パブリックではなくプライベートで）オンにしましたが、このADの問題はまだ残っています。 重要な情報を省略した場合はお知らせください。切り上げます。

8 networking  active-directory  dhcp 

バックグラウンド 今日、Active DirectoryでOUを移動しようとしたところ、アクセス拒否エラーが表示されました。 ADユーザーアカウントをさらに詳しく調べたところ、オブジェクトを移動するために必要なアクセス許可があり（使用していたOUのセットに対する完全なアクセス許可がありました）、ITキャリアの過程でAD内のアイテムを複数回移動しました。また、初めてこれに遭遇したのも少し奇妙ですが、それでもなおです。 私が試したもの 特定のOUに個人のADユーザーアカウントのアクセス許可を与える。これは、私がその一部であったADセキュリティグループだけではなく、すでにOUに対するアクセス許可を持っている ドメイン管理者アカウントを使用して移動を試す ユーザーアカウントのパスワードをリセットしてからログオフしてログオンし、ADを開いてOUを移動する 別のドメインコントローラに接続して移動を実行しようとしました RSATがインストールされている別のサーバーを介してADに接続し、移動を実行しようとした これらはすべて成功せずに終わりました。 質問 両方のOUに対する完全なアクセス許可があるのに、なぜActive DirectoryのOUを別のOUに移動できないのですか

8 windows  active-directory  windows-server-2008-r2  windows-server-2012  windows-server-2012-r2 

Get-ADUserを使用して、選択したユーザーのセットを抽出しようとしています。ユーザーは、 "Gåäördet"のように、名前に非ASCII文字を含む会社に属しています。残念ながら、このタスクには会社のプロパティを使用する必要があり、スクリプトから作業するためにも必要です。 以下は、インタラクティブセッションでうまく機能しますが、スクリプト内で実行してもデータは返されません。 $Company = "Gåäördet" Get-ADUser -Filter "company -eq '$Company'" 回避策は見つかりましたが、信頼性が十分ではありません（間違ったオブジェクトを選択するリスク）： # Work-around 1: $Company = "Gaaordet" # Replace åäö with aao in the variable Get-ADUser -Filter "company -eq '$Company'" # Matches the company "Gåäördet", but why? ...または... # Work-around 2: $Company = "G...rdets" # Use regex for åäö …

8 active-directory  powershell  scripting 

次の設定があります。 1つのドメインコントローラー（DC、Server 2003 R2 Standard x64） 1つのSQL Server（SQL、Server 2008 R2 Standard x64） 一部のクライアント。 すべてのマシンが同じドメインにあります。使用中のすべてのユーザーアカウントはドメインアカウントです。SQLは、SQL Server 2005、2008、2008R2、2012、2014の各インスタンスを1つ実行します。 今夜から（DCが再起動してWindowsの自動セキュリティアップデートをインストール）、Windows認証を介したSQL 2005、2008、および2008R2インスタンスへのアクセスは正常に機能しなくなりました。 これらのインスタンスの1つにアクセスするとき あるクライアントから Windows認証の使用 次のエラーが発生します（2008R2メッセージです。2005/ 2008メッセージも同様です）。 ログインに失敗しました。ログインは信頼されていないドメインからのものであり、Windows認証では使用できません。（Microsoft SQL Server、エラー：18452） ドメインが1つしかないため、メッセージテキストは適用されません。 ユーザーがSQLにログインすると（RDPセッションを開始するか、単純に実行runas /user:MYDOMAIN\someuser cmdしてウィンドウを開いたままにしておくと）、このユーザーは、プロセスが実行されるまで、すべてのクライアントからすべてのSQL Serverインスタンスに問題なくアクセスできます。そのユーザーの資格情報は閉じられます。 これは、SQLですべてのユーザーに対して上記のrunasコマンドを1回実行する（そしてウィンドウを開いたままにする）ことでこの問題を回避できることを意味しますが、明らかに何かが深刻に壊れています。今夜のDCのセキュリティ更新はそれと何らかの関係があるのではないかと疑っています（変更されたのはそれだけなので）。それぞれをアンインストールして再起動することは避けたいです（12個の更新がインストールされ、DCは本当に古くて遅い）。 誰かが以前にこの問題に遭遇し、永久に修正する方法を知っていますか？他のアイデア（Kerberosエキスパートになるために今後数日間を費やすこと以外）？

8 active-directory  windows-server-2003  sql-server  kerberos 

私は最近、一緒に働いている小さなスタートアップのインフラストラクチャの義務を引き継ぎました。私の伝統的な役割は開発でしたので、我慢してください... 私は右足から始めて、Active DirectoryをAzureで稼働させることを望んでいました。MicrosoftのTechNetのガイドに従って、Azure VPNにADフォレストをインストールしました。構造は次のとおりです。 ローカルネットワークを使用したサイト間VPN用に構成されたAzure VPNは、正しく接続されていると表示されます。 サブネット：192.168.5.0/24 HQNET サブネット：192.169.1.0/24サイト間VPNゲートウェイ サブネット：192.169.2.0/24 Auth サブネット：192.169.3.0/24アプリ サブネット：192.169.4.0/24データ サブネット：192.169.6.0/24 Middle Authサブネット、IP 192.169.2.4のA1標準VMにServer 2012 R2があります。ADインストールはうまくいき、新しいフォレストを開始しました。すべてがうまく機能しているように見えました。このVMはUsername1 / Password1で作成され、ADのインストール時にDomain Admin / Enterprise Adminとして自動的に追加されます。 同じ認証サブネット-IP 192.169.2.5内でレプリケーションを行うために、2番目のServer 2012 R2 A1標準VMを起動し、このVMをUsername2 / Password2で作成します。次に、このVMを最初のDCで作成されたドメインに参加させます。ドメインに参加した後、このVMをレプリカDCとして昇格させます。このアクションを実行するための資格情報を要求し、資格情報としてDOMAIN \ Username1：Password1を指定します。 昇格プロセス中に、ADが親AD VMで「NTDS設定オブジェクトの作成」であるステップに到達すると、インストールはこのステップで停止します。この記事によると、Active Directoryのインストールが「NTDS設定オブジェクトの作成」で停止します。これは、ドメインの資格情報がローカルの資格情報と同じであることが原因です。または、インストールにドメイン資格情報を誤って提供しました。 インストールを実行しようとして、何度もVMを削除して再作成しました。VM2にドメイン管理者としてログインし、昇格してみました。また、インストール中に何がハングしても、昇格時にドメイン資格情報を提供するほぼすべての手段（Username1 @ domain：Password1、DOMAIN \ Username1：Password1、domain.com \ Username1：Password1）を試しました。毎回、VM1のフォレストからVM2を削除する手順に注意深く従い、再度昇格を試みました。 足元が足りなかったり、足りない小さな部分が見えないのではないかと思いますが、未経験が光っています。 DC2をレプリカDCに昇格するときに何が欠けていますか？

8 active-directory  domain-controller  replication  azure 

最近構成したテストドメインがあります。突然、キャッシュされた資格情報を持つユーザーを除いて、ユーザーはログインできなくなります。ドメインには、相互に複製する両方のグローバルカタログである2つのドメインコントローラーが含まれています。 問題を調査した後、すべての_mcdcsドメインレコードが両方のDNSサーバーで完全になくなっていることがわかりました。これにより、_ldapや_kerberosなどのSRVレコードが解決できないため、ドメインコントローラーを見つけることができなくなります。 これがどのように発生したのかはよくわかりません...これは、DNSキャッシュまたはDNS清掃をクリアすることによって引き起こされるものですか？ この時点で、なんとかしてレコードを復元する必要があります。別のドメインの設定を確認しましたが、手動で再作成できるようですが、一部のDNSレコードにはSID名が含まれているようです...それらを再作成するために使用されます。 このような状況から抜け出すために使用できるより良いプロセスはありますか？

8 domain-name-system  active-directory  domain-controller  windows-server-2012-r2  srv-record