タグ付けされた質問 「active-directory」

クライアントのLinuxベースのハードウェアファイアウォールのトラブルシューティングを行っています。このハードウェアファイアウォールは、シングルサインオン認証のためにActiveDirectoryに接続します。 ActiveDirectoryは、私の知る限りではLDAPの変なバージョンに過ぎず、同じBindDN構文を使用しています-私が間違っている場合は修正してください。 クライアントはこれをBindDNとして構成しました-プライバシー上の理由から実際の文字列は置き換えられましたが、特殊文字と空白は残っています。「somerandomplace \ fubar fubaz」 これは私にとって有効なBindDN構文ではないようで、以前にLDAPを使用したことがありますが、[テスト]ボタンをクリックしてこのBindDNをテストすると、テストは成功します。BindDNの文字を1つだけ変更してテストを再度実行すると、テストが失敗します。 私はここで問題が何であるかを理解しようとしています： A）BindNDのニュアンスと関連する構文を完全に理解していないこと または B）アプライアンスが入力を適切に検証できず、テストを成功と誤って識別している

8 active-directory  ldap 

Active Directoryの特定のOUのユーザーで動的グループを作成したいと思います。Exchange動的配布リストを使用してこれを完全に行うことができますが、もちろん、Ex DDLはメール専用です。 これを作成する方法はありますか？System Centerを使用してこれを処理するガイドをいくつか見つけましたが、System Centerはオプションではありません。 前もって感謝します、

8 active-directory  groups  dynamic 

現在、私は自分のドメイン資格情報を使用して、ネットワーク上のサーバー（1つを除く）にログインできるユーザーを持っています。ログインできないサーバーは他のドメインユーザーの接続を許可しますが、接続しようとすると、サーバーは不正であると表示されます。 ユーザーがActive Directory環境でロックアウトされた場合、ドメインレベルですか、それとも特定のサーバーですか。

8 active-directory 

Active Directory環境でのKerberosの動作と、ユーザーおよびワークステーションをネットワークに認証するために使用する方法について基本的な理解がありますが、私の質問です。Kerberosは、エンドユーザーがアクセスするために使用するセキュリティトークンの発行に依存しているためです。ネットワークリソース、ドメインにないシステム（ラップトップ）は、Active Directoryユーザーのユーザー名とパスワードのみを使用して同じネットワークリソースにアクセスできますか？ ユーザー資格情報を使用するだけでKerberosがセキュリティトークンを生成してシステムに発行する方が理にかなっていると思いますが、非ドメインシステムがネットワークリソースにアクセスできないようにするには、セキュリティを強化する必要があります。 誰かが私を啓発できたら、私はそれを感謝します！

8 active-directory  domain  authentication  kerberos  authorization 

「ベストプラクティス」に従って、IT部門のスタッフは2つのアカウントを持っています。特権のないアカウントと、グローバルDomain Admins（$ DOMAIN \ Domain Admins）グループのメンバーであるアカウント。ファイルサーバーでは、Domain AdminsグループがローカルのAdministrators（$ SERVER \ Administrators）グループに追加されます。ローカル管理者グループには、これらのディレクトリに対するフルコントロールが付与されています。かなり標準。 ただし、そのディレクトリに移動するためにドメイン管理者アカウントでサーバーにログインする場合、「現在このフォルダーにアクセスする権限がありません。継続してにアクセスするには、続行をクリックしてください」というUACプロンプトを承認する必要があります。このフォルダ。」[続行]をクリックすると、$ SERVER \ Administrators（私はDomain Adminsグループを介してメンバーになっています）に既に完全な制御権があるにもかかわらず、そのフォルダーおよびその下にある他のすべてに対するドメイン管理者アカウントのアクセス許可が付与されます。 誰かがこの動作を説明できますか？また、ファイル共有のNTFSアクセス許可を管理する適切な方法は、Server 2008 R2とUACの管理者権限に関して何ですか？

8 active-directory  windows-server-2008-r2  permissions  ntfs  uac 

2つの異なるフォレストに2つのActive Directoryドメインがあります。各ドメインには2つのDC（すべてWindows Server 2008 R2）があります。ドメインは、ファイアウォールで接続された異なるネットワークにもあります。 2つのドメインとフォレストの間に双方向のフォレスト信頼を作成する必要があります。 これを許可するようにファイアウォールを構成するにはどうすればよいですか？ 私はこの記事を見つけましたが、DC間で必要なトラフィックと、一方のドメインのドメインコンピュータともう一方のドメインのDCとの間で必要なトラフィック（ある場合）については明確に説明していません。 DC間のすべてのトラフィックを許可することは許可されていますが、1つのネットワーク内のコンピューターが他のネットワーク内のDCにアクセスすることを許可するのは少し難しいでしょう。

8 windows-server-2008-r2  firewall  domain-controller  active-directory 

ADセットアップの一部として内部DNSを持っています。パブリックリソース用にホストされたDNSがあります（通常、データセンターのどこかにあります） ときどき、内部ネットワーク上にいる間、パブリックリソースにアクセスする必要があります-たとえば、www.ourcompany.com内部DNSにwwwレコードがないため、名前を解決できません。 認識できない名前をパブリックDNSに転送するようにDNSを構成するにはどうすればよいですか。 更新：コメントどおり、「私は「スプリットホライズン」DNSを持っています（現時点では良い考えのように思われます）このADセットアップは24時間以内であり、必要に応じてやり直すことができます-（ただし、むしろ）

8 windows-server-2008  domain-name-system  active-directory 

ここで一種のcatch-22質問があります。 Microsoft System Center Data Protection Manager（2010または2012、それは同じように機能します）を使用して、さまざまなものの中でも特に、（「ドメインコントローラーのシステム状態」のように）Active Directory環境をバックアップするとします。 次に、完全なデータセンターの損失が発生します。新しいハードウェアで新たに開始する必要があります。テープバックアップはオフサイトに保管されていたため、使用できるのはテープバックアップのみです。そこで、新しいサーバー、新しいテープライブラリ、新しいストレージなどを購入します。 これで、Active Directoryの障害回復を実行するには、少なくともドメインコントローラーのシステム状態を復元する必要があることを誰もが知っている（または知っているはずです）。もちろん、元のサーバーとは別のハードウェアで復元する必要がある場合、これは扱いにくいかもしれませんが、この点がカバーされていると仮定しましょう。 しかし、DPMが機能するためにはActive Directoryが必要です。スタンドアロンサーバーにインストールすることすらできません。しかし、もちろん、テープからこれらのバックアップを取り戻すには、稼働中のDPMサーバーが必要です。 新しいサーバーとDPMテープバックアップのみでActive Directory環境を復元するにはどうすればよいですか？ 注：仮想ドメインコントローラーを使用してVM全体をバックアップすると、復元が容易になりますが、実際にはまったく問題はありません。DPMをインストールするためにも、稼働中のAD環境が必要です。

8 active-directory  disaster-recovery  restore  scdpm  system-state 

Exchange管理ツールは、実行する（または実行した）正確なPSコマンドを出力します。同様の機能を持つ異なるバージョンのADツール（主にADユーザーとコンピューター）はありますか？そうでない場合、これはWindows 8 Serverの予想される機能ですか？

8 windows-server-2008  active-directory  windows-server-2008-r2  powershell  windows-server-2012 

ごく最近、Server 2003 R2を実行している2つの古いドメインコントローラーを廃止するプロジェクトを完了しました。それらは現在、光沢のある新しい2008 R2ボックスに置き換えられています。ただし、ドメインの機能レベルは、2008 R2サーバーではまだ更新されていません。古いコントローラーへのロールバックが必要になったという長い目で見た場合のみです。次の週末までにドメインを更新することはすべて明確になると思います。 また、デスクトップクライアントが95％Windows XPであることにも注意してください。しかし、今年の終わりまでに200人程度のクライアントをWindows 7に更新するプロジェクトを開始しようとしています。 特に一部の管理ステーションがまだXPであることを考えると、Windows 7よりも多くのWindows XPをサポートしている間に、2003年の機能レベルでドメインを保持することには利点がありますか？ 更新：以前にいくつかのレガシーソフトウェアをサポートするWindows 2000サーバー（ドメインコントローラではない）がまだあることを言及するのを忘れていました。私はそれらを置き換えるために取り組んでいますが、それまでの間、Windows 2000が2008 R2ドメインに参加できることを確認する必要があります。

8 active-directory 

これは、Active Directoryに代わるクラウドサービスに関する正規の質問です。 Windowsドメインコントローラー（ADインフラストラクチャ全体を置き換える）の代わりにGoogle Appsまたは別のクラウドサービスを使用することはできますか？ 具体的には、ローカルのWindowsサーバーへの依存を取り除きたいと思います。現在、ファイルおよび印刷サービスでドメインコントローラーとして機能します。このサーバーを、ホストされているアプリケーションに基づいたものにシームレスに置き換えたいと思います。サーバーを専用サーバーまたは連結サーバーに移動するだけではありません。 プリンターなどの共有をつなぎ合わせる方法はまだわかりません。誰かがこれについて何らかの洞察を持っている場合、それは高く評価されます。最終的には、すべてのサーバーをクラウドに移動し、全体のケーススタディを作成することが目標です。

8 active-directory  domain-controller  g-suite 

短縮版 ドメインコントローラーがセットアップされた後、トゥームストーンの制限を超えてオフラインにされました。今、それを再び複製させることはできません。 関連するエラーメッセージ dc2で（exchangeとdc1の両方について同じエラーメッセージが存在します）： The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts …

8 active-directory 

私たちは2008R2ドメインを持つ小さな会社で、その上にいくつかの共有ボリュームを持つファイルサーバーがあります。24時間年中無休で電話をかけているので、ドメイン管理者の役割には多くのITスタッフがいます。ただし、ITスタッフを含め、機密にする必要がある特定のフォルダーまたはファイル（給与データ、業績評価、会計情報）があることが最近の企業ポリシーの問題になっています。これには、バックアップ（テープとディスク）のデータも含まれます。 これまでに起こったこと： * EFS-ただし、PKIを設定する必要があります。これは、会社の規模に対して少々やり過ぎです。 * TrueCrypt-ただし、これにより、同時アクセスと検索機能が無効になります * ACLからDomain Adminsを削除します-これは非常に簡単（ワンクリック）でバイパスできます * Domain Adminsグループの使用を削除し、アクセス許可をより明示的に委任します。ただし、これは少しやりすぎです。監査上の理由から、共有アカウント（MYDOMAIN \ Administratorなど）の必要性をできるだけ減らしたいと考えています。 これは目新しい問題ではないと私は確信しています。この種の要件を持つ他の人々がどのようにそれを処理したか知りたいですか？まだ検討していないオプションはありますか？ ありがとう！

8 windows  security  active-directory  ntfs 

ワークステーションからのActive Directory呼び出しをトレースするためにSysinternalsのADInsightを使用していましたが、アプリケーションが失敗しました。 以前はActive Directoryイベントがトレースおよびログに記録されていましたが、アプリケーションがキャプチャモードであるかどうかにかかわらず、ウィンドウは空白のままです。管理者として実行し、再起動して、新しいバージョンをダウンロードしました。これらのアクションのいずれも、プログラムを機能状態に戻していません。 このツールは頻繁に失敗することが知られているため、Sysinternalsフォーラムにはあまり期待が持てません。 同様の機能を持つツールはありますか？ ご質問 アカウントで別のワークステーションから実行すると、ツールは失敗しますか？はい 他の誰かのアカウントを使用しているあなたの（そして/または）別のワークステーションから失敗しますか？はい ワークステーションのイベントログに何かありますか？番号

8 active-directory  windows 

ActiveディレクトリとOpenディレクトリの相互運用性に関する質問などの大多数は、MacクライアントにADを表示させ、それに対する認証を行うことを伴います。 私たちがやりたいことは、Windows 7ワークステーションにOpen Directoryに対して完全に認証させることです。NT4タイプのPDCとして設定しようとしましたが、うまく機能しません。 認証を許可するpGinaとLDAPバックエンドを使用してみましたが、承認はサポートされていません。そのため、NFS共有をマウントする場合、ユーザーは何でもできる権限を持っています。セキュリティには理想的ではありません（実際には完全に流血は受け入れられません）。 中間サーバーとしてSambaサーバー（Open Directoryサーバーよりも新しいバージョン）を使用してみました。これにより、ODサーバー上のLDAPサーバーを認識しますが、v3ではなくSamba 4を使用します。それもうまくいきませんでした。ログインはできましたがマウントできませんでした。もしそうなら、pGinaと同じ権限がありました。Windowsでマウントされたドライブを右クリックしてNFS UIDを確認すると、正しい（マップされた）UIDではなく-2が返されます。 したがって、私が持っている最後の計画は、Windows 2008R2仮想マシン内でActive Directoryを使用することです。私が達成したいのは、Active DirectoryにOpenDirectoryのユーザーデータを同期させることです（読み取り専用で問題ありません）。そうすれば、実際にはODのLDAPから情報を取得するだけの「仮想ドメイン」にWindows 7クライアントを接続することができます。 私が見つけたすべての情報は、逆の方法についてです。 誰もがこれを行う方法を知っていますか？

8 active-directory  ldap  authentication  opendirectory  authorization