タグ付けされた質問 「active-directory」

ユーザーアカウント、コンピューターアカウント、グループ、および多くのWindowsサーバーとデスクトップにわたる構成管理の集中管理機能を備えたLDAPディレクトリサービスを構成するMicrosoftテクノロジ。


2
誰かがWindowsサービスプリンシパル名(SPN)を簡単に説明してもらえますか?
私はサービスプリンシパル名に数回取り組んでいますが、Microsoftの説明だけでは不十分です。ドメインで動作するようにIISアプリケーションを構成していますが、私の問題の一部は、サイトをホストしているアプリケーションプールを実行しているWindowsサービスアカウントでhttp固有のSPNを構成する必要に関連しているようです。 これにより、サービスタイプ(MSSQL、http、host、termsrv、wsmanなど)、Kerberos認証、Active Directoryコンピューターアカウント(PCName $)、Windowsサービスアカウント、SPN間の関係が完全には得られないことに気付きました。 、およびサービスにアクセスするために使用しているユーザーアカウント。 誰かが説明を単純化しすぎずにWindowsサービスプリンシパル名(SPN)を説明してもらえますか? 経験豊富なシステム管理者/開発者と共鳴する創造的な類推に対するボーナスポイント。

13
MS Active Directoryは本当に必要ですか?[閉まっている]
約30台のマシンと2台のターミナルサーバー(1つの運用サーバー、1つのスタンバイサーバー)を管理しています。実際にネットワークにActive Directoryを展開する必要がありますか? 別のADサーバーの存在をバランシングできる、本当に利点はありますか?ターミナルサーバーは、企業のAPPを除いて、他のサービスを一切使用せずに、独立して実行します。 ADなしで実行する場合、どのような優れた機能が欠けていますか? 更新:しかし、あなたはADなしで成功した店を経営していますか?

2
samAccountNameのaとoをデンマーク語のåとøに置き換えることができるのはなぜですか?
同僚が、テストADのアカウントaがsamAccountNameのすべての文字をデンマーク文字å(ASCII 134 /å)に置き換えるときに認証できることを示しました。 たとえば、ユーザー<domain>\aaaはとして認証できåååます。 新しくプロビジョニングしたW2K12R2 AD(単一サーバー、すべての標準値)でこれを再現してみましたが、そこでも機能します。アカウントを作成しaaa(åプロセス中にレターに触れないで、何も含まれないようにしますå)、実行しました: PS C:\ Users \ Administrator> runas / user:ååånotepad åååのパスワードを入力します。 ユーザー「DEV-DLI \ååå」としてメモ帳を起動しようとしています... PS C:\ Users \ Administrator> これにより、メモ帳が起動し、として実行されaaaます。 同じことはoデンマークのキャラクターøにも当てはまるようですが、最後のデンマークの特殊文字æは他のキャラクターに対応していないようです。ユーザーとaaaADで、のsamAccountNameを持つユーザを作成しようとしてåååいることを知らせる、失敗しますThe user logon name you have chosen is already in use (...)。 私は狂人のようにグーグルで検索しましたが、何が起こっているのかを知ることができませんでした。なぜこれが機能するのかについてのヒントはありますか?

3
キャッシュされたWindows資格情報はローカルマシンにどのように保存されますか?
キャッシュされたActive Directoryドメインの資格情報はWindowsクライアントにどのように保存されますか?ローカルSAMデータベースに保存されているため、ローカルユーザーアカウントが影響を受けるのと同じレインボーテーブル攻撃を受けやすくなっていますか?プレーンテキストで保存されないように、ソルトとハッシュ化されていることを認識していますが、ローカルアカウントと同じ方法でハッシュ化され、同じ場所に保存されていますか? 少なくともブルートフォース攻撃の影響を受けやすいことはわかっていますが、マシンが盗まれた場合にレインボーテーブルに対して脆弱であるよりもはるかに良い状況です。

6
前回ADユーザーがログインしましたか?
Active Directoryには、会社の実際の従業員よりも多くのユーザーがいることに気付きました。複数のActive Directoryアカウントを確認し、しばらく使用されていないアカウントがあるかどうかを確認する簡単な方法はありますか?これにより、一部のアカウントを無効にするか削除するかを判断できます。


3
MicrosoftアカウントがないとWindows 8 / 8.1 Proのどの機能が動作しませんか?
ドメインに参加しているWindows 8 / 8.1 Proマシンに関して、Microsoftアカウントを使用しないとWindowsのどの機能が動作しませんか? また、「機能の損失」は別として、ドメイン環境でMicrosoftアカウントを使用しないという落とし穴はありますか? これは、Server 2008 R2ベースのActive Directory環境です。Office 365はありません。

1
Active Directoryでのユーザーの下向き矢印記号の意味
Powershellを使用して「MyUser」というユーザーアカウントを作成し、UIを使用して作成したユーザーテストのアイコンとは異なるActive Directoryのアイコングラフィックを作成しました。 スクリプト化されたものには、下向きの矢印が付いた円形のアイコンがあります。 UI生成ユーザーには、下向きの矢印のないアイコンがありません。

4
認証されたユーザーの即時ログオフを強制(緊急の場合)
Active Directoryでは、ユーザーがログインできないようにする場合、アカウントを無効にするか、単にパスワードをリセットできます。ただし、既にワークステーションにログインしているユーザーがいて、できるだけ早くリソースにアクセスできないようにする必要がある場合は、どうすればよいですか?私は、労働者が即座に解雇され、彼らがすぐにネットワークから締め出されない場合、彼らが大混乱を引き起こす危険がある緊急事態について話します。 数日前、私は同様のケースに直面しました。最初はどのように行動すればよいかわかりませんでした。ネットワーク共有へのユーザーアクセスを防止するのは簡単ですが、これだけでは十分ではありません。最終的に、Stop-Computer -ComputerName <name> -ForcePowerShellコマンドレットでターゲットコンピューターの電源をオフにし、私の場合、これで問題が解決しました。ただし、場合によっては、これは最善の選択ではないかもしれません。たとえば、切断する必要があるユーザーが複数のワークステーションまたは重要なサービスを提供するコンピューターにログインしていて、スイッチをオフにできない場合などです。 すべてのワークステーションからユーザーを即座に強制的にログオフさせるための最良の解決策は何ですか?これはActive Directoryでも可能ですか?




4
ドメイングループポリシーをローカル管理者としてローカルグループポリシーでオーバーライドできますか?
いくつかの特別なケースのラップトップをプロビジョニングしようとしています。ローカルゲストアカウントを作成したいと思います。それは問題ありませんが、作成しようとすると、ゲストパスワードが複雑さの要件を満たしていないことを促しました。 ローカルセキュリティポリシーを編集して複雑さを変更しようとしましたが、これはグレー表示されています。ローカルでドメインポリシーをオーバーライドすることは可能ですか? はい、長いパスワードを選択できることは知っていますが、それはポイントではありません。将来必要になる場合に備えて、ドメインポリシーをオーバーライドする方法を知りたいです。

3
新しいActive Directoryフォレストに名前を付ける-スプリットホライズンDNSが推奨されないのはなぜですか?
この投稿を改善したいですか?引用や回答が正しい理由の説明など、この質問に対する詳細な回答を提供します。十分な詳細のない回答は、編集または削除できます。 願わくば、Active Directoryフォレストに名前を付けるための推奨事項がすべてわかっていることを願っています。つまり、1つの文にまとめることができます。 既存の登録済みドメイン名のサブドメインを使用し、外部で使用されないものを選択します。 たとえば、hopelessn00b.comドメインを組み込み、登録する場合、内部ADフォレストの名前はinternal.hopelessn00b.comor ad.hopelessn00b.comまたはcorp.hopelessn00b.comです。 「偽の」TLDや単一ラベルのドメイン名の使用を避ける圧倒的に説得力のある理由がありますが、ルートドメイン(hopelessn00b.com)を私のドメイン名として使用し、corp.hopelessn00b.com代わりにサブドメインを使用するのを避ける同様の説得力のある理由を見つけるのに苦労しています。実際、内部から外部のWebサイトにアクセスするには、A nameDNSレコードが必要www.であり、ブラウザーでWebサイト名の前に入力する必要があるという唯一の正当性が あります。 だから、私は何が欠けていますか?ad.hopelessn00b.comActive Directoryフォレスト名として使用する方がはるかに優れているのはなぜhopelessn00b.comですか? 上司の男は、バック行商で、という名前の新しいADフォレストを作成するために私に行く先を与えた後-念のために、それはニーズが説得力のことを本当に私の雇用者のcorp.hopelessn00b'semployer.com社内ネットワークのために、彼は名前のADフォレストに固執したいですhopelessn00b'semployer.com(外部登録ドメインと同じ)。私は、いくつかの説得力のある理由、またはベストプラクティスがより良いオプションであるという理由を得られることを望んでいます。そのため、彼にそれを納得させます。瞬間。今、私たちの会社のために公共のウェブサイトにアクセスし、内部での「Microsoftのベストプラクティス」とは、それをカットされていないようだ、と私は本当に、本当に、本当にここに誰かを期待しては、より説得力のある何かをしています。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.