タグ付けされた質問 「active-directory」

Active Directoryセキュリティグループ内のアカウントグループの最後のパスワード変更を取得する必要がありますが、これはPowerShellが得意なものだと思います。 今、私が見ているADアカウントからpwdLastSet属性を読み取る方法に既に固執しています。次のような単純なものでも実行できます。 [adsi] "LDAP://cn=user1,ou=Staff,ou=User Accounts,dc=ramalamadingdong,dc=net" | Format-List * pwdLastSetの結果は次のように表示されます。 pwdLastSet : {System.__ComObject} 私はこれについて間違った方法で行っているように感じますので、pwdLastSet属性の出力（値はWindows Epochに基づいており、非常に人間が読めるものではありません）を照会してからフォーマットする最良の方法は何ですか？

16 active-directory  powershell 

私たちのネットワークでは、ネットワークドメインの名前は組織のWebサイトのドメインでもあります（例：）example.com。外部では、人々はexample.com私たちのウェブサイトにアクセスするために立ち入ることができますが、内部的には、これはいくつかのドメインコントローラの1つを指します。 この結果、リンクhttp://example.comは内部で機能しません（only www.example.com内部で機能します）。 Webサーバーに対してHTTPリクエストを透過的にポイントする方法と、これにはどのような副作用がありますか？

16 windows  domain-name-system  active-directory 

これは、一元化されたユーザーデータベースを実装していない小規模企業（開発者12人）向けです。組織的に成長し、必要に応じてコンピューター上にアカウントを作成しただけです。 管理の観点から見ると、悪夢-すべてが異なるユーザーアカウントを持つ10台のコンピューターです。ユーザーが1台のコンピューターに追加された場合、他のすべてのユーザー（アクセスする必要がある）に手動で追加する必要があります。これは理想からかけ離れています。ビジネスを前進させ、成長させるには、コンピューター/ユーザーの追加/雇用が増えるにつれて指数関数的に作業が増えることを意味します。 ある種の集中ユーザー管理が非常に必要であることを知っています。ただし、Active DirectoryとOpenLDAPの間で議論しています。現在の2つのサーバーは、単純なバックアップサーバーおよびファイル共有サーバーとして機能し、どちらもUbuntu 8.04LTSを実行しています。コンピューターは、Windows XPとUbuntu 9.04が混在しています。 私はActive Directory（または実際にはOpenLDAPですが、Linuxには慣れています）の経験はありませんが、1つのソリューションが他のソリューションよりも優れている場合、それを学ぶことを保証します。 先行投資は実際には問題ではなく、TCOが問題です。Windows（SBSと思われますか？）により、増加した初期費用を補うのに十分な時間を節約できる場合は、そのソリューションを使用する必要があると思います。 私のニーズのために、どのソリューションを実装する必要がありますか？ 編集：メールはオフサイトでホストされるため、Exchangeは必要ありません。

16 ubuntu  active-directory  openldap  small-business 

多くの人が思うように、Windows / Active Directory環境と、Javaを必要とする多くの内部ビジネスアプリがあります。私たちの経験では、このような企業ネットワーク環境ではJavaはうまく機能しません。最初のインストールは問題ありません（少なくとも最近ではMSIがあります）が、物事を刻み続けることは非常に難しい場合があります。 発生する特定の問題は次のとおりです。 Javaには独自のアップデーターがあるため、内部のパッチ管理システムとは連携しません。 GPOを介したJava設定の管理用のツールの欠如。 ユーザーが特定の設定を手動で構成するための要件。 各マシン上の複数のJavaランタイム（ここではOracle Jinitiatorが特定の犯人です）。 Program Filesフォルダーに保存されている重要な設定ファイル。 私たちにとっては、ほとんどがログオンスクリプトとハッキングの回避策のバッチですが、他の人がこれらのアイテムをどのように処理しているか、そしてここで注意する必要があるものがあるかどうかを聞いてみたいです。

16 windows  active-directory  java  group-policy 

ここで何が尋ねられているかを伝えるのは難しいです。この質問は曖昧、曖昧、不完全、過度に広範、または修辞的であり、現在の形式では合理的に答えることができません。この質問を明確にして、再開できるようにするには、ヘルプセンターに アクセスしてください。 9年前に閉鎖されました。 Microsoft Docsの記事Defaultを読んで、これら2つのグループの説明をグループ化します。 ドメイン管理者 このグループのメンバーは、ドメインを完全に制御できます。既定では、このグループは、すべてのドメインコントローラー、すべてのドメインワークステーション、およびドメインに参加した時点のすべてのドメインメンバーサーバーのAdministratorsグループのメンバーです。デフォルトでは、管理者アカウントはこのグループのメンバーです。グループはドメイン内で完全に制御できるため、ユーザーの追加には注意が必要です。」 管理者 このグループのメンバーは、ドメイン内のすべてのドメインコントローラーを完全に制御できます。既定では、Domain AdminsおよびEnterprise AdminsグループはAdministratorsグループのメンバーです。管理者アカウントもデフォルトのメンバーです。このグループはドメイン内で完全に制御できるため、ユーザーを追加する際は注意してください。」 また、同じ記事では、両方のグループがデフォルトのユーザー権限についてまったく同じ説明を持っていると述べています。 ネットワークからこのコンピューターにアクセスします。プロセスのメモリクォータを調整します。ファイルとディレクトリをバックアップします。トラバースチェックのバイパス。システム時刻を変更します。ページファイルを作成します。プログラムのデバッグ。コンピューターとユーザーアカウントを委任に対して信頼できるようにします。リモートシステムから強制的にシャットダウンします。スケジューリングの優先度を上げます。デバイスドライバーのロードとアンロード。ローカルログオンを許可します。監査とセキュリティログを管理します。ファームウェア環境値を変更します。単一プロセスのプロファイル。システムパフォーマンスのプロファイル。ドッキングステーションからコンピューターを取り外します。ファイルとディレクトリを復元します。システムをシャットダウンします。ファイルまたは他のオブジェクトの所有権を取得します。 さらに、Microsoft Docsの記事Default local groupsには、Administratorsグループの次の説明が含まれています。 このグループのメンバーはサーバーを完全に制御し、必要に応じてユーザーにユーザー権限とアクセス制御許可を割り当てることができます。管理者アカウントもデフォルトのメンバーです。このサーバーがドメインに参加すると、Domain Adminsグループがこのグループに自動的に追加されます...」 [強調鉱山] 上記を考えると、私は理解していません： それらの違いは何ですか？ デフォルトのインカネーションでどれを使用するのですか？ エンゲージメントを専門化する方法は？ ドメイン管理者が管理者のメンバーである場合、それらは常に同等になりませんか？ この質問はサブ質問であり、質問のコンテキストで尋ねられますAD参加マシンのローカルユーザーのコンテキストはドメインマシンアカウントですか、それともローカルマシンアカウントですか？

16 active-directory  domain-controller  groups 

新しいプライマリドメインコントローラとなる新しいサーバーを購入しました。誰かがこの変更を行う方法に関する記事やチュートリアルを知っているのだろうかと思っていましたか？単に役割を設定し、古いドメインコントローラーからActive Directoryのバックアップをインポートするだけだと思います。間に重要なタスクを見逃さないようにしたいだけです。

15 active-directory  domain-controller 

私は子供たちにプログラムを教えるスタートアップと仕事をしています。ラップトップの最初の「フリート」を入手したところです-Windows 7を実行している半ダースの改装されたシンクパッド-私はそれらを管理し、維持するための最良の方法を探しています。 ボリュームライセンスキーを購入するのは理にかなっていると既に判断しているので、再イメージングの権利を使用して、すべてのイメージに書き込むことができる単一の既知の良好なイメージを生成し、必要なときにいつでもコンピューターを消去することができます。私が今疑問に思っているのは、継続的にそれらを管理する最善の方法です。 ラップトップはさまざまなネットワーク上で動作します-それらのどれも私たちによって制御されません-そして私たちは中央オフィスやサーバーを持っていません。取得したくない。 更新プログラムと新しいソフトウェアをすべてのラップトップに簡単にプッシュできるようにしたいだけでなく、管理者アカウントをリモートで構成したり、ラップトップが最新の状態に保たれるようにパッチを管理したりすることもできます。 小さなスタートアップであるため、資金は限られており、ソフトウェアライセンスに費やされるお金は、より多くのハードウェアに費やすことができるお金なので、高価なソリューションは少し手間がかかります。 私たちがこれを最も簡単に行うことができる方法について、誰にも推奨事項がありますか？

15 windows  active-directory  laptop  patch-management 

ドメインにWindows 7コンピューターがあり、奇妙な動作をしています。 www.google.comにpingを送信することは可能です IPアドレスを使用して内部ホストをpingできます ホスト名とIPアドレスを使用して、そのオフィスのローカルドメインコントローラ/ DNSサーバーにpingを実行できます ホスト名またはFQDNで他の内部ホストにpingすることはできません クライアントは自身をDNSに登録していません nslookup 内部ホスト名を正しいIPアドレスに解決でき、正しいDNSサーバーを使用できます クライアントは、他のクライアントと同じDHCPを介してIP設定を取得します-正しいサブネットにアドレスがあり、正しいDNSサーバーが適用され、ホスト名を解決するために正しいサフィックスが追加されています ローカルエリア接続ネットワーク接続には、ドメイン名またはWiFiステータスの表示に使用されるスペースで以前に使用されたSSID名が表示されます-画像を参照 なぜこれが起こっているのか、本当に困惑しています。内部DNS解決が行われていないため、コンピューターはドメインと適切に通信できないため、グループポリシーを適用できず、認証が適切に機能していないと思われます。 でDNSキャッシュをクリアしようとしましたが、でキャッシュをipconfig /flushdns無効化/再起動しましたnetsh stop dnscache。WinsockとIPスタックをリセットし、何度も再起動しましたが、違いはありません。同じネットワーク内の他のクライアントは正常に動作しています。 現在の回避策は、ユーザーが使用する必要があるサービスの最も重要なホストのホストファイルにエントリを配置することです。これは正常に機能しましたが、長期的には持続可能ではなく、Active Directoryとの通信にも対応していません。 物を再構築する前に、これを修正する方法はありますか？ アップデート 影響を受けるコンピューターにWiresharkをインストールしました。するとnslookup domain.local、期待どおりにすべてのDNSトラフィックが表示されます。するとping domain.local、DNSトラフィックがまったく表示されません。リクエストも応答もありません。するとping www.google.com、DNS要求と応答の両方が表示されます。 また、これは有線LANと無線の両方を備えたラップトップです。有線LANまたはWiFiを介して内部ネットワークに接続しても、まったく同じ問題が発生します。 奇妙なことに気づいたのは、予想どおりにドメイン名を表示するのではなく、ネットワーク接続（ローカルエリアネットワーク）の名前ではなく、使用していたVLANの名前です。再度参加できない場合に備えて、ドメインからコンピューターを削除することをためらっています。Windowsの再インストールを伴う可能性のあるルートを進む前に、他のいくつかのことを試してみます。 関連 する外観を更新 更新、、を試しましたnetsh winsock reset catalogがnetsh int ip reset、sfc scannowいずれも動作を修正していません。コンピューターはドメインコントローラーと通信できないため、ドメインを離れて再参加できません。 ifconfig /registerdns同じ理由で機能しません。また、dnsクライアントサービスを無効にしようとしました。

15 domain-name-system  active-directory  windows-7 

シナリオ： DCの実行中に、任意のマシンにログインします。 DCを停止します 任意のマシンからログオフします。それをうまく測るためにバウンスしましょう。 マシンが復旧しても、DCがダウンしていてもドメイン資格情報でログインできます なぜ、どのように？ 「任意の」マシンで何らかのローカル資格情報キャッシュが使用されていますか？パスワードが何らかの方法でハッシュ化され、将来のために保存されました。 DCがダウンしている間に以前にログインしたことのないボックスにログインしようとした場合、同じプロセスが機能しますか？

15 windows  active-directory  domain-controller 

私はコンピューターのセキュリティの最強の背景を持っていませんが、昨日、会社のサーバーの1つがホストによってシャットダウンされました。 WebサイトやAPIを含むいくつかのWebサービスアプリケーションをホストするパブリックIPが割り当てられたサーバーです。私のサーバーは「サービス拒否攻撃を外部エンティティに中継するために使用されているオープンDNSリゾルバを実行している」と言われました。 これは何を意味するのでしょうか？この攻撃はどのように機能しますか？そして、このようにシステムが悪用されないようにするにはどうすればよいですか？ 私の場合、問題のサーバーはWindows Server 2012上にあり、Active DirectoryドメインのDNSを提供しています。

15 domain-name-system  active-directory  windows-server-2012  ddos  security 

シナリオ これを最も簡単な例に単純化するには： DHCPサーバーの役割を持つWindows 2008 R2標準DCがあります。さまざまなIPv4スコープ経由でIPを配布しますが、問題はありません。 私が好きなもの デバイスがDHCPアドレスリースを取得し、そのデバイスがActive Directory内のドメイン参加コンピューターではない場合に、通知/イベントログエントリ/類似を作成する方法が欲しい。カスタムPowershellなどであるかどうかは関係ありません。 要点= 現時点では802.1Xを使用せずに、非ドメインデバイスがネットワーク上にあることを知りたいのですが。 これは静的IPデバイスを考慮しないことを知っています。ネットワークをスキャンしてデバイスを検出する監視ソフトウェアはありますが、これほど詳細ではありません。 研究完了/オプションを考慮 組み込みのロギングではこのような可能性は見当たりません。 はい、802.1Xを認識しており、この場所で長期的に実装することができますが、そのようなプロジェクトからしばらく離れています。それにより、ネットワーク認証の問題は解決しますが、これは外部の私にとってはまだ役に立ちます802.1Xの目標。 スクリプトビットなどを探してみましたが、役に立つかもしれませんが、私が見つけたものは、私のgoogle-fuが現時点で私を失敗させていると信じさせます。 私は以下のロジックが健全であると信じています（既存のソリューションが存在しないと仮定して）： デバイスはDHCPアドレスを受け取ります イベントログエントリが記録されます（DHCP監査ログのイベントID 10は機能するはずです（更新ではなく、新しいリースが最も興味があるため）：http : //technet.microsoft.com/en-us/library /dd759178.aspx） この時点で、おそらく残りの「STEPS」については、ある種のスクリプトが引き継ぐ必要があるでしょう。 どういうわけか、これらのイベントID 10についてこのDHCPログを照会します（プッシュが大好きですが、ここではプルが唯一の手段であると推測しています） 新しいリースを割り当てられているデバイスの名前のクエリを解析します ADにデバイス名を問い合わせる IF ない ADで見つかった、通知メールを送信 誰かがこれを適切に行う方法についてアイデアを持っているなら、私は本当に感謝しています。「gimme the codez」を探しているわけではありませんが、上記のリストに代わるものがあるかどうか、またはこの情報を収集するための明確な考えがなく、別の方法が存在するかどうかを知りたいです。これを達成するために共有したいコードスニペット/ PSコマンドがある場合は、さらに良い方法です。

15 active-directory  windows-server-2008-r2  monitoring  dhcp  dhcp-server 

ドメインラボの1つで遊ぶと、かなり興味深い問題に遭遇しました。 「スタッフ」OU内のすべてのユーザーのフォルダーリダイレクトに使用されている2008 R2ファイルサーバー上のディレクトリがあります。ディレクトリには次の権限が設定されています。 FILESERVER \ Administrators：ディレクトリ、サブディレクトリ、およびファイルへのフルコントロールを許可します DOMAIN \ Domain Admins：ディレクトリ、サブディレクトリ、およびファイルへのフルコントロールを許可します 認証済みユーザー：ファイルの作成、フォルダーの作成、属性の書き込み、および拡張属性の最上位ディレクトリへの書き込みのみを許可します さらに、ディレクトリは、Authenticated Usersグループへの「フルコントロールを許可する」ネットワーク共有でもあります。 ドメインadminsグループのメンバーであるユーザーjohn.doeがファイルサーバーからディレクトリにアクセスしようとすると、「現在このフォルダーにアクセスする権限がありません」というエラーが表示されます。同じサーバーからネットワーク共有にアクセスしようとすると、アクセス許可拒否エラーが発生します（ただし、ユーザーは引き続き共有内の自分のディレクトリにアクセスできます）。 同じユーザーとしてログオンした別のコンピューターから共有にアクセスすると、構成されたとおりにアクセスできます。 ファイルサーバーにログオンしているときにディレクトリ内のファイルにアクセスできる唯一の方法は、昇格したコマンドプロンプトを開くことです。グループポリシーを使用して、ドメイン内のすべてのコンピューターに対してUACを無効にします（管理者承認モードですべての管理者を実行し、プロンプトなしで昇格するように既定の動作を設定します）。 すべての道路は、アクセスが許可されているユーザーを指しますが、依然として拒否されています。何か案は？

15 windows  active-directory  permissions 

Windows Serverは認証局サービスを提供します。ただし、ドキュメントから、ルート証明書がクライアントに配布される方法（または配布されるかどうか）は明確ではありません。 ドメインメンバーコンピューターはルート証明書を自動的に信頼しますか？ もしそうなら、彼らはいつ、どのように証明書を取得しますか？ ルート証明書をインストールまたは信頼するために必要なユーザー操作はありますか？ クライアントはActive Directoryをポーリングしますか？AD DNSにありますか？ ログイン時にのみ取得できますか？ ドメインメンバーがリモートでLANにVPN接続した場合はどうなりますか？ 異なるバージョンのWindowsクライアントに関する注意事項はありますか？

15 windows  active-directory  ad-certificate-services 

Active Directoryでユーザーを認証するようにMercurialをセットアップできますか？私の場合、hgはWindows、Linux、またはFreeBSDで実行できますが、ADユーザーを使用する必要があります。 注：可能であれば、チュートリアルを参照してください。

15 windows  active-directory  mercurial 

これは私が最近設定したもので、非常に大きな痛みでした。私の環境では、SquidにWindows 7クライアントをWindows 2008 Serverに対して見えないように認証させていました。NTLMを使用するには、各クライアントでレジストリを変更する必要があるため、実際にはオプションではありません。 MSはWindows 2000以来Kerberosを推奨してきたので、ついにプログラムを入手する時が来ました。 SquidメーリングリストのMarkus Moellerに感謝します。

15 windows-server-2008  active-directory  windows-7  squid  kerberos