タグ付けされた質問 「active-directory」

私たちは、メールのニーズに合わせてGoogle Apps（Enterprise）を実行している小さな店です。大好きです。内部的には、Windows AD（2003）を使用しています。苦情もありません。 ADとGoogle Appsの間でSSOを行う方法を取得して、ADがパスワードを管理（および定期的に変更）する必要がある唯一の場所にするようにします。 私は過去にグーグルの「tfm」を見てきましたが、私はそれをまったく理解していないと思います。誰もこれをしていますか？もしそうなら、あなたはどのように共有したいと思いますか？膨大な複雑さと費用をかけずにそれを行うことができますか？

15 active-directory  g-suite  single-sign-on 

使用できるコマンドラインプログラムはありますか？

15 active-directory  kerberos  ntlm 

example.org会社でドメインを使用しています。www.example.orgウェブサイトを表示するために使用できます。私がしようとした場合http://example.org、私の会社outsiteから問題はありませんが、私は内側からそれをしようとした場合、私のWindows DNSサーバーは、ドメインコントローラのIPアドレスをdeliverthe。 どうすれば解決できますか？DCがexample.orgDNSのように登録されないようにできますか？これは私の環境にとって問題になりますか？

15 domain-name-system  active-directory  domain 

ドメインコントローラーを定義する場合、DCはActive Directoryがインストールされている場所、または Acitve Directoryとは、単に次のことを意味します。安全な集中認証および管理とドメインコントローラー= ADDS + DNS。 しかし、私はそれをここで読むと混乱します DOMAIN CONTROLLER == ACTIVE DIRECTORYと言うのは非常に簡単だと思いますが、そうではありません。 私はそれが正しいか間違っているか知りたいですか？間違っている場合、違いは何ですか？

14 active-directory  domain-controller 

ドメイン管理者アカウント（災害復旧シナリオの場合を除いて使用しない）には、LastLogonTimeStamp属性に最近の日付があることがわかりました。私の知る限り、誰もこの期間（および数か月後）にこのアカウントを使用するべきではありませんでしたが、一部のバカがスケジュールされたタスクを実行するように設定している可能性があります。 セキュリティログイベントの量（および分析用のSIEMツールの不足）のため、アカウントの実際のlastLogon時間（レプリケートされた属性ではない）があるDCを特定したかったのですが、ドメイン内のすべてのDCを照会しました。また、管理者のlastLogonはそれぞれ「なし」です。 これはフォレスト内の子ドメインなので、誰かがこの子ドメイン管理者アカウントを使用して親ドメインで何かを実行している可能性があります。 LastLogonTimestampに記録されている時間帯に、16のフォレストDCから発生する可能性のある2,000万のイベントを調べる以外に、どのDCがログオンを行っているかを判断する方法はありますか？最初に親ドメインDCをターゲットにできると思います（子DCは認証を行っていないようです）。 説明 [ repadmin以下に従って使用後の原因をゼロ化した後に追加] この要求の元々の理由は、ITセキュリティチームが、なぜデフォルトドメイン管理者アカウントで頻繁にログオンしているのか疑問に思っていたためです。 ログオンしていないことはわかっていました。「Kerberos S4u2Self」と呼ばれるメカニズムが存在することがわかりました。これは、ローカルシステムとして実行されている呼び出しプロセスが何らかの権限昇格を行っている場合です。それはありませんネットワークのドメインコントローラ上で管理者としてログオン（インタラクティブではないが）。非対話型であるため、これがlastLogonDCのアカウントに存在しない理由です（このアカウントは現在のドメインコントローラーにログオンしたことがありませんでした）。 この記事では、ログがpingを実行し、セキュリティチームに子猫がいる理由を説明します（事態を悪化させるために、ソースマシンはServer 2003です）。そして、それを追跡する方法。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/ 教訓- lastLogon属性に関するレポートは、管理者のログオンに関する場合にのみITセキュリティチームに提供します。

14 active-directory  security  domain 

ドメイン内のアカウントの1つが危険にさらされた場合のシナリオを準備しています。 アカウントを無効にすることは私の最初の回答になりますが、数週間前にここにペンテスターがいて、数か月前に去った管理者ユーザーのハッシュ化されたログインを使用できました。 これまでの2つの答えは次のとおりです。 アカウントを削除して再作成します（新しいSIDを作成しますが、ユーザーのドラマも作成します） パスワードを少なくとも3回変更し、アカウントを無効にします あなたの方法は何ですか、または何をお勧めしますか？

14 active-directory  security 

私は、Windowsマシンで奇妙な動作に出くわしました。これは、Vista / 2008から8.1 / 2012 R2までのすべてのWindowsバージョン間でかなり一貫しているようです。代わりに、Windows XPまたはWindows Server 2003を使用している場合は発生しません。 問題はこれです：ネットワークアダプターがDHCP用に構成され、DHCPサーバーがそのクライアントに代わってDNSレコードを登録しない場合（できないため、またはそうするように構成されていないため）、転送Aレコード登録されますが、逆PTRレコードは登録されません。 いくつかの詳細： フォワードDNSゾーンとリバースDNSゾーンの両方がAD統合されており、動的更新を受け入れます。 すべてのコンピューターがドメインに参加しています。 すべてのコンピューターは、静的に構成されている場合とDHCPから構成を取得している場合の両方で、正しい内部DNSサーバーを使用します。 「この接続のアドレスをDNSに登録する」は、ネットワークアダプターで有効になっています。 コンピューターに静的IPアドレスがある場合は、すべて正常です。順方向レコードと逆方向レコードの両方が自動的に登録されます。 同じコンピューターがDHCP用に構成されている場合、順方向レコードは登録されますが、逆方向レコードは登録されません。 これは、OSバージョンが6.0以上のすべてのコンピューターで発生します。1台のマシンとは関係ありません。 ipconfig /registerdns何も変更しません。 エラーはどこにも記録されません。 なぜこれが起こり、どのように修正できますか？ いいえ、DNS登録を実行するようにDHCPサーバーを構成することは、ここではオプションではありません。

14 windows  domain-name-system  active-directory  dhcp  ptr-record 

ドキュメントには、例が含まれています。 New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true このパラメーターは必須です。の正確な目的はDNSHostName何ですか？また、何に設定するかをどのように決定すればよいですか？

14 active-directory 

たび私は実行し、グループポリシーの結果ウィザードをターゲットコンピュータ、概要が示すようにドメインコントローラを選択BUILTIN\Administrators下に示すように、コンピュータの構成の下で、「グループポリシーが適用されたセキュリティグループのメンバーシップ」のリストに： （ドメイン、ユーザー、およびコンピューター名は省略されています） ドメインコントローラーは管理者のメンバーではないので（少なくともADUCで確認できるものからではありません）、私の質問は単に、なぜですか？ ドメインコントローラーは実際にはAdministratorsグループのメンバーですか、それともGPResultsが間違っていますか（およびその理由）？

14 windows-server-2008  active-directory  group-policy  domain-controller 

私が持っている基本的な問題は、100,000を超える役に立たないマシン証明書がCAに散らばっていることです。そこ。 これは、エンタープライズルートCA（2008 R2）でいくつかのデフォルトを受け入れ、GPO証明書を使用してクライアントマシンを自動登録802.1xして企業のワイヤレスネットワークへの認証を許可した結果として生じました。 デフォルトでComputer (Machine) Certificate Templateは、マシンがすでに持っている証明書を使用するように指示するのではなく、マシンが再登録できるようになります。これは、ワークステーションがリブートされるたびにログとしてではなく、認証局を使用することを望んでいた男（私）に多くの問題を引き起こしています。 （横のスクロールバーは横になっています。下にドラッグすると、画面が一時停止し、次の数十の証明書が読み込まれます。） Windows Server 2008R2 CAから100,000程度の有効な既存の証明書を削除する方法を知っている人はいますか？ 今すぐ証明書を削除しようとすると、有効なため削除できないというエラーが表示されます。したがって、理想的には、一時的にそのエラーを回避する何らかの方法があります。MarkHendersonが、ハードルが解消されたらスクリプトで証明書を削除する方法を提供したからです。 （それらRevoked Certificatesを表示する必要があるだけで、取り消された「フォルダ」からも削除できないため、それらを取り消すことはオプションではありません。） 更新： @MarkHenderson linkedのサイトを試してみました。これは有望であり、証明書の管理性がはるかに優れていますが、まだ十分ではありません。私の場合の摩擦は、証明書がまだ「有効期限が切れている」（まだ期限切れではない）ようであるため、CAは証明書を存在から削除したくないため、これは失効した証明書にも適用されるため、失効しますそれらをすべて削除してから削除することもできません。 また、Google-Fuでこのtechnetブログを見つけましたが、残念なことに、実際の証明書ではなく、非常に多くの証明書要求のみを削除する必要があるように見えました。 最後に、今のところ、CAを前方にジャンプして、削除する証明書の有効期限が切れているため、サイトのツールを使用してマークリンクを削除することはできません。手動で発行する必要があります。したがって、CAを再構築するよりも優れたオプションですが、優れたオプションではありません。

14 windows  active-directory  windows-server-2008-r2  group-policy  certificate-authority 

ドメインコントローラのDHCPサービスが2週間ごとに失敗するWindows 2008 R2を実行している小さな環境があります。 最も目に見えるエラーがEvent ID 1059あり、イベントビューアーのメッセージは次のとおりです。 "The DHCP service failed to see a directory server for authorization." セットアップは、2つのドメインコントローラーと通常のサービスと役割（ファイル、印刷、Exchange）を備えています。サービスの再起動はさまざまな理由で失敗します。さまざまなタイミングで次のメッセージが表示されました。 「この操作を完了するのに十分なストレージが利用できません」。 「サーバー192.168.xxのDHCPサーバーバージョンを判別できません」 「DHCPサービスは、DC上で実行されていることを検出し、DHCPサービスによって開始された動的DNS登録で使用する資格情報が構成されていません。」 ドメインコントローラーを再起動すると、2週間ほど問題が解決します。システムは仮想化されており、ネットワーク接続の問題はありません。 ここで何が起こっているのかについてのアイデアはありますか？ 編集-解決策は、動作不良のドメインコントローラーを修正することです。

14 windows-server-2008  active-directory  dhcp-server 

AD / DNSサーバーがあるとユーザーエクスペリエンスに大きな違いが生じるブランチオフィスがいくつかあります。次の特性が適用されます。 エアコン完備のサーバールームはなく、設置する予算もありません。 オフィスは発展途上国にあるため、高温、多湿、埃が多い これらのオフィスにはITスタッフはいません 交換部品を入手することは、一般にヨーロッパから何かを送ることを意味します 機器をオフィスに輸送する際の物流上の課題により、小さなフォームファクターが望ましい オフィスには2〜25人のユーザーがいます Windows 2008 R2を実行する低電力のフラッシュベースのミニPCを読み取り専用ドメインコントローラーとして展開する可能性について考えてきました。Atom 1.6GHzプロセッサ、2GbのRAM、およびmSATAフラッシュベースのストレージ（32Gb）（例：Soekris net6501-70）を搭載したMini ITXデバイスを入手できることがわかります。これは、Windows Server 2008 R2を実行するための最小要件を満たすようです。 このような本番システムを展開し、経験を共有できる人はいますか？ 環境条件を考えれば、ファンレス/ソリッドステートドライブの方が良いと思うのは間違っていますか？ ドメインのサイズ（800ユーザー、レビュー中のグループポリシー）でRODCを実行するには32Gbのストレージで十分ですか？

14 windows-server-2008  active-directory  hardware 

私の会社は、すべてのサーバーを仮想化しようとしていますが、Active Directoryを仮想化することをお勧めします。それはできることでもありますか？そうであれば、この方法でセットアップすることには欠点がありますか？私のネットワークは、複数の物理サーバー、複数の仮想サーバー、およびSANでセットアップされています。 さらに情報が必要な場合は、お知らせください。

14 active-directory  virtualization 

私は自分の組織の開発者ですが、Active DirectoryのOU内の1万人の電子メールユーザーのパスワードをリセットする仕事をしました。適切なアクセス許可が与えられた後、次のTechNet記事を送信しましたが、これをどこで実行するのか、どのように機能するのかはわかりません。この質問があいまいすぎる場合は申し訳ありませんが、他にどこで質問できるかわかりませんでした（組織のシステム管理者に尋ねますが、回答にはしばらく時間がかかります）。誰かがこのコマンドレットが正確に何をするのか、これをどのように実行するのかについての概要を教えてもらえますか？

14 active-directory 

Windows Active Directory認証を使用するLinuxボックスがいくつかありますが、これは正常に機能します（Samba + Winbind）。 ただし、特定のユーザーまたは特定のグループのみがActive Directory資格情報を使用してログインすることを許可します。現在、有効なADアカウントを持っている人は誰でもログインできます。これをいくつかのグループのみに制限したいと思います。これは実行可能ですか？

14 linux  active-directory  samba  ldap  winbind