active-directory

影子管理员真的是 Active Directory 中的一个风险因素吗?
active-directory

影子管理员真的是 Active Directory 中的一个风险因素吗?

据我了解,影子管理员是指,如果用户帐户对现有管理员帐户拥有强大的权限,则该用户帐户将成为影子管理员。同样,任何其他对影子管理员拥有强大权限的帐户也会成为影子管理员。如果 SDProps 覆盖了所有管理员帐户的权限,那么影子管理员风险如何可能存在? 影子管理员参考: https://www.cyberark.com/resources/threat-research-blog/shadow-admins-the-stealthy-accounts-that-you-should-fear-the-most https://www.silverfort.com/...

Admin

Ldif 文件内容
active-directory

Ldif 文件内容

我正在尝试在 openldap 中创建一个自定义属性。为此,我应该创建一个对象类。下面是我的 ldif 文件。 Ldif 文件内容 dn: cn=schema,cn=config changetype: modify add: attributetypes attributetypes:( 1.3.6.1.4.1.4203.666.1.100 NAME 'x-my-photo1' DESC 'a user photo' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 SINGLE-V...

Admin

来自不同域的 New-ADUser-Manager
active-directory

来自不同域的 New-ADUser-Manager

当“管理器”位于不同的域时,用于创建新用户的 Powershell 脚本不起作用。 例如,我在域中创建一个用户contoso.com,但管理员位于foo.contoso.com: $ New-ADUser -Server "dc.contoso.com:3268" -Manager "CN=Bar,OU=Users,DC=foo,DC=contoso,DC=com" [...] New-ADUser : The server is unwilling to process the request 我已三番五次检查 DN 是否正确。如果我从中挑选一个用户co...

Admin

管理 SSH 访问以及谁有访问权限
active-directory

管理 SSH 访问以及谁有访问权限

我目前正在实施 AD,一些用户通过 SSH(不在 AD 内托管)访问外部服务器,我正在寻找一种方法来监视谁在访问这些服务器,并可能限制他们。据我所知,这可以通过 LDAP 来实现,我之所以研究 LDAP 是因为它与 AD 配合得很好,因为我过去曾体验过,但从未配置过这样的场景。任何在这种场景中拥有此类经验的人都可以分享一些信息,看看这是一个好主意还是可以使用其他方法。我基本上只是在寻找一种方法来监视(知道何时和谁)通过 SSH 访问 AD 内这些外部服务器的用户。 ...

Admin

如何在本地站点应用 GPO?
active-directory

如何在本地站点应用 GPO?

我过去曾经创建过一些由活动目录上的控制台管理的规则。 我想在未连接到 AD 的独立站上应用由 AD 管理的 GPO。 我如何转换使用导出的 GPO 并将其应用于本地策略? ...

Admin

备份 Windows Server (2019) 安装已终止的 AD DC 或修复 0xc00002e2
active-directory

备份 Windows Server (2019) 安装已终止的 AD DC 或修复 0xc00002e2

我有一个 Windows Server 2019 AD DC,只有那一个,没有备份 DC(我知道,我知道),昨天在执行 Windows 更新后死机了。现在,每当它尝试启动时,都会出现 BSOD,并且0xc00002e2运行目录服务还原模式会尝试撤消更新并失败,或者出现 BSOD CRITICAL_PROCESS_DIED。最糟糕的是,我不知道为什么它没有还原点。真是诅咒。运行dism.exe /image:C:\ /cleanup-image /revertpendingactions失败,错误 0x8000ffff。运行dism.exe /image:C:...

Admin

Active Directory - ß 与 ss
active-directory

Active Directory - ß 与 ss

我正在尝试统一streetaddress我们用户的属性。在德语中,该字符ß也可以表示为ss。 有些用户有Examplestraßeasstreetaddress值,而其他用户有Examplestrasse。 我正在尝试列出所有用户Examplestraße(请注意ß),但这似乎是不可能的: Get-ADUser -server domain.example.com -properties StreetAddress -filter "Streetaddress -eq 'Examplestraße'" 这将列出具有ss和ß属性的用户。同一问题会影响 AD...

Admin

在特定的现有 Windows 用户下运行 GitHub Actions
active-directory

在特定的现有 Windows 用户下运行 GitHub Actions

windows-latest我正在尝试在特定的、已经存在的 Windows 用户(而不是默认的)下在 GitHub 托管的 Windows 运行器 () 中运行 GHA 工作流程C:\Users\runneradmin。 涉及的选项网络用户或 runas显然尝试在运行器中创建一个新的本地用户。我需要向运行器添加一个已经存在的 AD 用户,但我有点迷茫,不知道该如何查看活动目录模块。 就上下文而言,我需要以特定用户(来自特定域)的身份运行工作流程,因为流程使用分配给此特定用户的数字证书(以及名为 RedTrust 的证书管理器)。到目前为止,我一直在自托管的 ...

Admin

ActiveDirectory 的 LDAP 代理不起作用
active-directory

ActiveDirectory 的 LDAP 代理不起作用

我安装了 openldap 作为 ActiveDirectory 的代理,如果我使用完整的 DN,它就可以正常工作。 问题是 AD 支持使用以下语法的查询,但 OpenLdap 不支持。 ldapsearch -v -H ldap://hostname -x -b "OU=Users,OU=OU_Test,DC=TEST,DC=Local" -D "[email protected]" -w ******** sAMAccountName="0980980" OpenLdap 抱...

Admin

Windows 登录选项已禁用 - GPO 已启用
active-directory

Windows 登录选项已禁用 - GPO 已启用

因此,随着 Windows 11 23H2 的新更新,设置中的登录选项出现了问题,特别是“PIN”和“指纹”或“面部”选项。 在我的组织中,使用这些功能的设置已启用,我截取了“便利 PIN”政策的屏幕截图,以便您更好地理解我的意思。该设置已启用,我使用“rsop.msc”进行了检查。生物识别也已启用。 我对 GPO 做错了什么,我是公司的管理员,因此如果我配置错误,我可以管理它们。 ...

Admin

Ansible 无法在 VirtualBox Windows 机器上安装 IIS Web 服务器
active-directory

Ansible 无法在 VirtualBox Windows 机器上安装 IIS Web 服务器

我正在尝试安装 Active Directory Labratory目的练习并熟悉 Active Directory。我使用 ansible-core 2.2.16、virtualbox 6.1 和 vagrant 2.2.19 来安装它。 实验室使用 bash 进行自动安装,安装盒子和播放 ansible 书籍,一切都很顺利,直到出现TASK [iis : Install IIS Web-Server with sub features and management tools]错误fatal: [srv02]: FAILED! => {"chang...

Admin

我可以在未安装 RSAT 的计算机上运行 Get-ADuser。这怎么可能呢?
active-directory

我可以在未安装 RSAT 的计算机上运行 Get-ADuser。这怎么可能呢?

我尝试在一台新电脑上运行 Powershell Get-Aduser,当它无法运行时,安装 RSAT 域服务和轻量级目录服务工具解决了这个问题。但是,我有另一台没有安装相同 RSAT 的电脑,我可以在 powershell 中运行 Get-Aduser 而没有任何问题。我在每台机器上使用相同的 AD 用户登录每台机器。 摘要:两台电脑,都没有 RSAT,域用户相同,但其中一台电脑可以运行 Get-ADUser,另一台则不能。这是怎么回事?谢谢。 ...

Admin

加入 MS Windows 域 - “用户名或密码不正确”
active-directory

加入 MS Windows 域 - “用户名或密码不正确”

我正在尝试将 Windows 2022 服务器加入到在另一台 Windows 2022 服务器上运行的 AD 域。我尝试了几个管理员帐户,包括我自己创建的具有(我认为)必要权限的域帐户。 在我提供加入凭据后,Windows 报告:“用户名或密码不正确” 我尝试了各种账户名的变体。我认为正确的方法是使用[电子邮件保护]但这个和其他许多变体都不起作用。消息总是相同的:“用户名或密码不正确” 当然,我知道用户名和密码是正确的,因为我可以使用它来通过 RDP 进入机器。 这是已知问题吗?有办法解决此问题吗? ...

Admin

域无法通过 PC 之间的 RDP 进行连接
active-directory

域无法通过 PC 之间的 RDP 进行连接

我无法通过 RDP 连接域中的 PC。 从 SRV 我可以看到另一台 PC,而且我可以连接那台 PC,但是 PC 之间的连接不起作用。 为什么? ...

Admin

Active Directory 中的 RPC 端口抖动
active-directory

Active Directory 中的 RPC 端口抖动

您是否曾在 Active Directory 服务器中经历过 RPC 端口抖动? 在部署无代理服务器性能工具时,我们遇到了 RPC 连接问题,这些问题在几个小时内逐渐出现。最初,2016 年林和域中的所有域控制器 RPC/WMI 连接都被阻止,但端口在一天内逐渐开放,直到所有端口都可以访问。现在,我们确实看到端口抖动被解决为网络交换机问题,但有人能够解决 AD 中的此类端口抖动问题吗?我们怀疑是竞争组策略造成的。 ...

Admin