我们有一个旧的AD 用户帐户,该帐户具有静态密码,用于多台机器上的计划任务和服务。我知道 gMSA 更好,并且正在单独安装它,但这个帐户需要再运行一段时间。
回到此帐户:我想更改密码以满足当前密码强度标准并确保 AES 哈希值,但我不确定是否需要在两次更改之间间隔 10 小时进行更改,或者是否可以连续更改密码并将密码更新推送到受影响的端点。
如果有人可以澄清 2x、10 小时间隙重置方法,或者是否可以为此目的背靠背进行,我将不胜感激。
谢谢!
要启用 LDAPS,我需要两个域控制器上的证书。我无法使用证书服务,因为我没有多余的 Windows 机器,而且在 DC 上安装该角色是大忌,所以我宁愿使用自签名证书,其中 SAN 覆盖两个 DC(FQDN 和短机器名称)。
我应该注意什么?例如:
- 证书是否应具有最长有效期(即 1 年、5 年、10 年、100 年)?
- 这会破坏/影响与客户端机器的连接吗(不太可能,因为 DC 目前没有证书);
- EFS - 没有 CA 意味着客户端自己负责他们的密钥。自签名证书会发生什么?
我正在为网络上的 MAB(Mac 身份验证绕过)设备设置用户帐户。在 GPO 中,我为要创建的设备帐户创建了一个 OU,并设置了块继承,这样密码策略就不会应用于设备帐户。密码策略确实适用于域控制器。当我为设备创建帐户时,用户名/密码必须是设备的 mac 地址。问题是,即使在 OU 上设置了块继承,当我必须在该 OU 中创建用户帐户时,它仍然会强制执行密码策略。如果不关闭带有密码策略的策略,有没有办法为 MAB 设备创建用户帐户?
我正在为防火墙设置 OU GPO 并根据 CIS SCA 建议设置其他设置。我在防火墙设置方面遇到了问题。OU 中的 PC 正在获取所有 GPO 配置,正如您所期望的那样,并且一切正常;但是,经过一段未知的时间(几个小时或第二天),域控制器上的 OU 的“具有高级安全设置的 Windows Defender 防火墙”GPO 设置恢复为默认值,就好像我什么都没做一样 - 所有其他 GPO 设置都按我之前设置并保持不变。
因此,问题出在域控制器上,而不是 OU 中包含的客户端上。
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows Defender 防火墙
设置: 状态:
- 启用所有 3 个(域、私人、公共防火墙)
- 阻止传入(默认)
- 允许传出(默认)
设置:
- 显示通知=否
- 规则合并:应用本地防火墙规则 = 否
- 应用本地连接安全规则 = 否
日志记录
- %SystemRoot%\System32\logfiles\firewall\domainfw.log(分别为 privatefw.log 和 publicfw.log)
- 大小限制 16,384
- 记录丢弃的数据包 = 是
- 记录成功的连接
注意*防火墙已成功写入所有 3 个文件。
- Windows Server 2019,PC 为 Dell Wyse ThinClients Windows 10 Enterprise LTSC
- 除默认域和默认域控制器外,没有其他 GPO......
我被难住了,有人见过这种情况或有什么建议吗?
感谢您的时间,
我正在创建一个Active Directory 实验室,以Windows Server 2022作为域控制器。
我想使用powershell删除域上密码的复杂性要求。
我确实尝试使用以下命令:
$passwordPolicy = Get-ADDefaultDomainPasswordPolicy
$passwordPolicy.ComplexityEnabled = $false
Set-ADDefaultDomainPasswordPolicy $passwordPolicy
没有错误消息。但复杂性要求仍然存在,如下所示ComplexityEnabled:
> Get-ADDefaultDomainPasswordPolicy
ComplexityEnabled : True
DistinguishedName : DC=poudlard,DC=wizard
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 0
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 00:00:00
MinPasswordLength : 0
objectClass : {domainDNS}
objectGuid : 6f5b0803-0227-4454-899f-28df34343bfa
PasswordHistoryCount : 0
ReversibleEncryptionEnabled : False
我的用户属于Domain admins:
PS C:\Users\vagrant> whoami /groups
GROUP INFORMATION
-----------------
Group Name Type SID Attributes
=============================================== ================ ============================================ ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Mandatory group, Enabled by default, Enabled group, Group owner
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Pre-Windows 2000 Compatible Access Alias S-1-5-32-554 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NETWORK Well-known group S-1-5-2 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
poudlard\Domain Admins Group S-1-5-21-1683605283-797255120-3757226006-512 Mandatory group, Enabled by default, Enabled group
Authentication authority asserted identity Well-known group S-1-18-1 Mandatory group, Enabled by default, Enabled group
poudlard\Denied RODC Password Replication Group Alias S-1-5-21-1683605283-797255120-3757226006-572 Mandatory group, Enabled by default, Enabled group, Local Group
Mandatory Label\High Mandatory Level Label S-1-16-12288
可能存在什么问题?
我们使用本地 Active Directory 作为域,并使用 Microsoft Office 365 订阅来处理电子邮件。我们还使用 MIIS 来同步它们。
我注意到,当我将用户从本地 AD 中的一个 OU 移动到另一个 OU 时,该用户会失去 Microsoft 365 许可证,并且他的电子邮件帐户会停止工作。
经过调查和询问,我在 MIIS 客户端中找到了有关这些已移动用户的记录。我看 MIIS 似乎以某种方式配置为在用户移动时删除 Microsoft 帐户。
有人可以指导我纠正这个致命的错误吗?
我们刚刚将 4 个 AD 安全组转换为启用邮件。这些组授予对应用程序不同区域的访问权限,我们偶尔需要通知用户该应用程序的计划内中断、意外中断等。这就是我们将这些组转换为启用邮件的原因。
但是,我们的一些用户属于多个群组。我想向这 4 个群组发送一封电子邮件来通知用户。如果我这样做,属于 1 个以上群组的成员将收到多少封电子邮件?
例如:
Member A在group 1和group 2。我向 两个小组都在现场的地方发送一封电子邮件To。会收到多少封电子邮件Member A?
我通常会自己测试这个,但是创建一个新的安全组需要管理团队的 CR 和其他东西,所以我希望有人能给我答案。
我的 Windows 帐户myUser是 Active Directory 分发组的成员myGroup。我通过此 PowerShell 命令验证了这一点。
(Get-ADUser myUser -Properties MemberOf | select MemberOf).MemberOf `
| Get-ADGroup `
| Select -ExpandProperty Name
但是以下命令均不会显示该 AD 组。
whoami /groupsnet user myUser /domainnet group | findstr myGroupgpresult /r | findstr myGroup
虽然gpresult /r文档仅显示安全组而不显示分发组,但这似乎是net.exe或的未记录行为whoami.exe。
net和都不能显示分发组,这是真的吗whoami?或者是该组的其他属性导致它不显示?
我知道这无法针对我的具体组进行验证,但我希望有人知道这一点或可以与他们网络中的分发组进行仔细检查。
有人告诉我,在域控制器上启用审核会给系统带来过多的额外负载,因此不适合在生产环境中启用它。我对 Windows 服务器管理一无所知,因此我无法轻松地自行设置服务器并进行负载测试,以比较启用审核的系统与未启用审核的系统之间的 CPU、内存和磁盘使用情况,但我想知道这是否属实,即它是否会给生产服务器带来不合理的额外负载。那么,是否有地方提到它可能会增加多少负载,或者是否有人知道它会在繁忙的服务器上增加多少额外(%)负载?
另外,记录登录失败的来源难道不是一种好的做法吗?是否有安全标准建议启用此功能?
抱歉,那一共是三个问题。
我正在测试 Keycloak,并希望将其与 OpenShift 集成。我遵循以下说明
我得到了配置客户端范围的位置,keycloak 立即死亡:
默认安装,这是我所做的一切。刷新无济于事。要重现,我只需转到:
客户端 -> openshift(我的客户端的名称)-> 客户端范围。当我检查日志时,我看到:
2024-07-15 19:32:02,456 ERROR [org.keycloak.storage.ldap.idm.store.ldap.LDAPOperationManager] (executor-thread-27) Could not query server using DN [OU=Users,DC=openshift,DC=lan] and filter [(&(objectclass=person)(objectclass=organizationalPerson)(objectclass=user))]: javax.naming.NameNotFoundException: [LDAP: error code 32 - 0000208D: NameErr: DSID-0310028D, problem 2001 (NO_OBJECT), data 0, best match of:
'DC=openshift,DC=lan'
]; remaining name 'OU=Users,DC=openshift,DC=lan'
at java.naming/com.sun.jndi.ldap.LdapCtx.mapErrorCode(LdapCtx.java:3285)
at java.naming/com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:3206)
at java.naming/com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:2997)
at java.naming/com.sun.jndi.ldap.LdapCtx.searchAux(LdapCtx.java:1876)
at java.naming/com.sun.jndi.ldap.LdapCtx.c_search(LdapCtx.java:1799)
at java.naming/com.sun.jndi.toolkit.ctx.ComponentDirContext.p_search(ComponentDirContext.java:392)
at java.naming/com.sun.jndi.toolkit.ctx.PartialCompositeDirContext.search(PartialCompositeDirContext.java:358)
at java.naming/javax.naming.directory.InitialDirContext.search(InitialDirContext.java:359)
at org.keycloak.storage.ldap.idm.store.ldap.LDAPOperationManager$3.execute(LDAPOperationManager.java:258)
at org.keycloak.storage.ldap.idm.store.ldap.LDAPOperationManager$3.execute(LDAPOperationManager.java:255)
at org.keycloak.storage.ldap.idm.store.ldap.LDAPOperationManager.execute(LDAPOperationManager.java:729)
at org.keycloak.storage.ldap.idm.store.ldap.LDAPOperationManager.execute(LDAPOperationManager.java:709)
at org.keycloak.storage.ldap.idm.store.ldap.LDAPOperationManager.execute(LDAPOperationManager.java:704)
at org.keycloak.storage.ldap.idm.store.ldap.LDAPOperationManager.search(LDAPOperationManager.java:255)
at org.keycloak.storage.ldap.idm.store.ldap.LDAPIdentityStore.fetchQueryResults(LDAPIdentityStore.java:278)
at org.keycloak.storage.ldap.idm.query.internal.LDAPQuery.getResultList(LDAPQuery.java:174)
at org.keycloak.storage.ldap.LDAPStorageProvider.paginatedSearchLDAP(LDAPStorageProvider.java:1123)
at org.keycloak.storage.ldap.LDAPStorageProvider.searchLDAPByAttributes(LDAPStorageProvider.java:564)
at org.keycloak.storage.ldap.LDAPStorageProvider.searchForUserStream(LDAPStorageProvider.java:379)
at org.keycloak.storage.UserStorageManager.lambda$searchForUserStream$29(UserStorageManager.java:537)
at org.keycloak.storage.UserStorageManager.lambda$query$13(UserStorageManager.java:331)
at java.base/java.util.stream.ReferencePipeline$7$1.accept(ReferencePipeline.java:273)
at java.base/java.util.stream.ReferencePipeline$2$1.accept(ReferencePipeline.java:179)
at java.base/java.util.stream.ReferencePipeline$2$1.accept(ReferencePipeline.java:179)
at java.base/java.util.stream.ReferencePipeline$3$1.accept(ReferencePipeline.java:197)
at java.base/java.util.ArrayList.forEach(ArrayList.java:1596)
at java.base/java.util.stream.SortedOps$RefSortingSink.end(SortedOps.java:395)
at java.base/java.util.stream.Sink$ChainedReference.end(Sink.java:261)
at java.base/java.util.stream.Sink$ChainedReference.end(Sink.java:261)
at java.base/java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:510)
at java.base/java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:499)
at java.base/java.util.stream.StreamSpliterators$WrappingSpliterator.forEachRemaining(StreamSpliterators.java:310)
at java.base/java.util.stream.Streams$ConcatSpliterator.forEachRemaining(Streams.java:735)
at java.base/java.util.stream.Streams$ConcatSpliterator.forEachRemaining(Streams.java:734)
at java.base/java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:509)
at java.base/java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:499)
at java.base/java.util.stream.ForEachOps$ForEachOp.evaluateSequential(ForEachOps.java:151)
at java.base/java.util.stream.ForEachOps$ForEachOp$OfRef.evaluateSequential(ForEachOps.java:174)
at java.base/java.util.stream.AbstractPipeline.evaluate(AbstractPipeline.java:234)
at java.base/java.util.stream.ReferencePipeline.forEachOrdered(ReferencePipeline.java:601)
at com.fasterxml.jackson.datatype.jdk8.StreamSerializer.serialize(StreamSerializer.java:71)
at com.fasterxml.jackson.datatype.jdk8.StreamSerializer.serialize(StreamSerializer.java:15)
at com.fasterxml.jackson.databind.ser.DefaultSerializerProvider._serialize(DefaultSerializerProvider.java:502)
at com.fasterxml.jackson.databind.ser.DefaultSerializerProvider.serializeValue(DefaultSerializerProvider.java:341)
at com.fasterxml.jackson.databind.ObjectWriter$Prefetch.serialize(ObjectWriter.java:1574)
at com.fasterxml.jackson.databind.ObjectWriter._writeValueAndClose(ObjectWriter.java:1275)
at com.fasterxml.jackson.databind.ObjectWriter.writeValue(ObjectWriter.java:1098)
at io.quarkus.resteasy.reactive.jackson.runtime.serialisers.FullyFeaturedServerJacksonMessageBodyWriter.writeResponse(FullyFeaturedServerJacksonMessageBodyWriter.java:79)
at org.jboss.resteasy.reactive.server.core.ServerSerialisers.invokeWriter(ServerSerialisers.java:216)
at org.jboss.resteasy.reactive.server.core.ServerSerialisers.invokeWriter(ServerSerialisers.java:184)
at org.jboss.resteasy.reactive.server.core.serialization.FixedEntityWriter.write(FixedEntityWriter.java:28)
at org.jboss.resteasy.reactive.server.handlers.ResponseWriterHandler.handle(ResponseWriterHandler.java:34)
at io.quarkus.resteasy.reactive.server.runtime.QuarkusResteasyReactiveRequestContext.invokeHandler(QuarkusResteasyReactiveRequestContext.java:147)
at org.jboss.resteasy.reactive.common.core.AbstractResteasyReactiveContext.run(AbstractResteasyReactiveContext.java:147)
at io.quarkus.vertx.core.runtime.VertxCoreRecorder$14.runWith(VertxCoreRecorder.java:582)
at org.jboss.threads.EnhancedQueueExecutor$Task.run(EnhancedQueueExecutor.java:2513)
at org.jboss.threads.EnhancedQueueExecutor$ThreadBody.run(EnhancedQueueExecutor.java:1538)
at org.jboss.threads.DelegatingRunnable.run(DelegatingRunnable.java:29)
at org.jboss.threads.ThreadLocalResettingRunnable.run(ThreadLocalResettingRunnable.java:29)
at io.netty.util.concurrent.FastThreadLocalRunnable.run(FastThreadLocalRunnable.java:30)
at java.base/java.lang.Thread.run(Thread.java:1583)
但据我所知,根据我的实验室 AD 配置,这是正确的:
然后对 LDAP 配置进行最后一次健全性检查:
我不确定 Keycloak 在这里寻找什么。一切都配置正确。