问题[active-directory](server)

大家好，

我正在尝试制作一个 LDAP 用户过滤器 - 用于 Xen Orchestra 应用程序 - 它将检查尝试登录的用户是否是 GROUPA 或 GROUPB 的成员。他们不必同时是两者的成员。

我已经有一个适用于 GROUPA 成员的过滤器：

(&(sAMAccountName={{name}})(memberOf=CN=GROUPA,OU=Groups,OU=folder,DC=mydomain,DC=local))

现在我尝试扩展该过滤器来执行 GROUPA 或 GROUPB 的成员（像这样）但它不起作用：

(&(sAMAccountName={{name}})(|(memberOf=CN=GROUPA,OU=Groups,OU=folder,DC=mydomain,DC=local)(memberOf=CN=GROUPB,OU=Groups,OU=folder,DC=mydomain,DC=local)))

如能得到任何指点我将非常感谢。

我是新手，我不知道在哪里可以找到这个问题的答案。我使用虚拟机创建了一个实验室环境，并根据 samba-wiki 上的手册创建了我自己的自编译、干净的 samba-dc 4.22。除了在 Win10 客户端上应用策略（以及未来的 Win11，Linux 尚未测试）之外，一切似乎都正常（即 DNS、用户和计算机管理、共享、创建策略）。

我根据 samba-wiki 上的手册成功安装了适用于 UNIX 的 admx-templates，然后将其安装在适用于 Windows 10 (22H2) 的 sysvol/Policies 目录中。

但是，尽管 gpuupdate 已成功完成，但它没有任何效果。运行“策略结果集”时，我可以看到给定的屏幕截图，根据 ID，该屏幕截图指的是“错误/警告时的默认域策略屏幕截图”

但是当我检查 sysvol-dir 时，文件夹结构显然没有完成。因此，屏幕截图中的错误消息有点误导，因为访问被“拒绝”，因为各个文件夹和 GptTmpl.inf 不存在，而这些策略均不存在。

tree -d

│
│ │ └── 脚本 │ └── 用户
│ └── {6AC1786C -016F-11D2-945F-00C04FB984F9 }
│ │ │ │ └── USER \

我不知道这是否相关，但每次我创建或修改 GP 时，sysvolcheck 都会给我一个我无法理解的错误，但 sysvolreset 似乎可以修复它 - 至少在某种程度上，所以我不再收到错误。

samba-tool ntacl sysvolcheck -U administrator

错误（<class 'samba.provision.ProvisioningError'>）：未捕获的异常 - ProvisioningError：GPO 目录 /usr/local/samba/var/locks/sysvol/ad-test.home/Policies/{199F4DF0-8969-4E75-861D-F9AB6C73770B} 上的 DB ACL O:DAG:DAD:PAI(A;OICI;FA;;;DA)(A;OICI;FA;;;EA)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;DA)( A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;AU)(A;OICI;0x1200a9;;;ED)(A;OICI;0x1200a9;;;DU)与预期值不匹配O:DAG:DAD:PAR(A;OICI;FA;;;DA)(A;OICI;FA;;;EA)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;DA)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;AU)(A;OICI;0x1200 a9;;;ED)(A;OICI;0x1200a9;;;DU)(OA;OICI;;edacfd8f-ffb3-11d1-b41d-00 a0c968f939;;AU)(OA;OICI;;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;DU)来自 GPO 对象
文件“/usr/local/samba/lib64/python3.9/site-packages/samba/netcmd/ init .py”，第 356 行，在 _run 中
返回 self.run(*args，**kwargs)
文件“/usr/local/samba/lib64/python3.9/site-packages/samba/netcmd/ntacl.py”，第 484 行，在运行中
provision.checksysvolacl(samdb，netlogon，sysvol，
文件“/usr/local/samba/lib64/python3.9/site-packages/samba/provision/ init .py”，第 1885 行，在 checksysvolacl 中
check_gpos_acl(sysvol，dnsdomain，domainsid，domaindn，samdb，lp，
文件“/usr/local/samba/lib64/python3.9/site-packages/samba/provision/ init .py", 第 1835 行，在 check_gpos_acl
check_dir_acl(policy_path, dsacl2fsacl(acl, domainsid), lp,
文件“/usr/local/samba/lib64/python3.9/site-packages/samba/provision/ init .py", 第 1778 行，在 check_dir_acl 中
引发 ProvisioningError('GPO 目录 %s %s 上的 %s ACL 与 GPO 对象的预期值 %s 不匹配'% (acl_type(direct_db_access), path, fsacl_sddl, acl))

我正在公司执行域迁移项目（许多单站点域合并到一个全局 AD）。

我已经迁移了用户、计算机和组（使用 Quest 按需迁移工具）。并且我已验证 SID 历史记录已正确写入用户+组帐户。我可以看到用户和组的 SIDHistory 属性都已填充正确的值。

迁移到新域的用户帐户尝试访问旧域中的文件服务器，在旧域文件服务器的日志中，我看到：

检查网络共享对象以查看是否可以授予客户端所需的访问权限。

Subject:
    Security ID:        NEWDOMAIN\admig2
    Account Name:       admig2
    Account Domain:     NEWDOMAIN
    Logon ID:       0x1B7Dxxxx

Network Information:    
    Object Type:        File
    Source Address:     10.ab.cd.ef
    Source Port:        49782
    
Share Information:
    Share Name:     \\*\SHARE
    Share Path:     \??\D:\SHARE
    Relative Target Name:   \

Access Request Information:
    Access Mask:        0x80
    Accesses:       ReadAttributes
                
Access Check Results:
    ReadAttributes: Not granted
                

我在旧域和新域中都运行了以下命令：

旧域名

netdom trust <old domain fqdn> /domain:<new domain FQDN> /enablesidhistory:yes
netdom trust <old domain fqdn> /domain:<new domain FQDN> /quarantine:no

新域名

netdom trust <new domain FQDN> /domain:<old domain fqdn> /enablesidhistory:yes
netdom trust <new domain FQDN> /domain:<old domain fqdn> /quarantine:no

已经过去几个小时了，所以所有内容都应该复制到所有地方。但是，当我尝试使用迁移用户的凭据访问文件共享时，我遇到了同样的错误：访问被拒绝，请咨询您的管理员

除了关闭 SIDfiltering 和迁移用户组之外，还有其他我需要检查的、而我在上面的帖子中遗漏的区域吗？谢谢。

其中一个测试的结果： 我相信我已经排除了 NTLM 罪魁祸首 - 不是它。当我为所有人共享新文件夹以供 R/W 时，在安全 ACL 中，我授予 OLDDOMAIN\admig2 此新共享的权限，NEWDOMAIN\admig2 可以访问此共享。它仍然是 OLDDOMAIN 加入的文件服务器。这些症状让我感到困惑。是的，OLDDOMAIN\Domain users 是一个域本地组，而 NEWDOMAIN\admig2 不是它的成员，但这是 SidHistory 应该发挥作用的地方，由于旧 SID 是 OLDDOMAIN\Domain Users 的成员，我相信这应该仍然有效，但事实并非如此。或者......？

我明天将继续测试。

如果这个问题偏离了主题，我深感抱歉；我正在尝试解决一些超出我专业领域的问题。

我最近将一个面向内部的 Web 应用程序迁移到 IIS。我还启用了以前没有使用的 Windows 身份验证 (IWA)。我发现的问题是，我的用户帐户（显然只有我的用户帐户）有时（并非总是）被身份验证过程错误识别。

以下是我的网站的 IIS 身份验证设置的详细信息：

• 我已启用 Windows 身份验证并禁用其他所有内容（包括匿名身份验证）。
• Windows 身份验证使用内核模式身份验证和Negotiate提供程序。

关于我提到的错误识别：

• 我在同一个 AD 域中有两个用户帐户。分别称为acct1和acct2。我通常以 身份登录，在需要提升权限时acct1切换到。acct2
• 我登录到运行 IIS 的 VMacct2来设置站点。
• 当我返回本地电脑访问该网站时，该网站将我识别为acct2，尽管我以 的身份登录到我的电脑acct1。
• 访问过该网站的其他人都已被正确识别，甚至包括像我一样拥有多个帐户的人。
• 如果我以 身份登录并从另一台 PC 访问该网站acct1，则该网站会正确识别我为acct1。
• 反常的是，如果我从服务器机器本身访问该网站，我以 的身份登录acct2，它会将我识别为acct1。
• 不管怎样，acct2我在本地电脑上具有管理员权限，但在访问该网站的其他电脑上却没有。
• 这种情况已经持续了一周多，即使重启本地电脑后问题仍然存在。不同的浏览器也会出现这种情况。

如果我将 IWA 提供程序从 切换Negotiate到NTLM，那么我会看到以下内容：

• acct1当我从本地电脑访问该网站时，我就能正确识别。
• 当我从 Web 服务器计算机访问网站时，系统提示我输入凭据。但是，它不接受acct1或 的凭据acct2。

我不太关心从服务器访问网站，但我从 PC 访问网站时需要正确识别身份。我想使用Negotiate而不是NTLM。

我是一名开发人员，而不是系统管理员，但我正在尝试寻找任何线索，以帮助我缩小问题范围，并可能为我们的基础设施团队指明正确的方向。这听起来像是 Active Directory 配置或 Kerberos 问题吗？

该网站是一个 Python Flask 应用程序，通过 Python 库在 IIS 中作为 FastCGI 应用程序运行wfastcgi。该网站读取请求变量的值REMOTE_USER以获取 IWA 身份验证过程的结果。

我们的域控制器崩溃了，我们无法恢复它。我们的计算机已通过身份验证并连接到旧域控制器，漫游配置文件已禁用。我们的用户将文件本地保存在 c:\users\mylocaluser\ 中，并使用域控制器进行网络身份验证。

现在，我们需要恢复本地用户的文件，但是当我们向新的域控制器进行身份验证时，旧文件就消失了。

我们尝试将硬盘安装到另一台电脑上，但文件似乎仍然消失了。

我搜索了一下，发现这些文件可能位于 c:\windows\csc，但我们无法访问该文件夹。所以我们陷入困境。

您是否遇到过类似的问题？

我有一个包含 Windows Server 2003 Active Directory 服务器和 Windows 11 计算机的网络。我的计划是用 Fedora Linux Server Edition - fedora 40 替换 Windows Server 2003。我可以使用 Windows 11 客户端和一个 Fedora Linux 40 客户端对其进行测试。

旧境界是SONCANALS。新境界是SCNG。

我遵循Fedora 杂志的指南。

配置

• 服务器 IP 是10.216.1.16，域名是scng.educaib

• 服务器主机名是l1.scng.educaib

• samba.conf：

  cat /etc/samba/smb.conf
  # Global parameters
  [global]
          dns forwarder = 1.1.1.1
          netbios name = L1
          realm = SCNG.EDUCAIB
          server role = active directory domain controller
          workgroup = SCNG
          idmap_ldb:use rfc2307 = yes
          ldap server require strong auth = no 
  
  [sysvol]
          path = /var/lib/samba/sysvol
          read only = No
  
  [netlogon]
          path = /var/lib/samba/sysvol/scng/scripts
          read only = No
  

• Kerberos 配置：

  # cat /etc/krb5.conf.d/samba-dc 
  [libdefaults]
          default_realm = SCNG.EDUCAIB
          dns_lookup_realm = false
          dns_lookup_kdc = true
  
  [realms]
  SCNG.EDUCAIB = {
          default_domain = SCNG
  }
  
  [domain_realm]
          l1.scng.educaib = SCNG.EDUCAIB
  

• /etc/systemd/resolved.conf.d/custom.conf：

  [Resolve]
  DNSStubListener=no
  Domains=scng.educaib
  DNS=10.216.1.16
  

我有一台装有 Fedora 40 的机器，我用它来测试 samba。当我测试时，一切都很好（教程指南中的“测试”部分）。当我运行 时realm discover，我只能得到旧领域，而不是新领域：

realm discover -v
 * Resolving: _ldap._tcp.soncanals
 * Performing LDAP DSE lookup on: 10.216.1.2
 * Performing LDAP DSE lookup on: 10.216.1.10
 * Performing LDAP DSE lookup on: 10.216.1.4
 * Successfully discovered: soncanals
soncanals
  type: kerberos
  realm-name: SONCANALS
  domain-name: soncanals
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-common
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd-ad
  required-package: adcli
  required-package: samba-common-tools

在 Windows 中，当我尝试加入时SCNG，系统提示我以管理员身份登录，但是当我输入凭据时，它花费的时间太长并且会离开对话框。

我该如何对这里的问题进行分类？例如，我可以看到哪些日志（我有很多日志/var/log/samba/）。我的 Samba 版本是 4.20.5。

我的首要任务是加入新域并以该域中的普通用户身份登录 Windows。我暂时放弃共享目录。

编辑（2024-11-11）：Fedora Magazine 指南中的测试已通过：

测试

连接测试

$ smbclient -L localhost -N
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
        sysvol          Disk      
        netlogon        Disk      
        IPC$            IPC       IPC Service (Samba 4.21.1)
SMB1 disabled -- no workgroup available

$ smbclient //localhost/netlogon -UAdministrator -c 'ls'
Password for [SCNG\Administrator]:
  .                                   D        0  Thu Oct 31 10:17:05 2024
  ..                                  D        0  Thu Oct 31 10:17:05 2024

                15663104 blocks of size 1024. 12979380 blocks available

DNS 测试

$ host -t SRV _ldap._tcp.scng.educaib.
_ldap._tcp.scng.educaib has SRV record 0 100 389 l1.scng.educaib.
$ host -t SRV _kerberos._udp.scng.educaib.
_kerberos._udp.scng.educaib has SRV record 0 100 88 l1.scng.educaib.
$ host -t A l1.scng.educaib.
l1.scng.educaib has address 10.216.1.16

Kerberos 测试

$  kinit administrator
Password for [email protected]: 
ladmin@l1:~$ klist
Ticket cache: KCM:1000
Default principal: [email protected]

Valid starting     Expires            Service principal
11/11/24 10:15:10  11/11/24 20:15:10  krbtgt/[email protected]
        renew until 18/11/24 10:15:06

我们有一个旧的AD 用户帐户，该帐户具有静态密码，用于多台机器上的计划任务和服务。我知道 gMSA 更好，并且正在单独安装它，但这个帐户需要再运行一段时间。

回到此帐户：我想更改密码以满足当前密码强度标准并确保 AES 哈希值，但我不确定是否需要在两次更改之间间隔 10 小时进行更改，或者是否可以连续更改密码并将密码更新推送到受影响的端点。

如果有人可以澄清 2x、10 小时间隙重置方法，或者是否可以为此目的背靠背进行，我将不胜感激。

谢谢！

要启用 LDAPS，我需要两个域控制器上的证书。我无法使用证书服务，因为我没有多余的 Windows 机器，而且在 DC 上安装该角色是大忌，所以我宁愿使用自签名证书，其中 SAN 覆盖两个 DC（FQDN 和短机器名称）。

我应该注意什么？例如：

• 证书是否应具有最长有效期（即 1 年、5 年、10 年、100 年）？
• 这会破坏/影响与客户端机器的连接吗（不太可能，因为 DC 目前没有证书）；
• EFS - 没有 CA 意味着客户端自己负责他们的密钥。自签名证书会发生什么？

我正在为网络上的 MAB（Mac 身份验证绕过）设备设置用户帐户。在 GPO 中，我为要创建的设备帐户创建了一个 OU，并设置了块继承，这样密码策略就不会应用于设备帐户。密码策略确实适用于域控制器。当我为设备创建帐户时，用户名/密码必须是设备的 mac 地址。问题是，即使在 OU 上设置了块继承，当我必须在该 OU 中创建用户帐户时，它仍然会强制执行密码策略。如果不关闭带有密码策略的策略，有没有办法为 MAB 设备创建用户帐户？

我正在为防火墙设置 OU GPO 并根据 CIS SCA 建议设置其他设置。我在防火墙设置方面遇到了问题。OU 中的 PC 正在获取所有 GPO 配置，正如您所期望的那样，并且一切正常；但是，经过一段未知的时间（几个小时或第二天），域控制器上的 OU 的“具有高级安全设置的 Windows Defender 防火墙”GPO 设置恢复为默认值，就好像我什么都没做一样 - 所有其他 GPO 设置都按我之前设置并保持不变。

因此，问题出在域控制器上，而不是 OU 中包含的客户端上。

计算机配置\策略\Windows 设置\安全设置\高级安全 Windows Defender 防火墙

设置： 状态：

• 启用所有 3 个（域、私人、公共防火墙）
• 阻止传入（默认）
• 允许传出（默认）

设置：

• 显示通知=否
• 规则合并：应用本地防火墙规则 = 否
• 应用本地连接安全规则 = 否

日志记录

• %SystemRoot%\System32\logfiles\firewall\domainfw.log（分别为 privatefw.log 和 publicfw.log）
• 大小限制 16,384
• 记录丢弃的数据包 = 是
• 记录成功的连接

注意*防火墙已成功写入所有 3 个文件。

• Windows Server 2019，PC 为 Dell Wyse ThinClients Windows 10 Enterprise LTSC
• 除默认域和默认域控制器外，没有其他 GPO......

我被难住了，有人见过这种情况或有什么建议吗？

感谢您的时间，