我们的域控制器崩溃了,我们无法恢复它。我们的计算机已通过身份验证并连接到旧域控制器,漫游配置文件已禁用。我们的用户将文件本地保存在 c:\users\mylocaluser\ 中,并使用域控制器进行网络身份验证。
现在,我们需要恢复本地用户的文件,但是当我们向新的域控制器进行身份验证时,旧文件就消失了。
我们尝试将硬盘安装到另一台电脑上,但文件似乎仍然消失了。
我搜索了一下,发现这些文件可能位于 c:\windows\csc,但我们无法访问该文件夹。所以我们陷入困境。
您是否遇到过类似的问题?
我有一个包含 Windows Server 2003 Active Directory 服务器和 Windows 11 计算机的网络。我的计划是用 Fedora Linux Server Edition - fedora 40 替换 Windows Server 2003。我可以使用 Windows 11 客户端和一个 Fedora Linux 40 客户端对其进行测试。
旧境界是SONCANALS。新境界是SCNG。
我遵循Fedora 杂志的指南。
配置
服务器 IP 是
10.216.1.16,域名是scng.educaib服务器主机名是
l1.scng.educaibsamba.conf:cat /etc/samba/smb.conf # Global parameters [global] dns forwarder = 1.1.1.1 netbios name = L1 realm = SCNG.EDUCAIB server role = active directory domain controller workgroup = SCNG idmap_ldb:use rfc2307 = yes ldap server require strong auth = no [sysvol] path = /var/lib/samba/sysvol read only = No [netlogon] path = /var/lib/samba/sysvol/scng/scripts read only = NoKerberos 配置:
# cat /etc/krb5.conf.d/samba-dc [libdefaults] default_realm = SCNG.EDUCAIB dns_lookup_realm = false dns_lookup_kdc = true [realms] SCNG.EDUCAIB = { default_domain = SCNG } [domain_realm] l1.scng.educaib = SCNG.EDUCAIB/etc/systemd/resolved.conf.d/custom.conf:[Resolve] DNSStubListener=no Domains=scng.educaib DNS=10.216.1.16
我有一台装有 Fedora 40 的机器,我用它来测试 samba。当我测试时,一切都很好(教程指南中的“测试”部分)。当我运行 时realm discover,我只能得到旧领域,而不是新领域:
realm discover -v
* Resolving: _ldap._tcp.soncanals
* Performing LDAP DSE lookup on: 10.216.1.2
* Performing LDAP DSE lookup on: 10.216.1.10
* Performing LDAP DSE lookup on: 10.216.1.4
* Successfully discovered: soncanals
soncanals
type: kerberos
realm-name: SONCANALS
domain-name: soncanals
configured: no
server-software: active-directory
client-software: sssd
required-package: sssd-common
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd-ad
required-package: adcli
required-package: samba-common-tools
在 Windows 中,当我尝试加入时SCNG,系统提示我以管理员身份登录,但是当我输入凭据时,它花费的时间太长并且会离开对话框。
我该如何对这里的问题进行分类?例如,我可以看到哪些日志(我有很多日志/var/log/samba/)。我的 Samba 版本是 4.20.5。
我的首要任务是加入新域并以该域中的普通用户身份登录 Windows。我暂时放弃共享目录。
编辑(2024-11-11):Fedora Magazine 指南中的测试已通过:
测试
连接测试
$ smbclient -L localhost -N
Anonymous login successful
Sharename Type Comment
--------- ---- -------
sysvol Disk
netlogon Disk
IPC$ IPC IPC Service (Samba 4.21.1)
SMB1 disabled -- no workgroup available
$ smbclient //localhost/netlogon -UAdministrator -c 'ls'
Password for [SCNG\Administrator]:
. D 0 Thu Oct 31 10:17:05 2024
.. D 0 Thu Oct 31 10:17:05 2024
15663104 blocks of size 1024. 12979380 blocks available
DNS 测试
$ host -t SRV _ldap._tcp.scng.educaib.
_ldap._tcp.scng.educaib has SRV record 0 100 389 l1.scng.educaib.
$ host -t SRV _kerberos._udp.scng.educaib.
_kerberos._udp.scng.educaib has SRV record 0 100 88 l1.scng.educaib.
$ host -t A l1.scng.educaib.
l1.scng.educaib has address 10.216.1.16
Kerberos 测试
$ kinit administrator
Password for [email protected]:
ladmin@l1:~$ klist
Ticket cache: KCM:1000
Default principal: [email protected]
Valid starting Expires Service principal
11/11/24 10:15:10 11/11/24 20:15:10 krbtgt/[email protected]
renew until 18/11/24 10:15:06
我们有一个旧的AD 用户帐户,该帐户具有静态密码,用于多台机器上的计划任务和服务。我知道 gMSA 更好,并且正在单独安装它,但这个帐户需要再运行一段时间。
回到此帐户:我想更改密码以满足当前密码强度标准并确保 AES 哈希值,但我不确定是否需要在两次更改之间间隔 10 小时进行更改,或者是否可以连续更改密码并将密码更新推送到受影响的端点。
如果有人可以澄清 2x、10 小时间隙重置方法,或者是否可以为此目的背靠背进行,我将不胜感激。
谢谢!
要启用 LDAPS,我需要两个域控制器上的证书。我无法使用证书服务,因为我没有多余的 Windows 机器,而且在 DC 上安装该角色是大忌,所以我宁愿使用自签名证书,其中 SAN 覆盖两个 DC(FQDN 和短机器名称)。
我应该注意什么?例如:
- 证书是否应具有最长有效期(即 1 年、5 年、10 年、100 年)?
- 这会破坏/影响与客户端机器的连接吗(不太可能,因为 DC 目前没有证书);
- EFS - 没有 CA 意味着客户端自己负责他们的密钥。自签名证书会发生什么?
我正在为网络上的 MAB(Mac 身份验证绕过)设备设置用户帐户。在 GPO 中,我为要创建的设备帐户创建了一个 OU,并设置了块继承,这样密码策略就不会应用于设备帐户。密码策略确实适用于域控制器。当我为设备创建帐户时,用户名/密码必须是设备的 mac 地址。问题是,即使在 OU 上设置了块继承,当我必须在该 OU 中创建用户帐户时,它仍然会强制执行密码策略。如果不关闭带有密码策略的策略,有没有办法为 MAB 设备创建用户帐户?
我正在为防火墙设置 OU GPO 并根据 CIS SCA 建议设置其他设置。我在防火墙设置方面遇到了问题。OU 中的 PC 正在获取所有 GPO 配置,正如您所期望的那样,并且一切正常;但是,经过一段未知的时间(几个小时或第二天),域控制器上的 OU 的“具有高级安全设置的 Windows Defender 防火墙”GPO 设置恢复为默认值,就好像我什么都没做一样 - 所有其他 GPO 设置都按我之前设置并保持不变。
因此,问题出在域控制器上,而不是 OU 中包含的客户端上。
计算机配置\策略\Windows 设置\安全设置\高级安全 Windows Defender 防火墙
设置: 状态:
- 启用所有 3 个(域、私人、公共防火墙)
- 阻止传入(默认)
- 允许传出(默认)
设置:
- 显示通知=否
- 规则合并:应用本地防火墙规则 = 否
- 应用本地连接安全规则 = 否
日志记录
- %SystemRoot%\System32\logfiles\firewall\domainfw.log(分别为 privatefw.log 和 publicfw.log)
- 大小限制 16,384
- 记录丢弃的数据包 = 是
- 记录成功的连接
注意*防火墙已成功写入所有 3 个文件。
- Windows Server 2019,PC 为 Dell Wyse ThinClients Windows 10 Enterprise LTSC
- 除默认域和默认域控制器外,没有其他 GPO......
我被难住了,有人见过这种情况或有什么建议吗?
感谢您的时间,
我正在创建一个Active Directory 实验室,以Windows Server 2022作为域控制器。
我想使用powershell删除域上密码的复杂性要求。
我确实尝试使用以下命令:
$passwordPolicy = Get-ADDefaultDomainPasswordPolicy
$passwordPolicy.ComplexityEnabled = $false
Set-ADDefaultDomainPasswordPolicy $passwordPolicy
没有错误消息。但复杂性要求仍然存在,如下所示ComplexityEnabled:
> Get-ADDefaultDomainPasswordPolicy
ComplexityEnabled : True
DistinguishedName : DC=poudlard,DC=wizard
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 0
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 00:00:00
MinPasswordLength : 0
objectClass : {domainDNS}
objectGuid : 6f5b0803-0227-4454-899f-28df34343bfa
PasswordHistoryCount : 0
ReversibleEncryptionEnabled : False
我的用户属于Domain admins:
PS C:\Users\vagrant> whoami /groups
GROUP INFORMATION
-----------------
Group Name Type SID Attributes
=============================================== ================ ============================================ ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Mandatory group, Enabled by default, Enabled group, Group owner
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Pre-Windows 2000 Compatible Access Alias S-1-5-32-554 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NETWORK Well-known group S-1-5-2 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
poudlard\Domain Admins Group S-1-5-21-1683605283-797255120-3757226006-512 Mandatory group, Enabled by default, Enabled group
Authentication authority asserted identity Well-known group S-1-18-1 Mandatory group, Enabled by default, Enabled group
poudlard\Denied RODC Password Replication Group Alias S-1-5-21-1683605283-797255120-3757226006-572 Mandatory group, Enabled by default, Enabled group, Local Group
Mandatory Label\High Mandatory Level Label S-1-16-12288
可能存在什么问题?
我们使用本地 Active Directory 作为域,并使用 Microsoft Office 365 订阅来处理电子邮件。我们还使用 MIIS 来同步它们。
我注意到,当我将用户从本地 AD 中的一个 OU 移动到另一个 OU 时,该用户会失去 Microsoft 365 许可证,并且他的电子邮件帐户会停止工作。
经过调查和询问,我在 MIIS 客户端中找到了有关这些已移动用户的记录。我看 MIIS 似乎以某种方式配置为在用户移动时删除 Microsoft 帐户。
有人可以指导我纠正这个致命的错误吗?
我们刚刚将 4 个 AD 安全组转换为启用邮件。这些组授予对应用程序不同区域的访问权限,我们偶尔需要通知用户该应用程序的计划内中断、意外中断等。这就是我们将这些组转换为启用邮件的原因。
但是,我们的一些用户属于多个群组。我想向这 4 个群组发送一封电子邮件来通知用户。如果我这样做,属于 1 个以上群组的成员将收到多少封电子邮件?
例如:
Member A在group 1和group 2。我向 两个小组都在现场的地方发送一封电子邮件To。会收到多少封电子邮件Member A?
我通常会自己测试这个,但是创建一个新的安全组需要管理团队的 CR 和其他东西,所以我希望有人能给我答案。
我的 Windows 帐户myUser是 Active Directory 分发组的成员myGroup。我通过此 PowerShell 命令验证了这一点。
(Get-ADUser myUser -Properties MemberOf | select MemberOf).MemberOf `
| Get-ADGroup `
| Select -ExpandProperty Name
但是以下命令均不会显示该 AD 组。
whoami /groupsnet user myUser /domainnet group | findstr myGroupgpresult /r | findstr myGroup
虽然gpresult /r文档仅显示安全组而不显示分发组,但这似乎是net.exe或的未记录行为whoami.exe。
net和都不能显示分发组,这是真的吗whoami?或者是该组的其他属性导致它不显示?
我知道这无法针对我的具体组进行验证,但我希望有人知道这一点或可以与他们网络中的分发组进行仔细检查。