我们希望向现有林中添加额外的域，因此如下所示： usm.local ->asset.usm.local ->kk.usm.local->asset.kk.usm.local ->ee.usm.local->asset.ee.usm.local 是否可以有相同的子/子域名-资产。*？有什么问题吗？资产域将用于pc加入。顺便说一句，名称是虚构的。

ldap active directory是否可以有两个名称如下的用户： 林约翰·史密斯（givenName=Lin，sn=John Smith） John，Smith Lin（givenName=Smith Lin，sn=John）在开始回答您的问题之前，我建议您参考链接 。。。如果在“Active Directory用户和 计算机的MMC，默认名称如下指定“第一个 用户的姓名、首字母和姓氏（“givenName”， “缩写”和“sn”属性） 标记为“全名”的字段 默认为“givenName缩

我目前正在尝试使用Spring数据，通过LDAP实现一个与Active Directory集成的简单CRUD，用于管理我的内部用户 问题是，当阅读按预期工作时，任何在广告上的书写（例如，创建或编辑用户）都会导致一般错误消息，如下所示： [LDAP:错误代码53-0000209A:SvcErr:DSID-031A107A，问题5003（将不执行），数据0\n\u0000]；剩余名称“DC=company，DC=com” ldap连接正在使用LDAPS与管理员用户建立。我甚至可以在一个简单的no

好吧，因为我在这个问题上持保留态度，也许有人已经看到了这些症状，可以提供一些明智的建议。（注意：我只了解了足够的Active Directory信息来构建此功能，并且我只有对Active Directory的读取权限。） 我更新了公司内部网，允许自动输入/修改员工电话/地址信息；它使用web服务连接到公司Active Directory，因此我可以从主应用程序的多个位置调用它 AD在同一个林中有两个域（A和B）。每个域都有一个“ADS更新用户”组和一个“ADSupdate”帐户（属于“ADS更新

想象一下，你正在编写一个web应用程序，该应用程序将拥有100万用户，他们都会增长到如此之大，对吧 您将如何处理用户帐户？我可以想象几个场景： 滚动您自己的数据库表、存储在用户配置文件表中的加密/哈希密码 如果使用ASP.NET编写，请使用返回数据库的登录/角色提供程序 如果在Windows环境中，请使用Active Directory 使用其他LDAP服务器 第三方提供商，如OpenID或.NET Passport 稳定性和可伸缩性当然很重要 我想这真的是一个问题，Active Directo

我遇到了DirectoryEntry对象的问题，尝试连接到一个死的AD服务器需要很长时间，最终失败。有没有可能设置一个超时，这样如果它在特定时间内无法连接，它就会出来尝试下一个 DirectoryEntry没有直接超时选项 您可以使用DirectorySearcher并设置ClientTimeout，即使您只是按路径查找一个对象。或者在新线程或BackgroundWorker上执行目录操作，并控制自己的超时。DirectoryEntry没有直接超时选项 您可以使用DirectorySearche

环境： MS Windows 2003服务器R2 SP2 服务器是域的成员 IIS 6，ASP.NET 1.1.4322 网站安全设置：目录安全->身份验证方法-除“集成Windows身份验证”外，所有复选框均未标记 问题：使用某些AD帐户使用Windows身份验证进行身份验证时，出现500个内部服务器错误。使用不同的帐户进行身份验证是可以的 IIS日志： 2010-12-02 08:02:33 W3SVC1 192.168.115.55 GET/FinancialAnalytics2010/d

我需要运行一个LDAP查询，该查询将在根查询中搜索两个特定的组织单位（OU），但是我很难做到这一点。我尝试了以下查询，但均未成功： (|(OU=Staff,DC=my,DC=super,DC=org)(OU=Vendors,DC=my,DC=super,DC=org)) ((OU=Staff,DC=my,DC=super,DC=org) | (OU=Vendors,DC=my,DC=super,DC=org)) 我的问题是,；是否可以在一个查询中查询多个OU？假设这是根LDAP查询中此类型表

有人知道win08r2或08上DN或RDN的最大长度是多少吗 有人说，我在网上搜索 RDN length * max tree search = DN length <---- is it true ? RDN length*max tree search=DN length根据，DN的最大长度为255个字符。（无法评论） 这将是有趣的确认，在这种情况下，它也是有效的授权。很有意思，如果它有效的话 “您可以通过确保尝试绑定到您的目录的应用程序、脚本和实用程序使用安全LDAP绑定来避

我有一个服务，该服务将在安装了它的特定windows域的所有域控制器上运行 我有服务依赖的设置，我想把它放在一个可以共享的注册表位置。他们有没有办法让我做到这一点 基本上是所有域控制器的共享注册表位置，这样当我的任何服务更改我的注册表时，我的所有服务都可以立即看到更改 解决了这个问题。它可以跨域控制器复制

为用户查询目录的常规方法是（&（objectClass=user）（objectCategory=person））。查询已删除对象的常规方法是添加（isDeleted=TRUE） 但是，逻辑删除对象上不存在objectCategory属性，因此查询（&（objectClass=user）（objectCategory=person）（isDeleted=TRUE））将一无所获 如果删除（objectCategory=person）部分，也会得到计算机，因为它们从用户继承 是否可以仅检索已删除的用

我们已经被分配了一项任务，我们应该每周集成来自客户端Active Directory的数据。目前，我们使用SAML实现了工作单点登录。处理这种情况的最佳方法是什么？我对SAML还相当陌生，所以可以用SAML访问客户机的AD吗，还是应该用LDAP来代替？ 非常感谢您的回答 -AndySAML只是一个XML词汇表。它没有连接到广告和搜索用户等功能。身份提供者（IdP）就是这样做的。IdP通常通过LDAP连接到AD，为用户查询属性并将其转换为SAML格式。然后，它将包含属性的SAML发送给服务提供商（

我有以下Groupfilter： (name=*)(member;range=0-1) 我使用“范围”的原因是我在广告中有超过1500个用户的群组。 通过上面的testfilter，我试图找到前两个用户 如果我使用这个过滤器，结果总是0，我尝试了不同的过滤器变体，不幸的是没有成功 如果我只使用（name=*），那么我可以找到所有成员 有没有人有什么想法，可能会出什么问题 谢谢 您的LDAP筛选器无效。如果有多个条件，则需要添加“and”（&）或“or”（|）运算符 但是，“范围”在LDAP筛选

有人知道是否可以将Netezza用户组与Microsoft Active Directory广告组同步吗 我的客户端的Netezza设备已经要求用户使用其网络uid和pw通过与LDAP服务器的连接进行连接。但他们希望在不同的数据平台上使用广告组。现在，他们必须在Netezza平台上维护特定数据集的广告组和相应的Netezza用户组。有没有办法同步这两个组，这样就不需要维护两个单独的组？这当然是可能的 我们开发了一个脚本，可以从active directory导出两个CSV文件 1第一个文件包含与

我需要使用第三方工具为广告用户创建Skype for Business帐户。除了调用PowerShell脚本之外，我正在寻找一种不同的解决方案。我想到的一个解决方案是将Active Directory用户添加到Active Directory组 我的问题是，是否可以通过添加/删除广告组来管理帐户 谢谢。您没有提到这是在prem还是在线，但我认为这无关紧要。在这两种情况下，以编程方式将用户添加到Skype for Business的唯一方法是使用PowerShell 我已经编写了创建SfB帐户的C

我已经在一个linux虚拟机上为我们的小型本地域（abc.local）设置了一个数据库（仅供内部使用）。我们的本地域控制器是Win Server 2008 R2。我已经设置了Mediawiki，这样我就可以只对域用户编辑我们的Wiki。我已将Mediawiki LDAP配置配置为使用域管理员凭据进行此身份验证 是否有一种方法可以创建另一个帐户来执行此用户身份验证，但不能更改任何内容？有点像“只读”管理员帐户 谢谢， russ帐户不能是“只读”帐户，也不能是“管理员”帐户。这是一个或另一个 “身份

我正在为Sitecore 9.0.0配置Active Directory登录。我对IsAdministrator的角色有意见。我用了下面的地图，但没用 知道如何配置它吗 <map name="Administrator Claim" type="Sitecore.Owin.Authentication.Services.DefaultClaimToPropertyMapper, Sitecore.Owin.Authentication"> <data hint="raw:A

通过扩展AD模式（AD 2016），我在本地创建了一个自定义多值Unicode字符串属性。我已使用AAD connect将属性同步到Azure AD。在门户中创建动态组时，我可以在成员规则中引用它 该属性是扩展名{GUID}\u MyAttribute。本地用户的自定义属性中有两个项itemA、itemB 我的动态组中没有以下工作 (user.extension_xxxxxxxxxxxxxxxxx_MyAttribute -any (_ -contains "itemA"))

有没有一种简单的方法可以解析Active Directory中域名的Active Directory路径 例如，您的用户帐户可能是SITE\Username或DEPARTMENT\Username，但域站点的实际路径可能是SITE.company.com或DEPARTMENT可能是dep.company.com等 我正试图找到一种方法，将DEPARTMENT转换为DC=dep、DC=company、DC=com等，以便在Active Directory中正确搜索…您可能拥有的是一家有一个forr

我尝试使用ASP.Net的MembershipProvider，只允许某些用户访问。这是由一个ADAM实例支持的 我使用了一些运行良好的测试代码： public static DataTable getADValuesByParameter(string strFilter, string strLDAPUser, string strLDAPPath, string strLDAPPWD, string strLDAPProperties) { Data

我正在研究我的公司将Azure用于一些外向型应用程序是否有意义。我们需要它与Active Directory集成，这样它就可以知道他们是谁，而无需登录到该站点（类似于单点登录）。有没有人做过类似的事情，或者我需要用什么工具来做 更详细地说，目前我们所有的intranet应用程序都使用带有广告组的窗口身份验证来确定谁有权访问这些应用程序以及他们对这些应用程序的访问级别。因此，一旦他们登录到自己的机器上，他们就不必再次登录，就可以访问我们自己开发的任何应用程序。我们正在考虑使用云，但如果可能的话，我

我有一个使用Active Directory对用户进行身份验证的web应用程序，我正在尝试用OpenLDAP替换AD 文档中说，我需要以管理员身份登录域控制器，打开“用户管理”窗口，单击相应的组织单元，并将userid添加到相应的组中（这些组的作用域应为“全局”，组类型应为“安全”） 我需要在我的OpenLDAP服务器上创建等效的条目。有人能提供一个LDIF的例子吗？我不知道应该使用的类或属性，并且我没有访问域控制器的权限。最有问题的项目似乎是组类型和范围，因为它们似乎是二进制值，而不是字符串

我想了解用于获取有关Exchange Server的更多信息的LDAP查询。 我感兴趣的是了解有关数据可用性组的更多信息、有关数据可用性组的统计信息以及复制状态等。 我知道有一些cmdlet，但我希望避免使用PowerShell 我想知道从Active Directory for Exchange Server获取相同信息的任何可能方法。这是一个很酷的主意 这些都在配置分区中的以下位置： CN=Microsoft Exchange，CN=Services，CN=Configuration，DC=

需要一个API，它可以为Active Directory的给定事件ID提供我的符号名称。试图在谷歌上搜索，但找不到。任何形式的帮助都将不胜感激。 提前感谢。否。这些是Windows的内部详细信息

我有以下APACHE的LDAP配置。如何将此信息用于其他LDAP客户端 <Directory /opt/sites/MyAuthSite.V2/html*> Options ExecCGI AllowOverride AuthConfig Order allow,deny Allow from all AuthLDAPEnabled on AuthLDAPAuthoritative

我目前正在使用一个名为AD Info的工具，但它不执行我需要的特定查询。我试图在AD中查找具有指定名称的多个成员的组 例如，我想找出鲍勃·伊泉和塔米·利文斯顿是直接成员的所有团体。现在我正在手动执行此搜索，这需要花费很长时间，因为我必须找出20人中的常见组…是否有免费的工具或简单的方法来执行此操作？如果AD指的是Active Directory-那么是的，您应该研究编写LDAP查询 我不是一个广告人，但如果我没记错的话，安全组和通讯组是由标志组合而成的，因此您编写的查询将需要查看这些标志以及对

我正在使用JNDI从组目录服务器查询Active directory： Hashtable<String, Object> env = new Hashtable<String, Object>(); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); env.put(Context.PROVIDER_URL, "ldap://" + serverUrl

我试图弄明白为什么我们的一些用户没有被我们的自定义属性存储发出声明 我们用于身份验证的主要属性存储是Active Directory，但我们使用两个自定义属性存储向用户发出多个自定义声明，并对发出的声明执行一些日志记录。当受影响的用户登录时，AD会成功验证他们的身份，但不会添加更多声明。根据属性存储中的日志记录，永远不会调用BeginExecuteQuery 我看不到任何与受影响用户相关的链接，但他们似乎主要是新用户，或者是很久没有登录系统的用户。重新启动ADFS有时会清除问题，但它是否会清除似

我们公司正在将越来越多的应用程序连接到我们的ADFS基础设施，以使用SAML身份验证，我们正在认真实施更多的多因素身份验证方法，尤其是YubiKeys 我将使用中的编码示例为我们的ADFS基础架构（使用ADFS 3.0，即Windows Server 2012 R2）编写一个自定义MFA提供程序，其中有一个“bump”我没有明确的答案 要使其正常工作，用户帐户需要链接到YubiKey令牌ID，将其存储在广告中是理想的选择。（我见过几个例子，其中MFA提供者实际上是一个我不想要的外部web应用程序

我的Active Directory中有以下结构 i.MyDomain.dk MyOrganizationalUnit MySecurityGroup 我只希望安全组（MySecurityGroup）中的用户能够访问网站。我的LDAP连接字符串如下所示： LDAP://i.MyDomain.dk/OU=MySecurityGroup, OU=MyOrganizationalUnit, DC=i, DC=MyDomain, DC=dk 这不起作用，因为MySecurit

当一个“新”用户被添加到一个现有的广告组或我们创建一个新的广告“组”时，我们必须等待太长的时间才能更新P8中的缓存。如果我将任何工作流转移到该区域，它将立即更新缓存 我们的java程序正在AD中创建这些新用户和组。当通过java程序创建新用户或组时，我们需要一个解决方案，我们可以调用“某物”来刷新p8中的缓存/更新Oracle中的表 任何想法都将不胜感激。谢谢。CE根据特定间隔从目录服务器（DS）检索用户和组对象。用户令牌缓存条目生存时间（TTL）值（以秒为单位）确定CE与配置的DS通信以进行用

我使用的是运行Windows10IoT内核的Raspberry Pi3。有人知道是否有可能将这种风格的操作系统添加到标准的Active Directory域中吗？。。。如果是的话，请怎么办 我很感激这不是这种设备的典型使用案例，但我们只是在办公室里玩，我正在努力使使用该设备进行身份验证变得更容易 非常感谢我们刚刚给它分配了一个IP，然后在Pi中将其设置为IP 例如： 按照此处概述的操作添加为受信任主机 然后，假设你的IP是10.10.0.1 设置executionpolicy远程签名 导入模块n

我在中看到“身份验证和授权也可以委托给外部系统：使用SonarQube LDAP插件的LDAP或Active Directory、使用SonarQube PAM插件的PAM或使用SonarQube群组插件的群组。SonarQube OpenID插件也支持SSO” 似乎只有SonarqubeOpenID插件支持SSO 但我看到了关于Active Directory插件的内容：“它在Microsoft Active Directory环境中使用具有Active Directory凭据的单点登录（SS

我想从给定的广告用户那里获取其组成员的所有描述字段 我可以使用以下筛选器获取其所有成员组： "(&(ObjectClass=user)(samAccountName=given_user)" memberOf 我还能够获得所有组的描述，包括： "(objectClass=group)" description 我尝试将两个过滤器与以下内容组合，但均未成功： "(&(ObjectClass=user)(ObjectClass=group)(samAccountName=give

我以为UserPrincipalName（UPN）是目录中每个用户的单值，但是当我为特定用户运行LDAP查询时，我得到了UPN:AO0S0020@mydomain.local 当对Azure AD运行OAuth（OpenId Connect）授权（使用AD Connect同步）时，我看到声明了同一用户的UPN:nati@mydomain.com 我在这里遗漏了什么？您遗漏了概念 您的Azure AD connect似乎配置了备用登录id。这就是区别。我试图从LDAP中获取AlternateLog

一位客户要求我找到一种方法来收集该客户AzureAD租户中所有应用程序注册的所有权限。该客户有1500多个应用程序注册，因此无法手动检查每个应用程序。其中大多数都是多余的，但客户希望查看所有这些权限，以查找他们认为敏感的Graph API权限。问题是，没有办法在门户中导出此信息，而获取AzADApplication不会给我实际的权限，只是对它们进行友好的描述。客户想要实际的图形API，例如Mail.Read 我试图在几个更高级的PFE的帮助下编写这个脚本，但我们无法在Get-AzAdApplic

我有ADAM设置&我编写了web服务来完成添加新用户等管理任务（我有多个应用程序使用同一个ADAM实例） 我试图实现的可能听起来有点奇怪，但基本上我希望管理员用户能够选择web服务应该从ADAM返回哪些属性。例如，应用程序1应返回displayName和telephoneNumber，但应用程序2可能不需要返回相同的属性 目前，我已经设置了一个SQL Server表来存储用户选择返回的属性&然后在web服务中通过该表循环加载所需的属性并将结果添加到要返回的数组中（如果您感兴趣，我将在底部添加代码

一个多月以来，我一直在努力了解这个问题是如何解决的。我真的需要想出一个通用的方法。我有一个理论，但我不确定这是最简单（或正确）的方法，而且我还没有找到任何信息来支持我的想法 以下是场景： 1） 您有一个复杂的web应用程序，它在订阅的基础上提供安全的内容 2） 用户需要使用用户名和密码登录到您的应用程序 3） 您向已经拥有企业身份验证技术（例如Active Directory）的大公司销售产品 4） 您希望与公司身份验证机制集成，以允许其用户登录到您的Web应用程序，而无需输入用户名和密码 现在

我正在尝试设置ADFS以与SAML2.0服务提供商合作，但我面临一个无法通过ADFS网页验证用户身份的问题。这就是我得到的错误： Encountered error during federation passive request. Additional Data Exception details: Microsoft.IdentityServer.Web.RequestFailedException: MSIS7012: An error occurred while proce

使用MVC4为通过Active Directory身份验证的用户存储用户数据的最佳方法是什么？我应该使用SID作为用户id吗？例如： CREATE TABLE MyStuff AS { ID INT IDENTITY (1,1) NOT NULL UNIQUE, AccountDomainSid VARCHAR(50), Stuff VARCHAR(100) } 用户的SID可以更改（例如，如果合并两个域）。这就是为什么还有一个：-） 请在上查看此TechNet简介 有一件

我在一个特定的OU中有成千上万的用户，我想重置他们的密码。它可以是相同的密码，但不是该特定OU中的所有用户。我需要能够为具有以特定模式开头的用户名的用户执行此操作 例如，我的用户以TPA*或IDH*开头，但不是AAA* 我发现所有用户都会重置，我想知道是否可以调整dsquery以添加一个掩码…再多研究一下就知道了 dsquery user "ou={userdirectorychild},ou={userdirectory},dc={mydc},dc={mydc},dc={mydc}" -nam

几天前，我在Office365和AD上启用了DirSync。不幸的是，所有未在Office 365上创建的用户帐户都已创建并与域同步 我在Windows Server 2012上工作 我得到了这样的信息： [UserPrincipalName]user@domain.com；WindowsLiveNetId System.Collections.Generic.List`1[System.Byte]；] 这个问题的解决方案可能是： 或 但是我怎样才能同步这些用户而不删除他们呢我不能丢失他们的

我正在尝试导出用户，大多数用户在userAccountControl字段中显示空白值。我需要它来显示哪些用户处于活动状态，哪些用户处于非活动状态。知道为什么会这样吗 谢谢 -Scott确保以管理员身份运行命令行shell。我花了15分钟才弄明白这一点。请确保以管理员身份运行命令行shell。我花了15分钟才弄明白这一点。是的，在管理员工作时运行powershell，这很奇怪，因为您永远不会想到会出现这个问题，因为它导出的是一些值，而不是其他值。太棒了，Peter。是的，在管理员工作时运行powe

我尝试运行的Powershell命令行出现问题。我们需要的是使用Powershell从PC的文本文件列表中获取PC名称和LastLogonData 以下是我尝试运行的代码： Get-Content C:\Hosts.txt | ForEach-Object{Get-ADComputer $_ -Properties Name,LastLogonDate | Select-Object Name,LastLogonDate | Export-Csv C:\Output.csv} 当我运行该代码时

所以我们正在努力实现SSO。我们正在使用Active Directory联合服务器“告知”我们的网站，用户已通过其Windows计算机登录 所以流程是这样的 1.http://ourwebsite.com -->重定向到： 2.http://adfsURL.local -->将知道我已登录到Windows计算机，并向我传递以下令牌： 3.http://ourwebsite.com -->我现在已登录 我不明白的是步骤2如何知道我已登录。这只是一个网址，我去，所以一个网络服务器捕捉到这一点，然

我猜LDS有一些限制，因为在运行以下命令时无法添加samaccountname： 新aduser-samaccountname“bobman”-name“bobtest”-server“localhost”-path“OU=Users，DC=test，DC=local” 已在LDS上创建新用户帐户，但samaccountname属性仍为空 在AD的完整实例上运行上述命令会成功创建user和samaccountname，这使我认为这是LDS或其他添加方式的一个限制 有没有办法解决这个问题，因为我想

我们的域的密码最长有效期为90天。如果我在90天内没有更改密码，Active Directory在我的用户帐户上设置了什么属性来表示我的密码已过期 是否为pwdLastSet=0 它是否通过userAccountControl将我的帐户标记为禁用？还是只要求我在下次登录时更改密码 我可以手动将特定用户帐户的密码标记为过期吗？这是正确的。它设置pwdLastSet=0。您可以使用AuthenticatablePrincipal.ExpirePasswordNow（）方法将密码标记为过期 以下是如何

我正在尝试使用Azure Active Directory通过SAML对ruby on rails应用程序进行身份验证 在AD设置中，它只允许https而不是http url作为ACS或断言消费者服务的回复url 我的问题是ACS url是否必须通过https，如果必须，是否有方法在本地主机上使用应用程序进行开发？ADFS有些特定，有时无法正确实现SAMLv2规范，即IdP元数据不符合元数据模式 ACS端点不需要在传输层上进行保护，尽管SAMLv2建议这样做 然而，由于您可能会使用所谓的fron

我正在尝试为active directory创建唯一的x500对象id以扩展架构。 我已按计划分配了一支笔。 这个数字只有5位数长。我看到的所有OID示例都要长得多。IE 1.2.840.113556.1.8000.9999 这方面的任何链接或说明都会很好。对于其他对此稍感迷茫的人，这就是我发现的 我在开始时遗漏了1.3.6.1.4.1，根据问题中的原始链接，这是全局性的。 我的OID最终是1.3.6.1.4.1.52051.10000.1.1.1

我正在尝试使用MS Graph api获取所有具有特定生日的用户 例如，生日在特定日期或特定周内的用户 当我打电话时： GEThttps://graph.microsoft.com/v1.0/users//birthday 我可以为单个用户获得生日： "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users('<email>')/birthday", "value": "2018-06-07T00:00:0