我正在尝试使用LDAP对公司Active Directory进行身份验证。ADExplorer向我展示了目录的设置方式： Active Directory Explorer -- MyCompany.com +- DC=MyCompany, DC=com +- OU=Domain Controllers +- OU=MyCompany Locations +- OU=BR +- OU=CA +- OU=DE |+- OU=Munich |+- OU=MyT

我想使用AD/ADAM实现这个目标 使电子邮件或其他attributeClass作为inetOrgPerson的一部分在条目中全局唯一的功能 将正则表达式附加到属性以进行验证的能力 提供枚举选项约束的能力，例如从状态属性类中的有效状态代码列表中进行选择 在AD或ADAM中，你不能做这些。它们只是数据存储库：恐怕您必须自己构建验证代码。这与SQL Server或Oracle有什么关系？

我们的项目使用LDAP存储库来存储用户。在生产中，这将是Active Directory。对于发展，我们似乎有两种选择： 安装每个人都使用的AD LDS实例 在每台开发人员计算机上安装一个AD LDS实例 我们正试图让“F5”体验尽可能轻量级，因此安装东西或依靠中央广告商店不是我最喜欢的想法 还有其他LDAP服务器，如开放式LDAP。我希望有一个LDAP服务器可以简单地与XML文件通信。这将允许我们将XML文件存储在源代码管理中，并具有快速有效的功能。我们的夜间构建仍然会使用AD来获取任何差

我创建了一个Active Directory域名“ADDOMAIN2”，其组名为“CommonUsers”，有8个用户。但当我对“CommonUsers”组中的用户进行目录搜索时，它返回的结果为零。她的密码是我的 DirectorySearcher searcher = new DirectorySearcher(); DirectoryEntry directoryEntry = new DirectoryEntry(string.Format("LDAP://{

好的，我们可以暂时忘记LDAP，因为您没有配置它。Tridion将通过NTLM/Kerberos使用标准Windows身份验证 答案是Tridion不知道或不关心使用哪台服务器。此任务被委派给IIS，IIS将使用Windows操作系统告诉它的任何服务器 您最好向Windows服务器组询问这个问题，而忘记其中的Tridion部分。当使用Windows身份验证时，Tridion将仅依靠标准IIS来处理。Tridion不“知道”使用哪个域来查找用户。它只是使用为服务器配置的默认域。事实上，更清楚地说，

我有一个新的服务，我已经写了，需要注册到客户端的广告服务器。有关于如何做到这一点的教程吗？（谷歌还没有善待我。） 我说的是微软的Active Directory服务器。openLDAP服务器不同吗？“注册服务”不是一个核心广告动词……因此，基于上述问题，您试图做什么还不是非常清楚。 有了更多关于您尝试如何处理此注册的数据，我们可以更好地提供帮助 通常，当人们问这个问题时，他们指的是两件事之一： 0）注册一个服务主体名称（又名SPN），用于路缘相互认证。 1） 在目录中注册其服务，以便客户端可以发

可以使用 new PrincipalContext(ContextType.Domain,null) 不为Active Directory提供任何连接字符串 使用ActiveDirectoryMembershipProvider时，必须在web.config中提供LDAP端点 我正在工作的站点将部署在多个站点上，我不想在web.config中为每个部门填写详细信息 在MSDN上，指定了3个（！）成员资格提供程序来处理3个域，这并不令人印象深刻。然而，这篇文章是从2005年开始的，它处理的是

我尝试使用LDAP匹配规则，但无法使用LDAP匹配规则筛选器检索搜索条目 以下是我发送过滤器的方式： 过滤器（&（objectclass=*）（memberof:1.2.840.113556.1.4.1941:=）（cn=gasaxena）） 我也在ldap服务器上接收的pcap中转储了筛选器，其外观如下： 过滤器：（&（&（objectclass=*）（memberof:1.2.840.113556.1.4.1941:=[NULL]）（cn=gasaxena）） 如果我遗漏了什么，有人能指出吗

正如您从标题中猜到的，我正在尝试将整个Active Directory组访问权分配给SQL Server Express上的数据库（通过带有SQLCMD.exe应用程序的命令行） 我之前曾发布过一个类似的问题，但我和回复我的人都未能找到解决方案。（链接：） 到目前为止，我只能通过指定域名和用户名（即“域名\用户名”）来授予Active Directory组的单个成员访问权限 如果有人能帮助我，我将不胜感激——我对SQL Server Express完全是个新手 谢谢你的帮助。基本上，这是一个两步

我有一个非常重要的问题 当试图通过RDP连接到已断开网络几天的远程笔记本电脑时。当再次连接到网络时，我不能使用DNS名称将RDP导入网络，但可以使用IP。操作系统是使用AD的windoes 7 Enterprise x64 将其从域中删除并再次添加也无济于事 有什么建议吗？您可以通过命令提示符ping DNS名称吗？听起来重新加入网络可能为别名分配了不同的IP 要排除防火墙问题，您还可以暂时禁用这两个服务器上的防火墙，然后重试-尽管我怀疑防火墙是问题所在，因为您可以通过IP地址访问它。DNS是问

首先，我在repoAlfresco\tomcat\shared\classes\Alfresco\extension\subsystem\Authentication\ldap ad\ ldap广告的副本，我将其重命名为ldap-ad1 common ldap context.xml的副本 在Alfresco\tomcat\shared\classes\Alfresco\extension\subsystem\Authentication\ldap ad\common ldap context.

因此，这是我的配置（为了简单而简化）： 设置： 我有两个跟单信用证（编号清单供参考）： DC=one，DC=company，DC=com DC=two，DC=company，DC=com 在每个小组中，我都有几个小组： DC=one，DC=company，DC=com one.company.com\some\folder\group1 one.company.com\some\other\folder\group2 one.comapny.com\some\different\folder\h

我必须为几台机器保留一个active directory域 当用户离开域并在计算机上本地连接时会发生什么？ 他是否仍然可以访问Outlook、Office应用程序以及存储在计算机硬盘上的文档 谢谢你的帮助 将机器从域中移出时，程序和硬盘上的文件将保持不变 唯一的怪癖可能是，如果PC上的软件是使用AD域上的许可证服务器许可的，或者可能是为用户启用了重定向文件夹

当尝试运行上面的代码时，我得到了javax.naming.OperationNotSupportedException，并显示以下消息： [LDAP:错误代码12-00000057:LDAPPER:DSID-0C09079A，注释：错误处理控制，数据0，v2580] 成功检索第一个页面，并且仅在第二次循环迭代时引发异常 public void pagedResults() { PagedResultsCookie cookie = null; SearchControls sea

Active Directory联合身份验证服务（ADFS）如何连接到经典的本地Active Directory域服务或简称为（AD） 是通过HTTP协议吗？AD FS连接到AD。这意味着它使用各种协议来验证客户端和检索用户信息。最主要的是，Kerberos用于身份验证，LDAP用于用户属性检索 用于AD目录服务的端口的完整列表相当长，可以在中找到 通常认为AD和AD FS服务器处于相同的安全级别。ADFS代理（本质上是第7层防火墙）在DMZ中用于隔离active directory和潜在攻击者

我正在尝试使用LDAP设置bearbeiter字段，从notes中的exchangeserver获取用户的可分辨名称，因此，除了添加在bearbeiter字段中的用户之外，没有人可以访问该特定文档。我尝试过其他类型的名称，如cannonical或缩写，但不起作用。如何获取exchange用户的可分辨名称（DN）名称 public String lookup(String searchedName) throws NotesException { Vector<String>

在active directory域中，是否有可以设置的计算机组策略来控制远程桌面会话断开后的延迟时间，以自动注销用户？我对最近的WinSvr主要版本非常感兴趣。GPO的定义如下 Azure Active Directory域服务（Azure AD DS）中用户和计算机对象的设置通常使用组策略对象（GPO）进行管理。Azure AD DS包括用于AADDC用户和AADDC计算机容器的内置GPO 看起来您需要的是计算机GPO的特殊配置，更具体地说是会话时间限制，请参阅 进一步阅读 您将使用集

我有一个从Active Directory中的OU提取用户信息的应用程序。它采用的参数是搜索的基础和筛选字符串 我有一个OU我想从中提取信息，但有一个子OU我想避免： 受通缉的 来自OU=People、DC=mydomain、DC=com的用户 不需要 来自OU=Evil、OU=People、DC=mydomain、DC=com的用户 我知道这可以通过重写执行导入的应用程序来完成，以停止它搜索sub-OUs，但是有没有办法通过搜索上的LDAP过滤器来完成呢？类似（DiscrimitedName！

最近，我们将exchange服务器迁移到一家托管公司。我注意到从那时起，超过个网络用户帐户一直被锁定在active directory中。经过一些调查，发现outlook正在生成kerbos预身份验证，并在此过程中失败，用户帐户被锁定。除此之外，用户体验中没有任何问题，他们可以毫无问题地使用outlook（即使在锁定时）并使用其他网络资源 我想问的是-outlook停止执行kerbos预验证的一种方法？ 或 如果我在AD中禁用不需要Kerbos预认证，会有任何不利影响吗 事先非常感谢你的帮助 问

出于测试目的，我将从live添加到staging中的一些属性，我使用的是ldifde： D:\Shared>ldifde -i -v -f attr3.ldf -j . Connecting to "myDomain.com" Logging in as current user using SSPI Importing directory from file "attr3.ldf" Loading entries 1: CN=myAttribute,CN=Schema,CN=Config

我正在Active Directory客户端和服务上使用GSS API尝试一个示例凭证委派程序。在使用context.requestCredDelege（true）时，当我选中context.getCredDelegState（）时，它在建立上下文之前在客户端返回true。但是在上下文建立之后，当我在中间服务器端检查凭证委派状态时，它返回false 我已经为用户设置了“信任此用户，以便将其委托给任何服务（仅限Kerberos）”。 此外，Active Directory管理中心用户属性中未选中“

通常AD以字节[]的形式返回“Objectsid”。因此，我将AD返回的值强制转换为字节[]。这一程序对几个AD有效，但在一个案例中无效。在这个广告环境中，我得到以下异常 异常：无法将“System.String”类型的对象强制转换为“System.Byte[]”类型。（系统无效卡斯特例外） 为了调试这个，我开始检查AD返回的值的数据类型，它是system.string而不是byte[]。我打印了这个字符串，它是垃圾。然后我将这个字符串传递给SecurityIdentifier（），我再次遇到异

这个问题与另一篇帖子非常相似： 然而，上述答案不起作用。我在这个网站和其他网站上读了很多关于如何解决这个问题的帖子。很多人都能让它工作，但我不能。简而言之，问题是，当我们将OpenAM服务器配置为AD中的依赖方信任时，登录后会出现SSO错误 日志名称：AD FS 2.0/管理员来源：AD FS 2.0日期：2013年11月4日12:52:04下午事件ID:321任务类别：无级别： 错误关键字：AD FS用户：CBC\adfsuser计算机： domainserver2.cincybible.p

我试图对AD中的计算机对象进行大量更改，但是这些更改来自文本文件，使用下面的脚本，我无法将“samaccountname”管道传输到要更改的PC子集的-identity参数。这一定是我错过的非常简单的东西，但是任何帮助都将不胜感激。谢谢大家 Get-QADComputer -searchroot "gwinet.net/DigiSign/DigiSign" | where {$_.computername -like "DS-*" -and $_.parentcontainer -eq "g

我正在尝试配置并理解apache2 LDAP授权 实际上，我正在以虚拟机运行openSUSE 13.1 64位，我启用了所需的模块，并遵循以下步骤： 我的httpd-local.conf（包含在原始httpd.conf中）： 当尝试使用：User:“Firstname Lastname”Password“MyAcountPassword”登录时，我得到： [Mon Jul 14 11:05:38.527956 2014] [auth_basic:error] [pid 5318] [client

我是sqsh的新用户，可以从linux box使用SQL Server。 Iuse sqsh使用-S，-U参数传递servername用户名和密码。 我已使用active directory凭据登录到linux box。 有人能建议我如何使用active directory凭据从sqsh登录到sql server吗 因此，我不希望每次都键入密码，Sqsh支持使用Kerberos身份验证对SAP ASE服务器进行单点登录。请看一下文档中的-K、-R、-V和-Z参数，也许您也可以将其用于MSSQL。

我已经为LDAP登录配置了TeamCity（8.1.4），它可以像广告一样工作，包括displayname和电子邮件的同步。但是我在VCS属性的同步方面有一个问题 正在创建新用户（首次登录时），但未填充其显示名称或电子邮件地址。这在同步发生时得到纠正，因此我知道同步对这些属性有效。 我需要正确填写“所有VCS根的默认值”属性。这是必需的，这样人们就可以与他们的签到相匹配（目前还没有），这样他们就可以在考试失败时收到电子邮件 “所有VCS根目录的默认值”属性只是作为用户名填充，但我需要它是DOMA

我已经在AD中设置了一个用户的管理员，我想发送用户id、电子邮件地址、该管理员的给定名称和姓氏，因为LDAP属性声明ADFS已经设置。我可以问一下如何实现这一点吗？对于设置索赔规则时下拉列表中未显示的广告属性，请注意下拉列表是可编辑的 参考： 因此，只需按照正常程序选择下拉列表中显示的属性（如电子邮件），然后键入不显示的属性（如经理） 对于声明类型，它只是一个URI，因此您可以使用以下内容： http://company/claims/manager

第一次飞越 我需要从我的软件部署GPO的PackageRegistration中删除“ghost”条目 我的意思是，ADSI对象中的条目比与GPO关联的MSI/MST文件多。i、 这个博客作者似乎也在经历什么（我在调查我的问题时才发现这一点） 在搜索ADSI中的属性时，我在“msiScriptName”上打了个小短号，它的值似乎是“a”或“R” 我似乎找不到关于这些值可能代表什么的任何信息 关于“A”和“R”的含义和/或如何正确识别和/或删除“ghost”条目的任何想法都受到了极大的欢迎 原因是

根据本教程，我正在尝试将我的Active Directory连接为wso2 Identity Server 5.3.0的用户存储： 我的Active directory使用ldap而不是ldap 运行wso2 Identity Server后，我试图在管理控制台（localhost:9443/carbon）中以管理员身份登录，但出现以下错误： 04-20 10:23:39,691] DEBUG {org.wso2.carbon.user.core.ldap.ReadOnlyLDAPUserSto

给定服务帐户的名称，如何识别已分配的查询权限 我们正在排除某些域服务查询失败的原因。我们怀疑该服务帐户没有足够的权限

当我尝试读取服务帐户的凭据（即vault read ad/creds/poc.test）时，我得到以下错误 读取ad/creds/poc.test时出错：发出API请求时出错。 URL:GET 代码：500。错误： *发生1个错误： *LDAP结果代码53“不愿意执行”：0000001F:SvcErr:DSID-031A12D2，问题5003（将不执行），数据0 如果有人能破解，请提前感谢 我听起来你有两个问题： 您需要使用ldap 如果在使用LDAP时遇到“网络错误”，则必须首先修复该错误。该

我想搜索用户所属的所有组，但我只有用户的sAMAccountName属性，必须在一个查询中完成 下面的查询工作正常，但我不知道用户CN，我只知道用户的sAMAccountName "(&(objectClass=Group)(member=CN=Mariusz Kulig,CN=Users,DC=krbtst2k8,DC=local))" 以下查询也可以正常工作： (&(objectClass=user)(sAMAccountName=mkulig)) 如何通过sAMAcco

对于客户端，我们必须将WSO2IS 5.10.0连接到Active Directory。 为此，我们使用以下配置创建了一个辅助用户存储： WSO2IS可以连接到Active Directory，因为我们可以检索用户和角色。 在进行任何声明映射之前，我们已尝试编辑和创建用户，没有任何问题。 然后我们映射了一些声明以从Active Directory检索更多信息。 我们的问题来了： 我们无法在Active Directory中创建用户 我们无法更新Active Directory中的用户

我有一个场景，我有一个Blazor WASM（仅客户端）应用程序，通过广告B2C进行保护。根据我阅读的文档，我已经在AD B2C中注册了一个应用程序（例如BlazorApp），并将Blazor应用程序连接到此实例。此Blazor应用程序对端点受保护的.NET核心Web API进行API调用（使用[Authorize]属性）。根据我所阅读的文档，我还在AD B2C中注册了Web API（例如WebApi），并将该API连接到此实例 我的问题是，当我在Blazor应用程序中进行身份验证，然后通过AP

通常在公司中，员工信息存储在Active Directory服务器上。所以我猜当我们使用ID/pwd登录到我们的机器时，它会去检查一个活动目录。我想知道为什么Active directory在存储员工信息时如此普遍使用。 为什么不使用数据库呢？我从理论上知道AD和DB之间的区别，但据我所知，我不明白为什么AD是存储员工信息的自然选择。以下是为什么在存储用户数据时，与关系数据库相比，AD更受欢迎的一些原因 AD是继承人架构，因此，如果您的数据类似于员工记录，您有一个上级，那么AD是一个自然选择，因

我正在开发Liferay的门户，并希望在那里应用单一登录机制（SSO）。我使用它对我的多个web应用程序进行集中身份验证。到目前为止，我知道我可以使用CAS作为身份验证方法，但下一步将是添加更多的智能并从Active Directory服务器请求身份验证 这应该可以通过使用AD作为进行身份验证的“数据库”来实现，但我对这些东西还不熟悉，不知道如何使用Jasig CAS实现这一点 有没有完成这项任务的线索？我在这里做一些假设，所以如果我偏离目标，请告诉我： 您使用的CAS版本介于3.3.2和3.4

在我们的项目中，我们有一个可信用户的概念，为此我们将Active Directory组指定为可信组。我们获取给定受信任组的所有用户，并将其用作受信任用户 我们需要定期同步广告组的用户。当广告组包含大量用户时，这是一项网络/内存密集型任务，因此在同步组用户之前，我们想知道广告组是否已更改 所以我想知道广告组中是否有任何属性可以用来知道广告组自上次同步以来是否发生了更改 whenChanged 显示上次修改日期 你可以这样找到它： DirectoryEntry de = new Directory

我可以用下面的代码将图片添加到广告中 entryToUpdate.Properties["thumbnailPhoto"].Add(binaryData); entryToUpdate.CommitChanges(); 但是当我尝试更新时，我得到一个错误（指定的目录服务属性或值已经存在）。我正在清理图片，但它似乎确实有效 entryToUpdate.Properties["thumbnailPhoto"].Clear(); 我让它工作了。每次我都必须提交更改 entryToUpdate.Pr

我试图使用未绑定的LDAP SDK将组添加到Active Directory服务中，并不断收到错误503:将不执行 我已经验证了我正在使用SSL连接，并且我正在与属于Administrators组的用户连接，除非我弄错了，否则Administrators组授予他创建新条目的权利 我还将LDAP接口事件的日志记录级别一直提高到了5，并且事件查看器注册了许多事件，这些事件在解释为什么服务不愿意执行我的创建条目操作时都没有用处 你知道是什么导致了这个问题吗 下面是我正在使用的scala代码示例： va

我是新的spring安全性我用ActiveDirectory进行了spring身份验证，它在添加 和bean代码如下 公共类MyAuthoritySupplementProvider实现AuthenticationProvider{ 私有身份验证提供者委托； 公共MyAuthoritySupplementingProvider（AuthenticationProvider委托）{ this.delegate=委托； } 公共身份验证（身份验证）{ 最终身份验证a=委托。身份验证（身份验证）；

想想像IfThisThenThat（IFTTT.com）这样的服务。在那里，我对服务（twitter、evernote、gmail、dropbox等）进行身份验证，并授权IFTTT代表我行事（大概是通过存储某种令牌）。如果我不再想授权IFTTT冒充我，我可以随时撤销令牌 如果我想对内部服务的windows身份验证执行相同的操作，该怎么办 我想象用户会使用windows身份验证访问网页，并批准创建某种令牌，我可以将其保存在数据库中。之后，当我需要在该用户的上下文中运行某些东西（如内部web服务）时

我在广告中有一个用户没有出现在域GAL中。 此用户与其他用户处于相同的安全组和OU中。似乎没有什么不寻常的事。是否有办法手动将用户显示在GAL中 那个用户有邮箱吗？是否隐藏？用户有邮箱，电子邮件地址显示在“所有用户列表”中。这也不是新用户（这在新用户中更常见，它们不会立即出现在GAL中）。当exchange从2003年（有全局和本地地址列表）升级到2010年（只有全局地址列表）时，也会出现此问题，因此通过此部署，本地列表中的所有用户都不会出现在任何位置。但事实并非如此。没有升级，GAL上会出现其

有人知道如何使用OpenLDAP从Microsoft Active Directory联合到Ubuntu 12.04吗。我的最终目标是能够在Active Directory中创建用户，然后给他们基于SSO角色的登录和访问我的Ubuntu服务器的权限 多谢各位， Maria您需要在OpenLDAP和Active Directory之间同步用户帐户 例如，这可以通过LSC（）实现。请参阅本教程：谢谢您提供的信息。但是，我希望目标目录是OpenLDAP，而Active directory是源目录。你能

我看到该字符串中的SID由“S”标识。无论如何，当创建一个对象时（我认为是这样），它们会作为一行存储在db中的某个表中。那么，识别字符串是SID需要什么呢。有人能澄清一下吗。S没有将其标识为SID，比如说，任何字符串都可以以S开头，它是SID字符串格式的一部分，因为设计它的人将其放在了那里。如果没有S，它将不会是格式正确的SID。很简单。所以没有理由把S放在SID格式中？每件事都有一个目的——比如域id、rid、标识符权限、修订版。所以在SID中加“S”的目的是--@阿什戈尔

我们公司有很多顾问。我们所有的顾问都被安置在一个名为consultants的OU中。几年过去了，在这些年里，我们创建了一个“共享”帐户的广告帐户。由于我们有夜班，所以该账户可供1人以上使用。我需要找到一个解决方案，将共享帐户与顾问区别开来 所以我的问题是，关于AD属性：objectClass。创建广告帐户时，这些（top、person、organizationalPerson、user）作为标准添加到objectClass。我可以看到我可以向objectClass添加其他文本 也许我的问题很愚蠢

为使用ADAL.js提供的示例代码如下所示： window.config = { instance: 'https://login.microsoftonline.com/', tenant: '[Enter your tenant here, e.g. contoso.onmicrosoft.com]', clientId: '[Enter your client_id here, e.g. g075edef-0efa-453b-997b-de1337c29185]',

我有一个大型的中央网络存储阵列，可以通过Windows文件共享在网络上使用。出于明显的原因，不同的共享只允许访问特定的用户/用户组，但当用户登录到其连接广告的计算机时，会自动装载少量的共享；这是使用组策略强制执行的 其中一个共享名为/users，它为域中的每个用户设置个人目录，如下所示： \\storage.server\users\username1 --> C:\data\users\username1 \\storage.server\users\username2 --> C

我们的Sitecore 7.2实例使用Active Directory模块方便用户管理。我们将授予另一个办公室访问我们的站点的权限，该站点使用不同的Active Directory实例 我可以向我们的实例添加多个Active Directory吗？我是否需要在Web.config下添加另一个条目，或者比这更复杂？是的，您应该能够向Sitecore应用程序添加更多广告 这是 检查2.1.3修改配置文件部分。它说： 您可以在元素中定义许多连接字符串 是的，您应该能够向Sitecore应用程序添加更多

我正在尝试上传我创建的OU中的用户，我有一个带有以下字段的.csv文件； 名字 姓氏 用户名 密码 ou 下面是我正在运行的脚本，当我运行它时遇到了这个错误：“操作失败，因为为添加/修改提供的UPN值不是唯一的林范围…” 导入模块activedirectory $ADUsers=导入csv；\nameofsv.csv foreach（$ADUsers中的用户） { }代码在我看来没问题。事实上我以前也用过这个 if（getaduser-F{SamAccountName-eq$Username}）