今天早上,我们的Active Directory发生了一些奇怪的事情
我们有一个网站,根据我们的Active Directory对用户进行身份验证。几周来,它一直在完美地工作。涉及此的代码从未更改。当我在IDE(VS2008)中的本地计算机上启动网站副本时,它会正确地验证用户,并确定他们正确地属于哪些组。但当我导航到实际的网站时,它会进行身份验证,但无法检索任何组信息。虽然我对代码的可能性持开放态度,但我对此持怀疑态度,因为代码自上次工作以来(昨天)一直没有改变
我使用相同的编程代码编写了一个快
如果我只希望OU的用户的名称以“sales”开头,那么查询将如何进行
例如:
(&(objectCategory=person))
一般来说,没有办法通过用户的OU名称查询用户,因为a)用户通常不包含有关其所属OU的任何知识(例如,与组成员身份不同),因此无法将任何内容添加到筛选器b)LDAP筛选器非常有限,并且没有子筛选器或子查询之类的内容
问题的部分解决方案可能是将ldap_search的BaseDN参数设置为OU path
更复杂的查询通常通过某种客户端代码来处理。看起来您正在使
当使用ldap\u search从Ad服务器获取用户时,我会为每个条目获取几个objectClasse
我只对类层次结构中最具体的objectClass感兴趣。
我怎么得到它
例如:对于条目
name: user1
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
我只想获取“用户”objectClass
我注意到,在编程的ldap\u搜索中,最具体的类在值数组的最后
当我在AD中查找一个用户时,该用户能否在两个不同的控制器上有两个条目?
如果lookup#1返回一个条目和一个引用,我是否需要跟随该引用以获取有关用户的其他信息?或者引用是否具有相同的信息,因此可以忽略?userPrincipalNameActive Directory不强制执行唯一性。创建用户对象或修改userPrincipalName的应用程序负责确保它在整个林中是唯一的。如果Active Directory检测到有多个用户对象具有相同的userPrincipalNameassigned,则
我们围绕LDAP对客户端进行了新的增强,以启用使用userPrincipalName登录。他之前使用sAMAccountName登录。当用户试图在其测试环境中测试应用程序时,userPrincipalName出现以下错误:
netscape.ldap.LDAPException:错误结果(49);80090308:LDAPPER:DSID-0C09003C5,注释:AcceptSecurityContext错误,数据52e,v23f0 |#]
我知道这是因为LDAP的凭据无效。但是,当他使用sA
我有两个域的广告林,用户和组被分离到不同的域(第一个域中的用户,第二个域中的组和其他资源)。如果您想以这种方式使用AD,则必须通过3268端口(全局目录)进行连接。但是我遇到了一个问题,CognosBI在这种配置中不工作。有没有办法让这些产品在这样的配置中协同工作
[ ERROR ] CAM-AAA-0146 The namespace 'nsname' is not available.
[ ERROR ] CAM-AAA-0064 The function 'Configure' faile
我目前正与同事们就如何设计一个将由我的部门使用的API进行辩论。具体地说,我的任务是编写一个API,它将作为一个包装器facade来访问Active Directory信息-根据公司/部门的需要定制。我知道开源包装已经存在,但这并不是问题的关键,只是作为一个例子
当我向我的团队提交设计方案时,他们拒绝了我,因为API不够“可配置”。他们声称,他们不希望API将“电话号码”与数据链接起来。参加会议的每个人(除了我)都同意,他们更愿意四处询问,“Active Directory中用于用户电话号码的正
要在asp.net应用程序中使用Windows身份验证,我们需要检查Active Directory。为了测试,我通常使用我自己的帐户,但这意味着任何人都可以在buildserver上看到我的密码
我最好使用哪个帐户来实现此目的?Active Directory中的受限帐户?如果您正在用户的上下文中执行操作,则可以模拟他的帐户。这适用于更改信息或重置用户密码等操作。
但对于搜索、忘记密码功能、加入组等全局事务,我建议创建一个受限帐户,只执行您需要的功能,并让您的应用程序池使用这些功能。此密码将是
active directory角色中的用户和读者之间的确切区别是什么。
我假设读者是“只读”的,用户可以修改某些内容,但我想验证一下,a)我不会忘记任何重要的细节,b)我的假设是正确的在开箱即用的广告中没有读者角色。你是在看AD LDS还是亚当?
好的,所以开箱即用的AD LDS/ADAM没有读取权限(与AD不同)。如果您处于“阅读器”角色,您可以看到该分区中的所有内容。如果您想要更细粒度的权限,您将需要使用类似LDP的东西来创建这些ACL
我们可以在active directory中自动找到在线或离线的用户。active directory是否已获取状态字段例如,如果有人连接网络,则状态字段在active directory中设置为在线。可能吗
谢谢。Active Directory中没有此类字段。您只能在事件监视程序中检查登录名。不幸的是,在active directory上没有您想要的直接方法,但您可以通过使用第三方应用程序或检查windows事件日志以不同的方式来执行此操作
使用PsLoggedon通过命令行获取用户登录信息
我是一个新手,我发现我可以通过ADSI从
我还发现还有另一个称为LDAP API的API可以从中访问LDAP提供的服务。是否可以通过此LDAP API访问Active Directory并在AD中检索有关用户的信息?简而言之,是的。您可以使用JNDI、jLDAP和许多其他java LDAP客户端实现来实现它。@ShaMan-H_Fel:更详细地说明我的问题,是否可以在C/C++中通过LDAP api访问AD?是的。你应该检查一下。应该还有其他的库,但是我只使用java通过LDAP访问AD,所以我
关于哪个是正确的,有什么简单的解释吗?我想两者都可以使用,就像我可以通过“computer”和“computer.domain”访问网络上的计算机一样
也许不同的领域有不同的正确答案
这是否取决于Active Directory(Windows Server)域控制器版本?(如您所见,我对Windows域用例特别感兴趣)第一个用于DNS解析FQDN,第二个用于WINS解析短主机名。IMHO,禁用WINS,不要依赖这个遗迹。仅使用DNS
我刚刚在active directory中创建了计算机对象。我使用SetPassword命令为计算机对象设置密码。如何验证计算机对象的密码或使用该密码进行身份验证?是否有任何方法可以验证密码在该计算机上是否有效?验证计算机帐户密码的方法与验证用户密码的方法相同。计算机帐户也有用户名SamAccountName
我不确定如何提供一个示例,因为您没有指定任何编程平台,但为了方便起见,这里有一个使用c#和System.DirectoryServices.AccountManagement命名空间的示例
在一个网站中,我开发了一个发送电子邮件的功能(即连接到exchange)。我需要使用一个特殊的用户,在Active Directory中有权发送大量电子邮件。另一方面,此用户不应具有登录到计算机的能力。
在Active Directory中,应该更改或撤销哪些权限?我不认为这是一个C#问题。移除标签。你确定这是一个编程问题吗?这可能更适合于服务器故障:如果您以前做过(例如c#),那么您知道最低权限,因为您已经要求这样做。如果您仍然认为该问题不合适,可以将其删除。
我正在尝试对这个LDAP查询进行调整,以便在过滤器中包含任何只包含数字的employeeid,并跳过任何其他内容(!employeeID=\00)将获取任何我认为不为空的ID,但如何测试AD中的字母或数字字符?谢谢
-LdapFilter "(&(&(objectCategory=person)(objectClass=user)
(!userAccountControl:1.2.840.113556.1.4.803:=2))(&(objectCategory=pers
请问如何在Windows Server 2012 active directory上设置摘要MD5的身份验证,以允许客户端向服务器进行身份验证。下面是我用来建立从客户端到服务器的连接的代码
Hashtable env = new Hashtable()
env.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtxFactory")
env.put(Context.SECURITY_AUTHENTICATION,"DIGEST
欢迎各位委员:
我有一个网站,这是使用广告作为登录。
为了与LDAP服务器通信,connectionstring如下所示:
LDAP://yyyyy.xxx.com/OU=Employees,DC=xxx,DC=com
我在某处听说,如果此服务器与网站位于同一域中,则不必在connectionstring中指定服务器名(yyyy.xxx.com)。这是真的吗
我尝试在上面的connectionstring中删除此部分,但随后它停止工作。我错过什么了吗
问候,,
Chris事实证明,为了让它工作
今天我尝试将LDAP从linux服务器设置到AD系统。
连接可以很好地建立和登录。
但当我打开AD中的登录功能(用户只能从解压计算机登录)时,我不能使用LDAP
我使用命令
hostname
显示我的linux电脑并填写广告。但仍然无法登录
如果我改回所有计算机,它会再次运行良好
因此,如何知道linux计算机名称以在AD中声明
谢谢这取决于您是否已将此Linux服务器加入域!如果没有,这将永远不会起作用。@I_是否有用?你的意思是,如果我不将此linux服务器加入域,它只在我关闭登录功能时才
我需要在两个AD林之间配置信任。客户希望使用命名“forest1.domain.com”和“forest2.domain.com”。请注意,这些不是林中的独立域,而是独立的林
他们的名字能以domain.com结尾吗?他们仅在公共DNS中拥有domain.com,并希望其内部AD域名使用此处建议的扩展名: 我认为这是很容易做到的,因为森林有不同的名字!对于林的命名约定,这并不重要,除非您有不同的名称。有关专业服务器或与网络相关的基础设施管理的问题对于堆栈溢出是无关紧要的,除非它们直接涉及编程或编
我希望在我的OBIEE中有来自广告的用户,但只有少数特定组的成员(其中前缀组是OBIEE-例如OBIEE_DEV、OBIEE_PRD、OBIEE_RAP)
我尝试在WebLogic控制台->特定于提供者的字段“所有用户过滤器:”中使用“&(sAMAccountName=*)(objectclass=user)(MemberOf=cn=OBIEE*,OU=\u Groups,DC=compa,DC=ad,DC=intra)”,但不起作用
OBIEE 12.2.1.4.0
请帮助我搜索广告时,mem
我目前有一些代码,可以从一个组中提取用户列表,然后遍历该组以确定给定的帐户是否存在,但似乎应该有一种更简洁(也许更快)的方法来实现这一点
此代码(VB.NET)尝试使用组对象的成员属性,但即使用户是该组的成员,也返回false。有人能看出我做错了什么吗
Dim group As DirectoryEntry = GetNetworkObject(GroupDomanName, NetworkObjectType.NetworkGroup, GroupName)
Dim user As Dire
是否可以定义一个限制用户仅枚举其自己OU中的帐户的策略
例如,让我们考虑域CONSOSOS和UES销售和HR。销售OU有两个用户A和B,HR OU有用户C和D.
是否可以定义一个策略,使a只能枚举帐户a和B,C只能枚举C和D,而不能枚举不在其OU中的帐户?不要这样做
但是,您可以为每个OU创建一个组,并将OU用户放入该组中。然后,您可以更改其他OU的权限,以拒绝此组的“列表内容”权限。我不认为没有脚本就可以配置它。但由于规则很简单,可以编写脚本
也就是说。我建议您在没有专门的专家组的情况下,不要
我做了一些编程来读取Active Directory中的数据,比如用户帐户或组织信息等等。下面的代码与我所做的类似
DirectoryEntry entry = new DirectoryEntry(
"LDAP://CN=Users,DC=domain,DC=com",
null,
null,
AuthenticationTypes.Secure
);
DirectorySearcher search = new DirectorySearcher(e
如何在Win server 2008 R2上的active directory中创建服务帐户,例如SQL服务?
我不知道在管理工具的哪个部分可以找到它。首先使用MMC Active Directory组和用户工具确认托管用户服务帐户容器存在:
其次,使用Windows PowerShell创建帐户,方法是运行以下第5和第6行中的两个命令:
单击开始
单击所有程序
单击Windows PowerShell 2.0,然后单击
然后单击Windows PowerShell图标
运行以下命令:导入模块A
广告用户档案中的“公司”和“部门”字段是否以任何方式映射?一个部门必须属于一家公司吗?或者它们只是没有规则的文本字段。这些只是常规的字符串文本字段-它们没有关系、检查或任何后面的内容-只需将您喜欢的内容放入其中即可
我正在尝试读取广告中的所有用户属性
如何读取C#中的msExchMailboxSecurityDescriptor属性
我使用了下面的代码,但是我得到了一个cast错误。欢迎提出任何建议
DirectoryObjectSecurity oSec = new ActiveDirectorySecurity();
oSec.SetSecurityDescriptorBinaryForm((byte[])val);
String m_Value = oSec.GetSecurityDes
我有一个在websphere7.0(RHEL 5)上运行的liferay实例,它连接到我所在组织的Active Directory
我有一个要求,当liferay数据库中的用户从广告中被删除时,该用户应被自动停用。
liferay的基本功能是,如果用户从广告中删除,则该用户不会在liferay中被删除或停用。我们可以从控制面板控制的唯一一件事是,被删除的用户(来自AD)是否可以登录门户
我搜索并发现我们可以使用LDAPImportMessageListener类来定制基本的liferay行为。但
我在日志中发现以下错误。虽然我们提供正确的用户名和密码登录到网站。LDAP给出了此错误
:[LDAP:错误代码49-80090308:LDAPPER:DSID-0C09003A9,注释:AcceptSecurityContext错误,数据773,v1db1]
任何建议都是值得赞赏的
登录以前工作正常。我们突然面临这个问题。获取上述错误。数据773意味着您需要重置密码
请查看本文以了解更多信息:
此链接很有用:)
您的问题是由于:
'密码过期:登录LDAP pwdLastSet之前必须更改条目的
目前我正在使用OpenDS,必须迁移到Active Directory(AD LDS)
我在OpenDS/config/schema目录的.ldif文件中定义了一些自定义属性/对象,如下所示:
attributeTypes: ( 1.3.6.1.4.1.99.1
NAME 'myNewAttribute'
DESC 'some text'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-
这可能已经被回答过了,但我找不到任何对我的生活有帮助的东西。我们有不同的系统,与较新的系统相比,一些较旧的系统对同一个人有不同的AD GUID。guid看起来很相似,但不同。这在我正在做的一个新应用程序中造成了一个大问题,该应用程序正在读取SQL数据库表单以及旧的和新的应用程序。这里有一个例子,旧的是:147e2a1e-579e-a143-88b9-d3a8ee00e609,新的是1e2a7e14-9e57-43a1-88b9-d3a8ee00e609。如果我用.NET阅读广告,它会给我“更新的
验证存储在两个属性(msNPSavedCallingStationID和msNPCallingStationID)中的用户对象中拨入选项卡的呼叫者ID。但是两个属性值是相同的。为什么它们在两个属性中存储相同的值?有什么用?msNPSavedCallingStationID和msNPCallingStationID之间有什么区别?我运行了一些测试,确定msNPSavedCallingStationID的值是Active Directory用户和计算机在查看时显示的值用户的属性,msNPCallin
有没有人见过在B2C内部使用B2B功能,有点像混合版本
如果我有一个跨B2C和B2B提供的功能的用例,那么我可以设置B2C目录,但也可以将其用于其他目的,例如邀请B2B用户和通过Azure AD Connect同步内部用户 此时,通过Azure AD B2B协作邀请用户加入B2C租户将不允许他们登录Azure AD B2C集成应用程序
同样,不支持通过Azure AD Connect将prem AD用户同步到Azure AD B2C租户。
具体地说就是这样
如果撇开Azure AD B2B协作不
我想用密码+谷歌otp登录我的vpn服务。freeradius作为身份验证服务器,ldap作为后端数据库
我已完成以下工作:
在/etc/raddb/sites enabled/default中启用pam身份验证模块
在/etc/raddb/users中添加一行“DEFAULT Auth Type:=PAM”
启用ldap模块并将ldap站点添加到freeradis,我确认raidus use ldap数据库工作正常
覆盖/etc/pam.d/radiud的内容
半径测井:
(0) [p
我有组G和用户U。G的条目包括U作为“成员”记录。U的条目不包括G作为“memberOf”记录。(我在C#中以编程方式查询条目,并在Softerra LDAP浏览器中查看它们)。有人能解释这个悖论吗?属性的memberOf没有权威性。一个组是否列在那里取决于该组的“范围”。它将只包括:
同一AD林中的通用组
与用户来自同一域的全局组
与您正在读取的服务器位于同一域上的域本地组(可能与用户属于或不属于同一域)
我在我写的一篇文章中,在标题下更详细地描述了这一点
如果需要查找memberOf未列出的
我打算第一次为CentOS 7配置SSSD,我们有一个林,但有多个域:
xx.company.com
eu.company.com
na.company.com
ap.company.com
域之间已经存在信任关系。我得到以下错误:
Sep 16 12:56:46 XXA-ANSTLNX14 [sssd[ldap_child[4201]]]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Cli
是否可以跟踪AD服务器上的所有身份验证请求?无论请求是通过LDAP、Kerberos还是NTLM,并且知道源IP地址和帐户名 该信息已在每个域控制器的事件查看器中
如果您在线搜索,您可能会找到一些可以安装在每个DC上的软件,这些软件将整合所有这些信息,以便您更容易查看和搜索。但我从来没有这样做过,所以我不能推荐任何东西
我正在尝试通过NAS共享文件夹配置共享ActiveMQ配置。但是,共享文件夹需要AD凭据才能访问。如何在ActiveMQ配置文件中添加这些凭据以使其访问NAS?也欢迎任何其他解决方案。共享文件夹装载应在ActiveMQ启动之前在操作系统或脚本中完成。这听起来像是在ActiveMQ启动之前必须处理的操作先决条件
旁注--您提到了AD凭据--请注意,Windows文件共享(CIFS/SMB)通常没有可靠的锁定语义,不应用作ActiveMQ服务器进程的后端。我可以访问服务器上的NAS,但不能将其用作数
如何从Active Directory获取我的UPN?我需要测试一个使用Upn声明类型的应用程序…此命令应该可以工作
C:> whoami /upn
whoami.exe命令随Windows Vista和更高版本提供,但对于XP上的用户,您可以将其作为XP支持工具的一部分下载。如果您在Active Directory中拥有管理权限,您可以运行Active Directory用户和计算机,并查看“用户属性”窗口的“帐户”选项卡,看到它是用户登录名和域后缀(列出的第一个后缀)的组合。您使用的
我正在Windows域(Active Directory)中的TeamCity 7.1.2中配置LDAP身份验证
基本上它可以工作(我可以用我的域用户登录!),但整个公司的每个用户都可以登录。
-->现在我正试图限制开发者只能访问
我在TeamCity文档中发现:
# filtering only users with specified name and belonging to LDAP group "Group1" with DN "CN=Group1,CN=Users,DC=exampl
我正在尝试将WSO2 Identity Server与Active Driectory一起使用
当我进入Management Monsole->Configure->Users and Roles->Users时,一切似乎都连接正常。。。所有的用户都列出了,我也可以看到没有问题的组。我分配了一个对WSO2具有完全权限的组。那也不难
但当我尝试与该组中的用户进行对话时,我无法。。。我尝试了几种域名和用户名的排列
username@domain
TID:[0][IS][2013-10-10 09:2
我在使用AD配置JBoss的LDAP时遇到了一个问题,即在使用Active Directory对托管在JBoss 5.0上的基于java的应用程序进行身份验证时,如果用户的CN包含斜杠,则无法对其进行身份验证。java应用程序只是使用LDAP将用户名发送到Active Directory。如果用户的CN不包含斜杠,则一切正常,但当用户的CN/DN包含斜杠时,无论传递什么进行身份验证,AD都不会对用户进行身份验证。jboss配置文件login-config.xml具有以下LDAP配置:-
<
我正在尝试将ActiveDirectoryUserStoreManager设置为辅助用户存储。但我似乎无法正确分配用户的角色
到目前为止我所做的:
-建立了AD ldap连接
-从广告中检索用户
-从广告中检索角色
-可以在API Manager Gui中查看连接到特定角色的用户
我的问题是:
当我转到一个用户并单击API管理器Gui({IP}:9443/carbon/user/user mgt.jsp)中的“查看角色”时,我会看到一个“找不到匹配的角色”对话框。但是,当我转到一个角色({IP}
我使用Windows 2012 ADC,我有一组OCSP响应程序,有2个节点
OCSP群集共享一个吊销配置
我在文档中读到,撤销配置在数组成员之间同步,但如果web代理缓存中的条目也在成员之间同步,我在文档或Google上找不到
是这样吗?我已经执行了一项测试,并且找到了一种方法来获取两个OCSP节点的每个web代理缓存中的证书的不同有效性状态(OCSP节点1=“有效”,OCSP节点2=“撤销”)
我还等待了大约2个小时来检查是否有任何同步发生,并且在延迟后的结果是相同的
我在Windows 2
所以我被这个问题困住了。我花了好几个小时阅读并试图解决这个问题。有人能告诉我我做错了什么吗?这是我的
ldap公司
i have integrated Tuleap with active directory, i can able to add the users with the project.The Problem is that the users are getting suspended automatically for every 24 hrs.
禁用ldap_daily_s
我正在尝试找到一种连接到LDAP/Active directory的解决方案,以便检查.Net5 MVC6web应用程序上的用户身份验证。
我看到有一个名为ADAL的解决方案,但我希望能够在没有Azure的情况下使用它。
我正在寻找一种类似于System.DirectoryServices的解决方案(仅适用于dnxcore50)。
有人能让它工作吗?至少你的问题的部分答案来自
基本上使用“Windows身份验证”(active directory)以及[Authorize]属性。如果要将标识与L
请参阅下面的stacktrace
原因:javax.naming.AuthenticationException:[LDAP:错误代码49
-8009030C:LDAPPER:DSID-0C09003A8,注释:AcceptSecurityContext错误,数据52e,v1db1]位于
com.sun.jndi.ldap.LdapCtx.mapErrorCode(LdapCtx.java:3099)位于
com.sun.jndi.ldap.LdapCtx.processReturnCode(L
目前我正在从事的项目是使用ASP.NET Web表单开发的,我在网上几乎找不到任何ADF可以与ASP.NET Web表单集成的例子,它们都是带有MVC的ADF,例如
询问是否有可能在不使用MVC的情况下使用ASP.NET Web表单实现ADF?如果是,我可以参考哪篇有用的文章?是的,你可以
使用WIF作为访问ADF的手段。这实际上只是使用对web.config的更改。如果您有一个旧的VS,例如2012/2012,您可以使用添加STS或身份和访问工具为您连接所有内容
很好的概述。要实现多个ADF,
这是脚本重置用户密码的方式。它按预期工作。问题是如何使新密码重置为仅持续3天。由于没有参数定义重置后要更改的密码的过期时间(或日期),我将创建一个组策略(GPO)以强制执行“重置后过期策略”,然后将该GPO分配给名为的组“到期通行证”用于此目的
最后将使用addadgroup成员(删除ADGroup)将用户移动到my“ExpirationPass”组以强制执行策略的脚本中的成员)cmdlet
祝你好运!将创建一个组策略(GPO),以强制执行“重置后过期”策略“这听起来像我要找的,这个GPO在
我正在尝试使用Microsoft Graph为我们广告组中的用户分配特定于应用程序的角色
我将请求发送到的链接:
https://graph.microsoft.com/beta/users/{我要将角色分配给的用户ID}/approvalsignments/{广告企业应用程序的对象ID}
在请求中:
{“id”:“我试图分配给用户的角色的id”}
错误:
“code”:“BadRequest”,
“消息”:“写入请求仅在包含的实体上受支持”,
文档没有很好地定义示例中的参数,我尝试了各种可能性
我正在开发一个应用程序,其中我根据用户的RID识别用户和组。因此,如果域上存在重复的RID,则会出现问题。以下链接http://support.microsoft.com/kb/315062 表示如果管理员占用RID管理器的角色,并且两个或多个用户同时请求RID,则这是可能的。我想知道还有什么可能会导致重复的RID
提前感谢。在您的问题中,我不明白的是为什么要使用RID来区分用户和组。这些对象来自不同的类,因此可以自然地进行区分
在Win32编程中,您只需使用:
BOOL WINAPI Look
上一页 1 2 3 4 5 6 ...
下一页 最后一页 共 44 页