问题标签 [active-directory]

我正在 InfoPath 中创建一个要集成到 SharePoint 2007 门户中的表单。在此表单中将有一个文本字段，用户可以在其中输入人员姓名。

如何验证此人是否存在？

有没有办法用门户的所有用户名填充下拉列表，而不是验证用户？（原因可能是来自 Active Directory 的用户）

我正在尝试使用VBScript通过提供电子邮件地址 来连接拉动Active DirectoryphysicalDeliveryOfficeName中的属性。

我知道如何使用如下通用名称进行操作：

但是，只有电子邮件地址可用。这该怎么做？我什至试过

那是行不通的。

我刚刚将我们公司的域控制器从 NT 4.0 升级到了 Windows 2008 Server。我使用了就地升级路径，首先从 NT 4.0 升级到 Windows 2003 Server，然后从 2003 Server 升级到 2008 Server。最初的 NT 4.0 域名称为Company。新域是Company .local。我已确认用户和计算机信息已正确迁移，新域已运行一周，几乎没有问题。

我现在遇到的问题是为一组用户设置 GPO 用户登录脚本。我相信我已经正确设置了 GPO，但是登录后脚本没有在客户端上执行。

经过调查，我注意到如果我直接导​​航到域控制器，我可以在登录后手动从客户端执行脚本（批处理文件）：\\ ServerName \SysVol\ Company .local\Policies\{GUID}\User\Scripts\Logon

但是，如果我的理解是正确的，客户端在执行登录脚本时不会使用此路径，而是使用域（林？）名称作为源（在这种情况下域和林名相同）：\ \ Company .local\SysVol\ Company .local\Policies\{GUID}\User\Scripts\Logon

从客户端手动执行此批处理文件时，我收到一个“打开文件 - 安全警告”对话框，声称客户端无法验证发布者。上面的两条路径本质上是同一个地方，只是用不同的路径访问。

知道为什么客户端在通过 \\ Company .local 而不是 \\ ServerName访问时不信任来自他们自己的域控制器的内容吗？还有其他地方我应该寻找可能的原因吗？

所以这是我当前的代码：

这是几个月前有人完成的，我很难理解为什么它不起作用。该公司最近刚刚从一个域名转移到另一个域名。所以我很好奇 p.IsInRole("String") 函数将使用什么域控制器。我假设无论计算机使用什么，它都会使用默认 DC。

奇怪的是，办公室中运行此程序的计算机可能位于 2 个单独的域中。在List<string>对象中，我有两个可能的域。因此它可以包含诸如“domainA\groupA”、“domainA\userB”、domainB\groupC 和/或“domainB\userD”之类的项目。

所以我的主要问题是 IsInRole 函数永远不会返回 true。我知道它应该，我什至用 domainA\Domain 用户对其进行了测试，但仍然得到一个错误的返回。

有任何想法吗？更改代码是可能的，但不是想要的。我不是 100% 我什至可以编译它...

在针对我们的 Active Directory 结构使用 LDAP 查询以查找用户帐户时，一些记录（但不是全部）缺少某些关键字段，特别是 memberOf 和 userAccountControl（它具有指示帐户是否被禁用的位标志）。

以下是一些精炼细节：

• 如果查询设置为过滤这些字段中的任何一个（例如获取营销部门组中未禁用帐户的列表），它们将从结果集中消失（因为就 AD 而言，它们丢失了） .

• 如果使用高权限域管理员帐户执行查询，则查询工作正常。

• 有问题的记录大约占用户记录总数的 1/4 - 1/3。大多数确实似乎是较新的记录（我们一度认为这可能与在域控制器服务器上升级到 2003 有关），尽管一些较旧的记录似乎也受到影响。

• 粗略查看两条相似的记录，一条其整个记录可供任何帐户查看，另一条不显示任何明显差异。

所以我最好的猜测是有某种权限拒绝集（可能在模式级别？）这使得某些字段受到限制。我应该注意到域管理员从不故意设置任何此类权限。

更新/解决方案： ADSI 编辑（在Windows 2003 支持工具中）帮助我将其归结为对经过身份验证的用户角色的默认权限的更改。对于某些人来说，该角色包含读取帐户限制（其中包含 userAccountControl）和读取组成员资格 (memberOf)，而对于其他人则没有。

差异的最初原因仍然不清楚，尽管大多数“坏”记录是在域控制器切换到 Windows 2003之后创建的，这可能是一个因素。

解决方案： 这仍然有点不确定，但很可能是更新的组策略，结合脚本来更新现有帐户。

我需要通过 Active Directory 设置 SSL。我用谷歌搜索了很多，但找不到一篇关于如何做到这一点的像样的文章。如果你知道一些关于这方面的好资源，请告诉我。谢谢！

所以我设置了一个运行 8.04 版本的 Ubuntu 服务器。我使用这些说明将其设置为使用同样打开的包向我们的 Active Directory 进行身份验证。该设置的一部分是为登录机器的域管理员用户提供 sudo 访问权限。

现在，我想拒绝所有域登录的登录权限，但“域管理员”组中的用户除外。本地用户应该仍然可以登录。任何人都知道如何做到这一点？

如何针对 Active Directory 验证用户名和密码？我只是想检查用户名和密码是否正确。

我正在为几个使用基于表单的身份验证的 Web 应用程序构建一个单点登录系统。

我设想的方式是，当用户通过我的 sso 门户单击链接时，我的 sso 系统将处理针对活动目录的身份验证将验证传递到所需的 Web 应用程序。

构建这样的东西的最佳方法可能是什么？

我有一个通过 .NET 分发的 .NET 应用程序ClickOnce。应用程序内的安全性是通过WindowsPrincipal.IsInRole(GroupName)使用一组组作为资源的方法来实现的。对于与组在同一域中的用户，这种结构非常适合我们。不幸的是，我们现在有用户需要使用在机器上运行的应用程序，并在我们的域信任但不在同一个林中的不同域中使用用户帐户。

似乎IsInRole()在本地计算机上查询 AD 票证以获取组成员身份。不幸的是，这张票只包含机器所在域的域本地组以及其他受信任域的全局和通用组，我们的组是第一个域中的域本地组。catch-22 的情况来自这样一个事实，即 AD 不允许全局组或通用组中的外部安全主体，因此虽然第二个域中的用户可以查询它，但他们不能成为它的成员（这有点毫无意义！ )

解释一下：有两个域：DOM1 和 DOM2，它们之间建立了信任关系，但它们不在同一个林中。

是两个用户。

我想将两者都User1放在User2一个对两个用户都可见并且可以同时包含它们的组中。

我目前可以看到的唯一方法如下（其中 {} 表示组的成员，DL=Domain Local 和 GLO=GlobalGroup。）

在每个域中创建两个全局组：

和两个包含两个全局组的域本地组：

但这并不是真正可以接受的，因为我们实际上有两个以上的域和大约 70 个组要管理，包括组的层次结构，而且我们对其他域中组的管理没有太多直接控制。

我们还没有对使用 LDAP 的方法进行任何思考，但从我读过的少量内容来看，我认为通常不推荐用于此目的？