问题标签 [activedirectorymembership]

我们有一个 Azure Active Directory，在其中我希望用户能够通过转到“应用程序注册”部分来创建 AD 应用程序。

在这里阅读链接，

检查应用注册设置。如果设置为是，非管理员用户可以注册 AD 应用程序。此设置意味着 Azure AD 租户中的任何用户都可以注册应用。

我已将“用户设置”下的“用户可以注册应用程序”的值设置为Yes。但是当用户去应用注册，并创建一个应用时，他们会看到一个错误“权限不足以完成操作”。

这里还需要其他步骤吗？

我在 Active Directory 中遇到了一个问题，我确信它有一个简单的解决方案，但我似乎无法让它工作或修复。

基本上，我有一个具有通用组范围的通讯组，并且该组中的成员直接接收发送到 DL 的电子邮件，没有任何问题。

此外，作为通讯组的成员，我有一个全球安全组和其他几个成员。此安全组的成员不会收到任何发送到分发列表的电子邮件，并且当我在 Exchange 和/或 Outlook 中查找 DL 时，它们不会出现在成员列表中。

我确信解决方案非常简单，我假设它可能与组范围有关，但我似乎无法绕过它并解决。

我正在尝试使用前端中的 Angular 和节点 + Azure MS SQL 分片数据库设计在 Azure AD 中构建可扩展的多租户 b2b SAAS。

我花了一周时间浏览 MS 文档和示例（tailspin、调查应用程序），并开始在 angular7 应用程序中测试多租户行为，该应用程序除了使用adal-angular4进行身份验证外别无他用~ 5 个其他目前正在生产的项目。

到目前为止，我一生都无法弄清楚这种不可预测行为背后的原因。我有 3 个租户：A - B - C

A 是开发者租户 + 我的管理员帐户，B 是另一家公司的租户 + 我的普通用户帐户，C 是我的个人帐户的 AD 免费层租户。

除了将多租户设置切换为打开并将 Oauth2implicitflow 更改为 true 之外，我没有对开发人员 AD 上的 Azure AD 中的应用程序执行任何其他操作。

• 如果我使用租户 A 登录应用程序，一切都很好，在控制台中，我可以在 TID 下看到租户 A 的 GUID。

• 如果我使用租户 B 登录 - 它第一次要求权限，然后让我进入（为什么？？）。

• 如果我使用租户 C 的“工作”帐户登录，它不会抛出任何错误，不会请求许可，返回页面而无需实际登录，并且控制台上没有任何内容。
• 如果我使用租户 C 的“个人”帐户登录，它会告诉我租户 live.com 没有为该应用程序配置。

我的问题是：

1. 为什么它甚至让租户 B 登录应用程序？他们绝对没有被配置为能够访问它，并且在控制台上，tid 显然是第二个租户的意思（我认为）该帐户不是租户 A 上的来宾以便能够登录。
2. 我不知道为什么租户 C 在 Azure 端没有抛出错误，而是在没有实际登录的情况下返回页面。
3. 关于哪些租户可以注册该应用程序，我是否缺少任何文档？我查看了租户注册和入职文章，但它并没有真正解决问题。

根据我阅读的文档，租户 B 和 C 尝试登录应用程序的行为毫无意义。

我有一个文件中的活动目录计算机列表，我想查看它们中的每一个，它们属于哪些组。当您手动执行 200-300 次时，时间会很长，但我认为使用脚本需要几秒钟。我将衷心感谢您的帮助。在寻求帮助之前我已经尝试过搜索，但我找不到我想要的:(

使用 Umbraco 7.12.4

我正在使用 AD LDS 实例对后台用户和成员进行身份验证（两者都使用完全相同的 AD LDS 实例进行身份验证）。

在 Web.config 中：

当我导航到后台的成员部分时，我收到以下错误：

System.NotSupportedException: The property 'LastActivityDate' is not supported by the Active Directory membership provider.

我无法确定发生了什么。在这一点上我最好的猜测是它与使用 AD LDS 而不是完整的 AD 有关？该错误听起来像是 AD LDS 不支持该属性。

我处于多域和多林环境中。林 1 包含大量用户和域 - 林 2 包含单个旧域，此设置会导致问题。

当这在来自任一林的组上运行时，结果仅返回与该组在同一林中的成员。这是一个问题，因为我们在林 2 组中有来自林 1 的用户，反之亦然。编辑：来自其他林的用户在此输出中未列为外部安全主体，但我知道他们是基于 Forefront Identity Manager 的。

此处的目标是获取组内用户的完整列表，无论域或林如何，因为我们需要它来进行即将进行的审计。

想象一下我有结构

我怎么能检查那Group100是成员RootGroup

我有这个，它总是返回false

我已经编写了一个程序来用 c# - windows 窗体管理我们的 Active Directory。

我被困在以下几点：为了管理 Active Directory 和提交更改，您必须以管理员身份运行该程序。我想包含一个登录按钮以验证为管理员，并能够提交更改而无需直接以管理员身份启动 .exe。

就像是：

如果这是不可能的，我认为当用户输入他的凭据并将管理员凭据作为参数直接放入用户名和密码字段时，可能可以重新启动程序。

那可能吗？如果没有，您还有其他建议吗？

我在主AWS 账户中配置了一个 Simple AD，并且一些 Windows EC2 实例加入了这个 Simple AD。我想将加入主 AWS 账户的 Simple AD 的主账户 Windows 实例迁移到我的辅助AWS 账户，并且需要将这些实例与辅助账户中的 Simple AD 实例一起加入。

为此，我在主AWS 账户中创建了服务器的AMI，并将服务器的 AMI共享到我的辅助AWS 账户。

从辅助账户中的共享 AMI 创建实例后，我无法登录该实例，也无法从我的主Simple AD 域控制器中取消加入该实例。

请建议我如何从我的辅助AWS 账户中的主域控制器中取消加入实例。

注意，我无法在我的主要 AWS 账户中取消加入那些是生产服务器的实例。请建议我有什么方法可以取消加入辅助 AWS 账户中的实例并使用新的域控制器加入实例。

One of the legacy applications running on IIS 7 was recently ported to Azure App Service.

The application uses WebMatrix (Simple Membership) and Active Directory as membership providers. Upon hosting it on Azure App Service, we are getting Access Denied error

web.config

The application upon start gives this error:

We tried disabling WebMatrix in both providers and roleManager but even ActiveDirectoryMembershipProvider gives same error.

Any suggestions?