问题标签 [windowsdomainaccount]

我有一个相当笨拙的遗留 Intranet 应用程序，它跨多个网络共享执行大量文件操作（文件读取、移动、删除、创建目录等），我想设置一个预生产实例。目前，应用程序池在已被授予访问所有这些分散目录的域帐户下运行。我想知道使用相同的域帐户运行站点的第二个实例（不同的服务器）是否会成为问题。

这似乎不是一个容易从谷歌获得有用答案的问题。任何人都有这样做的经验吗？我宁愿不必创建更多帐户并跟踪所有需要添加权限的位置，如果我不需要的话。

我是一名新秀，我确信我缺少一些非常基本的东西，但不知道从哪里寻找以及如何开始。我需要一些关于如何设置具有受限权限的用户访问的帮助和指导。我的最终目标是拥有一个 AD 帐户，该帐户有权登录特定域中的所有服务器，并有权检查事件查看器日志以及启动和停止服务器上运行的服务。我不想将此帐户添加到域管理员或管理员组。在阅读了一点之后，我尝试创建一个单独的组，并在 OU（我们所有的服务器所在的位置）上为该组委派了一些权限，并将用户帐户添加到该组。用户仍然无法登录到该 OU 中的任何服务器。我还想使用 Powershell 自动执行此任务 :) 问候，

我正在为我在一家公司工作的客户编写基于C#和EWS 托管 API 2.2.0 （Microsoft.Exchange.WebServices.dll 程序集）的 Windows 窗体应用程序。

该应用程序的逻辑很简单：我的客户将他的电子邮件地址“sender@ABC.domain.com”和收件人的电子邮件地址“recipient@contoso.com”和应用程序发送一个基于 HTML 的电子邮件到接受者。

该应用程序必须连接到我的客户公司的 Exchange 服务器，将我的客户身份验证到 Exchange 作为 Windows 域用户（使用 Windows 域身份验证）（客户端已经使用他的用户名“发件人”登录到 Windows，并且此 Windows 用户发出请求) 然后，通过他的邮箱“sender@ABC.domain.com”发送电子邮件。

到目前为止，我已经编写了上面的代码，这似乎是正确的，但它给了我这个错误：“请求失败。远程服务器返回错误：（407）。需要代理身份验证”

我的客户使用 Windows 10。他的 PC 是 Windows 域的一部分，其 url 为“XYZ.domain.com”，他在 Windows 上的用户名是“sender”。他还在他的 PC 中安装了一个 Outlook 应用程序，该应用程序可以完美地连接到他公司网络上的 Exchange Server...

我完全是 Windows 域帐户/身份验证的业余爱好者。这是 Windows 域身份验证问题吗？这是 Exchange 连接设置问题吗？或者问题出在身份验证部分的代码中（我是否需要添加更多内容）？

我想使用 kerberos（AS 请求）执行 Windows 域身份验证，但我所拥有的只是客户端提供的 cardID。我有用户名但没有密码。

如何将卡用户验证为 kerberos 需要用户名和密码。在 Windows 2012/2016 服务器上使用 kerberos 机制验证卡 ID 的任何机制？

我使用众所周知的azure-quickstart-templates/service-fabric-secure-cluster-5-node-1-nodetype模板创建了一个 Service Fabric 群集。

在部署期间，我已将adminUsername和adminPassword字符串指定为ARM 模板参数。我刚刚使用了 2 长串随机字符并将它们写下来以备后用。

部署已成功，例如，我可以打开带有著名绿色圆圈的 SF 集群资源管理器网页。

但是，当我尝试连接到 VMSS 的其中一个节点时，为了检查我的 SF 应用程序日志，RDP 连接被拒绝：

我将 Loader 公共 IP 地址用于 RDP 连接，并已验证有一个 LB 规则：

当我输入在 ARM 模板部署期间指定的adminUsername和adminPassword字符串时，RDP 连接会在我的公司笔记本的域之前添加。

因此，我尝试在adminUsername前面添加 LB 公共 IP 地址，后跟反斜杠，但这也不起作用。

我也试过.\adminUsername（使用我的公司笔记本的域是错误的）和\adminUsername 和nt1vm_1\adminUsername（仍然没有连接）：

如何通过 RDP 连接到我的 SF 集群的 VMSS 实例？

我还为我的问题创建了Github 问题 #7684。

更新：

无法与 Mac OS 的 Microsoft 远程桌面连接：

更新 2：

为过度简化我的问题描述而道歉-

我实际上并没有将 RDP 凭据写到纸上，而是生成并将它们保存在 Key Vault 中，然后将它们作为管道变量输出（我知道，不太安全......）并将它们传递给 SF 模板：

所以这不是我写下错误凭据的问题。并且这个 YAML 文件被 5 个管道使用，以填充 5 个不同的 RG（使用 CosmosDb、Key Vault、SF）——所有这些都存在上述 RDP 连接问题。

更新 3：

因为我在 SF 集群中有 3 个节点，所以我尝试在 RDP 对话框中使用nt1vm_0\username、nt1vm_1\username、nt1vm_2\username甚至nt1vm\username作为用户名，但可惜这不起作用：

随着时间的推移，我们的组织经历了一些个人资料名称更改（即当一个人结婚时），并且还没有重命名用户主目录的标准。所以我们有像 MarySmith 这样的用户，他们的目录像 C:\USERS\MaryJones。到目前为止没有问题，但现在我们想清理这些以避免混淆。（此处使用的 MarySmith / MaryJones 仅用于说明目的。）我们开始采取一些安全措施，消除这种“混乱”在此过程中发挥了作用。

因此，我们的第一步是确定发生这种情况的案例。在域控制器上，我们发出了这样的 PowerShell 命令，用于初始概念证明：

我们发现根本没有提到 MaryJones 文件夹。有一个 HomeDirectory 属性，但它是空的。

再深入一点，在 Active Directory 用户和计算机 (ADUC) 中，当我们为用户提取属性时，我们也看不到配置文件路径、登录脚本、主文件夹......全为空的差异。然而，当用户 (MarySmith) 登录时，C:\USERS\MaryJones 中的 NTUSER.DAT 文件会得到更新。

谁能帮助我们了解如何检索正确的信息，以及 Windows 如何跟踪这些名称相关的事实？我相信，如果我们能够恢复这种关联，我们就可以消除一些问题。

谢谢，丹尼斯

我正在尝试设置具有以下要求的 Windows 服务：

• 作为域帐户运行 - 此帐户有权访问该进程将触及的其他共享
• 在机器上拥有完全的管理权限，通过 UAC - 特别需要能够拥有文件夹的所有权

问题是该过程需要在某些时候取得文件夹的所有权，这是通过调用takeown /A /F <file>. 这适用于命令行，但只有当它明确时Run as Administrator-作为机器上的本地管理员并没有提供完整的管理员权限，并且该帐户仍然必须通过 UAC 提示符，所以当作为服务运行时，我们只是得到ERROR: The current logged on user does not have administrative privileges.。似乎为服务帐户绕过 UAC 的标准方法是使用该Local System帐户，但这不是一个选项，因为这样我们就无法访问其他服务器。

有没有办法设置服务并说“在机器上的完全管理员的上下文中以这个帐户运行”？作为另一种潜在的解决方案，有没有办法从机器上的 UAC 中排除域帐户？只要它作为服务运行，可以设置文件夹所有权并使用域帐户，任何其他解决方案都可以工作。理想情况下，这是在不打开大的安全漏洞的情况下完成的，比如在机器上完全禁用 UAC。

我最近通过本地计算机策略 > 用户配置 > 管理模板 > Windows 组件 > Microsoft 管理控制台 > 将用户限制在明确允许的管理单元列表中，将自己锁定在组策略管理之外。我的 regedit 也被禁用，即使我是管理员也无法访问组策略编辑器。请帮我恢复访问权限。{E12BBB5D-D59D-4E61-947A-301D25AE8C23} 是我在尝试访问组策略管理时收到的 SID。任何帮助将不胜感激。

我想使用 python 检查计算机是否在域中或工作组中
，例如：

我尝试使用os.environ['USERDNSDOMAIN']，但它给出了WorkGroupName或DomainName，我无法判断该名称是用于工作组还是域

你能帮我吗？

提前致谢