問題タブ [active-directory]

クライアント用のイントラネット アプリケーションを作成しています。管理インターフェイスを介して、特定の領域にアクセスできるユーザーとユーザー グループを構成できるようにしたいと考えています。私が知りたいのは、イントラネットの領域に割り当てられたユーザーまたはグループへの参照を格納する最良の方法です。

domain\usernameおよびdomain\groupname文字列を使用する必要がありますか、それとも完全修飾広告名(ou=computer room;cn=blahなど) を使用する必要がありますか?

参照をSQLに保存します。

SQL ServerADSIを使用してActiveDirectoryからデータをインポートし、whenChangedフィールドを使用してグループのメンバーを再インポートする必要があるかどうかを制御しています。

問題は、日付がGMTで返され、現在BSTにいることです。

それで、今朝9:50にメンバーを変更しました。私が言ったADツールは9:50ですが、ADSIクエリは8:50を返します。これは、1時間以内に2つの変更がある場合、1つを見逃すことを意味します。

私が使用しているクエリは次のようになります。

正確な日付を教えてくれる別のフィールドを使用できますか？SQL Serverでやろうとしていることを実行するためのより良い方法はありますか？

プログラムからの Windows セッションから任意のユーザーをログオフできる必要があります。

管理者としてログインして、リモート ログオフを強制できることはわかっています。ログインせずにログオフを強制する他の方法はありますか?

このツールは管理者として実行されるため、ログインせずにリモート ログオフできることは問題ではありません。

ツールは .NET にありますが、他の方法も歓迎します (JScript、PInvoke から実行するコマンド ライン ツールなど)。

Web サイトの外部認証メカニズムである認証を実装するためのプラグイン アーキテクチャを実装しています。私が提供する予定のプラグインの 1 つは、ActiveDirectory プラグインです。MinRequiredPasswordLength など、MembershipProvider の一部の機能を実装したいのですが、ActiveDirectoryMembershipProvider を完全に実装または構成したくありません。

ADにクエリを実行して、必要な最小パスワード長を取得する方法を知っている人はいますか? これは GPO によって設定でき、ポリシーに応じてユーザー/コンピューターによって異なることはわかっていますが、任意の数値ではなく、ドメインの既定値に基づいた既定値を提供したいと考えています。

[編集] ActiveDirectoryMembershipProviderの構成例は、これが構成で設定されていることを示しています。これをドメイン ポリシーに関連付ける方法はありませんか?

私のアプリケーションはTomcatで実行されます。GSS API（JNDI）を使用して、Kerberosを使用してActiveDirectoryLDAPサーバーに接続しています。これにより、ユーザーはADサーバーを定義し、それらに接続を試みることができます。ただし、接続の試行を使用した最初のKerberosが実行されると、アプリケーションはKerberos構成を再度読み取ることはありません（/etc/krb5.conf）。したがって、これを変更するには、tomcatを再起動する必要があります。

どうすればそのような再起動を回避できますか？接続を試みるたびに、アプリケーションにKerberos構成を強制的に再ロードさせるにはどうすればよいですか？

win32 API を使用してドメイン ユーザー アカウントのリストを取得するにはどうすればよいですか?

特に、コンピューターがドメイン コントローラーでない場合、このリストを取得できません。代わりに、ドメインのメンバーです。

マルチフォレスト環境で Active Directory からの情報を使用する開発中のアプリケーションのトラブルシューティングに取り組んでおり、現在の問題は、フォレストの信頼が推移的であるかどうか、また推移的である場合はどのような条件であるかを判断することです。

セットアップ: Active Directory 2003 を使用して、ForestAはForestBとの間で双方向のフォレストの信頼を確立します。 ForestBには、 ForestCとの双方向のフォレストの信頼があります。

この状況では、ForestA と ForestC の間に何らかの信頼関係がありますか? 相反する情報が見つかりました。この最初のリンクは、フォレストの信頼が他のフォレストに推移しないことを明確に示しています。

森林信託

フォレストの信頼は、2 つのフォレスト間でのみ作成でき、3 つ目のフォレストに暗黙的に拡張することはできません。これは、フォレスト 1 とフォレスト 2 の間にフォレストの信頼が作成され、フォレスト 2 とフォレスト 3 の間にもフォレストの信頼が作成された場合、フォレスト 1 はフォレスト 3 との暗黙的な信頼を持たないことを意味します。

ただし、信頼の種類の一覧には、フォレストの信頼が推移的であることも示されています。

信託の種類

信頼の種類: フォレスト 推移性: 推移的

このフォレストの信頼の上に、[ドメインと信頼の管理] で表示すると、Active Directory の信頼のリストに「推移的」と表示されます。

これは、フォレストの信頼が信頼する側のフォレスト内では推移的であるが、他のフォレストに対しては推移的ではないことを意味しますか? したがって、前述のシナリオでは次のようになります。

ForestA <-> ForestB <-> ForestC

サブドメインは推移性を通じてフォレストの信頼を取得します (したがって、 subdom1. ForestA は office7. ForestBを信頼します) が、 ForestAとForestBの間で共有されるアクセスがあります。これは正しいですか、それともマイクロソフトが公開しているかなり紛らわしい情報に混乱してしまったのでしょうか? 誰かがこれについて共有できる個人的な経験を持っていますか?

私のアプリケーションでは、動作する複数のLDAPサーバーを定義できます。複数のLDAPサーバーへのKerberosアクセスを定義したい場合があります。できますか？単一のホストが、接続方法としてKerberosを使用してActive Directoryサーバー間を移動できますか？

Windows認証を使用するWebアプリケーションを作成していますが、次のようなものを使用してユーザーのログイン名を喜んで取得できます。

しかし、ログイン名は必要ありません。DisplayName が必要です。もう数時間頭を叩いています...

Web アプリケーション経由で組織の AD にアクセスできますか?

昨日はひどい一日でした。ドメイン管理者の 1 人が、700 人以上のユーザーと同数のコンピューターを含む OU を削除し、グループなどのその他の有用なものをまとめました。

バックアップから復元しましたが、きれいではありませんでした。

ADUCがあなたに確信があるかどうかなどを尋ねることは知っています...しかし、ADSIEditのようなものにアクセスして削除を「許可」に設定せずにこの特定のOUを削除することができなかった場合、それによって人々を許可しないようにしたいと思います実際に新しいアプリを開かずに、「はい、自分が何をしているのか知っています」と明確に示すことなく削除します。これには、重要な AD オブジェクトを削除することによる偶発的なミスコーディングを防ぐという追加の利点があります。

皆さんが思いつくような属性やメソッドはありますか?