問題タブ [active-directory]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
6 に答える
5966 参照

sharepoint - ユーザーが SharePoint Portal 内に存在するかどうかを InfoPath フォーム内で検証するにはどうすればよいですか?

SharePoint 2007 ポータルに統合されるフォームを InfoPath 内に作成しています。このフォーム内には、ユーザーが個人の名前を入力できるテキストフィールドがあります。

この Person が存在するかどうかを確認するにはどうすればよいですか?

ユーザーを検証する代わりに、ドロップダウン リストにポータルのすべてのユーザー名を入力する方法はありますか? (Active Directory のユーザーが原因)

0 投票する
2 に答える
33880 参照

vbscript - VBScript LDAP:Active Directoryの電子メールアドレスを使用してphysicalDeliveryOfficeNameを照会する方法はありますか?

電子メールアドレスを指定して 、 VBScriptを使用してActiveDirectoryphysicalDeliveryOfficeNameの属性をプルするように接続しようとしています。

私は次のような一般名でそれを行う方法を知っています:

ただし、利用できるのはメールアドレスのみです。これを行う方法?私も試しました

それはうまくいきません。

0 投票する
2 に答える
18628 参照

active-directory - Active Directory ドメイン サービスを使用して GPO ログオン スクリプトを実行する際の問題

会社のドメイン コントローラを NT 4.0 から Windows 2008 Server にアップグレードしました。最初に NT 4.0 から Windows 2003 Server へ、次に 2003 Server から 2008 Server へのインプレース アップグレード パスを使用しました。元の NT 4.0 ドメインの名前はCompanyでした。新しいドメインはCompany .local です。ユーザーとコンピューターの情報が適切に移行されたことを確認しました。新しいドメインは 1 週間稼働しており、問題はほとんどありません。

私が現在抱えている問題は、一連のユーザーに対して GPO ユーザー ログイン スクリプトを設定することです。GPO を正しく設定したと思いますが、ログイン後にクライアントでスクリプトが実行されません。

調査の結果、ドメイン コントローラー \\ ServerName \SysVol\ Company .local\Policies\{GUID}\User\Scripts\Logonに直接移動すると、ログイン後にクライアントからスクリプト (バッチ ファイル) を手動で実行できることがわかりました。

ただし、私の理解が正しければ、このパスはクライアントがログイン sript を実行するときに使用されず、代わりにドメイン (フォレスト?) 名がソースとして使用されます (この場合、ドメインとフォレスト名は同じです): \ \ Company .local\SysVol\ Company .local\Policies\{GUID}\User\Scripts\Logon

クライアントからこのバッチ ファイルを手動で実行すると、「ファイルを開く - セキュリティの警告」ダイアログが表示され、クライアントが発行元を確認できないと主張します。上記の 2 つのパスは基本的に同じ場所ですが、別のパスでアクセスするだけです。

\\ ServerNameではなく \\ Company .local経由でアクセスしたときに、クライアントが独自のドメインコントローラーからのコンテンツを信頼しない理由は何か考えはありますか? 考えられる原因を探す必要がある他の場所はありますか?

0 投票する
3 に答える
3131 参照

c# - WindowsPrincipal.IsInRole() が期待される結果を返さない

だからここに私の現在のコードがあります:

これは数か月前に誰かによって行われましたが、なぜ機能しないのか理解できません。同社は最近、あるドメイン名から別のドメイン名に移動したばかりです。そのため、p.IsInRole("String") 関数が使用するドメイン コントローラーに興味がありました。コンピューターが使用しているものは何でも、デフォルトの DC を使用すると想定しています。

奇妙な点は、これが実行されているオフィス内のコンピューターが 2 つの別々のドメインにある可能性があることです。オブジェクトではList<string>、両方のドメインが可能です。そのため、「domainA\groupA」、「domainA\userB」、「domainB\groupC」、「domainB\userD」などの項目が含まれる可能性があります。

したがって、私の主な問題は、IsInRole 関数が決して true を返さないことです。私はそれが必要であることを知っています.domainA\Domainユーザーでテストしても、falseが返されます.

何か案は?コードを変更することは可能ですが、望ましくありません。私は100%ではありませんが、コンパイルすることさえできます...

0 投票する
2 に答える
6163 参照

active-directory - LDAP と Active Directory の結果で、一部の結果のフィールドが欠落している

ユーザー アカウントを検索するために Active Directory 構造に対して LDAP を使用してクエリを実行すると、特定のキー フィールド、特に memberOf と userAccountControl (アカウントが無効かどうかを示すビット フラグを持つ) が欠落しているレコード (すべてではない) があります。

ここにいくつかの洗練された詳細があります:

  • クエリがこれらのフィールドのいずれかでフィルタリングするように設定されている場合 (マーケティング部門グループで無効になっていないアカウントのリストを取得するなど)、それらは結果セットから消えます (AD に関する限り、欠落しているため)。 .

  • 高度な権限を持つドメイン管理者アカウントでクエリを実行すると、クエリは正常に機能します。

  • 問題のあるレコードは、ユーザー レコード全体の約 1/4 ~ 1/3 です。一部の古いレコードも同様に影響を受けているようですが、ほとんど新しいレコードのようです (ドメイン コントローラ サーバーの 2003 へのアップグレードに関連していると考えられていました)。

  • 2 つの類似したレコードをざっと見てみると、1 つはレコード全体がどのアカウントでも表示可能で、もう 1 つはそうでないため、明らかな違いは見られません。

したがって、特定のフィールドを制限する何らかの種類のアクセス許可拒否セット (おそらくスキーマ レベルで?) があると推測できます。ドメイン管理者が意図的にそのようなアクセス許可を設定したことは決してないことに注意してください。

更新/解決: ADSI Edit ( Windows 2003 サポート ツール内) は、認証されたユーザー ロールの既定のアクセス許可の変更を突き止めるのに役立ちました。一部の人にとっては、ロールには読み取りアカウント制限 (userAccountControl を含む) と読み取りグループ メンバーシップ (memberOf) が含まれていましたが、含まれていなかった人もいました。

ドメイン コントローラーを Windows 2003 に切り替えた後に、ほとんどの "不良" レコードが作成されたという事実が原因である可能性がありますが、違いの元の原因はまだ明確ではありません。

解決策: これはまだ少し未定ですが、既存のアカウントを更新するスクリプトと組み合わせて、更新されたグループ ポリシーになる可能性が最も高いです。

0 投票する
4 に答える
27729 参照

ssl - Active Directory で SSL を設定する方法

Active Directory で SSL をセットアップする必要があります。私はたくさんグーグルで調べましたが、これを行う方法についてのまともな記事を見つけることができませんでした. これに関する優れたリソースを知っている場合は、お知らせください。ありがとう!

0 投票する
4 に答える
4826 参照

linux - AD "Domain Admins" グループに属していないユーザーの Linux マシンへのログインを拒否しますか?

そこで、8.04 リリースを実行する Ubuntu サーバーをセットアップしました。これらの手順を使用して、同様に開くパッケージを使用して、Active Directory で認証するようにセットアップしました。そのセットアップの一部は、マシンにログインする Domain Admin ユーザーに sudo アクセスを許可することでした。

ここで、「ドメイン管理者」グループに属するユーザーを除くすべてのドメイン ログインのログイン権限を拒否したいと考えています。ローカル ユーザーは引き続きログインできるはずです。誰でもこれを達成する方法を知っていますか?

0 投票する
14 に答える
534070 参照

c# - Active Directory に対してユーザー名とパスワードを検証しますか?

Active Directory に対してユーザー名とパスワードを検証するにはどうすればよいですか? ユーザー名とパスワードが正しいかどうかを確認したいだけです。

0 投票する
2 に答える
1533 参照

python - SSO システムを構築するためのベスト プラクティス

フォーム ベースの認証を使用するいくつかの Web アプリ用のシングル サインオン システムを構築しようとしています。

私のssoシステムがアクティブディレクトリに対する認証を処理し、使用者が私のssoポータルからリンクをクリックしたときに、検証を目的のWebアプリに渡すことを想像しています。

このようなものを構築するための最良の方法は何ですか?

0 投票する
3 に答える
1601 参照

.net - .NET アプリケーションがドメイン間で AD グループにアクセスできない

を通じて配布された .NET アプリケーションがありますClickOnce。アプリケーション内のセキュリティはWindowsPrincipal.IsInRole(GroupName)、グループのセットをリソースとして使用する方法で実装されます。この構造は、グループと同じドメイン内のユーザーに対してうまく機能します。残念ながら、マシン上で動作するアプリケーションを使用し、ドメインによって信頼されているが同じフォレストにはない別のドメインのユーザー アカウントを使用する必要があるユーザーがいます。

IsInRole()グループ メンバーシップのローカル マシン上の AD チケットをクエリするようです。残念ながら、このチケットには、マシンのドメインのドメイン ローカル グループと、他の信頼できるドメインのグローバルおよびユニバーサル グループしか含まれていません。私たちのグループは、最初のドメインのドメイン ローカル グループです。キャッチ 22 の状況は、AD がグローバル グループまたはユニバーサル グループのいずれかで外部セキュリティ プリンシパルを許可していないため、2 番目のドメインのユーザーがクエリを実行することはできますが、そのメンバーになることはできません (少し無意味です! )

説明: DOM1 と DOM2 の 2 つのドメインがあり、その間に信頼関係が設定されていますが、それらは同じフォレスト内にはありません。

2人のユーザーです。

と の両方を、両方のユーザーに表示され、両方を含むことができる 1 つのグループUser1に入れたいと思います。User2

現在確認できる唯一の方法は次のとおりです ({} は、グループのメンバーを示します。DL=Domain Local および GLO=GlobalGroup です)。

2 つのグローバル グループを各ドメインに 1 つずつ作成します。

および 2 つのグローバル グループを含む 2 つのドメイン ローカル グループ:

しかし、実際には 2 つ以上のドメインと、グループの階層を含めて約 70 のグループを管理する必要があり、他のドメインのグループの管理を直接制御できないため、これは実際には受け入れられません。

LDAP を使用するアプローチについてはまだ何も考えていませんが、私が読んだ少しのことから、この目的には一般的に推奨されていないと思いますか?