Score:1

ไม่สามารถเปลี่ยนชื่อ DN โดยใช้ข้อมูลรับรองผู้ใช้โดเมนที่เชื่อถือได้

ธง in

ฉันมีโฆษณาสองรายการซึ่งมีความสัมพันธ์แบบสองทาง (ฟอเรสต์และสกรรมกริยา) โดเมนที่เชื่อถือได้คือ trust1.com และ trust2.com

ฉันสร้างผู้ใช้โฆษณา (TEST1) ใน trust2.com โดยใช้ข้อมูลประจำตัวของผู้ดูแลระบบของโดเมนที่เชื่อถือได้ (trust1.com) แต่ฉันไม่สามารถเปลี่ยนชื่อผู้ใช้คอมพิวเตอร์จาก TEST1 เป็น TEST2 โดยใช้ข้อมูลประจำตัวของผู้ดูแลระบบ trust1.com

ฉันเห็นว่า ldap_rename กำลังให้ข้อผิดพลาดในการเข้าถึงของผู้ใช้ไม่เพียงพอ ความสับสนในที่นี้คือผู้ใช้สามารถเพิ่มโดยใช้ข้อมูลประจำตัวของโดเมนที่เชื่อถือได้ แต่ไม่สามารถเปลี่ยนชื่อได้

พารามิเตอร์ที่ส่งไปยังฟังก์ชัน ldap_rename คือ 
int ldap_rename_s( ld, dn, newrdn, newparent, deleteoldrdn, sctrls[], cctrls[] );
dn : CN=TEST1,CN=คอมพิวเตอร์,DC=trust2,DC=com
ใหม่: cn=TEST2
ผู้ปกครองใหม่: CN=คอมพิวเตอร์,dc=trust2,dc=com
ลบเก่า = 1

ฉันต้องทำอะไรอีกหรือไม่ก่อนที่จะดำเนินการนี้

Score:0
ธง ng

การตั้งค่าความปลอดภัยมาตรฐานสำหรับโดเมน Active Directory อนุญาตให้ผู้ใช้ที่ผ่านการรับรองความถูกต้องทั้งหมดสามารถเพิ่มคอมพิวเตอร์เครื่องใหม่ได้ ในขณะที่คุณต้องเป็นผู้ดูแลระบบ (หรือมีสิทธิ์การเข้าถึงเฉพาะ) เพื่อเปลี่ยนชื่อหรือลบเครื่อง

ดูเหมือนว่าบัญชีผู้ดูแลระบบของคุณใน trust1.com ไม่มีสิทธิ์ในการดูแลระบบใน trust2.com ดังนั้นจึงถือว่าเป็นผู้ใช้มาตรฐาน: สามารถเพิ่มคอมพิวเตอร์เครื่องใหม่ลงในโดเมน แต่ไม่สามารถจัดการเครื่องที่มีอยู่ได้ (รวมถึงเครื่อง สร้างขึ้นเอง)

นี่เป็นเรื่องปกติ เนื่องจากความเชื่อถือของโดเมนไม่อนุญาตให้ผู้ดูแลระบบจากโดเมนหนึ่งจัดการอีกโดเมนหนึ่ง และในทางกลับกัน เพื่อให้บรรลุเป้าหมายนี้ คุณจะต้องให้สิทธิ์ผู้ดูแลระบบใน trust2.com แก่ผู้ใช้หรือกลุ่มจาก trust1.com ไม่ว่าจะโดยชัดแจ้ง (โดยใช้ ACL) หรือโดยการวางไว้ในกลุ่มท้องถิ่นของโดเมนผู้ดูแลระบบ

user2956014 avatar
in flag
สวัสดี @Massimo ฉันสามารถแก้ไขได้หลังจากเพิ่มผู้ใช้โดเมนที่เชื่อถือได้เพื่อสร้างกลุ่มผู้ดูแลระบบของโดเมนที่ไว้วางใจ ขอบคุณมาก ๆ สำหรับความช่วยเหลือของคุณ. แต่สิ่งหนึ่งที่ฉันยังคงสับสนคือมันสามารถเพิ่มได้ (อย่างที่คุณบอกด้วยว่าสามารถเพิ่มได้) แต่มันสามารถลบได้ การแก้ไข (เปลี่ยนชื่อ) เท่านั้นไม่ทำงาน
Massimo avatar
ng flag
การเพิ่ม ลบ และแก้ไขต้องได้รับการอนุญาตที่แตกต่างกัน ขึ้นอยู่กับการตั้งค่าโดเมนของคุณ ตามค่าเริ่มต้นอนุญาตให้เพิ่ม (เข้าร่วม) สำหรับผู้ใช้ทั้งหมดเท่านั้น ฉันไม่ทราบเกี่ยวกับการตั้งค่าความปลอดภัยของคุณ บางทีโดเมนของคุณอาจอนุญาตให้ลบสำหรับผู้ใช้ทั้งหมดหรือสำหรับผู้ใช้ที่เข้าร่วมคอมพิวเตอร์ตั้งแต่แรก การแก้ไขวัตถุที่มีอยู่ยังต้องการสิทธิ์ที่แตกต่างกันด้วย
Massimo avatar
ng flag
อย่างไรก็ตาม สิ่งที่สำคัญที่สุดคือ ผู้ดูแลระบบในโดเมนที่เชื่อถือได้ไม่ได้เป็นผู้ดูแลระบบในโดเมนที่เชื่อถือได้โดยอัตโนมัติ คุณต้องทำให้ชัดเจน
Massimo avatar
ng flag
หากคำตอบของฉันช่วยคุณได้ โปรดอย่าลืมโหวตและยอมรับ
user2956014 avatar
in flag
คุณตอบฉันช่วยได้มากที่จะเข้าใจ ฉันทำเสร็จแล้ว โหวตขึ้น แต่มันให้ข้อผิดพลาด ขอบคุณสำหรับความคิดเห็น! คุณต้องมีอย่างน้อย 15 ชื่อเสียงในการลงคะแนน แต่ความคิดเห็นของคุณได้รับการบันทึกแล้ว

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา