我需要远程在本地管理员组中添加域用户,并且必须添加本地管理员密码
在我们的 AD 设置中有很多安全组,但只有 1 个分发组(由以前的管理员创建)。
两种类型的组都包含域对象列表(我正在查看的用户)。
安全组和通讯组有什么区别?
如何为 vsftpd 用户的上传设置默认组?
当我上传文件时,文件组设置为用户名...如何让它自动设置为特定组?
我在 ubuntu 10 用户名上创建了一个新用户:codeuser
有一个名为“admin”的现有用户。现在,我的问题是我无法使用 codeuser 凭据直接连接到服务器。但是,我可以通过“admin”然后 su(将用户更改为 codeuser)SSH 进入,并且它可以工作。如何让 shell 访问 codeuser 用户?
这是我的文件的输出:
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
www-data:x:33:33:www-data:/var/www:/bin/bash
admin:x:1000:1000:,,,:/home/admin:/bin/bash
ftp:x:107:65534::/home/ftp:/bin/false
codeuser:x:1004:33::/home/codeuser:/bin/bash
cat /etc/group
root:x:0:
www-data:x:33:
codeuser:x:1005:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:mysql
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
我有两个错误创建的 AD 组,而应该只有一个组;它们包含完全相同的用户。但是,这些组已被分配了对各种资源(如文件共享)的各种权限,我无法跟踪所有这些资源并将它们重置为仅引用一个组。
如果我删除其中一个组并将其 SID 放在另一个组的 SID 历史记录中,我可以“合并”这两个组吗?这是否会允许剩余组的成员访问那些已授予已删除资源权限的资源?
看起来没有简单的方法可以将 SID 添加到用户或组的 SID 历史记录中;至少,ADUC 和 ADSIEdit 都无法做到这一点。如果上述技巧有效,这实际上如何实现?
我想验证用户帐户filesender_1是否是valid_senders组的成员。
当我查看 /etc/group 时,filesender_1不存在:
valid_senders:x:12345:production_1
我将其读为“production_1 是 valid_senders 组的唯一成员,其组 ID 为 12345。”
然而:
当我查看 /etc/passwd 时,valid_senders的组 ID列在filesender_1 ...
filesender_1:x:1515:12345:filesender_1:/local/home/filesender_1:/bin/sh
......所以我知道valid_senders是主要组filesender_1。
这是一个令人惊讶的差异,还是 /etc/group 仅列出该组为次要的成员是否正常?
在 Exchange 2010 中,通讯组必须是通用的。这是由文档支持的
您只能创建或启用邮件的通用通讯组。
我正在尝试创建一个基于角色的安全组结构,以便如果有人离职或更换工作,您只需更改用户“角色”的组成员身份(角色只是另一个安全组)。在最简单的形式中,角色将拥有用户作为成员,而角色本身将是其他以资源为中心的安全组的成员,例如共享的读写组。该模型还有更多内容,但对于此问题的目的来说应该足够了。
问题出在我想将这些角色组添加为分发成员时。如果我尝试将“营销经理”角色添加到“marketing@domain.com”通讯组列表,则除非角色安全组是通用的,否则它不会将邮件转发给角色成员。
通用组不能是全局组的成员。因此,如果我想将我的角色组转换为通用角色,以便我可以通过邮件启用它们,那么我还必须更改角色本身也是其成员的组。这意味着我会将 AD 中所有安全组附近的所有安全组转换为通用组以支持我提议的结构。
我们是一个拥有大约 1000 个用户的单域林,我希望一旦所有组都拥有 1000+。域的功能级别为 2008R2
老实说,我不知道这可能会对我们的活动目录环境产生什么影响。如果我想将我的角色添加到通讯组,让所有组通用真的是唯一的方法吗?如果我希望它们用于邮件,答案似乎是肯定的。我确实希望这样做,这样帮助台用户就不必担心用户需要哪些组。他们只需要知道他们的“角色”。
链接的问题回答了为什么我不能只拥有简单的安全组,但我想知道我提议的结构(意味着我将几乎所有组都转换为通用)是否有任何负面影响或可能被认为是一种不好的做法。
我一直在查看具有数千个组的 Active Directory,其中成对的组是彼此的成员。
GroupA 将 GroupB 作为成员。GroupB 将 GroupA 作为成员。
哎呀。我试图思考这种循环嵌套的群体可能产生的后果。
我正在尝试使用 PowerShell DSC 将域组添加到本地管理员组。这是代码:
Configuration TestSetup {
Node localhost {
Group Administrators {
GroupName = "Administrators"
MembersToInclude = "MYDOMAIN\TheAdministratorsGroup"
}
}
}
当我运行它时,这会导致以下错误:
PowerShell provider MSFT_GroupResource failed to execute Test-TargetResource functionality with error message: Could not find a principal with the provided name [mydomain\theadministratorsgroup]
+ CategoryInfo : InvalidOperation: (:) [], CimException
+ FullyQualifiedErrorId : ProviderOperationExecutionFailure
+ PSComputerName : localhost
主体确实存在,我可以通过 GUI 手动添加它并使用net localgroup.
我知道 DSC 配置是在该SYSTEM帐户下执行的,所以我认为这可能是SYSTEM想要查询 Active Directory的帐户的权限问题。但是,我已经SYSTEM使用 PsExec将 cmd 作为帐户运行,并且能够毫无问题地将域组添加到本地管理员组。
我们的用户和组 LDAP 配置正在运行。
我们的服务器使用 LDAP 来存储用户和组。
# /etc/nsswitch.conf :
passwd: compat ldap
group: compat ldap
shadow: compat ldap
但是今天我们在 LDAP 中添加了一个新组,有 3 个用户,然后添加了其他用户。3 个用户在组中,但不在其他组中。
我们可以通过使用“groups”看到这一点:更准确地说,“getent group GROUPNAME”显示组中的用户,而“groups”不显示该用户的组......?!
因此,我试图理解:
对不起,我的问题没有更准确,但我真的不知道从哪里开始......
PS配置文件
# /etc/ldap/ldap.conf
URI ldap://172.16.1.232
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
# /etc/pam_ldap.conf
base dc=ourdomain,dc=ch
uri ldap://172.16.1.232/
ldap_version 3
rootbinddn cn=admin,dc=ourdomain,dc=ch
pam_password crypt