标签: groups

此 TechNet 博客指出：

Cryptographic Operators： FIPS 140-2 定义了“Crypto Officer”角色，该角色由 Windows 中的 Cryptographic Operators 组代表，首次在 Windows Vista SP1 中引入。

System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing在本地或组策略对象中配置“ ”安全设置时，默认情况下，只有 Cryptographic Operators 组或 Administrators 组的成员可以配置下一代加密 (CNG) 设置。具体来说，密码操作员可以编辑高级安全 Windows 防火墙 (WFAS) 的 IPsec 策略中的密码设置。

我执行了以下操作：

1. System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing在本地安全策略中启用“ ”安全设置。它可以在Security Settings -> Local Policies -> Security Options钥匙下找到。
2. 创建了一个新的标准用户。
3. 将用户添加到Cryptographic Operators组中。

我注意到，如果没有首先成为Network Configuration Operators. 然后，我注意到该组的任何成员都可以访问 WFAS，并在 …

我们有越来越多的外部开发人员（来自不同的客户），并且开始需要比临时添加到我们的服务器并将我们的公司组（拥有 /var/www/ 中的所有内容 - 我们的工作区）更好的策略

最佳解决方案是能够嵌套组，所以如果我可以的话@ourcompany 将成为@ourcompany 组的所有成员。

ourcompany:xxx:john,joe,bob guestcompany:xxx:guest1,guest2,@ourcompany

但那是不可能的。我正在考虑拥有一个模板系统的想法，在那里我做一些简单的 sed 东西来替代并创建一个新的 /etc/group

（我不想要 guestcompany:xxx:guest1,guest2,john,joe,bob 的原因是，如果我们在公司中添加或删除人员，则必须有人通过并确保所有内容都已更新，这可能会下降边缘）

我想下一个合乎逻辑的步骤是 ACL，但根据我过去的经验，它们处理起来有些麻烦，所以我只是想看看你们中是否有人知道任何其他可行的解决方案。

我继承了几个 RHEL5 服务器，这些服务器被设置为通过 winbind 对用户的 AD 帐户进行身份验证。一切正常，直到我更新 AD 中的组成员身份。对于某些用户，这些更改永远不会出现在“groups”命令的输出中，尽管它们反映在“getent group <groupname>”的输出中。

例如，请考虑以下情况：

[root@hcc1pl1 ~]# groups plubans
plubans : 域用户系统基础设施开发
[root@hcc1pl1 ~]# getent group q1esb
q1esb:*:23136:q1qai,q1prodi

如果我将自己添加到 winbind 正在使用的 DC 上的 q1esb，您可以看到成员资格已更新：

[root@hcc1pl1 ~]# lsof -i | grep的winbind的
winbindd服务31339根17U的IPv4 63817934 TCP hcc1pl1：56541-> hcnas01：微软-DS（建立）
winbindd服务31339根21U的IPv4 63817970 TCP hcc1pl1：53622-> hcnas01：LDAP（建立）
[根@ hcc1pl1〜]＃ldapsearch的-u -x -LLL -h hcnas01 -D "plubans@XXX.XXX" -W -b "CN=Peter Lubans,OU=标准用户账户,OU=Users,OU=XXX,DC=XXX,DC=XXX" "( sAMAccountName=*)" memberOf
输入 LDAP 密码:
...
memberOf: CN=q1esb,OU=Security Groups,OU=Groups,OU=XXX,DC=XXX,DC=XXX
...

请注意，winbind 在没有缓存的情况下运行（-n 标志）：

[root@hcc1pl1 ~]# ps -ef | grep winbind …

如果我们正在运行未连接到域的服务器，我将如何将域用户添加到该服务器上的本地组？

我的用户/权限有些奇怪。我目前有一个名为world组的用户world www-data admin。我有一个/var/abc具有权限的目录，0644或者rw-r--r--，该目录的所有权是world:www-data.

出于某种原因，当我尝试更改或列出该/var/abc目录时，我的权限被拒绝，但是如果我向用户添加了可执行权限，那么它就会变成0744或rwxr--r--我被允许访问所有内容。

我无法弄清楚发生了什么，有人可以解释一下吗？

我已阅读我的网站文件/文件夹在 Linux 网络服务器上应具有哪些权限？

但是我仍然被困住了。我的设置是：

• 拥有构成网站的目录和文件的开发者用户“ade”
• 服务器是通过套接字使用 php-fpm 的 nginx： fastcgi_pass unix:/tmp/php5-fpm.sock;
• 网站包含一个上传目录，在此配置下运行时，该目录必须可由 PHP 写入
• 我不想将权限设置为 777，显然

我创建了一个webadmin组，并向其中添加了 'ade' 和 nginx：

$ groups ade
ade : ade webadmin

$ groups nginx
nginx : nginx webadmin

我已将站点中所有内容的所有者设置为我和 webadmin 组： chown ade:webadmin *

...如你看到的：

drwxrwxr-x 2 ade webadmin 4096 Jul  3 13:58 logs
drwxrwxr-x 5 ade webadmin 4096 Jul  4 08:35 public
drwxrwxr-x 4 ade webadmin 4096 Jul  3 16:18 system
drwxrwsr-x 2 ade webadmin 4096 Jul  9 …

我被要求生成一个包含大约 50 个用户的列表所属的安全组（特别是不是通讯组）的列表。

我有一个用户列表，users.txt其中包含一个新行的每个用户名。我想生成一个membership.txt包含用户名和用户所属的安全组列表，用逗号分隔。

到目前为止我编写的Powershell脚本如下：

$users = Get-Content C:\users.txt

ForEach ($User in $users) {
  $getmembership = Get-ADUser $User -Properties MemberOf | Select -ExpandProperty memberof
  $User + ',' + $getmembership | Out-File -Append c:\membership.txt
}

这几乎有效，但有两个问题：

1. 它正在生成所有组的列表，而不仅仅是安全组。我怎么能告诉它只包括安全组而不包括通讯组？
2. 这些组以格式附加OU=Security Groups,OU=City,DC=domain,DC=com CN=Senior Leaders，但我真正想要的唯一信息是Senior Leaders. 我怎样才能删除所有额外的信息？

我是一名 Unix 人员，最近使用 powershell 帮助我的 Exchange 管理员同事在 Exchange 2010 中实施一个具有挑战性的项目。（我们得到的要求即使不是不可能满足也是具有挑战性的。）

我会尽量保持简单。这是我的第一个问题。

我们被要求必须限制某些 DL，以便只有某些内部 AD 用户可以发送到 DL。此外，这些 DL 必须在通讯簿中保持可见。将 'HiddenFromAddressBookEnabled' 属性设置为 $true 是不可接受的。领导表示，“唯一应该被允许看到谁在组中的人是可以发送到组中的人。此外，唯一应该能够看到通讯录中的DL条目的人是人谁被允许发送到DL。” 我不认为这是可行的，因为：

• 我可以通过调用地址簿中的（可见）条目，将其放入收件人：字段，然后单击 Outlook 中的“+”将其扩展到个人，然后绕过组安全性来绕过发件人安全限制. （我已经证实了这一点。）
• 我认为不可能有选择地只对某些用户隐藏地址簿条目，而不能对其他用户隐藏。

所以这里是我的问题：

• 我的理解似乎大部分正确吗？如果没有，请随时提供更正
• 有没有办法只对特定的一组用户隐藏地址簿中的 DL？
• 有没有办法阻止用户单击 Outlook 中的“+”号来绕过限制谁可以发送到组的安全限制？从技术上讲，您不再发送到一个组 - 只是该组中的一组确切的个人。

请 - 鼓励任何额外的启发或评论。我认为我们必须回到业务中并告诉他们他们的要求无法实现。（我还有另外两个讨厌的要求，我将开始单独提问。）

谢谢大家！

我相信我确实理解我对 AGDLP 的了解。但是，我所读到的内容并没有解释将全局组用于业务角色/工作职能的优点，也没有解释为它们使用本地组的缺点。

所以假设我有一个单一的林/域，让我们说具有超过 2008 年的功能级别。这个域的服务器成员有一个本地管理员组。在这个本地管理员组中，我分配了 1 个域本地组，让其命名为 LocalAdmin_server1 现在在这个组中，我想添加其他组，组包含不同工作角色/团队的用户，例如 JobRole1、JobRole2、Team3 为什么会有 JobRole1， JobRole2、Team3 团体是全球性的，还是将它们作为本地团体是一个问题？

让我们从房间里的大象开始：我没有接受过正式的培训，而且由于各种离题的原因，我得到了几台小型服务器的管理。这是说我的知识是零散的。请多多包涵。

其中一台服务器专用于少数用户（少于 10 个）的大量计算，有人问我是否可以启用用户之间文件访问策略的细粒度决策。

我的意思是我的用户希望有一种方法来决定以每个文件和每个用户的方式授予对他们文件的访问权限。因此，例如，用户 1、用户 2 和用户 3 可以访问文件夹 A，而用户 2 和用户 4 可以访问文件夹 B，而所有者以外的任何人都无法访问文件夹 B。

他们或多或少希望在本地用户之间对他们的个人文件进行“保管箱式”访问管理，仅适用于他们的本地文件。

我找不到任何相关的信息，所以我想知道从安全性和可行性的角度来看，这是否是一个可以合理激活的功能。我承认我以前从未想过它，但它是一个在多用户服务器中对协作任务有意义的功能。

由于组不是解决方案（我最多需要 30 个），因此 Nextcloud 是矫枉过正，而不适合您正在编码的活动项目。也许是 git 或 PAM？