如果我将 AD 安全组名称从“name1”更改为“name2”。这会影响共享给“name1”组的文件夹共享吗?它会自动更新为“name2”,还是会遇到麻烦?
有没有办法为 Active Directory 中的每个组更新“管理者”字段?我还需要检查“经理可以更新会员列表”。
我试图让Jenkins通过我们的活动目录组对用户进行身份验证。
如果我插入用户,他们会被正确查找。如果我插入组名,则找不到它们。
编辑:通过反复试验,我发现通过组进行的身份验证确实有效,也就是说,一旦我将组添加KS-Soft到列表中,该组中的用户就可以登录。但是,在输入用户名和组名的列表中,Jenkins 尝试显示一个图标,表明它是用户还是组。用户图标显示正确,但组图标始终是错误图标。
所以看起来 Jenkins 可以通过组成员身份验证用户,但它无法验证给定的组名字符串是否存在于目录中。这在技术上甚至可能吗?(也许只是图标显示搞砸了。)
Jenkins设置如下:(注意:mydomain和com用户名不同,其余为精确值)
Server : ldap://ks-dc01.mydomain.com:389
root DN : dc=mydomain,dc=com
User Search Base : ou=KSUser
User Search Filter : userPrincipalName={0}
Group search base : ou=KSGroups
Manager DN : CN=Placeholder Martin,OU=Benutzer,OU=KSUser,DC=mydomain,DC=com
Manager Password : *****
通过此设置,我将用户输入martin.placeholder@mydomain.com到列表中,然后 Jenkins 可以查找该用户,然后我就可以登录了。
但是,我无法让 Jenkins 解析组名称。我使用AD Explorer来确认我的组实际上在下面OU=KSGroups。
我CN=KS-Soft在 AD Explorer 中显示了一个组,它有一个member属性列出了我感兴趣的所有用户。(用户 martin.placeholder@mydomain.comCN=Placeholder …
我们在 Exchange 2010 上有一个通讯组,很长一段时间没有任何成员(没有人注意到)。发送到此类群组的电子邮件会怎样?没有返回消息或任何东西。
$ sudo -u fish -g fish bash
Sorry, user steve is not allowed to execute '/bin/bash' as fish:fish on myserver.
$ sudo -u fish bash
$ groups
fish
-g 选项的用途是什么,为什么我不能使用它?RHEL 顺便说一句。
我知道我可以设置一个 OU,将用户对象移入其中,并将 GPO 链接到该 OU,并且该 GPO 将应用于这些用户。
是否可以设置 OU、将组移入 OU 并将链接的 GPO 应用于属于该组成员的所有用户,但这些用户位于不同的 OU 中?
如果重要的话,这就是 Windows Server 2003。
系统:CentOS 6.2 版(最终版)
我试图只允许某个组的用户称之为websupport访问以重新启动 2 个服务:mysqld和httpd
编辑:我不想给这些用户 sudo 访问权限
我已将这些行添加到 /etc/sudoers:
%websupport ALL=NOPASSWD:/etc/init.d/httpd
和
%websupport ALL=NOPASSWD:/etc/init.d/mysqld
当以用户身份登录并尝试运行时:
/etc/init.d/httpd 重启
我得到这个结果:
rm:无法删除“/var/run/httpd/httpd.pid”:权限被拒绝 [FAILED]
rm:无法删除“/var/lock/subsys/httpd”:权限被拒绝
rm:无法删除“/var/run/httpd” /httpd.pid': Permission Denied
启动 httpd: httpd: apr_sockaddr_info_get() failed for wssapache
httpd: 无法可靠地确定服务器的完全限定域名,使用 127.0.0.1 作为 ServerName
(13)Permission denied: make_sock: 无法绑定到address [::]:80
(13)Permission denied: make_sock: 无法绑定到地址 0.0.0.0:80
没有可用的侦听套接字,正在关闭
无法打开日志 [FAILED]
尝试运行时:
/etc/init.d/mysqld 重启
我得到这个结果:
cat: /var/run/mysqld/mysqld.pid: Permission denied 停止 mysqld: [FAILED]
启动 mysqld: [ OK ]
背景
我正在创建一项服务,以允许支持人员在下班时间启用他们的 Firecall 帐户(即,如果晚上出现问题并且我们无法找到具有管理员权限的人,支持团队的另一名成员可以启用他们的个人AD 上的 firecall 帐户,该帐户以前已设置为具有管理员权限)。该服务还会记录更改的原因、提醒关键人员以及其他一些信息,以确保审核此访问更改/因此我们可以确保以正确的方式使用这些临时管理员权限。
为此,我需要运行我的服务的服务帐户有权在 Active Directory 上启用用户。理想情况下,我想将其锁定,以便服务帐户只能启用/禁用特定 AD 安全组中的用户。
题
您如何授予对帐户的访问权限以启用/禁用属于 AD 中特定安全组成员的用户?
备份问题
如果安全组无法做到这一点,是否有合适的替代方案?即它可以由OU完成,还是最好编写一个脚本来遍历安全组的所有成员并更新对象(firecall帐户)本身的权限?
提前致谢。
附加标签
(我还没有权限在这里创建新标签,所以在下面列出来帮助关键字搜索,直到它可以被标记并被编辑/删除) DSACLS、DSACLS.EXE、FIRECALL、ACCOUNT、SECURITY-GROUP
我已经使用以下文档配置了一个模块来设置新组:https : //puppet.com/docs/puppet/latest/types/group.html。
[root@puppetmaster ~]# cat /etc/puppet/modules/change-groups/manifests/init.pp
class change-groups {
group { "newgroup":
gid => 3651,
members => "user1,user2",
}
}
不幸的是,我确实收到了一条错误消息。可能是什么原因?
info: /Group[newgroup]: Provider groupadd does not support features manages_members; not managing attribute members
当使用“groups”或“id -Gn”时,我最终得到当前用户所有组的典型空格分隔列表。这些命令运行的假设是组名不能包含空格字符,事实上,只要我们留在 Unix 中,情况就会如此。
然而,我的公司现在是一个更大的公司的一部分,该公司具有 Microsoft 域设置,不幸的是,他们的 Active Directory 域组名称包含空格字符,例如“FOOBAR\Domain Users”。
我们的一个脚本通常使用“组”输出,并根据空格字符分隔符从中生成一个列表,这意味着它现在惨败:
$ groups
FOOBAR\Domain Users FOOBAR\Other Domain everyone admin
...显然最终会产生这样的列表:
FOOBAR\Domain
Users
FOOBAR\Other
Domain
everyone
admin
正如您可以想象的那样,前 4 组并不存在,并且脚本的其余部分无法实现任何有价值的内容。
有谁知道哪里可以更好地获取此类组名称?
PS:我知道 /etc/group 但那里没有提到这样的 AD 组。是否还有另一个类似的文件,但对于 AD 组,我可以解析?
unix active-directory workgroup command-line-interface groups