我刚刚熟悉了 adduser 的基本用法。我想消除交互/提示。因为我会经常重建这台机器,我想编写这个过程的脚本,或者最坏的情况是复制并粘贴一个完整的语句,将用户添加到正确的组并在一个命令中设置密码。
类似于:
sudo adduser username1 password primarygroup secondarygroup,ternarygroup "full name1"
sudo adduser username2 password primarygroup secondarygroup,ternarygroup "full name2"
sudo adduser username3 password primarygroup secondarygroup,ternarygroup "full name3"
sudo adduser username4 password primarygroup secondarygroup,ternarygroup "full name4 "
...
sudo adduser username999 密码 primarygroup secondarygroup,ternarygroup "full name999"
我是 SCCM 新手,所以也许我的问题没有任何意义,但请耐心等待。
如果我理解正确,用户将成为代表软件包的 AD 组的成员。如果用户成为 AD 组“Winzip”的成员,SCCM 会检测到这一点并将 Winzip 包分发到正确的机器。
如果用户成为 AD 组 'Sales' 的成员,而该组又是 AD 组 'Winzip' 的成员怎么办?所以'User' memberOf 'Sales' memberOf 'Winzip'。SCCM 会检测到用户应该获取 Winzip 包吗?或者我需要在这种情况下做一些额外的事情吗?
亲切的问候,罗纳德·威尔登伯格
所以我被要求设置一个 Exchange Activesync 移动网关。大功告成。它是一个为 SSL 配置的独立 eExchange 2003 前端服务器,我在它前面放置了一个域外 ISA 服务器。现在我被要求限制哪些用户可以连接到它。
默认情况下,Exchange 前端服务器允许任何拥有邮件帐户的用户连接到前端服务器。因此,我正在查看服务器上各种 IIS 站点/应用程序的权限,但我知道很容易破坏 Exchange 前端服务器权限。
所以我在 IIS 中有以下内容:
Exadmin
Exchange
EchWeb
Microsoft-SERver-ActiveSync
MobileAdmin
OMA
还有其他一些我认为不相关的。
我可以更改其中之一的权限以限制谁可以连接到 Activesync 吗?
作为奖励:我可以以不影响基于普通浏览器的 Exchange Access 的方式进行操作吗?
提前致谢!!
我注意到,当我将自己添加到一个新组时,usermod newgroup -g wayne我会在我说的时候列出该组groups,但是如果我要执行诸如
sudo mkidr /usr/local/grouptest
sudo chown root:newgroup /usr/local/grouptest
cd /usr/local/grouptest
touch test.txt
touch: cannot touch `test.txt': Permission denied
我得到许可被拒绝。当我通过 ssh 会话连接时,我必须重新连接,然后该目录的权限才生效。有没有办法解决这个问题?特别是因为使用 GNU screen,我将不得不杀死并重新创建我所有的窗口,这将非常讨厌。
任何帮助将不胜感激!
我正在尝试设置 SSH Jumpbox。登录 Jumpbox 的用户需要能够根据他们的组向其他 SSH 服务器授权。
(UserA 在组 Project1,UserB 在组 Project2,UserA 应该能够 ssh 到 project1.com,但不是 UserB)
有没有办法在 Jumpbox 级别上实现这一点?
在 Linux 中,我有以下内容id:
uid=1005(username) gid=1005(username) groups=1005(username),33(www-data),1002(git)
我想将我的有效 gid 更改为,git以便我创建的所有内容都属于gid组。例如touch testfile给owner=username group=git
如何?
请告诉我如何确保远程桌面用户无法将软件安装到他们远程登录的 Active Directory 服务器上。
一些背景:
我有一个客户端,其服务器安全性非常糟糕。我通常更像是一名程序员而不是管理员,所以我需要一些帮助。
他们正在使用他们的 Active Directory 服务器来允许远程销售人员将远程桌面连接到他们的网络中,实质上允许该 Active Directory 服务器兼作 4 名远程员工的桌面。这对我来说似乎是个坏主意。我更愿意为这些远程用户设置单独的服务器。
但是,更糟糕的是,我只是使用其中一位销售人员的凭据登录,并且能够使用他们的凭据安装 firefox!因此,基本上,每个外部销售人员都拥有将应用程序安装到 Active Directory 服务器上的管理权限!
上周,我从服务器中删除了一个病毒,该病毒基本上使业务瘫痪。今天,还有另一种病毒会大量发送电子邮件(将他们的公司列入黑名单)。
我确实打算重新安装此服务器并尝试将其锁定,但直到周末,我都在尝试至少弄清楚如何使这些远程销售人员无法在服务器上安装软件。
事实是,我对 Active Directory 没有太多经验。我主要锁定没有 Active Directory 的 Windows 服务器(通过“计算机管理 > 用户”控制台)。
当我进入“Active Directory 用户和计算机”时。我没有看到销售人员是管理员组的成员。当我查看每个组(他们是其成员)时,我无法找到任何权限设置来说明他们为什么能够在服务器上安装软件。
你能不能给我指点一下。我一定是忽略了一些重要的东西。请指教。
编辑:
以下是组,用户是以下成员:
Name: ActiveDirectoryFolder
Custom Sales All domain.com/Users
Domain Users domain.com/Users
Remote Desktop Users domain.com/Builtin
Remote Users domain.com/Builtin
windows-server-2003 active-directory groups user-permissions
我有一个大型的 AD 设置,其中一位已经被解雇的管理员出于未知原因删除了主题组。
谷歌搜索了一段时间,但除了解释该组的用途和警告不要删除它之外,我找不到任何东西。
SID 是已知的,所以我想知道我是否创建了一个具有相同名称和 SID 的新组,这是否足以解除设置,或者组删除是否会导致 AD 架构破坏?
一系列解决这个问题的步骤(除了找到做这件事的天才并造成严重伤害)是非常受欢迎的
谢谢
我想标记某些 Active Directory 帐户,以表明它们代表个人、自然人,而不是组、服务帐户、内置帐户等。这可以通过自定义或内置属性、组等进行。
理想情况下,解决方案是:
我运行以下 PowerShell 脚本来比较组列表....
$dasMem = Get-ADUser -Server "<some-srv>" -Identity "<some-usr>" -Properties MemberOf | Select MemberOf
$blahx = $dasMem.MemberOf | % { $_ -replace "^CN=", "" } | % { $_ -replace ",.*$", "" } | sort
$blahx
当我得到列表时,我最终得到了一个缺失的组,Domain users我认为这是一个标准的默认组。当我提取脚本时,它是否有任何原因丢失?
需要明确的是,我能够在 中看到该组Active Directory Users and Computers,但无法从上面的脚本中看到。
groups ×10
permissions ×4
activesync ×1
attributes ×1
exchange ×1
flags ×1
linux ×1
powershell ×1
sccm ×1
ssh ×1
sudo ×1
ubuntu ×1
undelete ×1
users ×1