我刚刚在我们的 Windows 2008 r2 服务器上创建了一个简单的 AD。我已将一些员工添加到该目录中。
现在,是否可以为单个帐户创建一些别名。
例如。
name = foo.bar@contoso.internal / contoso\foo.bar
但用户也可以登录为
contoso\pewpew
这可能吗?
我使用以下命令在 linux 机器中创建一个用户:
useradd -d /home/dummy -g idiots -m -p 12345689 dummy
创建用户和主目录。
问题是我无法使用此帐户登录系统,因为-p需要返回的加密密码crypto。
问题:我想通过 bash 脚本创建一个用户,但我不知道crypto. 我该怎么做才能通过脚本自动创建这个用户并解决密码问题?
Windows 8 允许我通过 Microsoft 帐户(又名 Windows Live 帐户)的电子邮件地址创建用户帐户。有没有办法在 Windows Server 2012 SKU 中激活这样的功能?
我正在创建一个 cron 作业来保持两个目录同步。我正在使用 rsync。我正在运行一个 rsync守护进程。我阅读了手册,它说:
RSYNC_PASSWORD
Setting RSYNC_PASSWORD to the required password allows you to
run authenticated rsync connections to an rsync daemon without
user intervention. Note that this does not supply a password to
a shell transport such as ssh.
USER or LOGNAME
The USER or LOGNAME environment variables are used to determine
the default username sent to an rsync daemon. If neither is
set, the username defaults to 'nobody'
我有类似的东西:
#!/bin/bash
USER=name
RSYNC_PASSWORD=pass
DEST="myhost::mymodule"
/usr/bin/rsync -rltvvv …我是思科的新手,我遇到了一些困难:
我想列出所有用户帐户。show users只显示当前登录的用户。
我更改启用密码没有问题,但我想查看所有可用用户,以便我也可以更改特定用户密码。
使用 3750、3560 交换机和 55/10-20 ASA。
我想为我的 debian 服务器上安装的每个关键程序创建一个用户帐户。例如,对于以下程序:
Tomcat Nginx 主管 PostgreSQL
根据我在网上的阅读,这似乎是推荐的。但是,我想尽可能地限制这些用户帐户,以便他们没有 shell 登录名,无法访问其他程序,并且尽可能地受到限制但仍然可以使用。
有人介意告诉我这是如何实现的吗?到目前为止,我的阅读表明:
echo "/usr/sbin/nologin" >> /etc/shells
useradd -s /usr/sbin/nologin tomcat
但我认为可能有更完整的方法。
编辑:我正在使用 debian 挤压
我正在使用pam_tally2在每个策略 3 次登录失败后锁定帐户,但是,连接用户没有收到指示 pam_tally2 操作的错误。(通过 SSH。)
我希望在第四次尝试时看到:
Account locked due to 3 failed logins
文件中的required或requisite或 order 的组合似乎没有帮助。这是在Red Hat 6 下,我正在使用/etc/pam.d/password-auth. 锁定确实按预期工作,但用户没有收到上述错误。这会导致很多困惑和沮丧,因为当他们确定使用正确的密码时,他们无法知道身份验证失败的原因。
实施遵循 NSA 的Red Hat Enterprise Linux 5 安全配置指南。(pg.45) 我的理解是PAM中唯一改变的是 /etc/pam.d/sshd 现在包含 /etc/pam.d/password-auth 而不是 system-auth。
如果您的安全策略要求在多次错误登录尝试后锁定帐户,请使用 pam_tally2.so。
要强制密码锁定,请将以下内容添加到 /etc/pam.d/system-auth。首先,添加到 auth 行的顶部:
Run Code Online (Sandbox Code Playgroud)auth required pam_tally2.so deny=5 onerr=fail unlock_time=900其次,添加到帐户行的顶部:
Run Code Online (Sandbox Code Playgroud)account required pam_tally2.so
编辑:
我通过在其中一次登录尝试期间重置 pam_tally2 来收到错误消息。
user@localhost's password: (bad password)
Permission denied, please …不久前我设置了一个 FreeNAS 框,但为了更好的判断,在创建我的用户名时使用了大写字符。这导致了一个名为George.
现在,当我后来读到非常不鼓励使用大写字符时,尤其是在使用 Samba(我正在使用)时,我决定尝试修复它。
我应该采取哪些步骤将用户帐户从混合大写重命名为全部小写,并记住该用户的数据已经存在?
有趣的是,在我安装了 nginx 的 Ubuntu 衍生产品上apt,www-data用户有一个 shell:
$ cat /etc/passwd
www-data:x:33:33:www-data:/var/www:/bin/sh
这不应该设置为类似的东西/bin/false吗?即使用户无法登录,默认为这样的系统用户提供shell不是很危险吗?
我对用户主体名称 (UPN) 和 SAM 帐户名称 (SAM) 感到困惑。这是我所知道的
萨姆-
Windows 之前的名称,用于向后兼容 Windows NT 机器等。
DOMAIN/USERA,在域 DOMAIN 内查找 USERA,因此它在域中是唯一的。
20 个字符长。
UPN-
采用电子邮件样式格式(用户更容易记住)。
没有字符限制。
即使域重组,UPN 也是相同的,例如,即使具有 UPN USERB@DOMAIN.COM 的用户不在域 DOMAIN 中,而是在 DOMAIN B 中,用户仍然可以做多,因为 UPN 引用全局目录( GC)并让用户登录。
但我感觉我对这个还不是太清楚。如果有人更好地了解这两者是如何工作的并且可以解释,那将非常有帮助。
windows用户使用哪种登录方式来登录用户?UPN 还是 SAM?
除了向后兼容之外,SAM 没有什么特别的作用吗?
那么,如果我所有的 DC 都是 Windows Server 2012 R2,理论上我不再需要 SAM 帐户名(我知道,但理论上我仍然需要使用它),有可能吗?
我几天来一直在研究,任何详细的解释、链接或文章、示例将不胜感激。
windows active-directory user-accounts windows-server-2012-r2