本地系统:完全受信任的帐户,比管理员帐户更重要。单个机器上没有此帐户无法执行的任何操作,并且 它有权 作为机器访问网络(这需要 Active Directory 并授予机器帐户权限)”
http://msdn.microsoft.com/en-us/library/aa274606 (SQL.80) .aspx(准备安装 SQL Server 2000(64 位) - 创建 Windows 服务帐户)告诉:
“本地系统帐户不需要密码,没有网络访问权限,并限制您的 SQL Server 安装与其他服务器交互。 ”
http://msdn.microsoft.com/en-us/library/ms684190 (v=VS.85) .aspx(本地系统帐户,构建日期:8/5/2010)告诉:
“ LocalSystem帐户是服务控制管理器使用的预定义本地帐户。安全子系统无法识别此帐户 ,因此您无法在调用 LookupAccountName 函数时指定其名称。它在本地计算机上具有广泛的权限,并且充当网络上的计算机。它的令牌包括 NT AUTHORITY\SYSTEM 和 BUILTIN\Administrators SID;这些帐户可以访问大多数系统对象。所有语言环境中的帐户名称为 .\LocalSystem。名称,LocalSystem 或 ComputerName \LocalSystem也可以使用。这个账户没有密码。如果你指定了 LocalSystem 在调用 CreateService 函数时,您提供的任何密码信息都将被忽略”
http://technet.microsoft.com/en-us/library/ms143504.aspx (设置 Windows 服务帐户)告诉:
本地系统是一个特权非常高的内置帐户。它在本地系统上拥有广泛的特权,并充当网络上的计算机。 > 帐户的实际名称为“NT AUTHORITY\SYSTEM”。
Windows 操作系统中众所周知的安全标识符 ( http://support.microsoft.com/kb/243330 ) 根本没有任何SYSTEM …
在什么情况下域比工作组更适合网络?
是否存在一个阈值,低于该阈值对于获得的利益而言,域的工作量太大?
工作组太难管理而域更实用吗?
你用什么标准来做这个决定?
我有一个 5 人的工作组。他们都有自己的 Windows 7 专用机器。他们都连接到一台运行 Windows Server 2008 R2 的中央服务器,目前主要提供文件服务器角色,为所有人提供一个共享数据目录。
现在,当这些用户想要在旅途中连接到“他们的桌面”时,什么被认为是最佳实践。可能将与桌面相关的所有内容都存储在服务器上,所以不是所有这些桌面机器都必须 24/7 全天候运行?
更多细节:
我可以通过不同的公共端口将远程桌面端口 3389 端口转发到不同的机器,但如果可能的话,应该允许这些机器断电。此外,我认为,在安全方面,即使在非标准端口上,将所有这些机器暴露给 WAN 也很棘手。只有一台机器,即服务器,处理远程连接听起来更好,可能在服务器上执行个性化的桌面环境。可能的?
到目前为止,我已经尝试尽可能好地将用户数据与用户的机器分开,但运气不佳。在 *nix 上通过 NFS 拥有一个 homedir 很简单,在 MS 世界中,“远程配置文件”似乎被认为是不可靠的,一旦这些“配置文件”变大并且每次登录时都必须通过网络拉动,就会陷入困境。mklink从而将本地 Win7 配置文件目录扭曲到服务器共享似乎是hackish,并且仅适用于最新的 Win 操作系统。此外,到目前为止,我遇到了各种权限和架构问题,例如,当我尝试在本地 Win Server 上使用相同的 Win 7 Profile 目录和类似的设置用户时,哎哟。
现在处于中间立场,我有一些服务器端数据和一些本地数据。例如,人们的桌面 Outlook 从服务器中提取文件(MS 认为这是不稳定的,顺便说一句,至少按照我的理解;当数据最终被损坏时,手指交叉)。
更多黑客的中间地带:我通过在桌面机器和服务器上拥有相同的应用程序来模拟服务器端桌面。人们仅使用服务器上的相同用户名/相同密码配置文件 (ouch) 登录到服务器,然后在真实的桌面系统 (arg!) 上找到与他们相似的桌面。
Microsoft 终端服务是一种解决方案吗?到目前为止,我无法理解它的实际作用。或者它如何帮助我。
我刚刚开始使用 Windows Server 2012,但我一直在尝试安装远程桌面服务。我的服务器在虚拟机中,没有 Active Directory 域。
我记得使用 Windows Server 2008 R2 可以在工作组环境中安装 RDSH。这在 2012 年有改变吗?
背景:我是一个新的初级系统管理员,我继承了一个由大约 12 台 Windows 机器、生产和备份文件服务器以及一个 sql 服务器组成的小型办公室工作组。文件服务器上的所有用户帐户都是管理员组的成员。我意识到这会造成一个漏洞。此外,黄铜希望文件服务器上的某些目录禁止一般用户使用。
如何将我的用户从 Administrators 组中删除,并将他们放入两层常规帐户,避免不便、生产停机等?
如果可行,我完全支持自动化,所以我不害怕在 .bat 文件或 powershell 中编写脚本,尽管我的 powershell 生锈了,而我的 .bat 脚本编写也很烂。
我想我会在这里分享我的经验。我为一家只有约 20 个用户的小型企业工作。我希望能够使用托管客户端首选项来分配诸如软件更新服务器之类的东西。基本上能够以本机方式轻松管理我的 Mac。
起初我尝试了魔三角解决方案,但我发现这非常复杂。它不仅需要 Mac OS X 服务器,而且会给您带来两个故障点。此外,每个 Mac 工作站都必须绑定到两台服务器。
最终,我接受了它并进行了此处记录的架构更改。一开始我很犹豫,因为说明书需要大量的手工操作。然而,这是相当基本的,只花了我大约一个半小时。您将在下面找到我工作的结果的架构更改文件。我完全按照说明操作并仔细检查了所有内容,六个月后,一切都运行良好。太好了不分享。我希望我能救人几个小时。
# ==================================================================
#
# This file should be imported with the following command:
# ldifde -i -u -f Apple AD Schema Changes.ldf -s server:port -b username domain password -j . -c "cn=Configuration,dc=X" #configurationNamingContext
# LDIFDE.EXE from AD/AM V1.0 or above must be used.
# This LDIF file should be imported into AD or AD/AM. It may not work for other directories.
#
# ================================================================== …我们是一家小型网络软件公司(约 10 人)。目前,每个开发人员都使用本地 apache 在他的本地机器(一些 Windows,一些 ubuntu)上工作。我们有一个用于共享文件和中央 SVN 存储库的 samba 共享。
我想在未来集中我们的基础设施,让每个人都在中央服务器上工作。有2个选项:
这两种解决方案都需要一个快速的网络和一个胖服务器。目前,我倾向于使用 xrdp 作为远程桌面访问。你有什么经验?一种方法比另一种方法有什么缺点吗?我错过的选项?有没有人成功虚拟化软件开发团队?
我在一个小办公室工作(5 名全职员工和 4 名兼职员工)。我们没有任何类型的 IT 部门,而且我们已经设法在这里运行一段时间。我们组中的所有计算机都是连接到单个 Windows 2000 服务器的“工作组”的一部分。服务器目前运行一些会计/工资软件,用户可以访问映射驱动器,我们有许多网络传真/打印机。这是一个相当简单的设置,适用于我们的目的。4名兼职人员变动频繁,只有2台电脑的密码访问权限。
出于我不会讨论的原因,我们需要摆脱旧的 Windows 2000 服务器并设置新的 Windows 2008 R2 服务器。我们正在考虑将新服务器设置为域控制器,以便更轻松地更新计算机和用户访问权限。
如果我们将新服务器设置为域控制器,工作组计算机是否能够访问服务器或它们是否必须加入域(即:域控制器是否可以接受来自尚未加入域的工作组计算机的请求) ? 更重要的是,将他们加入域会“破坏”什么吗?
我知道这是一个模糊的问题,但坦率地说,我们在这里有点不合时宜。我们是一家小商店,有能力的人,但我们不是服务器管理员,我们不想让我们的机器离线一周来解决这个问题。你们的任何建议当然不胜感激。
对于不在域中但在工作组中的 PC,当要求提供 FQDN(完全限定域名)时,我应该输入什么?
当使用“groups”或“id -Gn”时,我最终得到当前用户所有组的典型空格分隔列表。这些命令运行的假设是组名不能包含空格字符,事实上,只要我们留在 Unix 中,情况就会如此。
然而,我的公司现在是一个更大的公司的一部分,该公司具有 Microsoft 域设置,不幸的是,他们的 Active Directory 域组名称包含空格字符,例如“FOOBAR\Domain Users”。
我们的一个脚本通常使用“组”输出,并根据空格字符分隔符从中生成一个列表,这意味着它现在惨败:
$ groups
FOOBAR\Domain Users FOOBAR\Other Domain everyone admin
...显然最终会产生这样的列表:
FOOBAR\Domain
Users
FOOBAR\Other
Domain
everyone
admin
正如您可以想象的那样,前 4 组并不存在,并且脚本的其余部分无法实现任何有价值的内容。
有谁知道哪里可以更好地获取此类组名称?
PS:我知道 /etc/group 但那里没有提到这样的 AD 组。是否还有另一个类似的文件,但对于 AD 组,我可以解析?
unix active-directory workgroup command-line-interface groups