小编Joh*_*ohn的帖子

问题： 通过 Active Directory 中的组成员身份，对 Linux 服务器上的资源（访问服务、主目录、加入本地用户组、文件系统权限等）的用户访问需求进行集中用户管理和用户权限管理。

背景： 我们有许多 Linux 服务器，一些 CentOS 和其他 Ubuntu，用于开发、网络托管、数据库托管、PXE 服务等。我们还有一个集中的 Active Directory 环境，所有用户都被添加到并提供加入组织时的组成员身份。

示例： Bob 和 Alice 加入组织，他们被添加到 AD 内的相应组中，现在他们可以访问我们一台或多台 Linux 服务器上的 SSH 或 MySQL。Bob 离开后，我们将他从 AD 组中删除，他将无法再访问用于 SSH、MySQL 等的 Linux 服务器。

笔记： 如何处理这样的任务？Linux 中是否有一组可用的实用程序来允许这种类型的操作？我们需要授予用户的访问权限将取决于他们作为 Active Directory 成员的用户组成员身份。例如，AD 开发组中的每个人都需要具有 SSH 访问权限、MySQL 访问权限以及 Linux 版本控制服务器 1 和 2 上的主目录。系统管理员 AD 组中的每个人都需要具有 SSH 访问权限和所有 Linux 服务器的 SU 权限等。我浏览了许多关于 serverfault 的现有文章，但没有找到任何与此处列出的需求相匹配的内容。

我们有许多用于实验室和信息亭的机器。它们都附加到一个活动目录域。我们想跟踪这些机器的使用情况，以了解它们的使用频率、它们上使用最多的软件等。有没有办法做到这一点？如果是这样，是否有任何免费或开源软件可用于此目的？理想情况下，我们也可以根据结果生成报告。

注意：我们使用的是 Windows XP、Windows 7、Windows Server 2003 和 Windows Server 2008。

我正在编制一份原因清单，说明就地升级软件和操作系统是一个坏主意。与我一起工作的很多人认为，在旧版本的基础上安装新版本的软件或操作系统更容易、更好。然而，我认为这通常是一个坏主意，最好花额外的时间卸载软件项目的先前版本或执行操作系统的全新安装。所有这些还取决于是否有可靠的备份操作到位。

我想收集人们对就地安装与干净安装的其他想法。

• 与软件和操作系统相关的每种方法的优缺点是什么？
• 您遇到了哪些类型的问题，您是如何解决软件和操作系统的问题的？
• 关于这个主题，还有什么我应该知道的可以与我的同事分享的吗？

在此先感谢您的帮助。我期待听到您分享的所有内容。

我正在从事一个项目，我需要能够在 NTFS 格式的 Windows 文件服务器上审核各种用户和用户组权限。我想使用 PowerShell 并让它递归搜索远程文件共享，或者它可以在服务器本身上运行并输出它为所有内容或指定用户或用户组找到的所有权限。目标是能够使用它来定期审核用户和用户组，以确保不会发生权限蠕变，并且所有权限都由不同的系统管理员以相同的方式设置。最后，当我们在组策略中更改用户组时，它将用于识别需要更改的位置。有没有常见的方法来解决这个问题？PowerShell 能胜任这项任务吗？是否可以让 PowerShell 将结果输出为可读格式？

我们正在开展一个项目，该项目需要创建新的文件服务器并迁移无数年的遗留数据。遗留数据的一部分是一次（可能是九年前）使用过的 IT 员工文件和文件夹的随机集合。在移动这些项目之前，我们一直在寻找一种在新文件服务器上创建新的/更好的文件和文件夹组织结构的方法。这将允许在接下来的几年中更轻松地维护文件，并帮助新加入我们团队的系统管理员了解此软件实用程序的存储位置、特定脚本的位置或随机操作系统 ISO。我从这篇文章中阅读了一些关于一些想法的信息，但它们似乎不符合我们正在寻找的需求。我很好奇你们都发现哪种类型的文件夹和文件布局结构最适合您的组织。先感谢您。

我正在为我们的组织规划 Active Directory 安装的布局。我正在研究使用组策略来强制执行特定设置，增强我们台式机和服务器的安全性，并从我们的标准计算机映像中提供更一致的用户体验。我们将在我们的环境中混合使用 Windows XP、Windows 7 Pro、Windows Server 2003、Windows Server 2008 R2 Standard、Macintosh OS X (10.6) 和各种 Linux（CentOS 和 Ubuntu）服务器。

• 我正在寻找想法、技巧、建议，甚至是资源，以确定在这些不同的机器上使用适当的方法和适当的组策略布局。
• 您在实施组策略时学到了什么？
• 你会改变什么？
• 你是如何设计它来与客户端和服务器一起工作的？
• 您是如何处理或适应各种操作系统的？
• 是否存在应遵循的普遍接受的组策略设计？
• 嵌套策略以创建类似层次树的模型是个好主意吗？
• 环回处理是一个好主意吗？
• 是否存在与策略结构设计相关的客户端计算机登录速度变慢的问题？
• 既然有Windows XP和Windows 7机器，那么ADM文件和ADMX文件有区别吗？我怎么知道什么时候使用一个而不是另一个？它甚至重要吗？
• 有人告诉我，我应该考虑使用组策略对象中的用户配置设置被禁用或计算机配置设置被禁用选项。这是一个聪明的做法吗？如果设置了这有关系吗？

您的任何帮助和想法将不胜感激。我有兴趣向您和您的经验学习，以帮助我们成功迁移 - 尤其是这样我们就不必在一年后重新设计所有内容。

我正在尝试规划具有以下要求的网络，但在尝试为我的网络完成子网规划时遇到问题。

该网络由 3 个路由器组成，将 3 个不同的建筑物连接在一起。我需要使用 10.10.1.0 - 10.10.1.255 地址范围将整个网络划分为 4 个较小的网络。

• 路由器 R1 托管需要 60 台主机的设施网络。
• 路由器 R2 托管需要 100 台主机的 Business Ops 网络。
• 路由器 R3 托管两个交换机：
• 1.) 人员，他们有 25 个主机。
• 2.) IT，它有 25 台主机。
• 每个路由器到路由器的连接需要 2 台通过串行方式连接的主机。

我最初的想法是使用以下内容；但是，这给我留下了一个问题，我相信这与 /25 段使用/浪费了太多地址有关。

• /26 用于 62 个主机的设施
• /25 表示 126 台用于业务运营的主机
• /26 用于 62 台人事和 IT 主机
• /29 用于每个路由器到路由器连接的 8 个主机

我不知道为什么我不能让它们都适合所需的 IP 分配，并相信我错过了一些简单的东西。

我正在从事一个项目，我想为各种项目执行主机文档。这些项目的一部分将来自 Powershell，其余的将来自 NMAP。对于 Powershell 部分，我正在尝试构建一些类似于SYDI-Server 的本土产品项目。它将使用 Powershell 代替 WMI，并允许使用更大、更简单的方法从远程机器获取各种结果。此外，SYDI-Server 项目已经有一段时间没有更新了。NMAP 部分将用于在远程主机上执行一两次扫描并返回结果，以便 Powershell 可以使用或使用这些结果并将它们添加到正在生成的最终报告中。这个想法与报告是从 Powershell 输出的 MS Word 文档类似，该文档包含主机文档所需的所有元素。

说了这么多，有没有办法让数据从 Powershell 共享或来回发送到 NMAP？有没有办法在 Powershell 中使用或解析 NMAP 的结果以进行进一步操作？

我正在考虑为某种基于 DNS 的黑洞操作配置我们的 Windows DNS 服务器。理想情况下，我们将能够使用来自 MalwareDomains.com 等的提要。我很好奇人们如何设置和实施这样的设置。工作流程如下所示：

1. 下拉和解析提要列表的脚本
2. 将提要列表发布到 Windows DNS 的脚本
3. 由于新的 DNS 条目，错误连接停止

我面临的挑战是第 2 步。我不确定如何将大量 DNS 条目发布到 Windows DNS 服务器中。理想情况下，这适用于 Server 2008 或更新版本。

我正在尝试将 CloneZilla 设置为可在不使用 NFS 的情况下通过 PXE 启动。我的 PXE 服务器上没有运行 NFS，并希望保持这种状态。但是，我在网上找到的大部分信息都表明您需要设置 NFS 才能 PXE 引导 CloneZilla。我相信我已经很接近让它工作了，但我不确定下一步要去哪里。下面列出的是我迄今为止使用的不同 PXE 菜单选项配置。

LABEL Clonezilla Live
  MENU LABEL Clonezilla Live
  KERNEL utilities/clonezilla/vmlinuz
  APPEND initrd=utilities/clonezilla/initrd.img boot=live live-config noswap nolocales edd=on nomodeset ocs_live_run="ocs-live-general" ocs_live_extra_param="" ocs_live_keymap="" ocs_live_batch="no" o$

我还尝试了以下附加行，但没有成功：

APPEND initrd=utilities/clonezilla/initrd.img boot=live union=aufs noswap noprompt vga=788 fetch=tftp://10.130.155.23/filesystem.squashfs
APPEND initrd=utilities/clonezilla/initrd.img boot=live union=aufs noswap noprompt vga=normal nomodeset nosplash fetch=tftp://10.130.155.23/filesystem.squashfs

它们中的每一个都导致了以下错误：“无法在网络上找到实时文件系统”。看起来它已经到了尝试加载 filesystem.squashfs 文件的地步，挂起，然后抛出错误。任何帮助将不胜感激。

是否可以编写一个简单的规则来阻止 iptables 的死机？

问题： 从 CSV 文件中获取用户名列表，并从他们所属的所有用户组中递归删除它们。我想根据组名的前缀来限制他们从哪些组中删除。

示例： 如果 user_bob（CSV 中的众多用户名之一）是以下组的成员（递归确定）：abc-users、abc-printers、abc-users-limited、xzy-users、xyz-secure，则我想让 PowerShell 脚本将他从所有前缀为“abc-”的组中删除，然后转到 CSV 中的下一个用户名并执行相同的过程。

注意： 我一直在网上搜索类似这样的例子，但似乎找不到任何线索。非常感谢我可以开始测试过程或将它们组合到解决方案中的代码片段或示例。我一直在查看有关 commandlet的TechNet 文档，但没有取得太大进展。提前致谢！

我正在从事服务器构建项目的工作，并继承了以下项目，我需要找出处理和配置的最佳方式。

• 其中 2 个： I/O Crest SY-PEX40008 PCI-e SATA II 主机控制器卡
• 其中 8 个或 9 个：Hitachi Deskstar 5K3000 HDS5C3020ALA632 (0F12117) 2TB 32MB Cache SATA 6.0Gb/s 3.5" 内置硬盘

这个盒子的主要目的是通过 NFS 为许多客户端提供存储服务和文件共享，如果我们无法让 Windows 客户端连接到 NFS，可能是 SAMBA，并且可能用作某些电视或媒体盒的 DNLA 服务器我们从服务器上存储的内容中获得。我们还希望将部分存储空间用作Linux KVM 的可能空间。

我们还想在 Red Hat/Cent OS/Scientific Linux 世界中使用以下项目：

• 用于可扩展或可变空间的LVM
• LUKS用于数据加密
• 以及某种类型的 RAID 级别 - 但我们发现下面列出的有关此的令人困惑的信息，我们不确定它是否准确
  • Linux 的 LVM 支持 RAID 0 和 RAID 1
  • Linux 的 md 支持 RAID 0、RAID 1、RAID 4、RAID 5、RAID 6 和所有嵌套。
  • I/O Crest 卡支持 RAID …