Создать политику домена для назначения прав пользователя

Question

Создать политику домена для назначения прав пользователя

Я администратор Unix, который также должен работать с различными серверами MS Windows. Для различных задач я гораздо продуктивнее использую знакомые Unix-инструменты и долгое время использую Cygwin на своей локальной рабочей станции. Теперь я хотел бы настроить Cygwin на некоторых серверах Windows, чтобы я мог подключаться к ним по SSH и использовать те же инструменты для административных задач.

В предыдущих версиях Cygwin сопоставлял Windows с пользователями POSIX и разрешениями от /etc/passwd а также /etc/groups файлы, но теперь он напрямую использует Active Directory на контроллере домена для аутентификации пользователей. В Cygwin FAQ добавлены инструкции по настройке SSHD в домене:

Прежде всего, создайте новую учетную запись домена с именем "cyg_server". Эта учетная запись должна быть административной, поэтому убедитесь, что она входит в группу "Администраторы".
Теперь создайте политику домена, которая распространяется на все машины, на которых предполагается запускать службу sshd. Эта политика домена должна предоставлять следующие права пользователя учетной записи "cyg_server":
Act as part of the operating system (SeTcbPrivilege)
Create a token object               (SeCreateTokenPrivilege)
Replace a process level token       (SeAssignPrimaryTokenPrivilege)

У меня есть доступ администратора к контроллеру домена AD (который работает на Windows Server 2008 R2), и я создал cyg_server учетная запись домена в качестве члена Administrators группа. Однако я не знаю достаточно об администрировании Windows, чтобы следовать остальным инструкциям.

Я предполагаю, что "политика домена" относится к групповым политикам, но я действительно ничего не знаю о групповых политиках. Я думал, что этот вопрос кажется актуальным, но у меня не было достаточно деталей, чтобы использовать его.

3

active-directory windows-server-2008 group-policy cygwin cygwin-sshd

Источник

Anthony Geoghegan 10 мар '16 в 12:42

1 ответ

Другие вопросы по тегам active-directory windows-server-2008 group-policy cygwin cygwin-sshd

M.M. 10 мар '16 в 16:02 2016-03-10 16:02 · Answer 1 · 2016-03-10 16:02

Хорошо, грубое руководство по объектам групповой политики для администраторов UNIX;)

Прежде всего, Active Directory - это, по сути, база данных, в которой есть разные типы объектов. Как и в случае с LDAP, AD происходит с X.500, поэтому оба являются иерархическими и используют различные объекты. Один из них относится к типу объекта групповой политики (GPO).

Вам нужно будет "связать" объект групповой политики где-нибудь в дереве домена. Как правило, связанные объекты групповой политики применяют свои настройки для компьютеров (т. Е. Объектов компьютеров, применяемых при загрузке) и учетных записей пользователей (объектов пользователей, применяемых после входа в систему) рекурсивно.

По умолчанию в новом домене связаны два объекта групповой политики:

Политика домена по умолчанию
Политика контроллера домена по умолчанию

Не изменяйте их, если не понимаете, что делаете. Вместо этого создайте новый объект групповой политики.

gpmc.msc

Я не буду подробно объяснять, как создать объект групповой политики здесь. Определите объем и убедитесь, что настройки верны. В этом конкретном случае я бы предложил вам связать его с подразделением организации, в котором находятся ваши серверы.

Политика, предложенная в вопросе, вероятно, должна выглядеть примерно так.