我是一名Unixpipe理员,他也必须使用各种MS Windows服务器。 对于各种不同的任务,使用我熟悉的Unix工具可以提高工作效率,而且很长时间以来,我一直在我的本地工作站上使用Cygwin。 现在,我想在某些Windows服务器上设置Cygwin,这样我就可以通过SSH进入他们,并使用相同的工具进行pipe理任务。
在之前的版本中,Cygwin会将Windows映射到POSIX用户和/etc/passwd和/etc/groups文件的权限,但现在它直接使用域控制器上的Active Directory来validation用户身份。 Cygwin常见问题解答已更新, 在域上设置SSHD的说明:
首先,创build一个名为“cyg_server”的新域帐户。 此帐户必须是pipe理员帐户,因此请确保它在“pipe理员”组中。
现在创build一个域策略,传播到所有应该运行sshd服务的机器上。 此域名政策应给予“cyg_server”帐户的以下用户权限:
- 如何在Active Directory中自动化RFC2307属性?
- Active Directory权限消失
- Microsoft Azure AD Connect – 可信域的密码同步
- OpenLDAP:将AD-Schema从* .ldif转换为* .schema
- 更换域控制器时需要采取哪些特殊步骤?
Act as part of the operating system (SeTcbPrivilege) Create a token object (SeCreateTokenPrivilege) Replace a process level token (SeAssignPrimaryTokenPrivilege)
我有AD域控制器(在Windows Server 2008 R2上运行)的pipe理员访问权限,我创build了cyg_server 域帐户作为Administrators组的成员。 但是,我不太了解Windowspipe理,请遵循其余的说明。
我认为“域名政策”是指集体政策,但我真的不知道有关集体政策的事情。 我认为这个问题似乎有关,但是没有足够的细节来利用它。
好吧,UNIXpipe理员的组策略对象粗略指南;)
首先,Active Directory基本上是一个有不同types的对象的数据库。 与LDAP一样,AD源自X.500,因此两者都是分层的,并使用各种对象。 其中之一是组策略对象(GPO)types。
您需要在域的树中的某处“链接”GPO。 一般来说,链接的GPO会recursion地应用它们的机器设置(例如,引导时应用的计算机对象)和用户帐户(用户对象,login后应用)。
默认情况下,在一个新域中链接了两个GPO:
不要修改这些,除非你明白你在做什么。 创build一个新的GPO。
gpmc.msc
我不打算详细解释如何在这里创build一个GPO。 确定你的范围,并确保设置是正确的。 对于这个特定的情况,我build议你把它链接到你的服务器所在的组织单位(OU)。
问题中提出的政策应该看起来有点像这样 。