我偶尔发现自己处于一个不受支持的系统有一个账户被locking的情况。 问题在于,有多种方式可以locking帐户,每个帐户都有自己的解锁方法。 这并不是说账户被意外locking的不正确,而是find正确的locking来重置是困难的。 我最近对这个问题的攻击是在SUSE系统上,结果certificate密码已经过期(最初并不知道,因为login尝试不是通过提供这种反馈的系统),然后也被locking由于login尝试失败。 是否有一个列表中的所有不同的可能的帐户locking以及如何禁用它们? 我打算实际的破碎,如主目录访问问题,腐败PAM库等,超出了这个问题的范围。
正如问题标题所说,我试图找出何时在Active Directory中创build用户帐户。 操作系统是Windows Server 2003。
纵观我在IT方面的卑微职业,我通常会看到用户名长度有限(通常为8个字符)。 这发生在各种系统上,包括Active Directory和数据库应用程序。 这是有原因吗? 有关用户名创build的最佳做法吗?
一个寻找的答案,但没有发现在这里… 长话短说:非营利组织迫切需要现代化基础设施。 首先是find一个替代scheme来pipe理许多Linux主机上的用户帐户。 我们有12个服务器(物理和虚拟)和大约50个工作站。 我们有500个这些系统的潜在用户。 多年来build立和维护这个系统的个人已经退休了。 他写了自己的脚本来pipe理这一切。 它仍然有效。 那里没有投诉。 然而,很多东西是非常手动和容易出错的。 代码是混乱的,更新后经常需要调整。 最糟糕的部分是几乎没有文件写入。 只有几个ReadMe和随机笔记可能会或可能不再相关。 所以维护成了一项艰巨的任务。 当前帐户通过每个系统上的/ etc / passwd进行pipe理。 更新通过cron脚本进行分发,以便在“主”服务器上添加帐户时更正系统。 有些用户必须能够访问所有系统(比如sysadmin账户),其他用户需要访问共享服务器,而其他用户可能需要访问工作站或者只能访问其中的一部分。 有没有一种工具可以帮助我们pipe理符合以下要求的帐户? 最好是开源(即免费,因为预算是非常有限的) 主stream(即维持) 最好具有LDAP集成或可以与LDAP或AD服务接口进行用户validation(在不久的将来需要将帐户与其他办公室进行集成) 用户pipe理(添加,过期,移除,locking等) 允许pipe理每个用户有权访问哪些系统(或一组系统) – 并非所有系统上都允许所有用户 支持可能有不同homedit和mount的用户帐户,这取决于他们login的系统 。 例如 sysadminlogin到“主”服务器有main:// home / sysadmin / homedir并具有所有共享的挂载 sysadminlogin到工作站工作站将有nas:// user / s / sysadmin作为homedir(与上面不同)和可能有限的一组挂载, 一个login客户将有他/她的homedir在不同的位置,并没有共享坐骑。 如果有一个简单的pipe理界面,将是非常棒的。 而如果这个工具是跨平台的(Linux / MacOS / * nix),那将是一个奇迹! 我搜查了网页,所以找不到合适的东西。 我们欢迎任何build议。 谢谢。 编辑:这个问题已被错误地标记为重复。 […]
一个客户想要一个新的软件。 通常他们在签署合同之前就碰巧提到IT。 通过技术要求的浏览显示没有什么特别的,除了客户端/代理软件的所有用户都需要对他们本地机器的“高级用户”权限。 这将被部署在一个呼叫中心,在那里我不会像其他业务一样考虑到这些“可信”。 因此,我立即扼杀了这一点,但似乎在Windows 7高级用户什么也没有做。 在XP上,它给了你一堆访问权限 ,我不认为我知道它曾经被使用过的任何地方。 我不得不承认,自从Vista以来,我甚至都没有想过。 在Win 7计算机上检查secpol.msc,用户权限分配不显示与高级用户关联的任何内容 。 然而它的描述会让你相信“高级用户是为了向后兼容而拥有有限的行政权力” 有谁知道这些“有限的行政权力”究竟是什么? 微软似乎没有生成任何文件(我无法find一个),详细说明这个小组是做什么的,而且我能find的唯一详细的技术描述可以追溯到2003 / xp和之前。
我们的客户之一是一级PCI公司,他们的审计师就我们的系统pipe理员和我们的访问权限提出了build议。 我们pipe理他们完全基于Windows的大约700个台式机/ 80个服务器/ 10个域控制器的基础设施。 他们build议我们进入一个有三个独立账户的系统: DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC WS是只login到工作站的帐户,是工作站上的本地pipe理员 其中SRV是仅login到非DC服务器的帐户,是服务器上的本地pipe理员 其中DC是仅login到域控制器的帐户,实际上是域pipe理员帐户 然后,策略将阻止从错误的帐户login到错误的系统types(包括删除非直stream机器上域pipe理员帐户的交互式login) 这是为了防止受感染的工作站可能公开域pipe理员login标记并将其重新用于域控制器的情况。 这似乎不仅对我们的日常操作是非常干扰性的政策,而且还有相当多的工作要解决什么是相对不太可能的攻击/利用(这是我的理解,也许我误解了这种利用的可行性) 。 我有兴趣听到其他pipe理员的意见,尤其是那些参与PCI注册公司的人员,并且有类似的build议。 你有什么关于pipe理员login的政策。 为了logging,我们目前有一个我们通常使用的域用户帐户,当我们需要额外的权限时,我们也会提升域pipe理员帐户。 诚实地说,我们都有些懒惰,通常只是使用域pipe理帐户进行日常操作,尽pipe这在技术上违背了我们公司的政策(我相信你明白了!)。
在活动目录环境中的Windows XP中 – 在命令行中给出用户名的情况下,从AD中查询用户的电子邮件地址最简单的方法是什么? (假设我知道它在树中的正常保存位置)。 (我知道关于净用户login名 /域名,但我只是想要的电子邮件地址元素回来。)
是否有可能添加一个现有的用户与木偶2.7.18组? 我们有两个模块,每个模块定义一个类: 模块“用户”创build所有用户,包括用户foo和用户栏。 模块“subversion”处理各种conf文件并创build组svn。 我们想添加用户foo在模块“subversion”中将svn分组。 我已经尝试了现有function请求中所述的成员参数: group { "svn": ensure => present, gid => xxxxx; } user { "foo": group => ["svn"], membership => minimum; } 但是我得到以下错误: err:无法从远程服务器检索目录:SERVER上的错误400:重复声明:User [foo]已经在xx行的文件/pathto/modules/subversion/manifests/init.pp中声明; 无法在节点myserver.example.com上的/pathto/modules/users/manifests/init.pp:xxx处重新声明 这个function是否已经实现? 如果没有,是否有一个很好的解决方法?
有没有办法通过用户名和密码从文件而不是命令行通过–user和 – 密码? 背景:我想通过cron运行wget,不想在进程视图中显示用户名/密码
我想创build以域名命名的用户帐户。 adduser抱怨用户名需要匹配NAME_REGEX正则expression式。 adduser: Please enter a username matching the regular expression configured via the NAME_REGEX configuration variable. Use the `–force-badname' option to relax this check or reconfigure NAME_REGEX. 我可以添加使用useradd的用户没有投诉。 是否有一个原因,我不应该修改正则expression式允许. , -和_ ? 什么字符会导致问题,不应该被允许在用户名? 这是默认的NAME_REGEX 。 NAME_REGEX="^[az][-a-z0-9]*\$"