我在这里把我的头发拉出来 – 可以用一点帮助。 看起来,经典的RUNAS在域环境下不起作用。 至less,我不能让它在Windows Server 2012 R2和Windows 8.1域环境中运行。 我最初试图设置托pipe服务帐户,根据这篇文章 ,为了创build一个pipe理帐户,可以用于特权升级的程序,这是太自负了,因为它自己的brittle,但是当我能够做一切在服务器上,最后的步骤(在Win8,1Ent工作站上需要这个账号的操作)没有那么好。 从本质上讲,所需的命令, Install-ADServiceAccount抛出一个错误,因为它不能被发现: PS C:\Users\René Kåbis.DOMAIN> Install-ADServiceAccount Services Install-ADServiceAccount : The term 'Install-ADServiceAccount' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is […]
在阅读以下页面以更新自己关于NTFS文件,文件夹和共享权限的工作方式后,我留下了一些问题,希望能够得到关于此组的一些答案: http://technet.microsoft.com/en-us/library/bb727008.aspx 该页面指出,当一个权限是灰暗的,这意味着这样的权限是从父对象inheritance(我猜在文件夹这可能意味着父文件夹,但这意味着什么文件的情况下?)。 用户和联系人有什么区别(如给定页面顶部所述)? 在我的系统上,除了完全控制,修改,读取和执行,列出文件夹内容,读取和写入等基本权限之外,还有在各种文件的访问控制列表中列出的另一个许可,即“特殊授权”许可。 这是什么,它是用来干什么的,它来自哪里,为什么没有在解释属于NTFS文件,文件夹和共享属性的任何网站上描述? 该页面指出需要读取权限才能运行脚本,并且在Windows上不需要执行权限。 据推测,我们指的是任何被解释为与编译相反的文件,但是可以在Windows系统上运行的绝大多数文件types,我怎么知道哪些文件需要执行权限,哪些文件不需要执行权限? 在我发布的链接的权限表中,是否有一个与List文件夹有关的文件夹内容权限(我不认为这意味着执行权限)? 感谢您的帮助。
据我所知,从mount手册页,默认情况下只允许root挂载一个文件系统。 具有user或users选项的文件系统可以由任何用户装载。 owner和group选项仅允许所有者和设备文件组的成员分别挂载/卸载文件系统。 有没有办法只允许任意组挂载/卸载文件系统?
Windows 8有两个选项来设置帐户types: 标准 pipe理员 我正在寻找一种方法来使自定义帐户types具有更细粒度的权限选项可用。 例如,我想控制,如果用户可以: 哪些控制面板选项允许查看/修改 允许哪些外部媒体使用(哪些UUID是允许的) 允许运行的应用程序的白名单/黑名单(包括通常需要pipe理权限的应用程序)
在CentOS版本6.5(最后)我创build了一个受限用户test1 useradd -s /bin/false test1 并configurationssd_config如下 Subsystem sftp internal-sftp Match User test1 ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no 定义用户test1的主目录 usermod -d /usr/local/tomcat/webapps/ROOT 然后 chown root:root /usr/local/tomcat/webapps/ROOT chown test1:test1 -R /usr/local/tomcat/webapps/ROOT/* chmod 755 -R /usr/local/tomcat/webapps/ROOT/* 重新启动sshd并尝试login到sftp # sftp test1@localhost Connecting to localhost… test1@localhost's password: sftp> ls -la drwxr-xr-x 9 0 0 4096 Feb 16 08:20 . […]
举个例子:假设Apache需要拥有/ var / www / html中所有文件的所有权来提供网站的页面。 使Apache成为这个目录的所有者(以及文件和子目录)是否有任何危险,而不仅仅是将所有权分配给这些文件并维护当前目录的所有权? 这似乎是一个不太精确的解决scheme,不太精确的解决scheme似乎总是因为我没有想到的原因而变得不安全。 这基本上是一个使用的问题 cd /var/www/html chown -R user . 与 chown -R user /var/www/html 谢谢!
在我们的Windows域中,我是域pipe理员。 我用我的域pipe理员帐户通过远程桌面login到我的服务器。 现在,我刚刚安装了Windows Server 2012,并通过RDP工作,发现我无法更改文本文件,因为我没有权限。 这个问题扩展到任何文件 – 不只是文本文件,问题不是它们被设置为只读。 所以为了确保,我将我的域帐户添加到该机器上的本地pipe理员组。 我也禁用了UAC,因为我在一个奇特的防火墙路由器后面,并且没有来自本地用户的安全风险。 所以我去检查在c:\program files (x86)\目录的权限,看到pipe理员组没有该目录的编辑权限! 唉! 然后,我尝试给予pipe理员组的权限,并发现我不允许(我是域pipe理员!)。 为了certificate这一点,这里是一个截图。 你可以看到,所有的框都没有选中 – 他们实际上是禁用的,我不能点击它们。 啊,但有趣的是这样的:如果我查看用户组的权限,我看到该组有权限Read & Execute但不能修改。 他们拥有比pipe理员更多的权限! 我如何给我的域pipe理员帐户权限编辑该目录中的文本文件? 是否有一些本地组策略设置? 注意:此问题不扩展到C的根目录中的文件夹。它只发生在特殊的Windows目录中。 但是我从来没有在其他Windows Server版本中遇到这个问题。
我有一些使用setuid作为非特权用户运行的upstart脚本。 应该在/var/run/my-service : /var/run/my-service/v1.pid创buildPid文件。 新贵脚本是由一个脚本创build的,脚本也创build了/var/run/my-service并设置了权限,所以一切都起作用。 但是重启后这个文件夹将会消失,服务将会失败。 我试过这个: pre-start script [ -n $PID_DIR ] && [ ! -d $PID_DIR ] && mkdir $PID_DIR sudo chown my-user:my-group $PID_DIR end script setuid my-user 但它不起作用: sudo: no tty present and no askpass program specified my-user is not in the sudoers file. This incident will be reported. 我想这是因为setuid会影响所有进程,即使它是在pre-start和sudo start my-service被使用。 […]
背景 在过去的几个星期里,我试图修改我们公司的Active Directory和用户组设置。 然而,由于缺乏适当的文件,在做出改变之后意想不到的副作用开始出现。 我遇到的最后一个问题是关于networking共享。 由于多代IT人员曾在这家公司工作过,他们每个人都对Active Directory进行了修改,但没有一个人做过文档。 因此,Active Directory和GPO已经发展到混乱的地步。 我决定解开这个烂摊子,并开始研究它。 基础设施 有一个域控制器和一个terminal服务器。 我们使用terminal服务。 用户通过远程桌面连接连接到terminal服务器,并在那里做大部分工作。 用户可以访问某些从域控制器共享的networking共享。 问题 我将通过示例来说明问题:用户A是X组的成员。 我从组X删除A 然后用户无法访问在networking中共享的文件夹。 我检查这个文件夹的Properties 。 Sharing选项卡 – > Advanced Sharing – > Permissions :包括Everyone和Administrators组[1] Security选项卡 – >“ Groups or Username部分下,列出了SYSTEM , Administrators和组X [2] 那么为什么当我从组X删除用户A , A不能访问这个共享文件夹。 不是用户A被认为是Everyone用户组的一部分。 他不应该通过Everyone组拥有所有权限吗? 概括我的问题。 Sharing Permissions和Security Permissions如何相互配合? 它们之间有什么依赖关系? 基本上,这是否意味着当我想要与某个用户组共享文件夹时,该组必须同时在Shared Permissions [1]和Security Permissions [2]列出?
我应该select什么让员工访问服务器上的日志。 例如,如果我有用户网站pipe理员应该有权访问/var/log/{mysql,nginx, etc…} ,我该怎么做呢? 也许添加组log-access和更改log-access所有者到这个组? 或者这不是好的方法? Ubuntu是我使用的主要操作系统(很lessCentOS)。