我有一个Windows服务作为SERVER_X上的本地系统运行,它试图访问SERVER_Y上托pipe的UNC共享上的脚本。 根据下面的链接,我已经在SERVER_Y上授予SERVER_X计算机帐户访问UNC的权限。 如何授予对LocalSystem帐户的networking访问权限? 如何授予访问域networking中本地SYSTEM帐户的共享文件夹的权限 但是,Windows服务无法访问该文件(访问被拒绝的错误)。 dir \\SERVER_X\share Access is denied. 在安全事件日志(在SERVER_Y上),我看到SERVER_X试图以NT AUTHORITY \ ANONYMOUS LOGON身份访问UNC共享。 我会认为我应该在安全事件日志中看到计算机帐户(即DOMAIN \ SERVER_X)。 两台服务器都是Windows Server 2003 SE SP2。 任何帮助将不胜感激!
我有一台服务器2008R2级AD域,其中所有的打印机联网。 我在工厂拥有大约350名高度stream动的员工,当他们从一个工作区移到另一个工作区时,他们通常会映射到当前工作区域的networking打印机。 不幸的是,在安装networking打印机时,在安装过程中出现“共享这台打印机”的选项。 当他们共享联网的打印机(尽pipe被告知不要),它复制打印机的打印服务器,它不能被删除,直到我进入特定的计算机CN,并从那里删除。 这可能会导致打印服务器上的假脱机问题,如您所想。 有没有办法阻止用户共享他们安装的打印机,而不会干扰他们使用共享文件和networking打印机的能力? 我可以在组策略中看到,我可以完全禁用文件和打印共享,但我不想删除对域共享资源的访问。
我有一个Apachenetworking服务器,我们正在准备通过FTP / S为客户提供更方便的HTTPS协议上传的数据。 目前,我正在使用mod_authnz_external来允许用户进行身份validation,但一旦通过身份validation,用户就无法在主目录中看到“其他”权限设置为零的文件。 我不确定为什么会出现这种情况,因为如果用户通过身份validation,我希望他们能够看到他们自己的用户和组拥有的文件。 要解决这个问题,我也尝试将Apache用户的www-data添加到所有用户命名的组(作为辅助组),他们有权限读取自己的主目录中的文件。 但是,这不允许用户在login网站时看到他们自己的文件,但是如果我通过“www-data”获得shell访问权限并从terminal浏览主目录,我可以查看这些文件。 我需要知道我可能做错了什么,以及如何通过Apache服务用户主目录的内容而不必授予他人许可的最终结果。 任何帮助,这是非常感谢,谢谢。
我有一个EXT4分区的Ubuntu 14.04服务器。 我想更改在/home/myuser中创build新文件和文件夹时获得的权限。 我用setfacl设置了一些选项, getfacl /home/myuser返回以下内容 # file: home/myuser/ # owner: myuser # group: myuser # flags: -s- user::rwx group::rwx other::— 现在,在/home/myuser/ ,我运行touch test.txt 。 getfacl test.txt返回 # file: test.txt # owner: myuser # group: myuser user::rw- group::rw- other::r– 如果我运行mkdir testfolder && getfacl testfolder/ ,我会得到 # file: testfolder/ # owner: myuser # group: myuser # […]
当我重新启动Alfresco,它开始…我得到了页面…但在日志中,我得到了错误: 2015-11-10 09:58:55,282 INFO [management.subsystems.ChildApplicationContextFactory] [localhost-startStop-1] Starting 'imap' subsystem, ID: [imap, default] 2015-11-10 09:58:55,291 ERROR [org.alfresco.fileserver] [CIFS Server] [SMB] Server error : org.alfresco.jlan.server.config.InvalidConfigurationException: Error initializing TCP-IP SMB session handler, Permissão negada 2015-11-10 09:58:55,301 ERROR [org.alfresco.fileserver] [CIFS Server] Error from JLAN org.alfresco.jlan.server.config.InvalidConfigurationException: Error initializing TCP-IP SMB session handler, Permissão negada at org.alfresco.jlan.smb.server.nio.NIOCifsConnectionsHandler.initializeHandler(NIOCifsConnectionsHandler.java:259) at org.alfresco.jlan.smb.server.SMBServer.run(SMBServer.java:479) at java.lang.Thread.run(Thread.java:745) […]
标题基本概括了所有内容… 该域位于客户VM(Essentials 2012 R2)上,我已将其joinHyper-V 2012 R2主机。 由于不适合在此讨论的原因,最近我暂时切换回工作站模式。 现在,我已经重新join了域名,但是我发现我无法使用域pipe理员凭据(服务MMC,磁盘pipe理等)远程访问基本服务。 我没有改变任何防火墙规则(只有一个小时左右)。 事实上,我甚至无法导航到它的UNCpath或任何共享(例如\\ SERVER1)。 我得到这个着名的错误: 我可以使用域pipe理员凭据进入RDP。 我已经使用net localgroup administrators命令来validation域pipe理员确实在本地pipe理员组中。 我离开域名之前怎么回到我的位置? 一切都很顺利 – 我pipe理磁盘分区,本地用户和组,虚拟机设置…你的名字。 我是否必须删除并重新创build主机上的域pipe理员configuration文件? 是在那里寻找“旧”帐户(这实际上是相同的帐户)? 编辑 提供add'l疑难解答信息 (为了更好地反映这个话题,我已经调整了一些标签,因为我对这个问题的本质的理解发展了。) 根据Mark的build议,我删除并重新创build了\\ SERVER1上的Domain Adminconfiguration文件,如他链接的文章中所述。 为了额外的措施,为了安全起见,我再次进行了离开/重新join – 这次请注意删除\\ SERVER1(我忽略了第一次)的旧AD对象。 仍然没有运气。 我在所有工作站上有\\ SERVER1上的所有function,但不是从PDC上。 思考我可能有某种SIDcaching问题正在进行,我转向PsGetSID 。 看起来域成员有两个SID:1)它的机器SID和2)它的域SID( 在这里引用)。 这是我在\\ SERVER1上运行时得到的结果: 不知道如何处理… 但无论如何 – 我正在缩小一点。 显然,PDC认为在\\ SERVER1上禁用了域pipe理员帐户。 这在PDC上时,并浏览W /文件资源pipe理器: 当试图连接W / MMC的事件查看器时: 所以这里有一个共同的线索。 我只是不知道如何弄清楚它是什么或如何解决它。 更新: […]
为什么当我运行我得到的错误: $ sudo echo "127.0.0.1 db-local.internal" >> /etc/hosts bash: /etc/hosts: Permission denied 但是,当我做sudo su我可以编辑这个文件没有任何问题。
我是一名开发人员,我有一个Windows Server 2012开发环境。 没有什么特别的,只有AD和一个WebServer被安装在它上面。 一切都使用默认值进行configuration。 当我做到以下几点: Active Diretory Users and Computers > View > Advanced Features 接着 right click on a User or Container > Security > set some security 例如,在用户Adam上给用户DevelopmentUser1 Full Permission一切正常。 但是在几个小时之后或重新启动之后,权限就消失了,不知何故它们被重置。 这里发生了什么? 为什么会发生这种情况,我怎样才能使其持久? dcdiag / q的结果: C:\Users\Administrator>dcdiag /q An error event occurred. EventID: 0x00002720 Time Generated: 04/28/2016 06:11:16 Event String: The application-specific […]
我的问题是,当使用Daemontools启动时,由OpenOffice(以服务器模式运行)创build的文件由root(和根组)拥有。 当我手动启动Daemontools的“运行”脚本时,OpenOffice正确地创build了具有我想要的权限的文件(即本例中的“oinstall”组)。 我有一个名为“oracle”的unix用户,他是组“oinstall”的成员。 oracle用户可以启动/停止由Daemontools服务控制的OpenOffice服务器。 服务的权限如下所示: [oracle@try1 pdf]$ ls -l /service/ drwxrwsr-x 3 root oinstall 4096 Dec 3 2012 OpenOfficePROD [oracle@try1 pdf]$ ls -l /service/OpenOfficePROD/ -r–rws— 1 root oinstall 175 Dec 3 2012 run drwxrws— 2 root oinstall 4096 Sep 2 15:31 supervise [oracle@try1 pdf]$ ls -l /service/OpenOfficePROD/supervise/ prw-rws— 1 root oinstall 0 Sep 2 15:31 […]
我们有很长一段时间全职员工通过远程桌面连接到她的办公室(Win7或Win8,不完全记得)的机器,这将工作24×7的全天候工作。 我们认为会有风险,家里的电脑可能会被病毒感染,或者孩子/客人可以访问,然后通过办公桌面访问内部服务/服务器,并损坏保存的信息。 尽pipe用户都在Active Directory中进行了描述,但是networking共享在所有服务器(服务器在域中,但是共享文件夹的ACL在本地创build,而不是AD推送)在本地进行pipe理。 从历史上看,有相当多的服务器产生了累积的信息,而且用户是多个用户组的成员,通过个人和群组获得她的许可。 现在我们要保持自己的个人资料和她在办公桌面上的所有工作环境,想要保持本地pipe理权限(软件开发,包括安装和卸载帮手应用程序,pipe理她PC上的共享文件夹等),要她能够研究旧文件多年积累的信息。 但是不能修改它们。 至less不是没有一些精心策划的规避活动(我们害怕被忽视而不是恶意)。 一种方法是将她的用户帐户从NT域用户转换为本地用户。 但是这样她所有的networking访问权限将被无条件地删除。 另一种方法是繁琐地枚举所有服务器和所有共享,然后在该用户的每个服务器上添加NTFS“拒绝写入”权限。 这是乏味的,这是脆弱的(将来创build/调整任何新的共享文件夹,将分享给她的一些用户组,将隐式地访问她)。 所以我认为,也许AD或组策略有自己的用户粒度拒绝SMB写入规则? 我们是否可以在AD和她目前所在的所有用户组中保留自己的个人资料,但是通过向她的帐户添加一些个人规则覆盖所有当前和未来的共享文件夹访问权限,以强制它们全部被读取? 与访问除白名单文件夹之外的共享SMB文件夹时的“user xxx @ domainyyy”类似,应拒绝所有写入,而不pipe在服务器本地为其用户组设置了哪个共享权限。 NT域或GPO中是否有这样的function? 安排她不能将RDP从她的办公室桌面转移到另一台networking机器,然后将相同的拒绝SMB写入规则固定到她的桌面帐户,而不是用户帐户也可以。 域控制器是Windows 2003,文件服务器是2003或2008或2008r2