Articles of 权限

我试图委托在我们的Active Directory域中解锁用户帐户的权利。 这应该很容易，而且我之前做过…但是每次用户试图解锁一个帐户（使用LockoutStatus工具 ）时，他都会被拒绝，错误是“您没有必要的权限来解锁此帐户“。 以下是我所做的： 我创build了一个域本地组，并添加了应该拥有这些权限的成员。 这是一个多星期前创build的，所以用户已经注销并重新login。 在ADUC中，我使用包含我们的用户帐户的OU上的委托权向导授予读取lockoutTime和Writer lockoutTime到组的权限，每个MSKB 279723 我已经仔细检查了在ADSIEdit中正确应用的权限。 我强制所有域控制器之间的复制，以确保权限更改被复制。 用户testing它已经注销，并再次确保他有任何更改应用到他的帐户。 这涵盖了我所能想到的所有基础。 还有什么我可能会失踪？

我不是在我的服务器（Linux）的根目录，这台服务器当前不运行一个MySQL服务器作为守护进程。 我可以启动一个仅适用于我的帐户的mysql守护进程，并且数据/文件将存储在我的$ {HOME} / …中的某处吗？ 如何做呢 ？ 谢谢你，皮埃尔

我有两台机器： Windows客户端（开发机器） Linux Web服务器（Ubuntu） 在Linux服务器上，我安装了Apache，Samba和SVN。 我创build了映射到htdocs /目录的samba共享，以便我可以从Windows访问networking文件。 以下说明了我的工作stream程： 从Linux服务器上的命令行，我将远程服务器的Web项目的工作副本签出到本地Linux服务器的htdocs目录中。 在Windows机器上，我访问这些文件（使用samba），并在我的编辑器中进行编辑并在Web浏览器中进行testing 回到Linux机器上，我将我的工作签入到远程服务器。 我现在的问题是，目前我能够通过Samba编辑Windows盒子上的文件，我必须将文件的所有者更改为nobody（apache用户），并将Samba共享设置为使用SHARE权限。 当我尝试使用SVN提交和更新等我不能因为我的Linux用户不是'没有'，并没有权限这样做。 所以我必须成为根做一个SVN [命令]，然后将所有文件更改回“无人”，以便我不能在Windows上编辑。 我希望能够做的是让我的本地Linux用户拥有Web文件，这将使SVN命令工作，Windows（通过samba）也可以使用同一个用户。 我怎样才能使这个工作，有没有办法让Windows和Linux用户匹配？

脚本向我的URL发出GET请求，如下所示： http://mydomain.com/cgi-bin/uu_ini_status_audios.pl?tmp_sid=b742be1d131c4d32237a9f1fcdca659e&rnd_id=0.2363453360320319 不过，我立刻得到了一个404回来： The requested URL /cgi-bin/uu_ini_status_audios.pl was not found on this server. 但是这个脚本存在于我的服务器上，我可以看到这个文件！ 它有正确的权限（我给了它777肯定）。 它也由我的apache用户和它在组apache中拥有。 我在想什么？ 感谢您的帮助！ 更新 我认为这将是一个htaccess（重写），但我不认为它已经是了。 我试图把一个index.php文件放在那里，并尝试通过我的URL访问它，但我甚至不能这样做！ 我试过这个： http://mydoamin.com/cgi-bin/index.php – 相同的404错误！ 我在myerror日志中得到这个： [Tue Sep 14 14:42:49 2010] [error] [client xx.xxx.xx.xxx] script not found or unable to stat: /var/www/vhosts/mydomain.com/cgi-bin Access_log文件： xx.xxx.xx.xxx – [14 / Sep / 2010：14：48：25 +0200]“GET /cgi-bin/index.php HTTP / 1.1”404 […]

从各种文档看来，要更改WMI访问，您需要使用WMI访问正在运行的服务并修改树的特定部分。 它使用用户界面变化150,000主机恼人的一种。 然后必须在添加新主机的过程中包含这些更改。 可以编写一个脚本来执行相同的操作，但是需要连接到所有这些机器上，或者在启动/安装脚本中进行分发以便以后更新。 然后，你必须搞清楚从示例访问控制复制二进制SD数据。 我也发现你可以改变wbem / *。mof文件来包含一个SDDL，但是我现在对这个工作是非常模糊的。 我只是缺less一些简单的pipe理点？

我有一个全新的Active Directory（ CORP-AD ）安装在Windows 2008R2上运行。 我有一个域控制器（ PDC01 ）和一个成员服务器（ ME01 ）。 成员服务器有一个C:和一个D:驱动器。 我们的标准构build的一部分是从D:驱动器的根除去所有权限，除了： SYSTEM（完全控制） pipe理员（完全控制） 我创build了一个新的域用户ADMIN01并授予它成为Domain Admins组的成员。 Domain Admins是成员服务器的本地Administrators组的成员。 当我作为域用户ADMIN01 （通过RDP）login到成员服务器ME01 ，该用户无法访问D:驱动器。 然后，我尝试将完全控制的Domain Admins组添加到D:驱动器的根目录，但是我的ADMIN01用户仍然无法访问D:驱动器： 如果我以本地计算机pipe理员身份login到ME01 ，则根本无法访问D:驱动器。 我发现了这个问题，其中大致描述了同样的问题： 为什么我无法浏览我的D：驱动器，即使我在pipe理员组中？ 答案正确地表明这是一个UAC特权提升问题，但我对这个陈述感到困惑，特别是大胆的部分： 您可以通过组策略修改此行为， 但请记住，默认设置是故意设置的 – 您要更改的特定策略是“用户帐户控制：在pipe理员批准模式下运行所有​​pipe理员” – 您可以find有关如何在这个MSDN文章中做这个。 这是否暗示“用户帐户控制：以pipe理员批准模式运行所有pipe理员”不应禁用？ 如果启用了，我不会通过“继续”button+盾牌图标获得UAC挑战，我只是简单地拒绝访问驱动器。 这是正常的吗？

我在解决对Windows权限的困惑的漫长而艰苦的过程中，希望对以下内容有所了解。 我想提供一个Windows共享，以便networking上的任何匿名Windows计算机（我们不使用域控制器）都可以键入\\servername\sharename ，并对其中的文件具有只读访问权限。 我知道的： “Everyone”组不包含“匿名”SID。 （奇怪的是，这篇文章并不适用于2008 R2 …） 对文件本身有两个“级别”（可能不是最好的词）权限：共享权限和NTFS权限。 （即共享和存储pipe理 – >属性 – >权限） 在没有域控制器的环境中操作有一些问题，但在多台机器上有相同名称的用户帐户。 我想我知道的是： “使networking服务可被发现”应该不会影响正确许可的股票的可访问性。 还必须configurationNTFS权限才能访问此共享 – 不仅仅是共享权限（？）（尽pipe共享和存储pipe理声称它们只适用于本地访问）。 即使明确引用了本地用户帐户，“Everyone”组也不应被排除在访问权限之外，因为客户端计算机以与本地服务器相同的用户名身份login，将尝试以该用户身份进行身份validation，并被拒绝如果密码有差异。 （ *groan* ） 我不知道的是： 有caching凭据或服务器响应有任何疑难解答吗？ 每次尝试连接共享后，是否应该重新启动testing客户端工作站？ 如果“访客”帐户与共享或NTFS权限有任何关系？ 我是否正确地认为需要configuration“匿名login”和读取权限共享和NTFS权限？ 同样的“每个人”组？

Windows Server 2008显然允许应用程序以某种方式configuration文件夹，以便在该文件夹中进行的任何更改都需要pipe理员级访问权限。 我使用具有pipe理员权限但不是本地pipe理员帐户的帐户login。 当我这样做时，我发现我不能保存对此文件夹中打开的文件的更改。 我知道我可以以pipe理员身份打开应用程序，或将文件移出文件夹，进行更改，然后将其移回，但是我希望有一个更好的方法来完全禁用保护。 有没有办法删除我经常编辑的文件？

在我们的学校，我们有不同类别的networking共享，包含“手动，手动”文件夹。 学生把他们的工作放在Hand In文件夹中，教师把作业放在Hand Out文件夹中。 Hand In文件夹是学生可以写入的文件夹。 [Mac OS X将这样的文件夹称为“Drop Box”，因为您可以将文件拖放到该文件夹​​中，但不会看到里面是什么。 我看了一下，得出的结论是，答案是否定的，但是，权限和访问控制列表的任何组合都允许你拥有一个只写访问的文件夹，在这个文件夹中你可以看到驻留在其中的文件的名字但实际上并没有打开文件）？ 如果学生不清楚他们是否转任了一个分配机构，这将使他们能够validation他们是否有。 如果学生能够看到他们打开的文件的文件名，而不是其他人的文件名，那么更好的办法就是更好一些。 更新：一个更真实的教育是学生可能需要打开整个文件夹，而不是单个文件。 Mac OS X使用捆绑包 – 对用户来说看起来像文件的东西，但实际上是目录。 （应用程序是最好的例子，但Pages，Keynote，甚至TextEdit（当你添加一个graphics到你的文档），保存包）。它需要一些额外的工作，使他们可以交出文件夹见下文）。 这是我现有的脚本的一部分。 请注意，这是我想要的，除了产生任何types的文件列表里面： $ ADMIN是系统pipe理员用户。 $ STAFF是一组教师。 $ GRADE是一个代表学生成绩的小组。 奇怪的chmod命令是在OS X下设置ACL的方式。 # Create the hand-in folder mkdir "Hand In" chown "$ADMIN:$GRADE" "Hand In" chmod 4730 "Hand In" chmod +a "$ADMIN allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,writesecurity,chown,file_inherit,directory_inherit" "Hand In" chmod +a […]

我有一个Linux服务器，我想用来在我的公司用户之间共享文件。 用户将通过sftp或安全shell访问本机。 这是我有什么： cd / home ls -l drwxrwsr-x 5 userA staff 4096 Jul 22 15:00 shared （其他列表省略） 我希望员工组中的所有用户都能够创build，修改，删除共享文件夹中的任何文件和/或目录。 我不希望其他人有权访问该文件夹。 我有： 通过修改/ etc / group并运行grpconv来更新/ etc / gshadow，将用户添加到员工组中 运行chown -R userA.staff / home / shared 运行chmod -R 2775 / home / shared 现在，员工组中的用户可以创build新文件，但不允许打开目录中的现有文件进行编辑。 我怀疑这是由于与每个用户关联的主组标识，这些用户仍然被设置为创build用户时创build的组。 所以，用户'userA'的PGID是'userA'。 我宁愿不把用户的主要群组改成“员工”，只要我能帮上忙，但如果这是最简单的select，我会考虑的。 而且，在一个主题上的变体，我想与另一个目录做同样的事情，但也允许Apache用户读取目录中的文件并提供服务。 什么是最好的方式来设置？