给定一对用户和一个特权,我需要确定一个用户是否有权限在服务器上。 以下是我的设置: 服务器是域的一部分,但不是域控制器 基础设施中有几个信任关系的领域 有时,用户(本地,域或来自不同域)可以属于本地组,而其属于本地组的其他组(域或本地),而不是直接属于组。 最后一点的示例场景: User1属于DomainA中的组TeamA DomaimA \ TeamA是DomainB \ SpecialAccess的成员 DomainB \ SpecialAccess是DomainB \ DomainAdmins的成员 最后,DomainB \ DomainAdmins属于本地pipe理员组 本地pipe理员组具有SeRemoteInteractiveLogonRight privelege 现在,如果我有inputDomainA \ User1和SeRemoteInteractiveLogonRight我需要到达是或否回答。 所以我打开机器上的本地策略,注意哪些组是根据我所感兴趣的权利也列出,然后去服务器pipe理员,看看什么在组成员,然后我需要看看这些组中的任何组的成员等等。 我有一个直觉,可以更容易。 当我发现AccessChk工具时,我非常兴奋。持续了整整三分钟,我发现它只列出了直接的关系,所以组内的用户不会被列出。 现在我猜测,可以合并来自AccessChk的结果,以便我可以检查用户是否属于AccessChk返回的任何组,但是鉴于它不是一个域,而是几个我不知道如何处理这个。 另外AccessChk输出似乎不区分组和用户。 编辑 :本着不落入XY问题的陷阱,我真正需要做的是确保在一组服务器上没有用作IIS应用程序池标识的特定用户帐户具有SeInteractiveLogonRight或SeRemoteInteractiveLogonRight特权。 我对IIS部分没有任何问题,但是检查某个帐户的最后一个步骤是我正在努力寻找一个简单的方法来检查。 我也想自动检查,因为这是需要定期完成的。
我遵循这个过程在我的Ubuntu 10.04 Lucid Server上安装nginx http://library.linode.com/web-servers/nginx/installation/ubuntu-10.04-lucid 创build一个启动脚本启动nginx,然后调用/etc/init.d/nginx start之后,我迷了路。 当我这样做,我得到了以下错误: Starting nginx_main: Starting /opt/nginx/sbin/nginx… nginx: [alert] could not open error log file: open() "/opt/nginx/logs/error.log" failed (13: Permission denied) 2012/03/16 18:17:27 [emerg] 859#0: open() "/opt/nginx/logs/access.log" failed (13: Permission denied) 我可以运行它的唯一方法是如果我使用sudo ,它以root身份运行进程,这是我不想要的。 我已经find了整个目录( chown -R nginx:nginx /opt/nginx ),而且我还把chmod -R 755作为目录。 按照CS3的build议添加user指令也给了我这个错误,但是增加了一行。 Starting nginx_main: Starting /opt/nginx/sbin/nginx… nginx: [alert] could not […]
我正在尝试重置用户目录的权限,并在脚本的最后一步遇到了一些麻烦。 我的脚本基本上取得了整个用户目录的所有权,重置了目录中所有文件和文件夹的权限,显式授予了我需要的权限,停止了从父文件夹inheritance所有权限,为所有文件设置合法的所有者(指定用户)和文件夹,然后删除我给自己的权限,以便我可以在文件上操作。 我需要最后一步将自己从所有文件和子文件夹中删除,但目前它只是将我从%userDir%中删除,并将所有inheritance的权限留在下面。 这是ICACLS的一个明显缺陷。 有谁知道有任何其他方式来完成这个? set /p userDir=Enter the login of the user's directory you're modifying permissions for. (ie jDoe) TAKEOWN /f "E:\Home Directories\%userDir%" /r /dy ICACLS "E:\Home Directories\%userDir%" /reset /T ICACLS "E:\Home Directories\%userDir%" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F /grant:r "SYSTEM":(OI)(CI)F /grant:r "MYDOMAIN\%username%":(OI)(CI)F ICACLS "E:\Home Directories\%userDir%" /inheritance:r ICACLS "E:\Home Directories\%userDir%" /setowner "MYDOMAIN\%userDir%" /T ICACLS "E:\Home Directories\%userDir%" /remove "MYDOMAIN\%username%"
我有一个远程分区,我使用NFS本地安装。 “坐骑”给出 192.168.3.1:/mnt/storage-pools/ on /pools type nfs (rw,addr=192.168.3.1) 在服务器上我有出口: /mnt/storage-pools *(rw,insecure,sync,no_subtree_check) 然后我尝试 touch /pools/test1 ls -lah -rw-r–r– 1 65534 65534 0 Dec 13 20:56 test1 chown root.root test1 chown: changing ownership of `test1': Operation not permitted 我错过了什么? 把我的头发拉出来。
我有我的networking服务器应用程序启动时使用暴发户。 这是新贵脚本: # web app node upstart file at /etc/init/webapp.conf description "web application" start on started mongodb stop on runlevel [06] respawn respawn limit 10 100 env NODE_ENV=production pre-start script ulimit -n 2048 end script exec start-stop-daemon –start -c mainuser –exec /usr/bin/make — -C /home/mainuser/app start-prod 这完美地在Ubuntu服务器10.04 LTS上运行,我非常高兴。 不过,我有一个使用SSH作为mainuser (这不是sudoer)login的部署shell脚本,然后将工作目录更新到最新的部署版本。 这里的问题是服务需要重新启动,以便应用程序加载新的源文件。 但是, mainuser得到一个… mainuser@Saturn101:~$ stop […]
我的Windows Vista计算机上只有一个帐户,并且该用户具有pipe理权限。 但是,当我尝试在PowerShell中执行某个命令来杀死某个进程时,我会遇到“访问被拒绝”信息。 我如何成为pipe理员?
我正在build立一个新的服务器,并希望通过chown:chgrp:chmod样式权限给ACL一个镜头。 setfacl的手册页指示可以使用“-R”选项recursion地在文件和目录上设置ACL。 -R, – recursion将操作以recursion方式应用于所有文件和目录。 这个选项不能和'–restore'混合使用。 如果我的目录布局看起来像这样 test/ subtest/ subtest.txt 我执行 setfacl -Rm d:u:foo:rwX test ACL将在“subtest”目录中生效,但不会生成subtest.txt文件。 我认为我可以使用find + exec来解决它,但是我打算使用这个服务器来训练一些其他的pipe理员,并且我想尽可能保持简单,所以我们不要挂上一些更高级的约定。 谢谢
我是Windows 2008服务器上的pipe理员。 当我尝试更改目录上的文件权限时,出现错误: 错误应用安全 访问被拒绝。 我是机器上的pipe理员,并且确保没有文件被locking(使用Process Explorer )。 我甚至启动了另一个有login的远程桌面会话的用户。 它所抱怨的一些文件位于.hg文件夹中,因为我正在处理的目录中有一个Mercurial存储库。 我注意到,在目录中的东西被设置为只读,所以我没有选中和应用。 它看起来像它的工作,但再次看它回到只读和设置权限仍然失败。 IIS中有一个站点使用此目录的子目录。 更新: 我刚刚发现这篇文章是关于这类问题的。 底部的提示提到,如果它不工作,检查LockHunter 。 它告诉我,目录被IISlocking,所以我跑了iisreset -stop并再次尝试设置权限。 同样的错误。 🙁
我有一个PHP脚本创build一个目录,并将图像输出到目录。 这在Apache下工作得很好,但是我们最近决定切换到NGINX来更多地使用我们有限的RAM。 我正在使用PHP mkdir()命令来创build目录: mkdir(dirname($path['image']['server']), 0755, true); 切换到NGINX后,我收到以下警告: Warning: mkdir(): Permission denied in … 我已经检查了父目录的所有权限,所以我确定我可能需要更改NGINX或PHP-FPM的“用户”,但我不知道该怎么做(我从来没有指定用户APACHE权限)。 我似乎无法find关于此的很多信息。 任何帮助将是伟大的! (注意:除了这个小小的挂断之外,切换到NGINX已经非常的无缝了,我第一次使用它,从字面上来说,花了大约10分钟就可以用NGINX启动和运行。摆脱困境。)
我有一个Windows 2008服务器,我试图连接到默认的pipe理共享 \\servername\c$ 我可以使用默认的pipe理员帐户连接到它。 但是,如果我尝试使用作为pipe理员组成员的用户帐户进行连接,则不能。 我错过了什么?