所以我pipe理这个域,其中用户主要是我们公司的员工谁被允许login到我们的域内的公司电脑。 这实际上是开箱即用的,因为所有用户都是默认的Domain Users 。 但是,我也有这些第三方软件提供商需要在某些服务器上具有pipe理员angular色的帐户,但通常需要禁止login到其他域计算机。 以下是我所尝试的:假设我创build了一个名为John的帐户,他被分配了安全组ThirdPartyStaff SG作为他的主要组。 他然后从内置的“ Domain Users组中删除。 现在ThirdPartyStaff SG和John都不是任何其他组的成员。 然后ThirdPartyStaff SG在某个服务器上具有pipe理angular色。 所以John不应该能够访问任何域名资源,对吧? 但他仍然可以在本地login到任何域计算机(不是远程的,因为他既不在pipe理员也不在RDP组)。 所以现在我担心,除了本地login之外,他可能还有其他权限(比如共享文件夹或远程计划任务pipe理等),我不知道。 现在我必须提出一个具体的规则,说明ThirdPartyStaff SG拒绝通过GPO进行本地login,以阻止他们login。 虽然这个窍门,但我真的想知道: 这种行为背后的原因(或者我所理解的错误) 你通常会如何照顾第三方员工,只给予他们指定的权利,并带走其他一切 – 不需要太多容易忘记的调整 谢谢。
我正在使用RHEL 6.8,我已经从用户帐户中删除了auto_mountfunction。 我现在注意到,当我把CD插入机器,并点击'places'下拉菜单时,它会显示带有图标的CD。 但是,当我点击CD图标时,出现以下错误: Unable to mount <Cd Name> Not Authorized 我知道这是因为这个用户没有安装媒体的权限。 但是,我不知道我需要添加到sudoers文件中的命令,以允许用户通过下拉图标以graphics方式挂载cd。 到目前为止在/ etc / sudoers中,我已经添加了/bin/mount和/bin/umount 。 这显然没有工作,但我不知道如何进行,点击在后台运行的CD图标的命令是什么? 有没有一种方法来安全地授权用户挂载和读取cd而无需写入权限? 我已经能够添加一个完整的命令sudoers文件: mount -t iso9660 -o ro /dev/cdrom /mnt/cdrom 而这通过命令行运行正常,但对于非Linux精明的用户这不会是直观的。 点击地点光盘图标时,我仍然遇到同样的错误。 此外,我确保用户可以访问安装和安装点的权限。 谢谢
我已经按照以下两个post的指示,没有成功解决这个问题。 (顺便说一下,除了另外一个MS Technet的post,和服务器默认的post基本相同,这些都是Google发起来的!Spiceworks有一个post,这个post模糊了类似的话题,但是没有直接关系,Anyhoo …) MS Technetpost serverfault后 基本上,我们需要允许非pipe理员用户帐户popup通过USB连接到Windows Server 2012 R2计算机的外部备份驱动器。 这些服务器都是物理机器。 有问题的非pipe理员帐户已被分配到“备份pipe理员”angular色。 (这显然与备份相关的硬件完全没有关系,但只是说')。 为了节省一点时间,这里是服务器故障解决scheme,不适合我们: 请检查安全选项“设备:允许格式化和popup>可移动媒体”。 您可以通过(本地)组策略进行configuration。 运行> gpedit.msc并导航到: 计算机configuration – > Windows设置 – >安全设置 – >本地>策略 – >安全选项 将选项设置为“pipe理员和交互式用户”。 该gp对象的设置(除pipe理员以外)的另一个选项是“pipe理员和超级用户”。 所以我尝试了这种设置,然后将有问题的非pipe理用户帐户分配给高级用户angular色。 但是还是没有运气。 谢谢你的时间。
我有一个OpenVPN接入服务器为N个用户工作。 每个人都可以访问不同的networking,如172.16.10.0/24等等。 现在,我试图限制访问。 只有几个用户才能访问networking172.16.99.0/24 。 所以,我用这个configuration创build了一个名为“admin-access”的组。 当我尝试将该组分配给用户时,他无法连接到VPN。 这些是日志: 2017-08-17 12:56:09 SENT CONTROL [OpenVPN Server]: 'PUSH_REQUEST' (status=1) 2017-08-17 12:56:09 AUTH: Received control message: AUTH_FAILED 2017-08-17 12:56:09 SIGTERM[soft,auth-failure] received, process exiting 2017-08-17 12:56:09 MANAGEMENT: >STATE:1502988969,EXITING,auth-failure,, 如果我将组更改回“无默认组”,他可以再次连接到VPN。 我做错了什么?
我有一堆PHP脚本在特定时间由cron( /etc/crontab )运行。 这些脚本由www-data拥有。 但是,www数据没有shell访问权限。 事实上,它有“nologin”作为它的壳。 我不确定哪个用户运行脚本。 我不认为以root身份运行这个脚本是安全的 – 如果这些脚本中有任何有害的事情发生,就会给它太多的访问权限。 但是我也不确定是否安全地给www-data用户shell访问。 任何人都可以更好地了解这个问题可以帮助我吗?
当我尝试重新启动Jenkins使用Web界面(通过http(s):// theserver / restart或http(s):// theserver / saferestart)时,我遇到了问题,因为Jenkins被困在屏幕上“请等待jenkins重新启动您的浏览器将在Jenkins准备就绪时自动重新加载。“ 而服务从不显示为停止,所以我们必须手动去服务器的服务,并停止/启动或重新启动jenkinsWindows服务,以便再次准备jenkins。 我们的Jenkins服务器(当前版本是2.60.3)在Windows2012R2上运行,Jenkins进程作为具有有限权限的技术帐户(domain \ sirjenkins)的Windows服务运行。 运行此过程的技术帐户是pipe理员时,jenkins会在“请稍候”消息一分钟后正常重新启动。 我已经分配给域\ sirjenkins帐户的权限是: – 服务器中用户组的成员 – 对jenkinsconfiguration文件的完全控制权限 – 对jenkins工作区文件夹的完全控制权限 – “作为服务login”在本地安全策略中 当使用此帐户运行Jenkins Windows服务时,Jenkins Web界面上的所有其他操作和自动化stream程(从Web界面重新启动除外)均可正常工作。 我一直在网上寻找一个类似的问题,但我发现的大部分都是由于configuration问题/错误而无法启动Jenkins,或者build议分配我已经分配的权限帐户。 进一步的testingcertificate,jenkins在给予受限特权的情况下没有问题,但是在networking重新启动期间,只是试图成功阻止自己而陷入困境。 是否有其他人面临这个问题,并有任何用户权限,我们可能会在运行Jenkins作为服务的帐户的“本地安全策略”中失踪,以便能够成功地从Web界面重新启动Jenkins? 提前致谢。
我有一个UserAccount:UserAccount123,它是本地计算机的pipe理员组的一部分。 计算机安装了Windows 7 Enterprise(64位),它是域的一部分。 用户是该域上的用户,该域的所有用户都在计算机的用户组中。 计算机上只有2个驱动器(c和d)用户可以在c驱动器上创build文件,但在d驱动器上尝试时会出现以下错误:目标文件夹访问被拒绝(您需要执行此操作的权限) 。 C驱动器的所有者是TrustedInstaller D驱动器的所有者是TrustedInstaller(我只是将其更改回来,之后是pipe理员,之前系统,但在此之前它是TrustedInstaller。) 我不知道为什么D盘上的权限改变了。 目前,Authenticated Users,SYSTEM,Administrators,Users都具有完全的权限(除特殊权限外,所有内容都被勾选).D驱动器中的所有子Fodler,项目和容器也都具有来自D的inheritance权限。 如果任何人有任何想法来帮助获得这个域用户,谁是通过pipe理员组的pipe理员组,完全访问的d驱动器,这将不胜感激。
我在我的VPS上部署了许多Web应用程序和服务,包括Jenkins,Node.js应用程序,P2P文件同步服务等,但是我遇到了一些问题: 我使用NginX进行反向代理,其工作人员以用户www-data身份运行。 我听说这个用户应该被授予尽可能less的权限。 它没有shell,其主目录是/var/www 。 所以我创build了另一个用户www-admin进行web应用pipe理和部署。 那么目录/var/www权限设置是什么? 对于www-data应该是可读的,对于www-admin可写的。 我应该使用用户www-data来运行所有的Web服务吗? 如果是这样, www-data应该被授予目录/var/www (这是它的主目录)的写权限,因为我使用PM2进行进程pipe理,它将运行时数据保存在$HOME/.pm2 。 允许www-data写入目录/var/www是否危险? 我听说www-data不应该在/var/www上被授予写权限,因为恶意的web应用程序可能会威胁到其他web应用程序。 我使用Jenkins作为CI,它以用户jenkins运行。 这使事情更复杂。 例如,当使用Jenkins部署Node.js应用程序时,新的PM2实例将以用户jenkins开始运行。 总之,如何设置用户,用户组,目录权限和进程运行用户,以安全的方式妥善pipe理我的Web服务?
我有以下组成yml version: '3.2' services: node: image: node:latest volumes: – woocommerce-grunt-rysnc-sync:/usr/src/app:rw – wordpress-plugin:/usr/src/app/build:rw – node_modules-data:/usr/src/app/node_modules:rw working_dir: /usr/src/app user: '1000' entrypoint: yarn command: install read_only: false privileged: true mysql: image: mysql:latest ports: – '3307:3307' volumes: – mysql-data:/var/lib/mysql:rw environment: – MYSQL_ROOT_PASSWORD=wordpress restart: always woocommerce: depends_on: – mysql links: – mysql image: visiblevc/wordpress:latest ports: – 8080:80 – 443:443 volumes: […]
我需要从一个php / php-7.1容器内执行一些命令,作为一个特殊的(标准)用户和PHP-fpm守护进程使用的“ www-data:www-data ”组。 www-data在主机上同时以用户和组的forms存在,并且条目存在于: / etc / passwd www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin / etc / group www-data:x:33: 无论如何,当容器运行时,我首先得到www-data uid和gid,如下所示: // con_php is the running container's name echo $(docker exec -it con_php bash -c 'echo "$(id -u www-data)"''":"''"$(id -g www-data)"') // outputs 33:33, great ! 然后我使用这个(作为一个命令行replace)来提供给我需要在容器中运行的实际命令提供的–user选项。 我现在有: docker exec \ –user $(docker exec -it con_php bash -c […]