我正在清理一个没有很好logging的inheritance域。 我如何检查一个特定的组织或用户是否在整个AD内都没有ACE? 比如在AD对象和文件服务器对象中searchDACL / SACL。 pipe理者甚至做这种尽职调查吗? [编辑]我还不能添加评论,但我要感谢本和吉姆的回应。 准备这样深思熟虑的答案需要很长时间,所以我尊重他们的慷慨和愿意分享他们的经验。 感谢您检查基于AD的权限的位置列表 – 非常有帮助。 我赞赏如果访问被无意中删除,保留空群组以重新填充的build议。 我已经写了一些C#代码枚举组成员资格,所以我有这个备份。 (我觉得比PowerShell更容易使用)。我也使用Shareinum这样的sysinternals工具。 Notes / Description字段 – 它们是什么? 说真的,我知道他们是什么,但我的前任并没有使用它们。 他们也没有使用嵌套组。
获得专用的防火墙有什么好处,而不是在路由器上使用ACL和IP检查? 我意识到这可能取决于路由器的版本,某些路由器版本基本上是一个防火墙和单位的路由器?
我想在Debian机器上启用xattrs和acls。 我已经(重新)用user_xattr和acl挂载有问题的分区。 (/ dev / md3是有问题的分区) root@fs01:/# mount | grep /dev/md /dev/md0 on / type ext3 (rw,noatime,nodiratime,barrier=1,user_xattr,acl) /dev/md3 on /DataVolume type ext4 (rw,noatime,nodiratime,acl,user_xattr) 并且ACL工具被安装。 root@fs01:/# dpkg-query -W -f='${Status} ${Version}\n' acl install ok installed 2.2.49-4 root@fs01:/# dpkg-query -W -f='${Status} ${Version}\n' libacl1 install ok installed 2.2.49-4 Xattrs开箱即用; ACL没有。 Getfacl没有错误地工作: root@fs01:/# getfacl /DataVolume/hi # file: /DataVolume/hi # owner: […]
我试图让一个NSIS安装程序作为安装的一部分安装一个自定义服务。 用Win 7及更新版本中可用的典型'NT Service \ xyz'风格的虚拟服务帐户之一运行服务将会很好。 正如您可能已经从Win7中猜到的那样,这是在客户机上部署的,而不是在服务器上部署的。 它在我的testing机器上工作得很好,但是我对这个服务用户的权限的正确方法有些怀疑,特别是当域GPO可能有效时。 在简单的情况下,该服务通过NT SERVICE \ ALL SERVICES成员资格获得了“作为服务login”权限,但是我发现情况并非如此,并且该组具有通过GPO明确吊销的权限。 所以问题是:客户端机器的安装程序是否应该显式创build/configuration一个ACL,以向新创build的虚拟服务用户授予“login即服务”,或者是否希望/依赖默认的“NT服务\所有服务”组授予此权限?
我想在AD DS对象1上运行Set-ACL ,将“Domain Admins”设置为我构build的ACL对象中的所有者。 代码看起来基本上是这样的2 : Function SetDSAcl { Param ( [Microsoft.ActiveDirectory.Management.ADObject]$targetObject # target object ) $targetACL = Get-Acl "AD:\$($targetObject.DistinguishedName)" # [some voodoo to get the values for my new ACE] # Create a new AccessRule using the object constructor # $newAce = New-Object System.DirectoryServices.ActiveDirectoryAccessRule([…]) # Add the generated ACE to target's ACL $targetAcl.AddAccessRule($newAce) # […]
我已经尝试阅读与haproxy限制(速度/ bw)的不同方法,但似乎唯一的工作实现,我发现是基于IP / 32的限制。 是否有可能做基于ACL的速率限制? Samba有一个很好的解决scheme,其中限制参数(基于acl)是:/ 0/24/32 ..所以第一个variables是整个ACL,接下来是/ 24networking,最后是单个IP。
我有一个Cisco 877路由器。 我有一个IPv4访问列表和一个IPv6访问列表设置和configuration类似于此: interface Dialer1 … ip access-group INTERET-IN ipv6 traffic-filter IPV6-IN Access列表与此类似: ip access-list extended INTERNET-IN remark establishd connections permit tcp any any established … deny ip any any log 和: ipv6 access-list IPV6-IN permit esp any any sequence 30 permit tcp any any established sequence 50 remark NTP … sequence 240 deny ipv6 […]
我在笔记本电脑上运行Arch Linux作为开发机器,我需要将用户组RW权限授予文件夹:/ srv / http及其下的所有文件和文件夹。 我确定安装了ACL,然后将其添加到我的fstab: /dev/sda7 / ext4 rw,relatime,data=ordered,acl 0 1 然后我跑了以下几点: sudo setfacl -m group:users:rw- -R /srv/http 它在我的台式机上工作正常,为什么我的笔记本电脑不能工作? 在上面使用setfacl命令之后,用户甚至不再具有对文件或文件夹的读取访问权限。 当我删除像这样的ACLlogging: sudo setfacl -bR /srv/http 用户可以在该命令后打开文件,但不能修改它们。 我在这里做错了什么? 这里是“ls -l / srv / http”的输出 [shane@arch-mobile ~]$ ls -l /srv/http/ total 4 drwxr-xr-x 9 http http 4096 Aug 7 11:04 drupal7 “zcat /proc/config.gz | grep -i […]
我正在处理内核模块参数,我发现自己有点困惑。 特别是,我试图为XFS文件系统启用posix ACL支持。 这要求XFS模块加载参数XFS_POSIX_ACL设置为yes。 没有它,试图用“setfacl”设置ACL导致“Operation not supported”错误。 在testing环境中,我运行了命令“modprobe -v xfs XFS_POSIX_ACL = y”。 尽pipe现在知道你需要先删除一个模块,然后才能设置参数,但这个命令似乎已经工作了。 运行后,我成功地运行“setfacl”,设置一些ACL,并testing它们的全部function。 转移到生产虽然,似乎 – 毫不奇怪 – 只是运行“modprobe -v xfs XFS_POSIX_ACL = y”似乎没有启用ACL支持,可能是由于我没有先卸载模块的事实。 运行该命令不会产生输出,并尝试将ACL结果设置为“Operation not supported”错误。 我遇到的问题是,返回到我的testing环境并尝试“正确地切换参数切换”后,运行modprobe -r xfs后跟“modprobe -v xfs XFS_POSIX_ACL = n ”不会closuresACL支持。 我在详细模式下运行modprobe -r,模块实际上是卸载的(rmmod /lib/modules/…xfs.ko),但重新加载ACL参数设置为NO没有效果。 任何想法我可能做错了什么? RHEL 4.9,2.6.9-89 更新 它看起来像我有错误的参数。 运行modprobe后查看dmesg xfs XFS_POSIX_ACL = N: xfs: Unknown parameter `XFS_POSIX_ACL' SGI […]
我知道Bob是系统pipe理员。 Bob需要将软件Foo部署到基于Windows NT(从XP开始)的Alice工作设备上。 Foo是安全软件。 这不是恶意的。 Alice在她的设备上拥有本地pipe理员权限。 鲍勃想要禁止爱丽丝杀死一个进程或卸载Foo。 但是,鲍勃应该能够卸载Foo,如果他愿意的话。 假设有一种方法可以阻止本地pipe理员Alice终止特定的进程Foo。 我如何实现function,只允许Bob卸载Foo?