此TechNet博客指出: encryption操作员: FIPS 140-2定义了一个“encryption官员”angular色,由Windows Vista中首先引入的Windowsencryption操作员组表示。 当在本地或组策略对象中configuration“ System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing ”安全设置时,只有encryption操作员组或pipe理员组的成员才能configuration下一代encryption(CNG)设置默认。 具体而言,encryption操作员可以编辑具有高级安全性的Windows防火墙(WFAS)的IPsec策略中的encryption设置。 我已经执行了以下操作: 在本地安全策略中启用“ System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing ”安全设置。 它可以在Security Settings -> Local Policies -> Security Options键下find。 创build了一个新的标准用户。 将用户添加到Cryptographic Operators组。 我注意到,这个用户甚至不能访问高级安全Windows防火墙(WFAS),而不是首先是Network Configuration Operators的成员。 然后,我注意到这个组的任何成员都可以访问WFAS,并根据Connection Security Rules (包括IPsec规则)创build新的规则。 换句话说,用户不必是Cryptographic Operators组的成员。 然后我尝试了另一件事:我打开了MMC,并添加了“IP安全策略”pipe理单元。 奇怪的是,用户(它是Cryptographic […]
我正在尝试使用PowerShell DSC将域组添加到本地pipe理员组。 这里是代码: Configuration TestSetup { Node localhost { Group Administrators { GroupName = "Administrators" MembersToInclude = "MYDOMAIN\TheAdministratorsGroup" } } } 当我运行它时,会导致以下错误: PowerShell provider MSFT_GroupResource failed to execute Test-TargetResource functionality with error message: Could not find a principal with the provided name [mydomain\theadministratorsgroup] + CategoryInfo : InvalidOperation: (:) [], CimException + FullyQualifiedErrorId : ProviderOperationExecutionFailure + […]
有谁知道一种方式来[有效]让一个用户或组在一个森林中获得另一个森林中的域pipe理员组的权限? 将Domain Admins@OneForest添加到Domain Admins@OtherForest显然不是一种select,因为Domain Admins组是一个全局组(因此, 由于Global组的作用域,不能有其他林的成员) 。 您可以将Domain Admins@OneForest添加到Domain Admins@OneForest的域本地组中,但是不能将域本地组添加为Global(或Universal)组的成员,这似乎会导致死锁 -最终使用这种方法来解决问题。 我遇到了一些部分的解决方法(已经input了,我将把它作为解决问题的答案),问题是它提供了对域计算机的pipe理权限,而不是域本身 – 例如,它没有不允许跨林帐户编辑GPO。 我考虑过的另一种方法,基本上没有研究的运气是复制/克隆/复制Domain Admins组(但是作为一个域本地组,所以它可以接受来自另一个域的成员),但是我不能似乎find了这个克隆组需要什么权限的资源,以及哪些资源。 看到如何确定给定的Active Directory组的权限是不是一件容易的事情 ,我希望有一些关于内置和默认组拥有什么权限的微软文档,但是我能find的只是他们权限的描述 ,这对我尝试configuration另一个组进行配对没有帮助。 长的问题,有谁知道如何将一个森林的域pipe理员权限应用到另一个森林的帐户?
我为gfix / uid为5555的postfix虚拟邮箱创build了一个虚拟邮件用户,但是现在我创build的每个新用户的启动时间大于5555,是否可以重置自动编号,以便普通用户回到低百吗? 我知道这似乎迂腐,但我强迫症5555应该表示一个“特殊”的用户,非常像65534做匿名NFS用户。 –Update– 确认ssgelm的解决scheme有效。 我更改了/etc/login.defs并将UID_MAX和GID_MAX设置为5000,所有新用户现在都在低500(预期行为)下获得uids / gids。
如何find不属于特定组的文件? find /home -group NOT test
我想创build一个dynamic组与来自我的Active Directory中的特定OU的用户。 我可以使用Exchange Dynamic Distribution List完美地完成这项工作,但是Ex DDL只适用于邮件。 有什么办法来创build这个? 我发现了一些使用System Center来处理这个问题的指南,但System Center不是一个选项。 提前致谢,
阅读[1]: “域pipe理员 这个组的成员完全控制域。 默认情况下,该组是所有域控制器,所有域工作站和所有域成员服务器在join域时的pipe理员组的成员。 默认情况下,pipe理员帐户是该组的成员。 由于该网域对该网域拥有完全的控制权,请谨慎添加用户。“ “pipe理员 该组的成员完全控制域中的所有域控制器。 默认情况下,域pipe理员和企业pipe理员组是Administrators组的成员。 pipe理员帐户也是默认成员。 因为这个群组在这个域中有完全的控制权,请谨慎添加用户。“ 并且pipe理员和域pipe理员在他们的“默认用户权限”中具有完全相同的描述 : “从networking访问此计算机;调整进程的内存配额;备份文件和目录;跳过遍历检查;更改系统时间;创build页面文件;debugging程序;使计算机和用户帐户可信任委派;强制从远程系统closures;增加调度优先级;加载和卸载设备驱动程序;允许本地login;pipe理审计和安全日志;修改固件环境值;configuration文件单个进程;configuration文件系统性能;从坞站移除计算机;还原文件和目录;closures系统;取得文件或其他对象的所有权。“ 我无法理解: 1) 他们之间有什么区别? 2) 什么时候使用默认的化身? 3) 如何专注于他们的订婚? 4) 如果域pipe理员是pipe理员的成员,是不是让他们总是平等的? —更新1 : “默认本地组”[2]告诉: “pipe理员 该组的成员完全可以控制服务器,并根据需要为用户分配用户权限和访问控制权限。 pipe理员帐户也是默认成员。 当此服务器join到域中时,域pipe理员组将自动添加到该组中…“ — Update2: 这个问题是子问题,在其父问题的上下文中(可以看出,没有/之前的Update2,在链接部分): ADjoin的机器的本地用户的上下文? 它是域计算机帐户还是本地计算机帐户? [1] 默认组 http://technet.microsoft.com/en-us/library/cc756898(WS.10).aspx [2] 默认本地组 http://technet.microsoft.com/en-us/library/cc785098(WS.10).aspx
我一直在寻找一个有数千个组的活动目录,其中组对是彼此的成员。 GroupA将GroupB作为成员。 GroupB将GroupA作为成员。 Oy公司。 我正在想通过这个圆形嵌套组的可能后果。
我需要在本地pipe理员组中远程添加一个域用户,我必须input本地pipe理员密码
我有点在这一个残缺。 我在AD中创build了一个名为“特殊数据用户”的安全组,并将自己join其中。 然后,我在服务器上创build一个共享,并赋予AD安全组完全访问共享的权限。 如果我尝试访问共享,我不能获得权限被拒绝的错误。 如果我直接将我的用户帐户添加到共享或添加一个多年的安全组,我是它的成员工作正常。 任何提示或build议,以寻找为什么这个新组不起作用,将不胜感激。 我看起来高低,无法弄清楚为什么任何新的安全组创build不起作用… 谢谢!