我试图在Windows Server 2008 R2域控制器上安装Cygwin和SSHd。 我已经在其他机器上安装了Cygwin和SSHd几次,没有问题。 作为域控制器,cyg_server用户是域的一部分。 我已经在DOMAIN \ cyg_server的域控制器的组策略上启用了SeTcbPrivilege,但它在某种程度上不适用。
gpresult / v的输出是:
GPO: Default Domain Controllers Policy Policy: TcbPrivilege Computer Setting: Administrators DOMAIN\cyg_server DOMAIN\Domain Admins 运行RSoP.msc与gpresult是一致的,也显示这些组和cyg_server用户应该有TcbPrivilete。
但whoami / priv的输出显示SeTcbPrivilege“Disabled”:
PRIVILEGES INFORMATION ---------------------- Privilege Name Description State =============================== ======================================================== ======== <...> SeTcbPrivilege Act as part of the operating system Disabled <...>
我可以启动Cygwin SSHd服务,但是我只能以cyg_server身份login。 当我尝试以pipe理员身份login时,我看到:
urkom@workstation:~$ ssh Administrator@domaincontroller Administrator@domaincontroller's password: Last login: Tue May 7 13:26:29 2013 from 172.1.10.22 /bin/bash: Operation not permitted Connection to domaincontroller closed.
作为参考,这里是/ etc / passwd的相关行:
Administrator:unused:500:513:Administrator,U-DOMAIN\Administrator,S-1-5-21-3835976426-429400520-196227251-500:/home/Administrator:/bin/bash
我卡住了,所以任何帮助将受到欢迎。 谢谢。
好的,是的,我身边很愚蠢…… 🙂
官方文档实际上包含您需要的所有信息: http : //www.cygwin.com/faq/faq.using.html#faq.using.sshd-in-domain
为了使Cygwin的SSHd工作,我不得不添加该列表的第三个权限“replace进程级别令牌”:
Act as part of the operating system (SeTcbPrivilege) Create a token object (SeCreateTokenPrivilege) Replace a process level token (SeAssignPrimaryTokenPrivilege)
现在SSHlogin工作! 好极了!
当你说“pipe理员@域控制器”,你的意思是你试图对本机pipe理员帐户进行login? 这不适用于DC,因为DC上没有任何本地帐户:您需要使用ADpipe理员执行login。