Ich bin ein Unix-Administrator, der auch mit verschiedenen MS Windows-Servern arbeiten muss. Für verschiedene Aufgaben bin ich mit den mir vertrauten Unix-Tools viel produktiver und nutze Cygwin seit langem auf meiner lokalen Workstation. Jetzt möchte ich Cygwin auf bestimmten Windows-Servern einrichten, damit ich SSH in sie einbinden und dieselben Tools für administrative Aufgaben verwenden kann.
In früheren Versionen ordnete Cygwin Windows POSIX-Benutzern und Berechtigungen aus a /etc/passwd
und /etc/groups
-Dateien zu, verwendet jedoch jetzt Active Directory auf dem Domänencontroller direkt, um Benutzer zu authentifizieren. Die Cygwin-FAQ wurden mit Anweisungen zum Einrichten von SSHD auf einer Domain aktualisiert :
Erstellen Sie zunächst ein neues Domänenkonto mit dem Namen "cyg_server". Dieses Konto muss ein Administratorkonto sein. Stellen Sie daher sicher, dass es sich in der Gruppe "Administratoren" befindet.
Erstellen Sie nun eine Domänenrichtlinie, die an alle Computer weitergegeben wird, auf denen ein sshd-Dienst ausgeführt werden soll. Diese Domänenrichtlinie sollte dem Konto "cyg_server" die folgenden Benutzerrechte verleihen:
Act as part of the operating system (SeTcbPrivilege) Create a token object (SeCreateTokenPrivilege) Replace a process level token (SeAssignPrimaryTokenPrivilege)
Ich habe Administratorzugriff auf den AD-Domänencontroller (der unter Windows Server 2008 R2 ausgeführt wird) und habe das cyg_server
Domänenkonto als Mitglied der Administrators
Gruppe erstellt. Ich weiß jedoch nicht genug über die Windows-Administration, um die verbleibenden Anweisungen zu befolgen.
Ich nehme an, dass sich „Domänenrichtlinie“ auf Gruppenrichtlinien bezieht, aber ich weiß wirklich nichts über Gruppenrichtlinien. Ich dachte, diese Frage wäre relevant, aber sie hatte nicht genug Details, um sie zu nutzen.
quelle
Antworten:
Okay, die grobe Anleitung zu Gruppenrichtlinienobjekten für UNIX-Administratoren;)
Zunächst einmal ist Active Directory im Grunde eine Datenbank, die verschiedene Arten von Objekten enthält. Wie bei LDAP stammt AD von X.500, daher sind beide hierarchisch und verwenden verschiedene Objekte. Eines davon ist vom Typ Gruppenrichtlinienobjekt (Group Policy Object, GPO).
Sie müssen ein Gruppenrichtlinienobjekt irgendwo in der Struktur einer Domäne verknüpfen. Im Allgemeinen wenden verknüpfte Gruppenrichtlinienobjekte ihre Einstellungen für Computer (dh Computerobjekte, die beim Start angewendet werden) und Benutzerkonten (Benutzerobjekte, die nach der Anmeldung angewendet werden) rekursiv an.
Standardmäßig sind zwei Gruppenrichtlinienobjekte in einer neuen Domäne verknüpft:
Ändern Sie diese nur, wenn Sie verstehen, was Sie tun. Erstellen Sie stattdessen ein neues Gruppenrichtlinienobjekt.
Ich werde hier nicht im Detail erklären, wie ein Gruppenrichtlinienobjekt erstellt wird. Bestimmen Sie Ihren Bereich und stellen Sie sicher, dass die Einstellungen korrekt sind. Für diesen speziellen Fall würde ich vorschlagen, dass Sie ihn mit der Organisationseinheit (Organizational Unit, OU) verknüpfen, in der sich Ihre Server befinden.
Die Politik wie in der Frage vorgeschlagen soll wohl ein bisschen aussieht dies .
quelle