Erstellen Sie eine Domänenrichtlinie, um Benutzerrechte zuzuweisen

3

Ich bin ein Unix-Administrator, der auch mit verschiedenen MS Windows-Servern arbeiten muss. Für verschiedene Aufgaben bin ich mit den mir vertrauten Unix-Tools viel produktiver und nutze Cygwin seit langem auf meiner lokalen Workstation. Jetzt möchte ich Cygwin auf bestimmten Windows-Servern einrichten, damit ich SSH in sie einbinden und dieselben Tools für administrative Aufgaben verwenden kann.

In früheren Versionen ordnete Cygwin Windows POSIX-Benutzern und Berechtigungen aus a /etc/passwdund /etc/groups-Dateien zu, verwendet jedoch jetzt Active Directory auf dem Domänencontroller direkt, um Benutzer zu authentifizieren. Die Cygwin-FAQ wurden mit Anweisungen zum Einrichten von SSHD auf einer Domain aktualisiert :

Erstellen Sie zunächst ein neues Domänenkonto mit dem Namen "cyg_server". Dieses Konto muss ein Administratorkonto sein. Stellen Sie daher sicher, dass es sich in der Gruppe "Administratoren" befindet.

Erstellen Sie nun eine Domänenrichtlinie, die an alle Computer weitergegeben wird, auf denen ein sshd-Dienst ausgeführt werden soll. Diese Domänenrichtlinie sollte dem Konto "cyg_server" die folgenden Benutzerrechte verleihen:

Act as part of the operating system (SeTcbPrivilege)
Create a token object               (SeCreateTokenPrivilege)
Replace a process level token       (SeAssignPrimaryTokenPrivilege)

Ich habe Administratorzugriff auf den AD-Domänencontroller (der unter Windows Server 2008 R2 ausgeführt wird) und habe das cyg_server Domänenkonto als Mitglied der AdministratorsGruppe erstellt. Ich weiß jedoch nicht genug über die Windows-Administration, um die verbleibenden Anweisungen zu befolgen.

Ich nehme an, dass sich „Domänenrichtlinie“ auf Gruppenrichtlinien bezieht, aber ich weiß wirklich nichts über Gruppenrichtlinien. Ich dachte, diese Frage wäre relevant, aber sie hatte nicht genug Details, um sie zu nutzen.

Anthony Geoghegan
quelle
Wahrscheinlich ist es eine bessere Idee, zuerst ein wenig über die Windows-Administration zu lesen. Je nachdem, welche Aufgaben Ihnen zugewiesen wurden, verfügt ihr Ökosystem über eigene Tools. Meine ursprüngliche Idee war es, auf die Einrichtung von WinRM hinzuweisen. Aber nach sorgfältiger Lektüre läuft Ihre Frage darauf hinaus, wie das Gruppenrichtlinienobjekt funktioniert. Nehmen Sie in diesem Fall eine Kopie des 70-640-Prüfungsbuchs zur Hand, in dem ausreichend Informationen zum Ändern einer Sicherheitsgruppe auf einem Computer enthalten sind.
MM
Vielen Dank für die Antwort, @MM. Ich hatte gehofft, dass es eine Reihe von Schritten geben würde, die ich für diese eine bestimmte Aufgabe befolgen könnte. Ich habe keinen sofortigen Zugriff auf dieses Buch, würde mich jedoch über relevante Online-Ressourcen freuen, um diese Wissenslücke zu schließen.
Anthony Geoghegan

Antworten:

1

Okay, die grobe Anleitung zu Gruppenrichtlinienobjekten für UNIX-Administratoren;)

Zunächst einmal ist Active Directory im Grunde eine Datenbank, die verschiedene Arten von Objekten enthält. Wie bei LDAP stammt AD von X.500, daher sind beide hierarchisch und verwenden verschiedene Objekte. Eines davon ist vom Typ Gruppenrichtlinienobjekt (Group Policy Object, GPO).

Sie müssen ein Gruppenrichtlinienobjekt irgendwo in der Struktur einer Domäne verknüpfen. Im Allgemeinen wenden verknüpfte Gruppenrichtlinienobjekte ihre Einstellungen für Computer (dh Computerobjekte, die beim Start angewendet werden) und Benutzerkonten (Benutzerobjekte, die nach der Anmeldung angewendet werden) rekursiv an.

Standardmäßig sind zwei Gruppenrichtlinienobjekte in einer neuen Domäne verknüpft:

  • Standarddomänenrichtlinie
  • Standard-Domänencontrollerrichtlinie

Ändern Sie diese nur, wenn Sie verstehen, was Sie tun. Erstellen Sie stattdessen ein neues Gruppenrichtlinienobjekt.

gpmc.msc

Ich werde hier nicht im Detail erklären, wie ein Gruppenrichtlinienobjekt erstellt wird. Bestimmen Sie Ihren Bereich und stellen Sie sicher, dass die Einstellungen korrekt sind. Für diesen speziellen Fall würde ich vorschlagen, dass Sie ihn mit der Organisationseinheit (Organizational Unit, OU) verknüpfen, in der sich Ihre Server befinden.

Die Politik wie in der Frage vorgeschlagen soll wohl ein bisschen aussieht dies .

MM
quelle
Vielen Dank für die Einführung in Gruppenrichtlinienobjekte. Es sollte mich in die richtige Richtung bringen.
Anthony Geoghegan
Bitte. Schreibte eine weitere Antwort, diesmal auf Gruppenobjekte und Verschachtelung von Gruppen. Aber aus Sicht von UNIX - nicht so vertraut mit ihm oder seinen Linux-Varianten - fällt es mir schwer. Zum Beispiel konnte ich nichts für rollenbasierte Zugriffskontrollen finden. In dem verlinkten Artikel von Microsoft wird davon ausgegangen, dass Sie mit diesem Konzept vertraut sind. Zuerst erstellen Sie eine neue Sicherheitsgruppe in Ihrer Domäne (in Ihrem Fall das Konto cyg_server), dann fügen Sie diese neu erstellte Sicherheitsgruppe der lokalen Administratorengruppe auf jedem Server hinzu.
MM