SeTcbPrivilege 不起作用,RSoP.msc、gpresult 显示已启用,whoami /priv 显示已禁用

SeTcbPrivilege 不起作用,RSoP.msc、gpresult 显示已启用,whoami /priv 显示已禁用

我正在尝试在 Windows Server 2008 R2 域控制器上安装带有 SSHd 的 Cygwin。我在其他机器上安装了 Cygwin 和 SSHd 几次,都没有问题。作为域控制器,cyg_server 用户是域的一部分。我已在域控制器的组策略中为 DOMAIN\cyg_server 启用了 SeTcbPrivilege,但不知何故它没有应用。

gpresult /v 的输出是:

        GPO: Default Domain Controllers Policy
            Policy:            TcbPrivilege
            Computer Setting:  Administrators
                               DOMAIN\cyg_server
                               DOMAIN\Domain Admins

运行 RSoP.msc 与 gpresult 一致,并且还显示这些组和 cyg_server 用户应该具有 TcbPrivilete。

但是 whoami /priv 的输出显示 SeTcbPrivilege “Disabled”:

PRIVILEGES INFORMATION
----------------------

Privilege Name                  Description                   State
=============================== ======================================================== ========
<...>
SeTcbPrivilege                  Act as part of the operating system
               Disabled
<...>

我可以启动 Cygwin SSHd 服务,但只能以 cyg_server 身份登录。当我尝试以管理员身份登录时,我看到以下内容:

urkom@workstation:~$ ssh Administrator@domaincontroller
Administrator@domaincontroller's password: 
Last login: Tue May  7 13:26:29 2013 from 172.1.10.22
/bin/bash: Operation not permitted
Connection to domaincontroller closed.

作为参考,这里是 /etc/passwd 的相关行:

Administrator:unused:500:513:Administrator,U-DOMAIN\Administrator,S-1-5-21-3835976426-429400520-196227251-500:/home/Administrator:/bin/bash

我陷入困境,所以欢迎任何帮助。谢谢。

答案1

好的,是的,这对我来说确实很愚蠢...:)

官方文档实际上包含您需要的所有信息: http://www.cygwin.com/faq/faq.using.html#faq.using.sshd-in-domain

为了使 Cygwin SSHd 工作,我必须添加该列表中的第三个权限“替换进程级令牌”:

Act as part of the operating system (SeTcbPrivilege)
Create a token object               (SeCreateTokenPrivilege)
Replace a process level token       (SeAssignPrimaryTokenPrivilege)

现在 SSH 登录就可以使用了!耶!

答案2

当您说“Administrator@domaincontroller”时,您的意思是您正在尝试使用计算机上的本地管理员帐户进行登录?这在 DC 上不起作用,因为 DC 上不再有本地帐户:您需要使用 AD 管理员进行登录。

相关内容