我正在尝试在 Windows Server 2008 R2 域控制器上安装带有 SSHd 的 Cygwin。我在其他机器上安装了 Cygwin 和 SSHd 几次,都没有问题。作为域控制器,cyg_server 用户是域的一部分。我已在域控制器的组策略中为 DOMAIN\cyg_server 启用了 SeTcbPrivilege,但不知何故它没有应用。
gpresult /v 的输出是:
GPO: Default Domain Controllers Policy
Policy: TcbPrivilege
Computer Setting: Administrators
DOMAIN\cyg_server
DOMAIN\Domain Admins
运行 RSoP.msc 与 gpresult 一致,并且还显示这些组和 cyg_server 用户应该具有 TcbPrivilete。
但是 whoami /priv 的输出显示 SeTcbPrivilege “Disabled”:
PRIVILEGES INFORMATION
----------------------
Privilege Name Description State
=============================== ======================================================== ========
<...>
SeTcbPrivilege Act as part of the operating system
Disabled
<...>
我可以启动 Cygwin SSHd 服务,但只能以 cyg_server 身份登录。当我尝试以管理员身份登录时,我看到以下内容:
urkom@workstation:~$ ssh Administrator@domaincontroller
Administrator@domaincontroller's password:
Last login: Tue May 7 13:26:29 2013 from 172.1.10.22
/bin/bash: Operation not permitted
Connection to domaincontroller closed.
作为参考,这里是 /etc/passwd 的相关行:
Administrator:unused:500:513:Administrator,U-DOMAIN\Administrator,S-1-5-21-3835976426-429400520-196227251-500:/home/Administrator:/bin/bash
我陷入困境,所以欢迎任何帮助。谢谢。
答案1
好的,是的,这对我来说确实很愚蠢...:)
官方文档实际上包含您需要的所有信息: http://www.cygwin.com/faq/faq.using.html#faq.using.sshd-in-domain
为了使 Cygwin SSHd 工作,我必须添加该列表中的第三个权限“替换进程级令牌”:
Act as part of the operating system (SeTcbPrivilege)
Create a token object (SeCreateTokenPrivilege)
Replace a process level token (SeAssignPrimaryTokenPrivilege)
现在 SSH 登录就可以使用了!耶!
答案2
当您说“Administrator@domaincontroller”时,您的意思是您正在尝试使用计算机上的本地管理员帐户进行登录?这在 DC 上不起作用,因为 DC 上不再有本地帐户:您需要使用 AD 管理员进行登录。