我是一名 Unix 管理员,同时还必须使用各种 MS Windows 服务器。对于各种任务,使用我熟悉的 Unix 工具可以提高工作效率,而且长期以来,我一直在本地工作站上使用 Cygwin。现在,我想在某些 Windows 服务器上设置 Cygwin,以便我可以通过 SSH 进入这些服务器并使用相同的工具执行管理任务。
在以前的版本中,Cygwin 会将 Windows 映射到 POSIX 用户和权限,/etc/passwd
但/etc/groups
现在它直接使用域控制器上的 Active Directory 来验证用户。Cygwin FAQ 已更新说明在域上设置 SSHD:
首先,创建一个名为“cyg_server”的新域帐户。此帐户必须是管理帐户,因此请确保它位于“管理员”组中。
现在创建一个域策略,该策略将传播到所有应该运行 sshd 服务的机器。此域策略应向“cyg_server”帐户授予以下用户权限:
Act as part of the operating system (SeTcbPrivilege) Create a token object (SeCreateTokenPrivilege) Replace a process level token (SeAssignPrimaryTokenPrivilege)
我拥有 AD 域控制器(在 Windows Server 2008 R2 上运行)的管理员访问权限,并且创建了cyg_server
域帐户作为小组成员Administrators
。但是,我对 Windows 管理了解不够多,无法遵循其余的说明。
我猜想“域策略”指的是组策略,但我真的对组策略一无所知。我以为这个问题看起来相关,但没有足够的细节供我利用。
答案1
好的,这是针对 UNIX 管理员的组策略对象的粗略指南 ;)
首先,Active Directory 基本上是一个包含不同类型对象的数据库。与 LDAP 一样,AD 源自 X.500,因此两者都是分层的并使用各种对象。其中一种是组策略对象 (GPO) 类型。
您需要在域树中的某个位置“链接” GPO。通常,链接的 GPO 会以递归方式将其设置应用于机器(即:计算机对象,在启动时应用)和用户帐户(用户对象,在登录后应用)。
默认情况下,新域中链接有两个 GPO:
- 默认域策略
- 默认域控制器策略
除非您清楚自己在做什么,否则不要修改这些。请创建一个新的 GPO。
gpmc.msc
我不会在这里详细解释如何创建 GPO。确定您的范围,并确保设置正确。对于这种特定情况,我建议您将其链接到您的服务器所在的组织单位 (OU)。
问题中建议的政策可能看起来应该有点像这。