你好,我们有一家大公司,有一些属于
id myadminuser
groups=101010(domain admins),
“域管理员”组。
我很惊讶,默认情况下,sudoers %admin 组(如果我理解正确的话)扩展到域控制器上“域管理员”组中的用户。也许是在 sssd 中硬编码的??
有没有办法禁用该功能?我们只是想将 sudoers 限制为需要访问服务器的 Active Directory 管理员...我们明确添加到“thisServerGroup”的人员,据我了解,我们可以像这样在 sudoers 中明确说明:
%thisServerGroup ALL=(ALL) ALL
答案1
我没有使用过 SSSD,但由于它似乎模仿了 Active Directory,因此我可以将其与 Microsoft Active Directory 进行比较
在 Microsoft 世界中,域管理员是“超级根”用户,也就是说,在域中(如果不是整个森林)的每台机器上都拥有管理员/根权限的用户。因此,他们拥有任何机器的根访问权限是很正常的。通常,您会创建一些辅助管理员组,在其中限制一些更危险的权限,并将大多数系统管理员添加到那里,并且只向少数高级系统管理员授予域管理员访问权限。还有一个更危险的帐户:管理员,这是整个域的内置管理员帐户,有些人通常会将其密码保存在一张纸上,然后将其锁在保险箱或类似的东西中。
如果这是 Microsoft 的情况,我会告诉您将管理员移至其他组,但不要尝试更改域管理员组的权限。
还要注意,通常您永远不会将个人用户帐户添加到这些域管理员组,而是为系统管理员创建辅助管理员用户并授予他们访问权限,然后确保系统管理员使用他们的个人帐户执行个人任务,使用管理员帐户执行管理任务。