Наши системы Unix полагаются на корпоративную AD для аутентификации и авторизации.
Нам нужно создать несколько «ролевых» учетных записей, которые не смогут входить в систему сами, но на которые будут переключаться другие учетные записи (принадлежащие реальным лицам) (с ksu или sudo). Учетные записи также должны будут запускать cron-jobs и некоторые демоны. Программному обеспечению требуется доступ к определенным сетевым ресурсам, поэтому учетные записи должны принадлежать дополнительным группы.
Как лучше всего создавать такие аккаунты в AD? Я подумал, что поставлю флажки «Пользователь должен сменить пароль» и «Пользователь не может изменить пароль», но интерфейс «услужливо» не позволил мне сделать это. Пометка учетных записей как "отключенных", похоже, нарушает членство в группах и лишает их доступа к общим сетевым ресурсам ...
Предложения? Спасибо!
Не уверен, но вот мое предположение:
Создайте свою учетную запись и назначьте ей пароль. Убедитесь, что выбрано «Пользователь не может изменить пароль»
После этого щелкните правой кнопкой мыши свою новую учетную запись, выберите «член» и удалите ее из «пользователей домена», вам все равно нужно добавить ее в другие группы, чтобы новая учетная запись работала над всем, что вам нужно.