Я администратор Unix, которому также приходится работать с различными серверами MS Windows. Для различных задач я намного продуктивнее использую инструменты Unix, с которыми я знаком, и уже давно использую Cygwin на своей локальной рабочей станции. Теперь я хотел бы установить Cygwin на определенных серверах Windows, чтобы я мог подключаться к ним по SSH и использовать те же инструменты для административных задач.
В предыдущих версиях Cygwin сопоставлял Windows с пользователями POSIX и разрешениями из /etc/passwd и /etc/groups файлы, но теперь он напрямую использует Active Directory на контроллере домена для аутентификации пользователей. В FAQ Cygwin добавлены инструкции для настройка SSHD в домене:
Прежде всего, создайте новую учетную запись домена под названием «cyg_server». Эта учетная запись должна быть учетной записью администратора, поэтому убедитесь, что она находится в группе «Администраторы».
Теперь создайте политику домена, которая распространяется на все машины, на которых должна работать служба sshd. Эта политика домена должна предоставлять следующие права пользователя учетной записи cyg_server:
Act as part of the operating system (SeTcbPrivilege) Create a token object (SeCreateTokenPrivilege) Replace a process level token (SeAssignPrimaryTokenPrivilege)
У меня есть доступ администратора к контроллеру домена AD (который работает на Windows Server 2008 R2), и я создал cyg_server учетная запись домена как член Administrators группа. Однако я недостаточно разбираюсь в администрировании Windows, чтобы следовать оставшимся инструкциям.
Я предполагаю, что «политика домена» относится к групповым политикам, но я действительно ничего не знаю о групповых политиках. я думал этот вопрос казалось актуальным, но в нем не было достаточно деталей, чтобы я мог их использовать.
Хорошо, приблизительное руководство по объектам групповой политики для администраторов UNIX;)
Прежде всего, Active Directory - это, по сути, база данных, в которой есть объекты разных типов. Как и LDAP, AD происходит от X.500, поэтому оба являются иерархическими и используют различные объекты. Один из них относится к типу объекта групповой политики (GPO).
Вам нужно будет «связать» объект групповой политики где-нибудь в дереве домена. Как правило, связанные объекты групповой политики рекурсивно применяют свои настройки для компьютеров (например: объекты компьютеров, применяемые при загрузке) и учетные записи пользователей (объекты пользователей, применяемые после входа в систему).
По умолчанию в новом домене связаны два объекта групповой политики:
Не изменяйте их, если вы не понимаете, что делаете. Вместо этого создайте новый объект групповой политики.
gpmc.msc
Я не буду здесь подробно объяснять, как создать GPO. Определите свой диапазон и убедитесь, что настройки верны. В этом конкретном случае я предлагаю вам связать его с организационным подразделением (OU), в котором находятся ваши серверы.
Политика, предложенная в вопросе, вероятно, должна немного выглядеть этот.