Назад | Перейти на главную страницу

SeTcbPrivilege не работает, RSoP.msc, gpresult показывают, что он включен, whoami / priv показывает отключено

Я пытаюсь установить Cygwin с SSHd на контроллер домена Windows Server 2008 R2. Я устанавливал Cygwin и SSHd несколько раз на другие машины без проблем. Как контроллер домена, пользователь cyg_server является частью домена. Я включил SeTcbPrivilege в групповой политике для контроллеров домена для DOMAIN \ cyg_server, но почему-то не применяется.

Результат gpresult / v:

        GPO: Default Domain Controllers Policy
            Policy:            TcbPrivilege
            Computer Setting:  Administrators
                               DOMAIN\cyg_server
                               DOMAIN\Domain Admins

Запуск RSoP.msc согласуется с gpresult, а также показывает, что эти группы и пользователь cyg_server должны иметь TcbPrivilete.

Но вывод whoami / priv показывает SeTcbPrivilege "Disabled":

PRIVILEGES INFORMATION
----------------------

Privilege Name                  Description                   State
=============================== ======================================================== ========
<...>
SeTcbPrivilege                  Act as part of the operating system
               Disabled
<...>

Я могу запустить службу Cygwin SSHd, но могу войти только как cyg_server. Когда я пытаюсь войти в систему как администратор, я вижу следующее:

urkom@workstation:~$ ssh Administrator@domaincontroller
Administrator@domaincontroller's password: 
Last login: Tue May  7 13:26:29 2013 from 172.1.10.22
/bin/bash: Operation not permitted
Connection to domaincontroller closed.

Для справки, вот соответствующая строка / etc / passwd:

Administrator:unused:500:513:Administrator,U-DOMAIN\Administrator,S-1-5-21-3835976426-429400520-196227251-500:/home/Administrator:/bin/bash

Я застрял, поэтому будет приветствоваться любая помощь. Спасибо.

Ладно, да, с моей стороны это было довольно глупо ... :)

В официальной документации есть вся необходимая информация: http://www.cygwin.com/faq/faq.using.html#faq.using.sshd-in-domain

Чтобы заставить Cygwin SSHd работать, мне пришлось добавить третье разрешение из этого списка «Заменить токен уровня процесса»:

Act as part of the operating system (SeTcbPrivilege)
Create a token object               (SeCreateTokenPrivilege)
Replace a process level token       (SeAssignPrimaryTokenPrivilege)

Теперь авторизация по SSH работает! Ура!

Когда вы говорите «Администратор @ domaincontroller», вы имеете в виду, что пытаетесь выполнить вход под учетной записью локального администратора на машине? Это не будет работать на контроллере домена, потому что на нем больше НЕТ локальной учетной записи: вам необходимо выполнить вход с помощью администратора AD.