Crie uma política de domínio para atribuir direitos de usuário

3

Sou um administrador do Unix que também precisa trabalhar com vários servidores do MS Windows. Para várias tarefas, sou muito mais produtivo usando as ferramentas do Unix com as quais estou familiarizado e, por muito tempo, uso o Cygwin em minha estação de trabalho local. Agora, gostaria de configurar o Cygwin em determinados servidores do Windows para que eu possa usar o SSH neles e usar as mesmas ferramentas para tarefas administrativas.

Nas versões anteriores, o Cygwin mapeava o Windows para usuários POSIX e permissões de arquivos /etc/passwd e /etc/groups mas agora ele usa diretamente o Active Directory no controlador de domínio para autenticar usuários. A FAQ do Cygwin foi atualizada com instruções para configurar o SSHD em um domínio :

First of all, create a new domain account called "cyg_server". This account must be an administrative account, so make sure it's in the "Administrators" group.

Now create a domain policy which is propagated to all machines which are supposed to run an sshd service. This domain policy should give the following user rights to the "cyg_server" account:

Act as part of the operating system (SeTcbPrivilege)
Create a token object               (SeCreateTokenPrivilege)
Replace a process level token       (SeAssignPrimaryTokenPrivilege)

Tenho acesso de administrador ao controlador de domínio do AD (executado no Windows Server 2008 R2) e criei a conta de domínio cyg_server como membro do grupo Administrators . No entanto, não sei o suficiente sobre a administração do Windows para seguir as instruções restantes.

Presumo que "política de domínio" se refere a políticas de grupo, mas realmente não sei nada sobre políticas de grupo. Pensei que esta questão parecesse relevante, mas não tinha detalhes suficientes para eu fazer uso disso.

    
por Anthony Geoghegan 10.03.2016 / 13:42

1 resposta

1

Ok, o guia aproximado para os Objetos de Política de Grupo para administradores UNIX;)

Primeiro, o Active Directory é basicamente um banco de dados que possui diferentes tipos de objetos. Assim como no LDAP, o AD é originado no X.500, portanto, ambos são hierárquicos e usam vários objetos. Uma delas é do tipo Objeto de Diretiva de Grupo (GPO).

Você precisará "vincular" um GPO em algum lugar na árvore de um domínio. Em geral, os GPOs vinculados aplicam suas configurações para máquinas (por exemplo, objetos de computador, aplicados na inicialização) e contas de usuário (objetos de usuário, aplicados após o logon), de forma recursiva.

Por padrão, há dois GPOs vinculados em um novo domínio:

  • Política de domínio padrão
  • Política de controlador de domínio padrão

Não os modifique, a menos que você entenda o que está fazendo. Crie um novo GPO.

gpmc.msc

Não vou explicar detalhadamente como criar um GPO aqui. Determine seu escopo e verifique se as configurações estão corretas. Para este caso específico, sugiro que você vincule-o à Unidade organizacional (OU) onde seus servidores residem.

A política sugerida na pergunta provavelmente deve ser parecida com isso .

    
por 10.03.2016 / 17:02