SeTcbPrivilege não está funcionando, RSoP.msc, gpresult mostra que está ativado, whoami / priv mostra desativado

1

Estou tentando instalar o Cygwin com SSHd em um controlador de domínio do Windows Server 2008 R2. Instalei o Cygwin e o SSHd várias vezes em outras máquinas, sem problemas. Sendo um controlador de domínio, o usuário cyg_server faz parte do domínio. Eu habilitei o SeTcbPrivilege na Diretiva de Grupo para Controladores de Domínio para DOMAIN \ cyg_server, mas de alguma forma isso não se aplica.

A saída de gpresult / v é:

        GPO: Default Domain Controllers Policy
            Policy:            TcbPrivilege
            Computer Setting:  Administrators
                               DOMAIN\cyg_server
                               DOMAIN\Domain Admins

A execução de RSoP.msc é consistente com gpresult e também mostra que esses grupos e o usuário cyg_server devem ter TcbPrivilete.

Mas a saída de whoami / priv mostra SeTcbPrivilege "Disabled":

PRIVILEGES INFORMATION
----------------------

Privilege Name                  Description                   State
=============================== ======================================================== ========
<...>
SeTcbPrivilege                  Act as part of the operating system
               Disabled
<...>

Eu posso iniciar o serviço Cygwin SSHd, mas só posso fazer logon como cyg_server. Quando tento fazer logon como administrador, vejo isso:

urkom@workstation:~$ ssh Administrator@domaincontroller
Administrator@domaincontroller's password: 
Last login: Tue May  7 13:26:29 2013 from 172.1.10.22
/bin/bash: Operation not permitted
Connection to domaincontroller closed.

Para referência, aqui está a linha relevante de / etc / passwd:

Administrator:unused:500:513:Administrator,U-DOMAIN\Administrator,S-1-5-21-3835976426-429400520-196227251-500:/home/Administrator:/bin/bash

Estou preso, então qualquer ajuda seria bem vinda. Obrigado.

    
por UrkoM 07.05.2013 / 08:46

2 respostas

2

Ok, sim, isso foi muito burro do meu lado ...:)

A documentação oficial tem todas as informações de que você precisa: link

Para fazer o Cygwin SSHd funcionar, tive que adicionar a terceira permissão da lista "Substituir um token no nível do processo":

Act as part of the operating system (SeTcbPrivilege)
Create a token object               (SeCreateTokenPrivilege)
Replace a process level token       (SeAssignPrimaryTokenPrivilege)

Agora o login SSH funciona! Yay!

    
por 07.05.2013 / 10:50
0

Quando você diz "Administrador @ domaincontroller", quer dizer que está tentando realizar um logon com a conta do administrador local na máquina? Isso não funcionará em um controlador de domínio porque não há mais nenhuma conta local em um controlador de domínio: você precisa executar um logon usando o administrador do AD.

    
por 07.05.2013 / 09:02