Как в Linux добавить пользователя в группу (или вторичную группу)

При создании в планировщике windows задания и попытке его запустить выскакивает ошибка Данное задание требует, чтобы указанная учетная запись пользователя имела права вход в качестве пакетного задания. Дело в том что учетной записи от имени которой пытаюсь запустить не хватает прав.

Изменение первичной группы пользователя

Хотя учетная запись пользователя может входить в нескольких групп, одна из групп всегда является «основной группой», а остальные являются «вторичными группами». Процесс входа пользователя, файлы и папки, созданные пользователем, будут назначены первичной группе.

Чтобы изменить основную группу, которой назначен пользователь, запустите команду usermod, заменив group_name на имя группы, а user_name на имя учетной записи пользователя.

usermod -g group_name user_name

Обратите внимание здесь на -g. Когда вы используете маленькую g, вы назначаете главную группу. Когда вы используете заглавную -G , как в примерах выше, вы назначаете вторичную группу.

Get-ADGroupMember – вывести список пользователей группы AD

Вывести на экран список пользователей группы:

Чтобы оставить в результатах только имена пользователей, выполните:

Если в данную группу включены другие группы домена, чтобы вывести полный список членов, в том числе всех вложенных групп, воспользуйтесь параметром Recursive.

Чтобы выгрузить список учетных записей, состоящих в определённой группе в CSV файл (для дальнейшего использования в Excel), выполните такую команду:

Чтобы добавить в текстовый файл данные учетных записей пользователей в AD, воспользуемся командлетом Get-ADUser. Например, помимо учетной записи нужно вывести должность и телефон пользователя группы:

Посчитать количество пользователей в группе можно так:

Оказалось, что в группе «domain admins» у нас состоит 7 учетных записей администраторов.

Чтобы найти список пустых групп в определенном OU, воспользуйтесь такой командой:

Читайте также:  Восстановление компьютера из образа Windows 8

Заключение

В данной статье мы продолжили изучение политик безопасности, а именно, узнали о политиках назначения прав пользователей. При помощи политик назначения прав пользователя вы можете сами определить, для каких пользователей или групп пользователей будут предоставлены различные права и привилегии. Подробно описаны 18 из 44 политик безопасности. На приведенном в статье примере вы также узнали о том, как можно применить данные политики в организации. В следующей статье вы узнаете политиках, управляющих журналами событий.

2. Блокируем начало сеансов

информационной базыБлокировка начала сеансов включена

3. Делаем резервную копию

резервной копии

4. Задаем локальные политики безопасности

командной строкеЛокальные политики -> Назначение прав пользователя

  • Вход в качестве пакетного задания (Log on as batch job) — обеспечивает функционирование Планировщика заданий без необходимости для пользователя лично заходить в компьютер под своей учетной записью;
  • Вход в качестве службы (Log on as service) — позволяет запустить от имени пользователя какой-либо процесс как службу.
  • Доступ к компьютеру из сети (Access this computer from the network) — пользователь имеет право подключаться к компьютеру из сети;
  • Локальный вход в систем у (Allow log on locally) — пользователь имеет право запускать интерактивный сеанс на компьютере;
  • Разрешить вход через службу удаленных рабочих столов (Allow log on through Remote Desktop Services) — пользователь имеет право входа в систему удаленного компьютера через подключение к службам удаленных рабочих столов.

5. Добавляем доменного пользователя в группы

Служебные программы -> Локальные пользователи -> Пользователи

6. Запускаем агента от имени доменного пользователя

ОбщиеВход в системуОбщие

Вы можете сказать, что 2-ой и 3-й пункты избыточны, но лучше перебздеть, чем недобздеть. Инструкция справедлива не только для доменного пользователя, но и для локального.

Локальная политика безопасности Windows не включается

Причины, по которым не включается служба, следующие:

  • вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
  • вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
  • недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».
Читайте также:  Пропала Корзина - как ее восстановить на Рабочем столе?

Трюк Используем исключения

Часто можно обойтись и без подобных ухищрений, если знать тонкости политик, в результате которых их действия распространяются:

  • на программы, запущенные от имени учетной записи SYSTEM;

  • драйверы и другие приложения уровня ядра;

  • макросы внутри документов Microsoft Office;

  • программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime).

Итак, процессы от SYSTEM не контролируются. Первый финт ушами: если есть доступ к какому-то ПО, запущенному под такой учеткой, — атакуем. Например, нажимаем Win+U — запускаются «специальные возможности» (лупа и экранная клавиатура). (процесс «специальных возможностей») при этом запускается от SYSTEM. Далее идем там в «Справку». Она тоже должна открыться с нужными привилегиями, так как запущена в контексте процесса c правами SYSTEM. Если винда не самая новая (до Vista), то кликаем правой кнопкой на синей верхней панельке «Jump to url», там печатаем «C:» и получаем настоящий встроенный explorer. Если более новая, то можно по правому клику в тексте хелпа просмотреть исходный код (View Source) через блокнот, откуда далее добраться до файлов. Или другой вариант — «добавить» новый принтер, получив опять же доступ к листингу файлов.

Другая интересная категория — макросы внутри документов Microsoft Office. Это страшное дело. Попробуем для начала реализовать запуск ПО. Хотя если запуск заблочен обычными политиками (не SRP), как, например, блокировкой диспетчера задач, то этот обход не сработает. Но нам-то главное — запустить специальный exe’шник. Поэтому в любом документе смело создаем следующий макрос и пробуем запустить его:

Sub GOSHELL() Shell «C:», vbNormalFocus End Sub

Читайте также:  Индикатор батареи ноутбука — Battery Mode

В результате, как ты можешь догадаться, мы получаем запущенный exe. Хардконный метод предложил опять же Дидье Стивенс. Используя в макросе MS Excel функции VirtualAlloc, WriteProcessMemory и CreateThread, он сумел подгрузить шеллкод из макроса в память процесса. Данный шеллкод подгружает DLL’ку в память процесса, а DLL’ка — не что иное, как Кстати, ее исходники взяты из проекта ReactOS. Как я уже сказал, SRP может препятствовать запуску DLL’ек (хотя и не делает этого по умолчанию), но если подгрузку библиотек осуществлять, используя функцию LoadLibraryEx с LOAD_IGNORE_CODE_AUTHZ_LEVEL вместо LoadLibrary, то проверка на принадлежность подгружаемой dll к white-листу не происходит!

Но если, тем не менее, Windows требует сетевой пароль

Не смотря на то, что настройки, которые описаны выше, сделаны, при входе на этот компьютер, другой компьютер может запрашивать сетевой пароль. Это возможно в двух случаях.

Локальные пользователи с одинаковым именем (логином)

На обоих компьютерах есть локальные пользователи с одинаковым именем, но с разными паролями.

Пример. Есть Comp1 и Comp2. На каждом из них есть пользователь с именем User. Но на Comp1 у пользователя пароль 123, а на Comp2 у него пароль 456. При попытке сетевого входа система будет запрашивать пароль.

Решение. Или убрать совпадающие логины пользователей. Или для пользователей с одинаковым логином указать одинаковый пароль. Пустой пароль тоже считается одинаковым.

На Windows 8 нет ни одного локального пользователя

На Windows 8 возможен вход и работа с учетной записью Microsoft, при наличии Интернет. При этом возможна такая ситуация, когда при установке Windows 8 вообще не создавался локальный пользователь (вход был через учетную запись Microsoft). В этом случае Windows тоже будет требовать пароль при входе по локальной сети.

Решение. Создать локальных пользователей на компьютерах Windows 8.

На Windows 8 отмена общего доступа сделана совсем не очевидной в отличии от Windows XP. На самой вкладке нет опции, как это было в Windows XP. Кнопку «Общий доступ» нажимать бесполезно, там нельзя отменить общий доступ.

Теперь, для отмены общего доступа, нужно на вкладке «Доступ» нажимать кнопку «Расширенная настройка» и уже там отключать. Как говорится «угадай с трех раз».