web-dev-qa-db-ja.com

ドメイン管理者をsudoersに追加する方法

回答された同様の質問があります。そのため、タグを付ける必要があるかどうかはわかりません。私がすべきだとは信じていませんが、先に進んでいます。

私はUbuntu 14.04を実行しており、PBIS(以前同様にオープン)を使用してWindowsドメインに参加しました。個々のユーザーアカウントにSudo権限を取得できますが、ドメイン管理者に同じ権限を取得できません。これまで見てきた%DOMAIN\domain ^ adminsのすべてのバリエーションを試しましたが、成功しませんでした。

事前にご協力いただきありがとうございます。

これも私のために働いた:

%domain^admins ALL=(ALL:ALL) ALL

これは、PBISのセットアップ時に次のコマンドが使用されたためと思われます。

Sudo /opt/pbis/bin/config UserDomainPrefix $domain
Sudo /opt/pbis/bin/config AssumeDefaultDomain true
Sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash
Sudo /opt/pbis/bin/config HomeDirTemplate %H/%U

これにより、ドメイン名がログインアカウントの前にあると想定して、ドメインアカウントがローカルアカウントとしてシステムに表示されるようです。したがって、sudoersリストにはドメイン名は必要ありません。

何かご意見は?

5
Joseph

すべての空想的なエスケープを必要とせず、また正確なグループ名を推測することなく、それを行う別の方法があります。 winbindでテストしました。

  1. グループ名を把握します。

    $ getent group | grep -i admin
    MYDOMAIN\Domain Admins:*:100006:
    
  2. 上記のグループをsudoersファイルに追加します。 sudoers.dディレクトリを使用して、メインのsudoersファイルの変更を回避できます(たとえば、ディストリビューションのアップグレードで変更された場合のマージを回避するため)。

    $ visudo -f /etc/sudoers.d/DomainAdmins
    # Add this line:
    "%MYDOMAIN\Domain Admins" ALL=(ALL) ALL
    

sudoers(5) manページから:

ユーザー名、uid、group、gid、netgroup、nonunix_group、またはnonunix_gidは、特殊文字をエスケープする必要を避けるために二重引用符で囲むことができます。

4
James Johnston

時々セットアップに依存します...

%domain\ admins ALL=(ALL) ALL

%domain\\domain\ admins ALL=(ALL) ALL

%domain\ [email protected] ALL=(ALL) ALL

最後のものは、私のものを動かすために実際に使用しなければならなかったものです...私はsssdとrealmdを使用して私のドメインに参加しています。

過去の多くの提案はdomain ^ adminsの使用を示していましたが、個人的には決して機能しませんでしたが、多くの投稿によると他の人には機能しました。最初のWordの後に\が続くことは、有効なスペースがあることを示し、無効な文字として読み取られません。これがお役に立てば幸いです。

3
bman

私はそれで多くの仕事をしました、そして、非常に多くの試行と検索の後に私はこの仕事を得ました

%domain\ admins ALL=(ALL) ALL

私は2つの単語としてドメイン名を使用していたため、使用する必要があります:domain\ admins

domain admins

これは私が持っていた正確なグループ名でした。

および%はグループを指定します。%なしでは、ユーザー名と見なされます。

0
Rajat jain

私はそれを以下で動作させることができました:

%domain^admins ALL=(ALL:ALL) ALL

(つまり、ドメインを削除します)

私はこの質問がずっと前に投稿されたことを知っていますが、

groups Mydomain\\myuser

次に、必要な管理グループをコピーします(単一の\を別の\でエスケープします)

0
Sean

私はこのスレッドが非常に古いことを知っていますが、Ubuntu 18.04.1でこれを実現するために私がしなければならなかったことを共有すると思った。

Sudoersファイルの上記のエントリがまったく機能しないため、Active Directoryに「Sudo」というセキュリティグループを作成し、Domain Adminsを追加しただけです。

Ubuntuにログインしているドメイン管理者ユーザーは、Ubuntuの「Sudo」グループの一部としても表示され、Sudoコマンドを実行できます。

0
dleemaas

学期から

Sudo EDITOR=nano visudo /etc/sudoers

下線

ルート行の後、以下の行を追加します

 username ALL=(ALL:ALL) ALL

またはグループの場合:

# Members of the admin group may gain root privileges
%domain\\domain^Users ALL=(ALL) ALL
0
ahmed sami