问题[sysadmin](server)

我是一名 SaaS 开发人员，拥有一个为金融机构用户提供服务的热门网站。随着我们的成长，我注意到越来越多的最终用户由于公司 IT 政策和/或软件而被阻止下载或上传。

为了帮助缓解这个问题，我们想在我们的帮助中心创建一篇帮助文章，概述发生这种情况时的常见情况（例如，您在银行工作，在您的工作计算机上，您会遇到此类错误）。

但是我不知道这些计算机上是否有我可以参考的特定（流行）软件？（例如，如果您正在运行 MalwareBytes，请执行此操作。） - 是否有由系统管理员控制的通用软件来阻止下载/上传？或者它只是应用于磁盘映像或其他内容中的浏览器的组策略或特定配置？

我正在运行带有 GNOME 和 MATE 桌面的 Rocky Linux 8.4 工作站，但我在 CentOS 7.9 上看到了同样的问题......

当我在本地显示器上登录机器时，我可以使用控制中心应用程序管理用户和设置系统时间（这在 MATE 上，这些工具隐藏在 GNOME 的菜单中）。当我点击该工具时，我会弹出一个询问我的密码的弹出窗口，或者在我通过身份验证之前点击一个“解锁”按钮。这一切都有效，因为我的用户是“wheel”管理组的成员。

但是，当同一个用户登录到同一个桌面环境时xrdp，管理系统的能力就消失了。在某些情况下，“解锁”按钮是灰色的，在其他情况下，当我单击工具应用程序图标时，我会在我的.xsession-errors文件中收到一条消息“以其他用户身份执行命令时出错：未授权”。

据我了解，问题在于以polkit不同方式处理本地和远程会话，并且基本上阻止来自远程会话（如 xrdp、vnc 等）的管理操作。这很痛苦，因为设置 xrdp 服务的主要原因是我可以远程管理机器！我可以在某种程度上使用sudo终端来解决这个问题，但我真的希望它能够工作™。

所以我的问题是 - 我如何配置polkit以将我的管理员用户的远程会话与本地会话相同？（总是假设 polkit 是我问题的根源！）

让我们从设置场景开始——我是一名初级系统管理员，负责将公司转变为“最小权限”模型。这包括从我们的用户中删除管理员权限，这些用户主要使用 Windows 10。

现在在这个时间点，用户（大部分）使用具有本地管理员权限的帐户。这显然很糟糕，我们正在努力改变它。我的 n+1 在去年进行了安全审计之后提出的想法是拥有两种类型的用户：

• 第一种类型将失去管理员权限，如果需要它们，将在其计算机上收到一个具有管理员权限的帐户的临时密码（使用 LAPS，该密码将在一段时间后过期）
• 第二种类型（与我的问题最相关）由开发人员组成——一些开发人员使用 Web 技术，而另一些开发人员使用一些非常低级的语言，并且需要在半定期的基础上与注册表交互等等。
  这些人将拥有一个没有特权的普通帐户，以及一个管理员帐户（或“运行身份”帐户），当他们需要以本地管理员身份运行东西时，他们将使用它们。这意味着每次 UAC 出现时都要输入登录名和密码以确认管理员权限的使用。由于显而易见的原因，此“运行身份”帐户将无法打开常规会话。

问题出在这些老派开发人员身上。恐怕这会变成办公室政治问题，因为失去管理员权限可能会带来一些生产力损失（尤其是对于那些更频繁使用特权的人），更重要的是，会带来一些挫败感。

我能理解他们来自哪里。与开发人员在同一家公司工作过，我觉得当本地管理员很舒服。但是，我也熟悉安全问题，并且知道作为工作站上的管理员是一个很大的禁忌。

最近，我不得不向第二类用户展示我们未来的计划。毋庸置疑，“老派”小组的首席开发人员对此并不满意，他提出了一个很好的问题（尽管可能来自对这种情况的狭隘观点），但我没有回答想出一个满意的答案。

如果不是本地管理员的目的是避免恶意软件的传播或入侵者利用漏洞的能力，那么作为“运行身份”管理员帐户运行需要特权的程序的用户和只是执行之间是否存在真正的区别？在受感染文件的 CAS 中直接使用管理员帐户？
首席开发人员认为，这样的政策只不过是浪费他们的时间，因为它会导致与一开始就成为本地管理员完全相同的安全漏洞。

这是准确的吗？我知道“2013 年披露的 92% 的关键 Microsoft 漏洞可以通过删除管理员权限来缓解” （SANS，2016 年，引用 Avecto 研究）和其他此类断言，我真的觉得成为本地管理员是确实不是一个好主意，但我们的解决方案真的更好吗？

我们计划在不久的将来对新解决方案进行试驾，以评估潜在的生产力损失并确定我们是否需要寻找另一个解决方案，恐怕首席开发人员和其他人很生气这个想法会故意夸大它的挫折。

我使用的是最新版本的 Windows Admin Center (2103)，当尝试在 WAC 中使用 Powershell 控制台时，在提供我的凭据后，连接总是失败并显示以下内容：

Connecting to remote server <REDACTED> failed with the following error message: Access is denied.  For more information, see the about_Remote_Troubleshooting Help topic.

无论目标服务器上的 Windows 版本如何，所有以前版本的 WAC 都会出现此问题。我可以通过 WAC 之外的所有本地和远程方式成功连接到 Powershell，但从内部无法正常工作。WAC 服务器和目标服务器上的日志似乎都没有任何有用的错误消息。任何建议都非常感谢。

我的“南瓜”组中有一个漂亮的用户列表。我希望我可以很容易地检查谁登录了，原因如下：

1. 我不想用提示打断用户......如果他们断开连接，那太好了，我会加入 RDP。
2. 为了帮助用户进行故障排除，我可以代表他们确定他们登录的位置。

它也只是一个伟大的能力。更好的是，是否有 CMD 方法可以在我当前的系统上执行此操作，甚至无需登录 DC？

我已经在 Ubuntu 18.04 Linode 上设置了 LEMP。我已经为我的 laravel 应用程序配置了所有必需的设置。

1. 有人可以建议如何备份这些设置，以便我可以将相同的设置用于另一个 linode 设置。
2. 我还需要建议是否有任何其他方法可以设置安全的 LEMP 安装，而无需在我的 SSH 中手动从头开始

注意：我知道另一个 linode 可以从现有的 linode 中分离出来。我只需要使用我满意的配置重建另一个 linode。

谢谢

我在想，通过一个 Windows Admin Center 安装，我将能够管理多个远程 Win 服务器。但是，添加服务器对话框似乎只能找到本地/LAN 服务器。这是可能的还是我需要在每台服务器上单独安装 WAC，因此每个服务器都有自己的地址？

我已经使用 apache-tomcat-8.5.37 部署了 webapps。它有 ssl 并且工作正常，但是当我尝试更新 ssl 并安装 JKS 文件时，它开始显示不同的问题。我已经解决了各种情况，但无法解决端口重定向问题。该端口已在我的 grails 应用程序运行的 Web 中列出，netstat但无法在其中运行。

我在这里附上了我的日志

这是我的server.xml配置文件。