这行不通
CREATE ROLE "role-one" LOGIN;
CREATE ROLE "other_role" LOGIN WITH "role-one";
我收到这个错误
ERROR: unrecognized role option "role-one"
LINE 1: CREATE ROLE "other_role" WITH "role-one";
我究竟做错了什么?我无法在网上找到可以让我清楚语法是什么的示例。据我所见,这应该可行。
如何使用 LOGIN 创建一个新角色并将其添加到另一个名为 role-one 的角色?
我有一个 cloudsql 实例我不确定是谁创建的或何时创建的。
如何查看 cloudsql 实例的创建时间,以便知道它的年龄?我在 UI 中看不到任何具有创建日期或类似内容的内容。
我想阻止所有用户访问几乎所有 aws 区域。您不能“禁用”默认启用的区域。我也知道帐户级别的权限,不能在区域内受到限制。
我不想为每个用户/角色/组添加这样的策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"eu-west-1",
"eu-west-2",
"eu-west-3"
]
}
}
}
]
}
你不能嵌套组。所以我不能有一个顶级组,我把所有其他组都放在里面有这个政策。
您不能将角色添加到组。因此,对于我的无服务器应用程序的SAM 模板,我是否必须将此策略添加到所有这些模板?他们为每个应用程序动态创建一个独特的角色和策略(我想保持这种方式)
有没有办法为账户中的所有用户和角色强制执行策略?我一定错过了一些东西,因为这似乎是一个需要管理的皮塔饼。
在 Active Directory 中,我们可以轻松地在 OU/domain/site/etc 级别应用策略。感觉就像是安全和身份平台的基本功能
有没有办法在我的 AWS 组织级别应用此策略?
GCP在这方面比aws好太多了。在 GCP 中,我可以拥有一个“默认”vpc/network 并为其设置所有自定义设置。我想要aws同样的东西。
我在很多地区都有东西。我不需要复杂的网络,只需要在许多地区使用我自己的 cidr 的 VPC。将这些设置为“默认”会很好,因此我无需担心在所有部署自动化中硬编码 VPC ID 和子网 ID
这可能吗?
我将 ec2 实例角色应用于我的服务器,但我想先在本地切换到这些角色以测试权限
我尝试切换到一个,但出现错误:
aws sts assume-role --role-arn arn:aws:iam::1234567890:role/myrole --role-session abc
An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:iam::1234567890:user/meeee is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::1234567890:role/myrole
我是帐户管理员。我是否需要修改信任策略或其他内容以允许用户担任 ec2 实例角色?
我找不到在服务器 2019 上安装和配置 IIS 的明确方法
Add-WindowsFeature
Enable-WindowsOptionalFeature
Install-WindowsFeature
is dism still a thing?
我需要使用以下模块安装 IIS:
我看到了所有上述工具的例子,但似乎有些是错误的/过时的
从 2019 年开始,通过脚本安装和配置 IIS 的正确命令/工具是什么?
阅读本文:https ://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc
第一种方法最简单:在域控制器上安装企业根 CA 时会自动启用 LDAPS。如果您在 DC 上安装 AD-CS 角色并将设置类型指定为“企业”,则林中的所有 DC 将自动配置为接受 LDAPS。
真的吗?如果我在单个 DC 上安装证书服务,域中的所有 DC 都接受 LDAPS?它们是否都自动注册证书,或者是否所有 LDAPS 请求都被定向回安装了根 ca 的 DC?如果我从 DC 卸载 root ca 会发生什么?
我必须启用 ldaps,如果我只是在 DC 上安装根 CA,我完成了吗?
我了解安全隐患,但对于我的小环境来说,这将是更可取的途径。
我想为用户提供一个像 sccm 一样的自助软件门户,但 sccm 很大,我的用户不到 100 个,而且很多是移动的
据我了解,intune 适用于 oob/移动用户。intune 是否具有像 sccm 这样的用于自助软件分发的功能?
我找不到关于 intune 是否/如何做到这一点的良好描述
编辑:也许我对我的问题/问题更直接,我有大约 100 个用户和设备。我们有本地 AD 并使用 Office 365,但它们没有同步。我们根本没有 Azure AD。
我想为用户提供一个自助服务器软件门户,但不确定我当前设置的最佳解决方案。音调?Azure 应用程序管理(https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/what-is-application-management)?SCCM(请亲爱的主不)?
好奇这背后的原理。
使用传统的数据中心管理程序,您可以创建虚拟磁盘和虚拟机。您可以创建没有虚拟磁盘的虚拟机。虚拟机独立于操作系统。
有类似的aws吗?EBS 卷当然是虚拟磁盘,但amis 是整个shebang——虚拟机和存储。
看起来没有办法创建一个空白的 ami 并稍后附加一个卷。
为什么是这样?这是因为亚马逊为不同的平台(hyper-v)使用不同的虚拟机管理程序,所以它需要知道操作系统是什么,然后才能为您创建虚拟机?
如果我启动一些 linux ami,然后分离根卷并附加一个带有 Windows 的 EBS 卷怎么办?这会起作用并得到亚马逊的支持吗?
在 kickstart 文件中,您可以像这样设置主机名:
network --hostname=derp.fart
我可以用这个命令创建一个新系统
cobbler system add --name=MYNEWSYSTEM --profile=string --mac=AA:BB:CC:DD:EE:FF
如何让 cobbler 将系统名称 (MYNEWSYSTEM) 放入 kickstart 文件中的 --hostname 参数?
我有一个 Server 2016 hyper-v 主机我想在安装了 docker 的主机上运行一个 centos VM
这可能吗?我需要在某处启用嵌套虚拟化吗?
我将 centos 基础 repo 添加到 cobbler:
cobbler repo add --arch=x86_64 --name=Centos-Base --mirror=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os&infra=$infra
但运行 cobbler reposync 失败:
received on stderr: Traceback (most recent call last):
File "/usr/bin/reposync", line 343, in <module>
main()
File "/usr/bin/reposync", line 175, in main
my.doRepoSetup()
File "/usr/lib/python2.7/site-packages/yum/__init__.py", line 681, in doRepoSetup
return self._getRepos(thisrepo, True)
File "/usr/lib/python2.7/site-packages/yum/__init__.py", line 721, in _getRepos
self._repos.doSetup(thisrepo)
File "/usr/lib/python2.7/site-packages/yum/repos.py", line 157, in doSetup
self.retrieveAllMD()
File "/usr/lib/python2.7/site-packages/yum/repos.py", line 88, in retrieveAllMD
dl = repo._async and repo._commonLoadRepoXML(repo)
File "/usr/lib/python2.7/site-packages/yum/yumRepo.py", line 1470, in _commonLoadRepoXML
result = self._getFileRepoXML(local, text)
File "/usr/lib/python2.7/site-packages/yum/yumRepo.py", line 1248, in _getFileRepoXML
size=102400) # setting max size as 100K
File "/usr/lib/python2.7/site-packages/yum/yumRepo.py", line 1037, in _getFile
raise e
yum.Errors.NoMoreMirrorsRepoError: failure: repodata/repomd.xml from Centos-Base: [Errno 256] No more mirrors to try.
http://mirrorlist.centos.org/?release=7&arch=x86_64&repo=os&infra=stock/repodata/repomd.xml: [Errno -1] Error importing repomd.xml for Centos-Base: Damaged repomd.xml file
根据文档:“每个子网 CIDR 块中的前四个 IP 地址和最后一个 IP 地址不可供您使用......”
所以这意味着 VPC 不支持点对点子网,对吗?我尝试创建一个 /30 子网进行测试,但它不允许我,所以我猜这就是原因,但想确认一下。
有没有办法知道当前运行的配置已经过时了?有没有办法查看当前运行的配置并将其与文件进行比较?
在运行重新加载之前知道正在运行的配置是什么对于故障排除很有价值。如果该命令会告诉我它是否真的更新了配置,这也很有价值。
在 Centos7 上运行 logstash,我认为 NIC 可能已饱和。
从 logstash 服务器,我也可以看到服务器发送日志的请求 q。但是我不确定根据我的设置请求 q 是否很高,或者 tcp 调整是否对我有帮助。
一些信息:
sysctl -a | grep mem
net.core.optmem_max = 20480
net.core.rmem_default = 212992
net.core.rmem_max = 212992
net.core.wmem_default = 212992
net.core.wmem_max = 212992
net.ipv4.igmp_max_memberships = 20
net.ipv4.tcp_mem = 227763 303685 455526
net.ipv4.tcp_rmem = 4096 87380 6291456
net.ipv4.tcp_wmem = 4096 16384 4194304
net.ipv4.udp_mem = 229686 306249 459372
net.ipv4.udp_rmem_min = 4096
net.ipv4.udp_wmem_min = 4096
vm.lowmem_reserve_ratio = 256 256 32
vm.memory_failure_early_kill = 0
vm.memory_failure_recovery = 1
vm.nr_hugepages_mempolicy = 0
vm.overcommit_memory = 0
netstat -na --tcp | grep :9123
tcp6 0 0 :::9123 :::* LISTEN
tcp6 247834 0 192.168.123.123:9123 10.16.1.82:52289 ESTABLISHED
tcp6 241242 0 192.168.123.123:9123 10.31.31.232:65293 ESTABLISHED
tcp6 0 0 192.168.123.123:9123 10.16.1.198:53693 ESTABLISHED
tcp6 0 0 192.168.123.123:9123 10.16.1.198:56751 ESTABLISHED
tcp6 331114 0 192.168.123.123:9123 10.31.35.157:53998 ESTABLISHED
tcp6 256047 0 192.168.123.123:9123 10.16.2.155:52221 ESTABLISHED
tcp6 240498 0 192.168.123.123:9123 10.19.5.166:51805 ESTABLISHED
tcp6 312648 0 192.168.123.123:9123 10.18.16.155:57975 ESTABLISHED
tcp6 234321 0 192.168.123.123:9123 10.18.19.242:51664 ESTABLISHED
tcp6 255079 0 192.168.123.123:9123 10.19.4.51:51458 ESTABLISHED
tcp6 256328 0 192.168.123.123:9123 10.18.45.89:56821 ESTABLISHED
tcp6 237167 0 192.168.123.123:9123 10.18.33.26:49278 ESTABLISHED
tcp6 248204 0 192.168.123.123:9123 10.18.30.250:54267 ESTABLISHED
tcp6 248573 0 192.168.123.123:9123 10.16.1.198:57522 ESTABLISHED
tcp6 238348 0 192.168.123.123:9123 10.18.11.169:55147 ESTABLISHED
tcp6 243762 0 192.168.123.123:9123 10.31.22.48:60425 ESTABLISHED
tcp6 258035 0 192.168.123.123:9123 10.31.46.31:60432 ESTABLISHED
tcp6 241863 0 192.168.123.123:9123 10.18.45.113:63376 ESTABLISHED
tcp6 327889 0 192.168.123.123:9123 10.18.3.219:58640 ESTABLISHED
tcp6 317363 0 192.168.123.123:9123 10.31.37.249:65162 ESTABLISHED
tcp6 252394 0 192.168.123.123:9123 10.16.1.92:56360 ESTABLISHED
tcp6 326401 0 192.168.123.123:9123 10.31.17.74:53948 ESTABLISHED
tcp6 0 0 192.168.123.123:9123 10.16.2.12:53781 ESTABLISHED
tcp6 244669 0 192.168.123.123:9123 10.18.18.100:49281 ESTABLISHED
tcp6 250264 0 192.168.123.123:9123 10.18.32.116:56795 ESTABLISHED
tcp6 0 0 192.168.123.123:9123 10.16.1.82:49304 ESTABLISHED
tcp6 310864 0 192.168.123.123:9123 10.18.11.25:64230 ESTABLISHED
tcp6 247973 0 192.168.123.123:9123 10.18.22.230:55209 ESTABLISHED
tcp6 0 0 192.168.123.123:9123 10.17.1.8:51741 ESTABLISHED
tcp6 0 0 192.168.123.123:9123 10.16.2.12:54507 ESTABLISHED
tcp6 251552 0 192.168.123.123:9123 10.18.24.83:63499 ESTABLISHED
tcp6 251481 0 192.168.123.123:9123 10.16.2.72:57268 ESTABLISHED
tcp6 0 0 192.168.123.123:9123 10.16.1.198:53406 ESTABLISHED
tcp6 312263 0 192.168.123.123:9123 10.19.12.239:52173 ESTABLISHED
tcp6 238878 0 192.168.123.123:9123 10.18.5.198:57978 ESTABLISHED
tcp6 322460 0 192.168.123.123:9123 10.18.5.124:53117 ESTABLISHED
tcp6 0 0 192.168.123.123:9123 10.16.2.72:54883 ESTABLISHED
tcp6 237717 0 192.168.123.123:9123 10.16.2.12:56387 ESTABLISHED
tcp6 315963 0 192.168.123.123:9123 10.18.26.44:49197 ESTABLISHED
tcp6 248914 0 192.168.123.123:9123 10.18.41.101:51859 ESTABLISHED
tcp6 0 0 192.168.123.123:9123 10.16.2.155:49303 ESTABLISHED
tcp6 316994 0 192.168.123.123:9123 10.18.44.120:49375 ESTABLISHED
tcp6 236421 0 192.168.123.123:9123 10.31.43.130:51590 ESTABLISHED
tcp6 240929 0 192.168.123.123:9123 10.17.1.114:63546 ESTABLISHED
tcp6 306346 0 192.168.123.123:9123 10.17.2.159:61633 ESTABLISHED
tcp6 239360 0 192.168.123.123:9123 10.18.39.43:54080 ESTABLISHED
tcp6 245361 0 192.168.123.123:9123 10.19.13.107:52629 ESTABLISHED
tcp6 244398 0 192.168.123.123:9123 10.18.11.195:53257 ESTABLISHED
为我的 DNS 区域启用了 Windows 2012 R2 Round Round(集成了 AD)
我要么不理解这一点,要么它不起作用。
我想使用轮询 dns 来解析服务器集群。
首先我尝试创建一个新的子域和 cname 记录
然后我尝试创建一个新的子域和 A 记录
Windows DNS 中的循环不支持 cname 吗?
这是否也意味着需要编写应用程序来支持循环?就像应用程序必须不缓存解析的名称才能正确地进行负载平衡
按照此文档设置文件夹重定向:https ://technet.microsoft.com/en-us/library/jj649078(v=ws.11).aspx
在第 3 步:为文件夹重定向创建 GPO 下,它让我将“文件夹重定向用户”组添加到 GPO 的范围内,但它也让我删除并重新添加“经过身份验证的用户”组。
因此,由于我在此 GPO 的范围内有“已验证用户”组,这是否意味着它将命中它所应用到的 OU 下的所有用户,而不仅仅是“文件夹重定向用户”组的成员?当您删除并重新添加它时,您授予“Authenticated Users”组的权限是否可以防止这种情况发生?
按照此文档设置文件夹重定向:https ://technet.microsoft.com/en-us/library/jj649078(v=ws.11).aspx
设置权限如下:
但除了“文件夹重定向用户”组之外,我还创建了一个“文件夹重定向管理员”组并赋予该组“此文件夹、子文件夹和文件 = 完全控制”(与系统权限相同)。
所以现在作为我的管理员组的成员,我可以遍历用户文件夹的顶层,但无权访问他们的子文件夹(如桌面、文档等)。
因此,用户的顶级文件夹在创建时会继承我的管理员组,但它们下的文件夹不是。
为什么不以及如何在创建这些文件夹时将我的管理员组添加到这些文件夹中?
我希望在本地计算机上的本地系统上下文中运行计划任务,该任务从 AD 中删除其自己的计算机帐户。
我可以授予计算机对象删除自身的权限吗?
我的所有计算机都在一个顶级 OU 下。我需要在此 OU 上设置哪些特定 ACL 以允许其中的计算机删除自己(并且仅删除自己)。
BitLockerVolume -MountPoint C).KeyProtector 我看到多个 RecoveryPassword 密钥保护器,我如何知道哪个处于活动状态?
如果我将硬盘插入另一台机器,它会要求我提供其中一个键,但我怎么知道它会要求哪个键 ID?
编辑:所以这是我关心的问题,我知道可以激活多个键,但是当 Windows 提示时,它要求输入一个特定的键 ID:
那么我怎么知道它会要求哪个键 ID,我可以给它这个屏幕上的任何活动键吗?它要求一个特定的,如果我给它一个不同的它会很酷吗?