Durchsetzung von Dateiberechtigungen für Windows MID-Server

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Um die Sicherheit zu verbessern, erzwingen Windows MID-Server Windows-Dateiberechtigungsbeschränkungen. Die Durchsetzung beschränkt den Zugriff auf die MID-Serverdateien auf eine eingeschränkte Allow-Liste von Anwendern und Gruppen.

    Richten Sie den Indikator für die Konfigurationsphase einStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-ServersicherheitStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-Serversicherheit

    Die Durchsetzung der Dateiberechtigung für Windows MID-Server wird beim Start in Orlando auf dem MID-Server wirksam. Standardmäßig ist der Agent-Ordner auf vier Anwenderaccounts und -Gruppen gesperrt: Die lokale Administratorgruppe, den Systemaccount, den Erstellerbesitzer und den Anwenderaccount, den der Windows MID-Server verwendet. Die Liste der zulässigen Anwenderaccounts wird von einer Allow-Liste verwaltet, die vom MID-Server-Parameter gesteuert wird mid.windows_host.file_permissions.allow_list. Dieser Parameter verwendet eine Zeichenfolge aus kommagetrennten Gruppennamen, Anwendernamen und Sicherheitsbezeichnern (SID). Gruppen- und Anwendernamen müssen den Benennungsanforderungen für SAM-Accounts entsprechen. Domänenaccounts müssen mithilfe der SID angegeben werden.

    Dateiberechtigungsänderungen zurücksetzen

    Änderungen an den Dateiberechtigungen werden aufgezeichnet, und die zuletzt verwendeten Einstellungen werden in gespeichert /Etc Ordner als Sicherung. Die Datei ist Fileperm.aclsave . Öffnen Sie eine Eingabeaufforderung, und führen Sie den Befehl aus Icacls <agent_folder> /restore <agent_folder>/etc/fileperm.aclsave Wobei <agent_folder> der Name Ihres Agent-Ordners ist.

    Führen Sie einen MID-Server als nicht-Administrator aus

    Um einen MID-Server als nicht-Administratoranwender auszuführen, muss er zuerst mit einem Administratoraccount installiert werden. Fügen Sie dann den nicht-Administrator-Anwender hinzu, um die Liste zulassen, und starten Sie den MID-Server neu. Sobald die neuen Durchsetzungsregeln ausgeführt wurden, kann der MID-Server zu einem nicht-Administratorservice-Account gewechselt werden. Siehe Installieren Sie manuell einen MID-Server unter WindowsWeitere Informationen zum Einrichten von Windows MID-Servern ohne Administrator, oder Führen Sie Linux-MID-Server als nicht-Stamm-Anwender ausFür Linux-MID-Server.