Как добавить администраторов домена в sudoers

Это также сработало для меня:

%domain^admins ALL=(ALL:ALL) ALL

Я предполагаю, что это из-за следующих команд, используемых при настройке PBIS:

sudo /opt/pbis/bin/config UserDomainPrefix $domain
sudo /opt/pbis/bin/config AssumeDefaultDomain true
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash
sudo /opt/pbis/bin/config HomeDirTemplate %H/%U

Похоже, что учетные записи домена отображаются в системе как локальные учетные записи, если предположить, что доменное имя находится перед учетной записью входа. Поэтому доменное имя не требуется списком sudoers.

Какие-нибудь мысли?

Вот еще один способ сделать это, не требуя всяких причудливых побегов, а также не угадывая точное название группы. Я тестировал с winbind.

1. Определите название группы:

   $ getent group | grep -i admin
   MYDOMAIN\Domain Admins:*:100006:
   

2. Добавьте группу, которую вы видите выше, в файл sudoers. Мы можем использовать sudoers.d каталог, чтобы избежать изменения основного файла sudoers (например, чтобы избежать слияния, если обновление дистрибутива изменит его).

   $ visudo -f /etc/sudoers.d/DomainAdmins
   # Add this line:
   "%MYDOMAIN\Domain Admins" ALL=(ALL) ALL
   

От sudoers(5) справочная страница:

Имя пользователя, uid, group, gid, netgroup, nonunix_group или nonunix_gid могут быть заключены в двойные кавычки, чтобы избежать необходимости экранирования специальных символов.

Зависит от вашей настройки иногда...

%domain\ admins ALL=(ALL) ALL

%domain\\domain\ admins ALL=(ALL) ALL

%domain\ admins@domain.com ALL=(ALL) ALL

Последний - тот, который мне пришлось использовать, чтобы заставить мою работать... Я использую sssd и realmd для присоединения к своему домену.

Многие предложения в прошлом показывали использование администраторов домена ^ ^, но это лично для меня никогда не срабатывало, но согласно многим постам это работало для других. Первое слово, за которым следует \, указывает на наличие допустимого пробела, а затем не считывает его как недопустимый символ. Надеюсь, это поможет.

Я много работал над этим, и после стольких попыток и поисков я получил эту работу

%domain\ admins ALL=(ALL) ALL

Поскольку в качестве двух слов у меня было ДОМЕННОЕ имя, я должен использовать: domain\ admins

domain admins

Это было точное название группы, которое я имел.

А также % указать группу. и без % я думаю, что это взять в качестве имени пользователя.

Я знаю, что эта ветка очень старая, но подумала, что поделюсь тем, что мне нужно было сделать, чтобы сделать это в Ubuntu 18.04.1.

Поскольку абсолютно ни одна из перечисленных выше записей для файла sudoers не работает для меня, я просто создал группу безопасности в Active Directory под названием "sudo" и добавил в нее администраторов домена.

Пользователи Администратора домена, входящие в Ubuntu, затем отображаются как часть группы "sudo" в Ubuntu и могут выполнять команды sudo.

Я смог заставить его работать со следующим:

%domain^admins ALL=(ALL:ALL) ALL

(т.е. удалить домен)

От срока

sudo EDITOR=nano visudo /etc/sudoers

под линией

после корневой строки добавьте строку ниже

 username ALL=(ALL:ALL) ALL

или для группы:

# Members of the admin group may gain root privileges
%domain\\domain^Users ALL=(ALL) ALL

Я знаю, что этот вопрос был опубликован очень давно, но я решил это, выполнив

groups Mydomain\\myuser

затем скопировать нужную группу администраторов (экранирование сингла \ с другой)

Отредактируйте или создайте файл

      sudo nano /etc/sudoers.d/domain_admins

Добавьте такую ​​строку:

      %domain\ admins@MyDomain.com ALL=(ALL) ALL