Мне кажется, что пользователь, установленный как «Администратор», может изменять пароли не только «Стандартных» пользователей, но и других администраторов. Есть ли способ сделать так, чтобы администраторы (в этой системе их было несколько) не могли вмешиваться в учетные записи других администраторов (т. Е. Они могли управлять только пользователями «под ними»)?
Важное свойство администраторов на Ubuntu - то, что они могут выполнить любые действия, которые они выбирают, как корень, с помощью sudo
и polkit. Это необходимо для них, чтобы иметь власть полностью администрировать систему. И это уже, как администратор изменяет пароль другого пользователя.
Значительные ограничения должны были бы быть помещены на месте для остановки этого эффективно, которое приведет к администратору не эффективно быть администратором больше. Даже если бы Вы кропотливо настроили систему за многочисленными исключениями (возможно, через AppArmor или SELinux), чтобы помешать им делать это, то они могли довольно легко возвратить это питание, если они могут:
/etc/sudoers
, или файлы в /etc/sudoers.d
), даже если им не разрешают отредактировать все корневые файлы./etc/crontab
. Или, точно так же запланируйте at
задания для корня.Я подозреваю, что то, что Вы действительно хотите, может быть одним из следующего:
Создать ограниченного пользователя с некоторыми дополнительными полномочиями, но не полную мощность администратора и не питание выполнить произвольные команды как корень или отредактировать большинство конфигурационных файлов в масштабе всей системы.
Это запустилось бы с простого шага, размеченного в ответе ByteBOT - пользователь не должен быть администратором, чтобы ограничения эффективно были наложены.
Практично ли это, зависит от определенных полномочий и ограничений, которые Вы хотите им иметь. (Это не практично, если Вы хотите, чтобы они смогли сделать все кроме паролей измененных администраторов, посмотрите выше.), Если полномочия Вы хотите дать им, четко определены и не слишком расширяемы, это может быть выполнимо.
Для остановки коллег - администраторов или возможно персонала, кто, как официально предполагается, делает, как Вы говорите от поведения способом, Вы считаете неправильными или вредными. Если это - ситуация, это не действительно техническая проблема. Попытки решить этот вид проблемы через технические средства обычно имеют намного больше недостатков, чем преимущества.
Одна из причин этого - то, что это создает технический конкурс для разрешения (чтение: постоянно не удается значительно решить), разногласие, которое должно вместо этого быть решено некоторой комбинацией обсуждения, согласования, объяснения ситуации или переопределения/роспуска отношений между персоналом. Вероятно (надо надеяться), Вы действительно не хотите придавать официальный характер мелкой ссоре и территориальной борьбе между членами Вашей команды.
Создать автоматизированный механизм, который напоминает администраторам этой системы, что они, как обычно предполагается, не изменяют пароли других администраторов.
Если это - то, что Вы хотите, и Вы понимаете, что это действительно не сохранит администратора, который хочет изменить любой пароль от выполнения так, то я полагаю, что это выполнимо.
При попытке решить проблему 1 или проблему 3, Вы могли бы рассмотреть регистрацию нового вопроса об этом с деталями.
По причине muru указанный в его комментарии выше, невозможно ограничить некоторые действия для учетных записей администратора. Даже если можно достигнуть этого, администратор не может сделать этого из его собственной учетной записи, он все еще имеет право стать корнем (sudo) и не иметь никаких ограничений вообще.
Извините, но единственная вещь ограничить права администратора должен преобразовать его администратора в нормальную учетную запись...