Новые учетные записи пользователей Kubuntu 20.04 без членство в группах
Недавно я испытал странные проблемы при создании учетных записей пользователей на недавно установленных ПК с Kubuntu 20.04.
Учетная запись пользователя, созданная во время установки ОС, работает должным образом. Он является членом различных групп:
myself@pc10:~$ groups myself
myself : myself adm cdrom sudo dip plugdev lpadmin lxd sambashare
Однако каждый дополнительный пользователь (который создается позже с использованием системных настроек KDE) не является членом тех же групп (кроме sudo для административных учетных записей):
myself@pc10:~$ groups test
test : test
myself@pc10:~$ groups administrator
administrator : administrator sudo
Один из очевидных побочных эффектов состоит в том, что дополнительные пользователи не могут изменять какие-либо настройки принтера без предоставления пароля root (которого не существует). Думаю, будет еще больше побочных эффектов, которых я еще не заметил.
Мои вопросы:
- Верно ли мое предположение, что все пользователи должны иметь одно и то же членство в группах после создания?
- Если да, каковы возможные причины отсутствия групп?
- Есть ли чистое исправление? Или хотя бы обходной путь? (по возможности без ручной корректировки каждой учетной записи пользователя в отдельности)
2 ответа
Однако каждый дополнительный пользователь (который создается позже с использованием системных настроек KDE) не является членом тех же групп
Это нормально и по умолчанию для всех разновидностей Ubuntu. По умолчанию обычные пользователи не имеют разрешений на внесение изменений в файлы оборудования / конфигурации и имеют доступ на запись только к их собственным домашним каталогам. Это сделано намеренно.
Верно ли мое предположение, что все пользователи должны иметь одно и то же членство в группах после создания?
Не в соответствии с принципом наименьших привилегий.
Есть ли чистое исправление? Или хотя бы обходной путь? (если возможно, без ручного исправления каждой учетной записи пользователя по отдельности)
Если вы хотите, чтобы пользователь имел разрешение на внесение изменений в конфигурацию принтера, вы можете добавить их в группу lpadmin с помощью sudo usermod -aG lpadmin ИМЯ ПОЛЬЗОВАТЕЛЯ .
Чтобы добавить нескольких пользователей в группу с помощью одной команды (из ответа на этот вопрос ):
for user in USERNAME1 USERNAME2 USERNAME3; do sudo usermod -aG lpadmin "$user"; done
Или добавить нескольких пользователей в несколько групп:
for user in USERNAME1 USERNAME2 USERNAME3; do sudo usermod -aG GROUP1,GROUP2,GROUP3,GROUP4 "$user"; done
Если вам нужно дополнительное членство в группе по умолчанию для новых пользователей отредактируйте /etc/adduser.conf и раскомментируйте строку # ADD_EXTRA_GROUPS = 1 , а также раскомментируйте и измените строку, начинающуюся с # EXTRA_GROUPS = С по EXTRA_GROUPS = "lpadmin" . Вы можете перечислить несколько групп, разделенных пробелами между кавычками.
В наши дни для каждого нового пользователя создается новая группа. Группа имеет то же имя, что и пользователь, и только этот пользователь является ее участником. Первая учетная запись пользователя особенная; он добавляется в другие группы, потому что он считается основным пользователем машины, поэтому пользователь получает разрешения на использование всех видов оборудования или виртуальных машин и т. д .; но это не делается (по умолчанию) для дополнительных пользователей, созданных после этого первого.
Много лет назад существовала только одна группа под названием пользователи , которая содержала все обычные учетные записи пользователей, поэтому групповые разрешения действительно имели смысл.
Я предполагаю (я не знаю точно), что считалось более безопасным держать эти учетные записи пользователей отдельно друг от друга, поэтому были созданы эти однопользовательские группы.
Но ничто не мешает вам добавить всех дополнительных пользователей (тех, которые соответствуют реальным человеческим, а не псевдопользовательским учетным записям) в общую группу пользователей; просто создайте один и добавьте к нему пользователей.
Поскольку идентификатор группы 1000, вероятно, уже занят первым пользователем, вам необходимо решить, хотите ли вы переименовать эту группу или создать новую с числовым идентификатором, который можно сохранить постоянным на нескольких машинах.
Редактировать / etc / group вручную совершенно безопасно.
Обратите внимание, что идентификатор группы для каждой записи / etc / password - это основная группа пользователя ; пользователь может быть членом любого количества групп, но любой файл или каталог, создаваемый пользователем, будет иметь членство в группе этой основной группы, поэтому, если вы хотите, чтобы эти пользователи могли просто обмениваться файлами на основе разрешений группы, вы можете захотеть предоставить им одну и ту же основную группу (использование команды newgrp очень редко, поэтому не полагайтесь на это).
Наконец, если эти люди используют несколько компьютеров, вы можете рассмотреть возможность использования централизованного управления пользователями, такого как NIS, но это более сложная тема.