Mivel már elég hosszú volt a másik téma indítottam egy újat, melyet már más is javasolt.
- 3925 megtekintés
Hozzászólások
Oops írta:
még újabb 5let:
hátha a csoportot HOST\Rendszergazdák formában kell megadnod (tudom, hogy akkor nem menne a script magában sem, de.. de.. akkor is kipróbálnám - kínomban)
másik 5let:
ugye most azt nem tudjuk, hogy a script nem is kapcsolódik a hosthoz, vagy kapcsolódik, de a hozzáadás nem hajtódik végre
úgyhogy próbálj csak lekérdezést végrehajtani és logolni, valami olyat, amihez nem kellenek extra jogok, pl hogy milyen share-jei vannak az xp-nek. Ha ez megy, akkor olyat csinálnék még, hogy az xp 'control userpasswords2' -jével tenném be a tartományi júzert helyi rendszergazdaként a csoportba, és utána lekérdezni a preexec scripttel, hogy ez látszik-e?
Most egy olyat csináltam, hogy smbclienttel kilistáztam a megosztásokat. DE mivel ha egy XP-t domainbe csatlakoztatsz alapbol kikapcsolja az egyszerű fájlmegosztást és user szintű lesz tehát mindenképp kér user/pass párost. Namost manuálisan szintén hiba nélkül lefut a script. A sctipt kimenetét átirányítottam egy logba és ezt kaptam sambas futas esetén:
session setup failed: Call timed out: server did not respond after 20000 milliseconds
- A hozzászóláshoz be kell jelentkezni
ha a scriptbe
smbclient -L xp_host -U% >logfile.txt
megy?
Vagy épp ilyet írtál bele?
- A hozzászóláshoz be kell jelentkezni
pontosan ilyet:) vagyis ha nem adok meg usernevet akkor
Sharename Type Comment
--------- ---- -------
Error returning browse list: NT_STATUS_ACCESS_DENIED
Server Comment
--------- -------
Workgroup Master
--------- -------
ha pedig megadom a user/passt akkor:
session setup failed: Call timed out: server did not respond after 20000 milliseconds
- A hozzászóláshoz be kell jelentkezni
Ettől lehet kiütést kapni.
Gondoljuk csak át:
az xp kiad egy
net use \\samba\netlogon /username=akarki jelelgű parancsot
és amíg erre nem kap igent vagy nemet, addig nem válaszol a bejövő kérésre?
Ezért van az, hogy ha parancssorba teszed a cuccot, akkoor megy: akkor épp nincs az xp-s gépnek függőben levő kérése...
Vagyis az XP "én kérdeztem először"-t játszik?
Akkor próbáld ki a scriptedet postexec-ben, elvileg ott sem lehet nagy baj, kivéve, ha a logon scriptnek már rendszergazdai joggal kell futni....
Várj csak, hülyeség az egész.
Ha X user bejelentkezés _után_ kerül a Rendszergazdák csoportba, akkor az nem érvényesül amúgy sem, amíg újra be nem logol.
- A hozzászóláshoz be kell jelentkezni
:) na igen ettől már énis falra mászok ha nem adok usert akkor megtagadja a kérést ha adok akkormeg conn time out :D
- A hozzászóláshoz be kell jelentkezni
Ennél az ok sztrm egyszerűbb. szerintem mindez a IPC$ megosztással jáccódik le, éspedig azért, mert az IPC$ megosztáson keresztül authentikál be a domain-be. Mivel az XP megosztásai domain-be léptetés után domain user authentikációval mennek, így amíg a domain nem authentikálja őt vissza, addig ő sem tudja a domain userjeit authentikálni. Ez inkább a tyúk kontra tojás perre hajaz véleményem szerint.
De ez csak vad elmélkedés, ezt ki kellene mérni.
- A hozzászóláshoz be kell jelentkezni
Feliratkozás.
- A hozzászóláshoz be kell jelentkezni
Én a hivatalos howto (manual) alapján próbálom feltételezni, hogy mennie kellene illetve több másik howto-ban is láttam. Egyébként kipróbáltam mezei általam létrehozott csoporttal is azzal sem.
- A hozzászóláshoz be kell jelentkezni
Hello!
logonHours-al kapcsolatban adódott problémám.
LDAP-ban vannak a felhasználóim, és mindenkinek külön van egy logonHours attribútuma. Ez két féle lehet:
0-24 (tehát mindig beléphet)
7-24-ig léphet be
A Samba leírás szerint 168 bites bitmaszk írja ezt le, minden bit a hét 1 órája. A logonHours-ban mindezt hexában kell szerepeltetni
Tehát:
A 0-24-het értelemszerűen FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
A 7-24 óráig tartó bejelentkezés pedig 01FFFF01FFFF01FFFF01FFFF01FFFF01FFFF01FFFF
Leglábbis az én számolásom szerint. Viszton, azok a felhasználók, akiknek 7-24-et állítottam be, nem tudnak 10 előtt belépni.
Tegnap reggel 7-8 között kipróbáltam a saját azonosítómon, hogy a 168 bitből melyiket kell 1-esre állítani, hogy szombat 7-8-ig beengedjen beengedjen. Nagyon meglepődtem, mikor ez: 000000000000000000000000000000000000400000 lett az eredmény.
No mindegy, ha el van csúszva, hát el van, kiszámoltam ezt a maszkot: 7FFFC07FFFC07FFFC07FFFC07FFFC07FFFC07FFFC0
Reggel ment is, de pl. délután már nem tudtam belépni.
Én számolok rosszul, vagy idózóna eltérés, vagy mi lehet ennek az oka? (A logban, amikor elutasítja a belépést, helyes az időpont)
szerk: addig amíg nem oldódik meg a probléma, tudok olyat, hogy smb.conf-ból felülbírálom az LDAP-ban található éréket? Tehát hogy mindenki be tudjon mindig lépni?
Petya
- A hozzászóláshoz be kell jelentkezni
Megvan a megoldás, az első bit, tehát a hét első órája az a legjobboldalibb bit, és onnan balra kell számolni a biteket.
Viszont: UTC-ben kell megadni a logonHours-t, erre van valakinek ötlete? (téli/nyári időszámítás lekezelése)
Petya
- A hozzászóláshoz be kell jelentkezni
Sewastok!
Samba PDC-vel kísérletezem pusztán tanulás céljából és a net groupmap paranccsal nem tudok megbékélni. A net group list üres listát dob vissza, ennél fogva a net groupmap sem működik, vagyis nem tudok domain adminisztrátort, stb. létrehozni. Két napja google-zom, de semmi használhatót nem találok. Az összes howto csak annyit ír, hogy rendeljem hozzá a windows csoportot egy unix csoporthoz, de sajnos nincs elérhető windowsos csoport.
A tesztkörnyezet vmware-server alatt egy CentOS PDC és két XP kliens, semmi cifrázás. Minden segítséget előre köszönök!
- A hozzászóláshoz be kell jelentkezni
amíg nem volt groupmap nem lehet group list
1) létrehozol egy unix csoportot
2) net groupmappal osszekotod a unixosat a windowsossal
3) a domain administrator a sambaban ket dolgot jelent: a) berakod az urget egy csoportba, b) a csoport net rpc rights add paranccsal megkapja a szukseges jogokat. ha csak kimappolot a 'Domain Admins' NT csoportot 'akarmi' unix csoportba, attol még a 'Domain Admins' tagjai nem leszenk Domain Adminok, más szóval a 'beépített' NT4 csoportok csak nevükben léteznek egy friss szamba installáció után
- A hozzászóláshoz be kell jelentkezni
Bocsánat, azt kifelejtettem, hogy a net groupmap azt mondja, hogy nincs Domain Admins csoport, vagyis a windowsos és unixos csoportok összekötése sem megy.
Lehet, hogy a net groupmap modify paranccsal próbálkoztam és ezért nem ment. Később megpróbálom a net groupmap add parancsot is.
Szerk.: probléma megoldva! Köszönöm!
De itt a következő kérdés! :) Domain Admint szeretnék csinálni egy felhasználóból. A Domain Admins csoporthoz hozzárendeltem a SID-et -512-es véggel, de így sem megy. A Domain Admins egy ntadmin unix csoporthoz van kötve, az ntadmin-nak pedig tagja az a felhasználó, akiből domain adminisztrátort szeretnék.
- A hozzászóláshoz be kell jelentkezni
"b) a csoport net rpc rights add paranccsal megkapja a szukseges jogokat. ha csak kimappolot a 'Domain Admins' NT csoportot 'akarmi' unix csoportba, attol még a 'Domain Admins' tagjai nem leszenk Domain Adminok, más szóval a 'beépített' NT4 csoportok csak nevükben léteznek egy friss szamba installáció után"
- A hozzászóláshoz be kell jelentkezni
Megkapta a szükséges jogokat, közvetlenül a hozzárendelés után.
Valamilyen oknál fogva a felhasználók felvétele működik, illetve gépeket is ki tudok venni a domainból, felhasználókat be tudok tenni csoportokba, de a felhasználók kivétele egy csoportból, illetve gépek felvétele, más gépeken a megosztások kezelése már nem működik.
- A hozzászóláshoz be kell jelentkezni
Helló!
Most én küzdök ezzel. Nekem sem sikerül xp-s rendszergazda usert létrehozni.
Mi lett a megoldás? Mik a pontos lépések?
Én már létrehoztam admins nevű samba csaoportot, van is benne user, meg a net groupmap parancsot is lefuttattam, de semmi.
Kösz
- A hozzászóláshoz be kell jelentkezni
Pdbedit -tel beállítottam egy jó ideje, hogy az előző 5 jelszó nem elfogadott jelszóválltáskor.
Működik is, de be-ki logoláskor teli van a syslog
"Failed to get password history for user juzer"
üzenetekkel.
pdbedit -L -v juzer esetén:
INFO: Current debug levels:
all: True/9
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
locking: False/0
msdfs: False/0
......
smbldap_search_ext: base => [dc=ceg,dc=domain,dc=hu], filter => [(&(uid=deline)(objectclass=sambaSamAccount))], scope => [2]
init_sam_from_ldap: Entry found for user: juzer
smbldap_search_ext: base => [sambaDomainName=TARTOMANY,dc=ceg,dc=domain,dc=hu], filter => [(objectclass=*)], scope => [0]
init_sam_from_ldap: Failed to get password history for user juzer
......
fogalam sincs hogy megy ez... mit tegyek?
ha kevés infót adtam, kérdezzetek...
rendszer: ubuntu 6.06
- A hozzászóláshoz be kell jelentkezni
up
- A hozzászóláshoz be kell jelentkezni
up
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
Van egy Samba PDC-m, a userek home-jára van kvóta a szerveren, ezzel nincs is baj, a Dokumentumok is oda van irányítva. Viszont a userek leleményesek, és rájöttek, hogy az asztalra le tudnak menteni bármekkora cuccokat. Persze a szerverre nem megy fel a kvóta miatt, de ott marad az adott kliensgépen a C:\Docs&Settings-ben. Ha páran ezt megcsinálják, akkor elfogy a hely a C:-n, és onnantól kezdve nem lehet oda bejelentkezni, mert nincs hova lehúzni a profilt.
Tudtok erre valami megoldást?
Petya
- A hozzászóláshoz be kell jelentkezni
Pl kvótázhatnál a c:\ -re a felhasználók gépén is. :)
- A hozzászóláshoz be kell jelentkezni
durva megoldás: startup script, ami törli a c:\documents and settings tartalmát induláskor
jobb: nt profil méretének maximalizálása: ha túllépted, akkor nem tudsz kijelentkezni.
- A hozzászóláshoz be kell jelentkezni
Az a startup script több óra alatt futna csak le :)
Hogyan tudom a profil méretét beállítani?
És a klienseken hogyan tudok kvótát beállítani?
Petya
- A hozzászóláshoz be kell jelentkezni
Miért több óra, egy "del /s" több gigabyte és több ezer fájl esetén is csak pár perc szokott lenni helyi HDD-n.
Ha meg a startup script az autoxec.nt-ből fut akkor, már azelőtt elindul/lefut, hogy a felhasználó bejelentkezett volna a gépre.
--
Most élsz! Most figyelj, hogy jól csináld!
- A hozzászóláshoz be kell jelentkezni
keres poledit-ről és ntuser.dat-ról szóló hozzászolóásokat ebben a topicban, vagy a másikk ugyanilyen nevűben
- A hozzászóláshoz be kell jelentkezni
Köszönöm, ha más nem megy, akkor ez lesz.
Egyébként a usereim továbbra is leleményesek lesznek, vagyis ha nem tudnak kijelentkezni, akkor otthagyják a gépet, vagy egyszerűen reset gomb :) Vagy pedig megvárják az automatikus shutdown-t záráskor.
Tényleg, mi történik akkor, ha az illető user túllépte a profilját, és kap a gép egy "net rpc shutdown"-t a szerverről? Leáll (és ekkor fent marad a sok asztalra leszedett cucc), vagy pedig nem áll le, amíg nem törli le a cuccokat az asztalról (ezesetben pedig a userek biztos megtaláljákezt a módszert, a leállítás elkerülésére :) )
Nem lehet valahogyan azt beállítani, hogy le se tudjanak szedni az Asztalra nagy file-okat?
(Amúgy minden gépen van nagy file-ok ideiglenes tárolására külön partíció, de persze r=1 usereknek magyarázhatom...)
Petya
- A hozzászóláshoz be kell jelentkezni
Egy megoldás ha mandatory profile-t állítasz be a felhasználóknak. Az asztalra lementett cuccok a következő bejelentkezéskor a mandatory profil érvényre jutásával már törlődtek is.
--
Légy derűs, tégy mindent örömmel!
- A hozzászóláshoz be kell jelentkezni
Automatic printer driver download
sziasztok,
szeretném megoldani PDC samba 3.0.26a-1ubuntu2.5 és cupsys 1.3.2-1ubuntu7.6 alatt azt, hogy amikor Windows XP kliensre DOMAIN\administrator-ral bejelentkezek, akkor a \\PDCSERVER\ "Nyomtatók és faxok" mappa alatt feltudjam tölteni a windowsos drivereket, hogy usernek csak nyomtató tallóznia kelljen és Csatlakoznia,
ezzel kapcsolatban ezt a thread-et olvastam, leesett, megcsináltam, de a Drivers Fül alatt az Add opció nem választható, és ismét ha új nyomtatót szeretnék hozzáadni, akkor is operation not permitted: permission denied az üzenet.
Az smb.conf OK, net rpc jogok OK, cupsd.conf konfig OK. Az viszont nyilvánvaló, hogy egyszer már működött, hisz töltöttem már fel így drivereket, amit használnak tartományi user-ek jelenleg is.
Tudom, hogy több alternatíva van WinXP kliensek felé a Samba nyomtató szolgáltatásra, mégis ennél maradnék, mert ez tűnik egy felhasználóbarátabb megoldásnak.
Előre is köszönöm a segítséget.
- A hozzászóláshoz be kell jelentkezni