samba domain admins

Linux-haladó

Üdv!

Egy samba-s PDC-s, winXPsp2-es kliensekkel felszerelt rendszert szeretnék kialakítani.
Az egyik problémám, hogy hogyan tudom a domain admin-okat hozzáadni a lokális rendszergazdákhoz, mert bármilyen userral lépek be a win-be beszól, hogy nincs jogom, nem vagyok rendszergazdi.
Ezt követtem el a felhasználó hozzáadásakor:

echo "root = Rendszergazda" > /etc/samba/smbusers
net groupmap add ntgroup="Domain Admins" unixgroup="root" type=domain -U root

Másik kérdésem, a poledit-el létrehozott fájlokat hogy tudom ráhúzni a wines gépekre, felhasználókra?

Előre is köszi, üdv:
beze

  • 2985 megtekintés

( uid_2783 | 2008. 09. 04., cs – 10:46 )

fent említett probléma még nálam is fennáll, úgyhogy subscribe.

állítólag a poledittel készített file-okat a netlogon share-ba másolod,
és a kliensek loginkor behúzzák.
aztán hogy mennyire lesz hatásos, meg beválik-e, működik-e, azt még
nem tudtam kipróbálni én sem. :)

--
Sony Vaio &

net rpc rights grant username SeTakeOwnershipPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeMachineAccountPrivilege

Lehetséges jogok:
SeMachineAccountPrivilege = Add machines to domain
SeTakeOwnershipPrivilege = Take ownership of files or other objects
SeBackupPrivilege = Back up files and directories
SeRestorePrivilege = Restore files and directories
SeRemoteShutdownPrivilege = Force shutdown from a remote system
SePrintOperatorPrivilege = Manage printers
SeAddUsersPrivilege = Add users and groups to the domain
SeDiskOperatorPrivilege = Manage disk shares

nekem így sikerült hiba nélkül:
net rpc rights grant admin1 SeTakeOwnershipPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeMachineAccountPrivilege -I $samba_srv_ip_cime -U $samba_admin_user_neve
majd a $samba_admin_user jelszavát kérte.

köszönjük szépen a helpet :)

--
Sony Vaio &

Ezutan a USRMGR nevu Server manager valoban kezeli ossze suert, meg enged hozzaadni meg minden, viszont ha kliens gepen probalok a felhasznaloi fiokokba nelepni akkor tovabbra is nyervog hogy nincs a Rendszergazdák csoportban adott felhasznalo.
Hogyan kell a lokalis rendszergazdak csoportba adni ? vagy domain esetén a vezérlőpult/felhasználók bigyót felejtsem el (nemsok ertelme van asszem neki ilyenkor..) de azért nem ártana ha rendszergazda lennék xp ben ilyenkor is :)

Egy megoldast talaltam, de nem a legszebb (mert kliens gepre felkell vinni adott fiokot "kezzel")
szoval bekell lepni XP kliensre (nem DOMAIN-be) az eredeti kliens rendszergazda fiokkal, es felkell vinni egy új fiokot, de ugy term. h domain tag felhasználó és lokalis rendszergazda, így domainbe is bent lesz es lokalis rendszergazda is lesz
Viszont nem ertem hogy ha domain admin vagyok akkor miert nem lett ettol lokal gepen admin, elvileg amiket olavsok annak kene lenni, de megse....

Hogyan lehetne ezt profile login scriptbe beletenni hogy hozzaadja ?

( Oops | 2008. 09. 04., cs – 13:45 )

ploedit-tel csak egy file-t készítesz. NTCONFIG.POL, ami tulajdonképp egy registry-fa-ág, ami a HKCU\Current User -hez adódik hozzá. Ha azt akarod, hogy a júzer ne tudja megváltoztani pl a hátterét, akkor átírod a file nevét MAN (asszem) kiterjesztésűre (mandatory).
a DC NETLOGON megosztására kiteszed a file-t, és a tartományba lépett gépek letöltik minden további állítgatás nélkül.

( Previ | 2008. 09. 04., cs – 14:16 )

Van ebben valami romantika, hogy 2008-ban poledit -et kell használni. :)

( xclusiv v | 2009. 09. 07., h – 12:42 )

Miért kell a DA-nak LA csoportba kerülni?

Ha az xp kliens-t domain-ba lépteted, akkor a domain admin-ok adminok a klienseken is.

Nekem legalábbis így működik.

tehat pl. ha kliensen DOMAIN be van leptetve, ott belepsz egy DA userrel, es belemesz vezerlopult/felhasznaloi fiokokba akkor megy siman ? (akkor ha nincs ilyen admin fiok adott kliens XP be felveve...) nekem ott kiirja hogy a bejelentkezett felhasznalo nincs a Rendszergazda csoportban...

Ha igy muxik neked akkor leirnad hogy csinaltad ? :) smb conf, net parancsok pl.

Ha hasznalod user manager-t (srvtools resze) akkor az is erdekelne hogy ha a userek csoportjait azzal modositod akkor neked nem csak egy csoportot enged egy felhasznlohoz ? (felvinni enged tobbet, de mentes utan mindig csak egy marad egy falhasznalonal) linux alatt term. jol muxik de ezzel a progival nem...

ujabb reszmegoldast talaltam :) egyszer csak rajovok :))

szoval kliensen belepsz localadmin userrel es kiadom a


net localgroup Rendszergazdák /add domain_name\adm1

ahol :

Rendszergazdák - local XP-n a adminisztrator csoport (angol XP-n administrator)
domain_name - ertelemszeruen a samba domain neve
adm1 - a samban levo domainben letezo felhasznalom neve

ezekutan ha belepek domainbe XP klinessel adm1 userrel akkor local admin is leszek

viszont akarhogy probaltam adm1 helyere sehogyse tudom beirni "Domain Admins" csoportot pedig doksi szerint belehetne irni, meg SID vel is probaltam de aztse eszi, "" igyis probaltam ugysenemjo...

valakinek otlet ?

"tehat pl. ha kliensen DOMAIN be van leptetve, ott belepsz egy DA userrel, es belemesz vezerlopult/felhasznaloi fiokokba akkor megy siman ?"

igen, persze. minden domain-ba léptetett gépen be tudok lépni és mindent tudok csinálni, nem kell hozzá lokál admin.

"Ha igy muxik neked akkor leirnad hogy csinaltad ? :) smb conf, net parancsok pl."

official samba doksi alapján.
szerintem smb.conf-ban nem nagyon kell hozzá semmi extra (kb. workgroup=MYWG, domain logons=y, domain master=y, bár lehet, h valamit kihagytam), csoport összerendelés mint lentebb:

net groupmap add ntgroup="Domain Admins" unixgroup=admin rid=512 type=d
net groupmap add ntgroup="Domain Users" unixgroup=users rid=513 type=d

aztán aki a fenti 2 csoportban van az DA

useradd -g users -d /nowhere -s /bin/false new_user
passwd -l new_user
(echo 'new_pass';echo 'new_pass') | smbpasswd -as new_user
smbpasswd -e new_user
adduser new_user admin
adduser new_user mindenfele_csoport_ami_meg_kell

"...usermgr..."
ezt nem igazán használom csoport piszkálásra, mióta egyszer valahogy sikerült egy user-emről minden jogosultságot leszedni véletlenül. (nem én szedtem le, beraktam egy újabb csoportba és eltűnt minden csoporttagsága, én meg néztem bután)

inkább a fentihez hasonló csoportba rakó parancsokat beraktam egy shell script-be, aztán azt bővítgetem folyamatosan az új sorokkal. ezzel kb. 3 perc alatt újra tudom építeni a domain-t új vason, ha szükséges.

""...usermgr..."
ezt nem igazán használom csoport piszkálásra, mióta egyszer valahogy sikerült egy user-emről minden jogosultságot leszedni véletlenül. (nem én szedte"

Igen, pont ezt csinalta nekemis, hozzaadtam egy uj csoportot aztan minden mast leszedett rola :)

Mar kb muxik minden, csak azabaj hogy XP kliensen a konyvtar jogokat barmilyen alap user tudja modositani, esetleg erre tudtok valamit ?

( Psycho v | 2009. 09. 07., h – 18:29 )

Én így szoktam sambat telepíteni, és simán van domain admin:

apt-get install samba

groupadd ntadmins
groupadd machines
adduser root ntadmins
useradd -s /bin/false -G ntadmins -m %adminuser%
net groupmap modify ntgroup="Domain Admins" unixgroup=ntadmins
net groupmap modify ntgroup="Domain Users" unixgroup=users

ha ezek hibával elszállnak:
net groupmap add ntgroup="Domain Admins" unixgroup=ntadmins rid=512 type=d
net groupmap add ntgroup="Domain Users" unixgroup=users rid=513 type=d

innentől aki az ntadmins csoport tagja linux alatt, az domain admin az xp-n

Balázs

( vajtsz | 2009. 09. 09., sze – 11:08 )

net groupmap add ntgroup="Domain Admins" unixgroup=admin rid=512 type=d
net groupmap add ntgroup="Domain Users" unixgroup=users rid=513 type=d

Azt hiszem a rid=512 es rid=513 a kulcs, mivel most megcsinaltam ujra, de most megadtam a RID-eket, es igy valoban local admin lett a domain admin az XP gepen...

( vajtsz | 2009. 09. 10., cs – 06:57 )

Szerintem ezt a szalat erdemes lenne [MEGOLDVA] allapotuva tenni :)