Hallo,
mit viel lesen habe ich es nun hinbekommen, das ich mich mit einem WIN XP /2000 client an meinem Samba PDC anmelden kann und das profil dort im home ORder des jeweilign Users gespeichert wird.. :-) nun noch ein paar Fragen.

1. Ist jeder Benutzer automatisch ein eingeschänkter Windowsbenutzer? Kann man den Status irgendwie festlegen?

2. Wie kann ich einfluss darauf nehmen, was ein user darf? wird as im provil auf dem server gespeichert? Ich kann z.b. einige verknüpfungen im startmenü löschen andere nicht..

3. Wie installiere ich am besten Programme (als lokaler admin des rechners?)

wäre für antworten sehr dankbar

1. Ist jeder Benutzer automatisch ein eingeschänkter Windowsbenutzer? Kann man den Status irgendwie festlegen?

2. Wie kann ich einfluss darauf nehmen, was ein user darf? wird as im provil auf dem server gespeichert? Ich kann z.b. einige verknüpfungen im startmenü löschen andere nicht..

3. Wie installiere ich am besten Programme (als lokaler admin des rechners?)

wäre für antworten sehr dankbar
Hi,

schau Dir doch mal die MS Dokus zum Thema "Planung & Installation eines Windows NT-4 basierenden PDCs" an ... da sollte sehr viel daraus hervorgehen.

Zu 1.)
dafür baust Du ja die Domäne, damit es eben nur eine zentrale Benutzerverwaltung gibt - mußt halt nur Domänenbenutzer anlegen.

Zu 2.)
für solche Einstellungen ist das Profil ganz richtig. Weiterhin zählen aber auch die Berechtigungen des Benutzers/Gruppe

Zu 3.)
per setup.exe, install.exe oder *.msi - naja, so, wie es bei MS halt üblich ist ...

Wenn Du eine sinnige domain-structure bauen willst, solltest Du dir aber einige Dokus anschauen bevor Du anfängst - einige fundamentale Dinge im Nachinein umzustellen erfordert manchmal wirklich Aufwand.

Gruß

schau Dir doch mal die MS Dokus zum Thema "Planung & Installation eines Windows NT-4 basierenden PDCs" an ... da sollte sehr viel daraus hervorgehen.


danke schon mal. jetzt bin ich entweder blind, zu doof zum googeln oder k.a. :ugly: aber ist das ein Buch oder eine Dokument was ich auf der MS Seite finde? Weil unter dem Namen finde ich leider nichts. auch incht wirkich wenn ich etwas ungenauer suche.. :confused:
danke

1. Jeder Nutzer der Domäne ist automatisch eingeschränkter Windows-Benutzer.

Den Status legt man einfach mit Samba 3 fest über group mapping.

auf Server so eingeben..
net groupmap ntgroup="Domain Users" unixgroup=users
net groupmap ntgroup="Domain Admins" unixgroup=root

Gruppennamen nach Bedarf abändern.

2. Über Policy-File mit Poledit.exe (von MS runterladen), in netlogon-share speichern (netlogon/ntconfig.pol) können einige Dinge für die Gruppen eingestellt werden.
Mehr Auswahl hat man mit dem Setzen von Gruppenrichtlinien (Programm gpedit.msc auf Windows-PCs). Hier kann man Berechtigungen für Verzeichnisses anlegen, etc.... Sehr umfangreiche Möglichkeiten.
Mit einem geeigneten Mechanismus muss man die Einstellungen eines Client-XP-PCs auf die anderen bringen oder man konfiguriert jeden Client-PC einzeln.

3. Ob sich Software auf einfache Art u. Weise netzwerkweit installieren lässt, ist von Fall zu Fall unterschiedlich.
Am besten einfach ausprobieren: Software von einem XP-PC aus in ein Server-Verzeichnis installieren und sehen, ob man die Software dann von anderen PCs aus starten kann. Falls nicht, gibt es da so einige Tricks, die aber nicht so ganz einfach anzuwenden sind.
Hier mal grob:
PC1: Registry-Teile exportieren, PC2: Registry-Teile import.., PC3. import., PC4 import..
Lässt sich mit einigem Aufwand automatisieren, aber das lohnt sich eigentlich nur ab ca. 100 Client PCs.
Ansonsten würde ich einem Domänen Administrator ein Symbol für Setup.exe auf den Desktop plazieren. So kann er sich überall anmelden, Symbol doppelklicken, LOKAL installieren und die Software sollte dann recht schnell netzwerkweit auf allen PCs installiert.... ach, das ist zu kompliziert, das im Detail zu schreiben. Aber machbar ist es.

danke schon mal. jetzt bin ich entweder blind, zu doof zum googeln oder k.a. :ugly: aber ist das ein Buch oder eine Dokument was ich auf der MS Seite finde? Weil unter dem Namen finde ich leider nichts. auch incht wirkich wenn ich etwas ungenauer suche.. :confused:
danke
Ich weiß nicht, ob die Doku wirklich so heißt.
Inhaltlich geht es aber um die Planung einer NT-4 basierenden Domäne ... ist halt schon recht lange her, daß man solche Infos für die Migration eines NT3.1 & LanMan Netzes in eine NT-4 Domäne brauchte ... ;)

Gruß

Zu 1.)
dafür baust Du ja die Domäne, damit es eben nur eine zentrale Benutzerverwaltung gibt - mußt halt nur Domänenbenutzer anlegen.

was meinst du denn damit. Kann ich denn irgendwie einmalig einen standart Profil anlegen, dass dann automatisch jeder neue benutzer (bei der 1. Anmeldung am pdc) erhält?

ich habe hier auch noch mal meine smb.conf:


[global]
workgroup = IBAC
username map = /etc/samba/smbusers
map to guest = Bad User
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
security = user
encrypt passwords = yes
server string = IBAC-SRV
netbios name = IBAC-SRV
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
domain master = yes
domain logons = yes
local master = yes
preferred master = yes
load printers = no
os level = 65
ldap suffix = dc=example,dc=com
[home]
path = /home/%U
comment = Eigene Dateien alles Benutzer
writeable = yes
browseable = yes

[homes]
comment = Eigene Dateien
valid users = %S
browseable = no
read only = No
inherit permissions = Yes
guest ok = no
printable = no

[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
browseable = yes
guest ok = no
printable = no

wenn ich jetzt beim start immer ein script ausführen möchte, wie verwirkliche ich das am besten? nehme ich da logon script = ??? in welchem order sucht er dann danach?
die frage im vorigen post war aber eigentlich wichtiger :-)

was meinst du denn damit. Kann ich denn irgendwie einmalig einen standart Profil anlegen, dass dann automatisch jeder neue benutzer (bei der 1. Anmeldung am pdc) erhält?
Ja. In [netlogon] das Profil eines Users kopieren und umbenennen in "Default User". Darauf achten, dass es für alle lesbar ist.
Ebenfalls in [netlogon] können login-scripte liegen. WIe die heißen müssen, steh im entsprechenden Parameter in [global], ich glaube "login script" heißt der - siehe Manpage zu smb.conf für die korrekte Schreibweise.

mamue

1. ist dieses std. profil dann f. immer - ich meinte mehr so ein profil, das beim ersten anmelden übernommen wird und dann individuall modifiziert werden kann - oder ist das so?

2. mit den .pol dateien. wenn ich das jetzt richtig verstanden habe kann ich also sagen wir die normalen einstellungen f. einen eingeeschränkten win 2000 benutzer nahmen modifizieren (mit poledit) und in die oben angebene Datei speichen. Dann benutzen alle Domänen mitlglieder automatisch diese berechtigungen???? wo finde ich die std. einstellungen denn???


danke

Ist zwar einwenig mehr arbeit bei der einrichtung, aber dafür danach einfach und simple zu administrieren, Fast als wäre es ein NT DC.. Achja... Doku gibt es auch von mir in diesem Forum..

hmm.ich wollte das jetzt erstmal so machen, deswegen noch mal die beiden Fragen oben :)
danke schon mal vielmals

Hier mal ein paar Beispiele ....
samba als PDC:


[global]
workgroup = skar.test
netbios name = satai
netbios aliases = PDC BDC
server string = PDC %v
os level = 65
time server = yes
unix extensions = yes
encrypt passwords = yes
printing = CUPS
printcap name = CUPS
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dos charset = 850
unix charset = ISO-8859-15
display charset = ISO-8859-15
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
domain master = yes
domain logons = yes
local master = yes
prefered master = yes
security = user
hosts allow = 192.168.10. 192.168.40.
interfaces = 127.0.0.1/32 192.168.10.1/255.255.255.0
bind interfaces only = yes
wins support = yes
log level = 2
log file = /var/log/samba/%m.log
writeable = yes
browseable = yes
kernel oplocks = no
read only = no
unix password sync = yes
add user script = /usr/sbin/useradd -g smbusers -c "remote smb user" -d /home/%u -m -s /bin/false %u
add machine script = /usr/sbin/useradd -c Machine -d /dev/null -s /bin/false %u
large readwrite = yes
logon script = %U.bat
logon drive = u:
logon path = \\%L\profiles\%U
logon home = \\%L\%U
admin users = admin root @ntadmin
guest account = nobody
nt acl support = yes
passwd program = /usr/bin/passwd %u
keepalive = 60
deadtime = 300
name resolve order = dns wins lmhosts bcast
printer admin = @users

[homes]
comment = Home Directories
valid users = %S
browseable = no
writeable = yes
create mask = 0640
directory mask = 0750
vfs objects = recycle
recycle:keeptree = Yes
recycle:touch = Yes
recycle:versions = Yes
recycle:maxsize = 209715200
recycle:exclude = *.tmp|*.temp|*.o|*.obj|~$*|*.~??
recycle:excludedir = /tmp|/temp|/cache
recycle:repository = ./Desktop/Trash

[printers]
comment = All Printers
path = /var/tmp
printable = yes
create mask = 0600
browseable = no

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775

[netlogon]
comment = Netlogon
path = /home/netlogon

[profiles]
comment = MS Profile
path = /home/profiles
read only = no
browseable = no
writeable = yes
create mask = 0600
directory mask = 0700
profile acls = yes
vfs objects = recycle
recycle:keeptree = Yes
recycle:touch = Yes
recycle:versions = Yes
recycle:maxsize = 209715200
recycle:exclude = *.tmp|*.temp|*.o|*.obj|~$*|*.~??
recycle:excludedir = /tmp|/temp|/cache
recycle:noversions = *.doc|*.xls|*.ppt
recycle:repository = ../../home/%U/Desktop/Trash
...


Beispiel für logon script = %U.bat (=stormbringer.bat)


#net use h: /HOME
net time \\192.168.10.1 /set /yes
net use p: \\192.168.10.1\profiles\stormbringer
call main.bat


Vielleicht hilft es ...

Gruß

ich werde die ganzen optionen mal durchgucken :-)
das mit dem logonscript funktioiert jetzt auch bir mir, gleibt noch das mit dem profil und dem pol

aber viel dank-hilft sehr

1. ist dieses std. profil dann f. immer - ich meinte mehr so ein profil, das beim ersten anmelden übernommen wird und dann individuall modifiziert werden kann - oder ist das so?
Yep ... halt ein servergespeichertes, definiertes Profil.



2. mit den .pol dateien. wenn ich das jetzt richtig verstanden habe kann ich also sagen wir die normalen einstellungen f. einen eingeeschränkten win 2000 benutzer nahmen modifizieren (mit poledit) und in die oben angebene Datei speichen. Dann benutzen alle Domänen mitlglieder automatisch diese berechtigungen???? wo finde ich die std. einstellungen denn???

danke
Nein - wie Du selbst schon schreibst: wenn Du es im Profil-Share des Benutzers ablegst, gilt es auch nur für eben jenen.
Also mußt Du die Datei kopieren ...

Gruß

Also mußt Du die Datei kopieren ...

Gruß

aber wo finde ich denn die "erste" :-) pol datei, die ich dann so einstellen kann wie ich es f. einen eingechränkten Benutzer f. richtig halte?

Mehr Auswahl hat man mit dem Setzen von Gruppenrichtlinien (Programm gpedit.msc auf Windows-PCs). Hier kann man Berechtigungen für Verzeichnisses anlegen, etc.... Sehr umfangreiche Möglichkeiten.
Mit einem geeigneten Mechanismus muss man die Einstellungen eines Client-XP-PCs auf die anderen bringen oder man konfiguriert jeden Client-PC einzeln.


Ich habe jetzt auf einem bliebeiogen Windows 2000 Rechner mal das programm gpedit aufgerufen und habe dann da eine "Administrative Vorlage" aber in eine pol datei könnte ich die wenn ich wollte nicht exportieren.Irgendwas mache ich da doch falsch
-------------------------------
dann habe ich noch das programm poledit (ist irgendwie von office XP (von der ms hp)), da könnte ich .pol Dateien exportieren. Aber dort habe ich keine Einstellungsmöglichkeiten (suche z.b. darf Programme installieren/startmenü einträge...)

Gruppenrichtlinienobjekte (gpedit.msc, GPO) sind nicht mit Policy von einst (Poledit.exe) kompatibel.

Der Bereich administrative Vorlagen wird weitgehen über Poledit abgedeckt.
Sicherheitseinstellungen insbesondere Dateiberechtigungen aber zum Großteil nicht.
Man kann sie über Erstellen einer Sicherheitsvorlage auf einem PC anwenden.

1. Start->auführen->mmc eingeben
2. Snap-in hinzufügen->Sicherheitsvorlage
3. Auf den Security-Templates Ordner im Konsole-Fenster mit Rechts klicken und neue Vorlage erstellen wählen.
4. Diese Vorlage mit allerlei Einstellungsmöglichkeiten anpassen.
Nach Beendigung des mmc Programms wird zum Speichern der Vorlage aufgefordert -> Bestätigen
Die Vorlage wird jetzt im \windows\security\templates-Ordner gespeichert

Angewandt werden kann die mit secedit.
c:> secedit /configure /db \windows\security\database\meinesicherheitsdb /cfg \windows\security\templates\meinevorlage.inf

So werden auf dem PC alle in der Vorlage definierten Sicherheitseinstellungen angewandt.

Nun muss man das ganze auf die anderen PCs verteilen, was nicht ganz einfach ist ohne Win 2k3-Domänencontroller.

Möglichkeit: ein Startskript festlegen auf allen PCs (mit gpedit.msc), Name sei xy.cmd. Ort: \windows\system32\grouppolicy\machine\scripts\star tup\

Startskripte (mit secedit-Befehl usw.) und Template (.inf) per Verteiler-Skript auf alle angeschlossenen PCs verteilen. Ist nicht ganz einfach, aber eine Möglichkeit.

das wäre dann aber nciht die sache mit der ntconfig.pol? oder?
gibt es denn die möglichkeit fertife pol deteien zu bekommen. evtl hat sich ja schon öfter mal jmd. die mühe gemacht und sich welche angepasst!?!

Ja, gibt es. Suche nach NT4XPsystem.adm.
Mit dem Policy-File ntconfig-pol kann man keine (Datei-)Berechtigungen festlegen, sondern im Wesentlichen Elemente des GUIs manipulieren.
Betrifft sogar auch das Startmenü. Diese Einstellungen gelten allerdings nur fürs GUI und können i.A. umgangen werden (z.B. in dem man das Startmenü direkt über den Explorer ändert).
Detailliertere und straffere Einstellungen zur Sicherheit nur über Berechtigungen direkt im Dateisystem (für Fortgeschrittene auch in der Registry)

wird denn ein Teil der registry im profil auf dem PDC gespeichert? weil sich ja die einstllungen sonst nicht auf den Domänenbenutzer bezögen, oder?
bei einem Nutzer habe z.b. das Problem, das er keine Berechtigung zum brennen hat-diese aber braucht..

ntuser.dat speichert die benutzerbezogenen Einstellungen (Schlüssel HKCU) der Registry im Profil des Nutzers auf dem Server.

Brennrechte sind mit dem Policy-File nicht abgedeckt.

Wie sie zu konfigurieren sind, hängt von der Brennsoftware ab.
Es gibt Brennsoftware, da ist gar nichts zu konfigurieren.
Bei Nero musste man mal was konfigurieren, damit ein normaler User brennen konnte. Ist aber nicht mehr der Fall. Nero bot mal die Installation eines privilegierten Service an, über den normale Nutzer brennen konnten. Zur Nutzung dieses Service konnte man eine neue Gruppe nach Wahl erstellen, nero-users oder sonst was.
Hängt wie gesagt von der Software ab.
Ob man direkt mit dem Explorer (ab XP) als normaler User brennen kann, ist mir nicht bekannt.

kann man die ntusers.bat denn irgendwie bearbeiten, gibt es da ein übersichtliches Tools o.ä.?

Und zum Brenner, habe auf dem Rechner Nero 6 und WinOnCD drauf. Beide finden einfach keinen Recorder.. Diedes NEro Tool gibt es immernoch, wirkt aber nur bei lokalen Benutzern :-((

Die ntusers.dat (nicht bat), wird wohl eher nicht direkt bearbeitet. Die Einstellungen, die dort enthalten sind, werden eher indirekt bearbeitet durch das "Default User" Profil und die NTConfig.POL. Nähere Informationen kannst Du dem Samba-guide und der howto-collection entnehmen - beides zu finden auf samba.org. Insbesondere Kapitel 6 des Samba-guide (aka. "Samba by Example") ist hier relevant, glaube ich.
Der Rest betrifft, wie lx_bastler schon sagte, die Anwendungs-Software. Im Handbuch eben dieser sollte stehen, was zu tun ist.

mamue

kann man die ntusers.bat denn irgendwie bearbeiten, gibt es da ein übersichtliches Tools o.ä.?

Und zum Brenner, habe auf dem Rechner Nero 6 und WinOnCD drauf. Beide finden einfach keinen Recorder.. Diedes NEro Tool gibt es immernoch, wirkt aber nur bei lokalen Benutzern :-((


Finden sie denn als Administrator einen Rekorder?

Nur bei Lokalen Nutzern... Die Domänennutzer sind lokal, wenn man sie zu einer Lokalen Gruppe hinzufügt. Standardmäßig sind sie bei der lokalen Gruppe "Benutzer" dabei.
Domain Users selbst ist dann eine Globale Gruppe, die auf allen Domänen-PCs funktional eingegliedert werden kann.

Gerade mit dem Poledit kann man die ntuser.dat zentral bearbeiten, braucht aber Templates für Poledit.

CT bietet z.B. ein vordefiniertes Template für poledit an, dann gibt es noch diverse. Man kann die Templates auch selber ergänzen, ist nicht schwer.

Aber: Dateiberechtigungen, Registryschlüsselberechtigungen, Benutzerrechte kann man mit dem veralteten Poledit nicht konfigurieren.


Und noch eins: wenn es sich um XP handelt: probier doch mal die im Explorer bzw. in XP integrierte Brennfunktionalität aus. Die müsste doch problemlos zu konfigurieren sein und deckt sicher 99 % der Brennfälle ab.

hallo, vielen Dank
1. Also der Admin findet den Recorder..
Das hinzufügen der Domain benutzer zu einer lokalen Gruppe hat aber keinen einfluss darauf, das die Profile "geroamt" werden, oder? Un ich ich müsste an jedem PC die Gruppe mit allen DomainMitgliedern manuall erstellen, oder?

2. Ich habe schon mal bei CT gesucht, wo hast du denn da ein Template f. Poledit gefunden? Bei dem Rechner geht es um Windows 2000

hallo, vielen Dank
1. Also der Admin findet den Recorder..
Das hinzufügen der Domain benutzer zu einer lokalen Gruppe hat aber keinen einfluss darauf, das die Profile "geroamt" werden, oder? Un ich ich müsste an jedem PC die Gruppe mit allen DomainMitgliedern manuall erstellen, oder?

2. Ich habe schon mal bei CT gesucht, wo hast du denn da ein Template f. Poledit gefunden? Bei dem Rechner geht es um Windows 2000

1 a) kein Einfluss.
b) ist am einfachsten, wenn du es manuell an jedem PC machst.
Fortgeschrittene User könnten es auch anders hinkriegen. Man müsste ein geeignetes Skript erzeugen, das bei Bedarf dann ausgeführt... auf dem jeweiligen PC... evtl. VB Skript .... nicht ganz einfach...

2. http://www.heise.de/ct/tipps/adms.shtml
Dann gibt es im Netz noch diverse templates.
Eine Namens "nt4xpsystem.adm" bildet sehr viele XP Einstellungen (W2K ist ähnlich) auf das Poledit-Format ab. Ort jetzt unbekannt.