Hallo,

hab da mal eine Frage zum Group Mapping. Also der Befehl und die Vorgehensweise sind mir bis auf eine kleine Frage klar:

1.
Unix Gruppe anlegen. Zum Beispiel ntadmins. Für die Windows Benutzer Domänenbenutzer und Domänengäste nehme ich zum Bsp.
die vorhandenen Unix Gruppen nobody und users.

2.
Jetzt der Befehl:

net groupmap add ntgroup=„Domänen Administratoren“ unixgroup=ntadmins

Ebenso halt der Befehl für die Unix Gruppen users und nobody. Doch was ich noch nicht genau herausgefunden habe ist:

Wie heissen denn jetzt die Windows Gruppen wirklich ?
1. Domain Admins ?
2. oder Domänen Administratoren ?
3. oder Domänen-Administratoren ?

Wie bekomme ich die genaue Windows Schreibweise heraus um mit FC3 in Bezug auf Samba als PDC ordenlich zu mappen ?

Danke .....

cya Antorox

woher bezieht denn dein PDC die gruppen und mappings? ldap, files, ... ?

greez

Hi,

also ldap hab ich nicht eingerichtet. Außerdem ist der Befehl net groupmap add ... falsch, das müsste heissen: net groupmap modify ...... .

Samba als PDC läuft auf nem frisch installierten FC3. Nichts verändert. Wenn ich net groupmap list eingabe kommt halt:

Domain Admins .... 512
Domain Users ...... 513
Domain Guests .... 514

und die modifiziere ich halt mit den entsprechenden Windows Gruppen Windows Gruppen.

hier mein net groupmap list:

[2005/08/30 20:15:08, 0] param/loadparm.c:map_parameter(2443)
Unknown parameter encountered: "domain admin group"
[2005/08/30 20:15:08, 0] param/loadparm.c:lp_do_parameter(3139)
Ignoring unknown parameter "domain admin group"
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Admins (S-1-5-21-467265416-2916932811-2849176365-512) -> ntadmins
Domain Guests (S-1-5-21-467265416-2916932811-2849176365-514) -> nobody
Domain Users (S-1-5-21-467265416-2916932811-2849176365-513) -> users
Power Users (S-1-5-32-547) -> users
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Dom▒nen Administratoren (S-1-5-21-467265416-2916932811-2849176365-2005) -> 502
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1

Wie gesagt da stimmt irgendwas nicht.

Wie lautet denn nun der richtige Befehl ?

Dom▒nen Administratoren (S-1-5-21-467265416-2916932811-2849176365-2005) -> 502

stimmt sowieso nicht.

Wenn ich in Windows nachschaue ... Systemsteuerung -> Benutzer -> Erweitert -> Erweitert -> Gruppen und meinetwegen die Hauptbenutzergruppe anklicke und dann nach anderen Gruppen suche , tauchen Domain Admins, Domain Users und Domain Guests auf.

Komischerweise habe ich ja unter FC3 die Gruppe ntadmins angelegt und die Gruppe Domain Admins mit der Unix Gruppe ntadmins gemappt.Zusätzlich habe ich einen neu angelegten User in die Gruppe ntadmins aufgenommen und Samba bekannt gemacht. Jetzt taucht dieser Benutzer trotzedem unter Windows "global" in der Hauptbenutzergruppe auf.

cya

lösche zunächst deine händisch angelegte gruppe (502)

mache ein modify

net groupmap modify sid=S-1-5-21-467265416-2916932811-2849176365-512 ntgroup="domänen administratoren" unixgroup=ntadmins

greez

Hi,

ich bekomme die Gruppe nicht gelöscht. Auch nach Studium der MAN nicht. Kannst Du mir genau die Syyntax geben, bitte ?

Warum ntgroup="Domänen Administratoren" und nicht ntgroup="Domain Admins" ?

Ist es nicht besser nur die schon vorhandenen Gruppen in FC3 für die 3 Gruppen zu nehmen. Nämlich "adm" für Domain Admins, "user" für Domain User und "nobody" für Domain Guests ?

Zusätzlich kann man ja zum Bsp. in Windows neu angelegte Gruppen, zum Bsp. die Gruppe Sekretariat mit der neu angelegten Unix Gruppe sekretariat mappen.

Jedenfalls füge ich einen User in FC3 der Gruppe ntadmins zu und habe Ihn dann in Windows in der Hauptbenutzergruppe. Komischerweise kann er aber die Systemsteuerung bedienen.

Also vielleicht doch besser für die 3 Standardgruppen mit der RID 512,513,514 schon die 3 in FC3 standardmäßig angelegten Gruppen , s.o zu nehmen!

cya

ok,

zur klarstellung: standardmässig heißen die gruppen, die der pdc nach außen hin "anbietet" "domain admins" usw. - also engl. notation

diese musst du auch nehmen für die standardgruppen. du kannst sie aber eben im namen anpassen. deine händisch angelegte gruppe löschst du am besten über net groupmap delete mit dem sid parameter.


Warum ntgroup="Domänen Administratoren" und nicht ntgroup="Domain Admins" ?
weil ich davon ausgegangen bin, dass du dich an der engl. schreibweise störst. ansonsten kannst du das mapping so lassen, packst all deine admins unter linux in die ntadmins und sie können auf den workstations machen, was sie wollen

greez