PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie wird man "richtiger Admin" unter Samba



AD-Admin
01.09.06, 23:31
Hi Leute,

habe aufn Testserver Samba installiert, da wir von unserer Windows Server 2003 Plattform auf Debian Sarge 3.1 umsteigen werden und bin daher dabei mit Samba zu spielen :)

Domainanmeldung, Netzfreigaben, User-Verwaltung läuft alles soweit problemlos.

Aber, wie wird man richtiger Admin?

Bei Windows hat ja z.b. der "Administratot" automatisch auch auf jeden Windows Client volle Adminrechte.

In Samba wird der Admin ja in der smb.conf eingetragen und dies habe ich wiefolgt gemacht:

admin users = adminuser1, root

Dieser User "adminuser1 " sowie root ist auch in der Lage neue Computer der Domäne hinzuzufügen usw.

Aber auf jeden XP Client oder Win 2000 Client sind die "admin users" in Samba keine Administratoren auf den Xp Clients, ich muss also in den XP Clients mit dem lokalen Administrator den Domänen Usern die Adminrechte verteilen.

Meine Frage daher:

Gibt es mit Samba eine Möglichkeit einen Administrator so zu definieren, dass er überall auf jeder Maschine (wie bei Windows Domänen Admin) volle Adminrechte automatisch hat?

Wenn ich mich mit root oder adminuser1 an der Domäne anmelde habe ich auf den XP Clients wie gesagt nur normale Userechte :)

Besten Dank an euch.

zeromancer1972
02.09.06, 00:18
admin users = [...], Administrator

???

MDK-user
02.09.06, 10:27
Das du unter WIndows als Administrator dann auch "Admin" Rechte hast liegt einfach daran, das das dusselige WIndows eben nicht solche Datei/Verzeichniss Rechte hat, eben kein Linux.

Grundsätzlich rate ich dir den Root Zugang auf Local zu beschränken, Sicherheitsaspekt !!!
Mal eine Frage, was willst du denn machen, was musst du machen um Root (volle Rechte) per remote zu haben?
Aus Erfahrung kann ich dir sagen das die Struktur der Feigaben (mit wenigen Ausnahmen) festgelegt sein sollte (Verzeichnisse) Da das sonst übliche Chaos ensteht, zugegeben, ist Arbeit, aber erleichter später das Verwalten ungemein. Wenn du eine solche Struktur hast, kannst du schon im Vorfeld die Rechte vergeben (Dir) Owner Rechte / Group Rechte ....... Das Planen ist das A und O

Erstelle einen User der in der Benutzergruppe "Root" ist ohne eine eigene zu haben /erstellen.... die vorhandene verwenden. (mache ich auch ungern weil nuja.. halt Samba mit Winbind.... Probleme sind bekannt) Dann musst du noch die Rechte vergeben.... usw...

mamue
02.09.06, 11:26
Irgendwie verstehe ich wahrscheinlich weder die Frage, noch die Antworten bisher so recht.
Dir geht es darum, einen Domänen-user zu haben, der auf allen Win-Clients Administratorrechte hat? Das hängt schlicht und ergreifend von dessen SID ab. Es gibt unter Windows eine Gruppe "Domain Admins", die eine spezielle SID hat. In dieser Gruppe muß der user sein, der Admin-Rechte auf den Clients haben soll - mehr nicht. Welche SID das ist, weiß ich nicht auswendig, das steht irgendwo unter "special SID" in der samba-Doku.
Um das nochmal klar zu machen:
-Das hat erst einmal nix mit Samba zu tun,
-Der user muß nicht root-Rechte unter Linux haben.

HTH,
mamue

Edit: Ich hab' noch mal nachgeschaut, die SID lautet <Domänen-SID>-512
Die entsprechende spezielle Gruppe wird hoffentlich schon bei der Konfiguration von Samba eingerichtet worden sein.

fragenhaber
02.09.06, 11:44
In diesem HowTo wird erklärt, wie das alles geht.
http://www.linuxforen.de/forums/showthread.php?t=216060

bla!zilla
02.09.06, 13:35
Um das hier noch mal genauer zur beschreiben: Nachdem ein Windows Client zu einer Domäne hinzugefügt wurde, wird automatisch die Gruppe der Domänen-Administratoren in die Gruppe der lokalen Administratoren eingetragen. Da der Benutzer "Administrator" (nicht der lokale Administrator) in der Gruppe der Domänen-Administratoren ist, hat dieser automatisch auf allen Clients die gleichen Rechte wie der lokale Administrator.

AD-Admin
02.09.06, 15:12
In diesem HowTo wird erklärt, wie das alles geht.
http://www.linuxforen.de/forums/showthread.php?t=216060

Danke für all eure Antworten.

Dieses How to hat mir sehr geholfen.

Jetzt habe ich praktisch die Domain User sowie die Domain Admins (aus Windows bekannt) und wenn ich jetzt einen User Mitglied von Domain Admins mache, hat er auch die Rechte wie der Domänen Admin von Windows Server 2003 auf den Windows Maschinen.

Vielen Dank an euch. Ihr habt mir sehr geholfen.