PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Zeitsync mit PDC über logon-Script



FatMike
07.09.06, 16:35
Hallo

ich hab ein kleines Problem mit meinem Samba PDC. Im Grunde läuft alles einwandfrei, nur mit der Zeitsynchronisation über die Domäne gibt es Probleme:
Ich lasse beim Login auf der Domäne von den Clients ein Loginscript starten, dass sich die Zeit vom PDC holt. Nur leider besitzt der Benutzer, der eingeloggt wird keine Admin-Rechte und somit wird die lokale Zeit des Clients nicht verändert. Netzlaufwerke anlegen funktioniert jedoch über das Script. An was kann das liegen? Hier meine smb.conf und meine logon.bat:

smb.conf

[global]
dns proxy = no
log file = /var/log/samba/log.%m
netbios name = mat17
load printers = no
smb passwd file = /etc/samba/smbpasswd
server string = Domain Controller
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
workgroup = DOMAT
os level = 65
local master = yes
domain master = yes
preferred master = yes
map to guest = bad user
encrypt passwords = yes
security = domain
max log size = 50
hosts allow = 10.1.0.0/16 127.0.0.0/8
interfaces = lo lan
bind interfaces only = yes
null passwords = no
domain logons = yes
logon script = logon.bat
logon path = \\%L\profiles\%U
logon drive = U:
logon home = \\%L\%U\.9xprofile
wins support = yes
name resolve order = wins lmhosts host bcast
dns proxy = no
time server = yes
unix charset = UTF-8
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usermod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null %u
passwd program = /usr/bin/passwd %u
passwd chat = "*New password:*" %n\r "*New password (again):*" %n\r \ "*Password changed*"

[netlogon]
path = /smb/netlogon
guest ok = no
read only = yes
browseable = no

[profiles]
path = /smb/profiles
browseable = no
writeable = yes
default case = lower
preserve case = no
short preserve case = no
case sensitive = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
write list = @smbusers @root
create mask = 0600
directory mask = 0700
csc policy = disable

[homes]
path = /home/%U
browseable = no
valid users = %S
read only = no
guest ok = no
inherit permissions = yes

[public]
writeable = yes
public = yes
path = /smb/public
force user = nobody
force group = nobody

[iso]
public = yes
path = /smb/iso
force user = root
force group = root




logon.bat in \\mat\netlogon

net time \\mat /set /yes



Danke schonmal für Eure Hilfe


Sebastian

RichieX
07.09.06, 17:10
Reicht nicht einfach ein "time server = yes" in der globals-Section?

RichieX

fragenhaber
07.09.06, 18:18
Ich könnte mir vorstellen, dass du auf den Rechnern nur Gast-Rechte hast. Mit Groupmapping (oder wie das heißt) könntest du den Usern Hauptbenutzer-Rechte geben und somit könnten sie dann auch die Zeit ändern.

FatMike
07.09.06, 22:27
Reicht nicht einfach ein "time server = yes" in der globals-Section?

RichieXsteht ja schon drin :)

mamue
08.09.06, 11:03
Die Nutzer müssen AFAIK auf den Windows-clients Hauptbenutzer sein. Einfache Benutzer reichen da nicht. Wahrscheinlich kann man das auch irgendwie differenzierter einstellen, aber da unterhalb von Hauptbenutzerechten ohnehin sehr vieles nicht läuft, interessiert mich das nicht weiter.

Kann man das tatsächlich über die SID der Gruppe, zu der die User gehören, einstellen? Dann muß ich da mal etwas überlsen haben.

mamue

emba
09.09.06, 10:59
AFAIK gibt es keine entsprechende "Domain Power Users" gruppe. deshalb nutzt dir hier das mapping nichts, es sei denn, du erzeugst eine gruppe "time", die du auf die domain admins mapst. dummerweise haben dann alle in der gruppe "time" adminrechte auf den clients. ich empfehl dir "runasspc" (sufu, dort aber unter "runaspc")

greez

FatMike
12.09.06, 13:19
wenn ich den user root auf domainadmins mappe und mich dann per root auf dem windowsclient in die domäne einlogge bekomme ich trotzdem keine admin-rechte. an was kann das liegen?

fragenhaber
12.09.06, 13:55
Soweit ich weiß heißt die Gruppe "Domain Admins". Genaueres hier:
http://www.linuxforen.de/forums/showthread.php?t=216060

FatMike
12.09.06, 14:29
also das mit dem root als domänen admin funktioniert jetzt. wie bekomme ich es aber hin das ein anderer user in die gruppe "hauptbenutzer" gesteckt wird, also das recht erhält, die zeit zu ändern aber keine kompletten admin rechte?
oder kann ich ihn einfach in der normalen 'domain users' gruppe lassen und die zeit bzw. das scrpit mit admin rechten ausführen?

fragenhaber
12.09.06, 14:34
Also die Gruppe Domain Users sollte reichen.

FatMike
12.09.06, 15:04
hab eben gelesen, dass die zeit manchmal erst nach einer minute aktualisiert wird. ich warte aber immernoch... :(

fragenhaber
12.09.06, 15:51
Hast du mal versucht den Befehl direkt auf der Console von Windows einzugeben? Vielleicht fehlen dir immer noch irgendwelche Rechte.

emba
13.09.06, 08:44
normale benutzerrechte sind nicht ausreichend dafür. weiter oben habe ich bereits geschrieben, dass es kein pendant f. die hauptbenutzer in einer NT domäne gibt. du musst sie also alle via netlogon script und einem tool (runasspc) in die lokale gruppe stecken oder die policies der clients ändern, sodass auch normale nutzer die zeit syncen können

greez

FatMike
13.09.06, 11:45
runasspc bringt aber immer ein popup-fenster beim starten und ist somit nicht für eine scriptlösung geeignet. gibts sowas änliches noch?

FatMike
13.09.06, 12:22
juhu es funktioniert. habs eben per CPAU.EXE über ein loginscript gelöst.

danke für eure hilfen!