Hallo,

ich hab da kein kleines samba Problem. Domain login läuft einwandfrei. Wenn ich mich jedoch als User in der Domaine auf einem Rechner einloge hab ich natürlich nicht das Recht einen Account zum local Admin zu machen. Umgekehrt, loge ich mich mit dem lokalen Admin ein, wähle Lokale Gruppe > Administratoren, hinzufügen, domaine auswählen.. kommt natürlich die pw abfrage für die domaine, es wird jedoch kein user akzeptiert "fehler benutername der PW falsch". Beim umstellen des Computerkontos von workg. auf Domain hat er schön brav mein Admin genommen.. jetzt geht weder root, noch mein admin und natürliih auch kein normaler Benutzer für diese Prozedur.. :-/ irgendwo hab ich den wurm drin.

Users auf dem Windowsclient unter Gruppenzugehörigkeiten Lokale Administratoren:
domain.local\domain admins (Hat Samba nach Damainbeitritt in Windows geschrieben)

Samba config:
admin users = @S-Admins,root

Es gibt nun 2 möglichkeiten die ich sehe
1. ich bringe samba bei, welcher user zu gruppe "domain.local\domain admins" gehört (was mir am liebsten wäre)

2. ich schaffe es irgendwie per local admin über die auswahl gruppen > administratoren > hinzufügen > domain.local, einen user hinzuzufügen ohne dass er mir sagt, alle pw´s seien falsch.

Danke für einen Tip.

Gruß, Pressi

Hallo nochmal,

bin ich der einiger der mit seinem Samba PC auf seinem Windows Client mit einer Domainanmeldung Administratorenrechte haben will?

Bin um jeden Tip dankbar.

Entnommen aus einem älteren Artikel im Linux-Magazin: (http://www.linux-magazin.de/Artikel/ausgabe/2003/09/024_samba/samba.html)


Eine typische Anwendung für die Abbildung von Linux- zu NT-Gruppen ist eben jene Gruppe der Domänen-Administratoren. Alle Linux-Benutzer, die als Beispiel Mitglied der Gruppe »adm« sind, sollen auf ihren lokalen Workstations Administrationsrechte bekommen. Dies erreicht das Kommando

net groupmap update rid=512 unixgroup=adm

Der Parameter »rid=512« legt die NT-Gruppe fest, auf die die Linux-Gruppe »adm« abzubilden ist. Um diese spezielle Gruppe zu mappen, ist das »net groupmap update« nötig, da die Abbildung bereits existiert.


Läuft bei uns seit über zwei Jahren so, Details stehen wie üblich in den diversen Manpages oder in dieser Doku. (http://gertranssmb3.berlios.de/output/groupmapping.html)

Ciao sagt Maik

Hallo,

danke für die Info, ich werds heute Abend gleich mal testen - aber das hört sich sehr sehr gut an - scheint genau das zu sein nach dem ich die ganze Zeit gesucht habe.

:-)

Wenn es funktioniert schreibe ich nochmal eine Info, da dieses Thema bisher im Forum noch nie (vielleicht auch zu blöd zum suchen) gelöst wurde.

Gruß, Pressi

Hmm, irgendwie klappt es nicht..
net groupmap update rid=512 unixgroup=adm
bringt mir folgende Meldung:

[2006/12/13 18:10:55, 0] param/loadparm.c:map_parameter(2470)
Unknown parameter encountered: "domain users"
[2006/12/13 18:10:55, 0] param/loadparm.c:lp_do_parameter(3152)
Ignoring unknown parameter "domain users"
[2006/12/13 18:10:55, 0] param/loadparm.c:map_parameter(2470)
Unknown parameter encountered: "domain admin group"
[2006/12/13 18:10:55, 0] param/loadparm.c:lp_do_parameter(3152)
Ignoring unknown parameter "domain admin group"
[2006/12/13 18:10:55, 0] param/loadparm.c:map_parameter(2470)
Unknown parameter encountered: "domain admin users"
[2006/12/13 18:10:55, 0] param/loadparm.c:lp_do_parameter(3152)
Ignoring unknown parameter "domain admin users"
[2006/12/13 18:10:55, 0] param/loadparm.c:map_parameter(2470)
Unknown parameter encountered: "Domain Admins"
[2006/12/13 18:10:55, 0] param/loadparm.c:lp_do_parameter(3152)
Ignoring unknown parameter "Domain Admins"
No command: update
net groupmap add
Create a new group mapping
net groupmap modify
Update a group mapping
net groupmap delete
Remove a group mapping
net groupmap addmem
Add a foreign alias member
net groupmap delmem
Delete a foreign alias member
net groupmap listmem
List foreign group members
net groupmap memberships
List foreign group memberships
net groupmap list
List current group map
net groupmap set
Set group mapping
net groupmap cleanup
Remove foreign group mapping entries

meine smb.conf, ich habe nur den wichtigen Teil gepostet. Die vielen Benutzer und Gruppen hab ich zum testen eingetragen.

[Global]
netbios name = smbpdc
workgroup = domain.local
server string = %h server (Samba %v)

domain master = yes
local master = yes
domain logons = yes
os level = 65

guest account = nobody
domain admin group = root,@S-Admin,Admin,@S-Admins,adm,S-Admin,S-Admins
domain admin users = root,Administrator,testuser,administrator
root = administrator
Domain Admins = root,administrator,Administrator,testuser
security = user

meine /etc/group
adm:x:4:Administrator,testuser,root
S-Admin:x:1001:Administrator,testuser

welche Funktion hat die /etc/group- ? Der Inhalt scheint identisch mit der group, ist dies nur eine Backupdatei?

Thanks a lot

mit "net groupmap list" siehts ähnlich aus;

[2006/12/13 18:54:02, 0] param/loadparm.c:map_parameter(2470)
Unknown parameter encountered: "domain admin group"
[2006/12/13 18:54:02, 0] param/loadparm.c:lp_do_parameter(3152)
Ignoring unknown parameter "domain admin group"
[2006/12/13 18:54:02, 0] param/loadparm.c:map_parameter(2470)
Unknown parameter encountered: "domain admin users"
[2006/12/13 18:54:02, 0] param/loadparm.c:lp_do_parameter(3152)
Ignoring unknown parameter "domain admin users"
[2006/12/13 18:54:02, 0] param/loadparm.c:map_parameter(2470)
Unknown parameter encountered: "Domain Admins"
[2006/12/13 18:54:02, 0] param/loadparm.c:lp_do_parameter(3152)
Ignoring unknown parameter "Domain Admins"
System Operators (S-1-5-32-549) -> -1
Domain Users (S-1-5-21-1880688905-1802865927-3599358225-513) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Power Users (S-1-5-32-547) -> -1
Domain Admins (S-1-5-21-1880688905-1802865927-3599358225-512) -> root
Print Operators (S-1-5-32-550) -> -1
Domain Guests (S-1-5-21-1880688905-1802865927-3599358225-514) -> -1
Administrators (S-1-5-32-544) -> -1
Domain Admins. (S-1-5-21-1880688905-1802865927-3599358225-1009) -> adm
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1

Also, in diesem smb.conf-Abschnitt sind einige Sachen schräg:


guest account = nobody
domain admin group = root,@S-Admin,Admin,@S-Admins,adm,S-Admin,S-Admins
domain admin users = root,Administrator,testuser,administrator
root = administrator
Domain Admins = root,administrator,Administrator,testuser
security = user


Die Parameter "domain admin group", "domain admin users" und "Domain Admins" finde ich nicht in der Manpage der smb.conf, wo kommen die denn her? Mal bitte nachprüfen und rausschmeißen, dann meckert auch der
"net"-Befehl nicht mehr deswegen. Das Username-Mapping "root=administrator" ist eigentlich auch nicht notwendig, wenn du Gruppenmappings einsetzt.

Zum nächsten Thema: "net groupmap" sagt schon, was ihm nicht passt - es gibt den Befehl "update" nicht mehr.
Der wurde durch "modify" ersetzt, also muss der Aufruf zum Beispiel lauten:
# net groupmap modify ntgroup="Domain Admins" unixgroup=adm

Dann sollte es laufen, das Ergebnis dann in etwa so aussehen (Auszug aus einer Liste von ca. 20 Groupmappings:


Domain Users (S-1-5-21-943641582-3779288963-1036945799-513) -> domuser
Domain Admins (S-1-5-21-943641582-3779288963-1036945799-512) -> domadmin


Du kannst ja mal probieren und dich dann wieder melden, wenn du Fragen hast.

Ciao sagt Maik

PS: Die /etc/group ist tatsächlich eine Sicherheitskopie, die (wenn ich mich recht erinnere) zumindest auf Debian-Systemen angelegt wird.

Hi,

danke, hab deinen Tip gleich mal in die Tat umgesetzt.

er bringt mir leider nun den Fehler

net groupmap modify ntgroup="Domain Admins" unixgroup=adm

Can't map to an unknown group type.

Die Gruppe ist aber auch in der Groups definiert?!
Domain Admins:x:1004:Administrator,root,testuser
adm:x:4:Administrator,testuser

Hab ich was übersehen?
der syntax sollte ja stimmen, will er als type nochmal den Domainnamen zum schluß?
net groupmap modify {ntgroup=<string>|sid=<SID>} [comment=<string>] [unixgroup=<string>] [type=<domain|local>]

net groupmap modify ntgroup="Domain Admins" unixgroup=adm type=domain.local

Updated mapping entry for Domain Admins < sieht ja mal ganz gut aus, werd nun mal testen..

Danke Danke Danke!

Es läuft. Mein Administrator ist Domain Admin und darf an meinen Clients Gott spielen - endlich.

Das war die Lösung:
net groupmap modify ntgroup="Domain Admins" unixgroup=adm type=domain.local

etc/Group
Domain Admins:x:1004:Administrator,root,testuser
adm:x:4:Administrator,testuser


Viele Grüße

Pressi

...zukünftige Sucher im Forum wissen dann wenigstens, dass die Lösung zumindest bei zwei Leuten schon funktioniert hat. ;-)

Und zum "type"-Eintrag: Sorry, den hatte ich vergessen. Dahinter kommt aber nicht der Domainname, sondern nur "domain" oder "local", um mitzuteilen, ob es sich um eine Windows-Gruppe in der Domäne handelt (Domain Admins etc.), oder um eine Gruppe, die Lokal auf den Clients existiert (Guests...) ...

Ciao sagt Maik

Zu diesem Thema mal noch etwas anderes. In meinem Netzwerk läuft der PDC (Samba 3.0.24 unter Debian etch) mit dem gleichen Prinzip! Funktioniert auch wunderbar. Allerdings, werden die Benutzerprofile der Domainadmins nur auf einem von 2 Clients (beide WinXP) geladen und gespeichert. Auf dem anderen Client werden die Benutzerprofile nur geladen aber nicht gespeichert! Kann das etwas mit dem Groupmapping zu tun haben?