TBVAndy
03.03.08, 09:41
Hallo zusammen,
hab erfolgreich nen Samba-PDC unter Debian 4.0 und Samba 3.0.24 zum laufen bekommen.
Einzig, die Rechteverwaltung bekomm ich irgendwie nicht zu laufen. Und zwar sollen nur die Domainadmins auf den Workstations über Adminrechte verfügen, alle Domainuser sollen lediglich über normale Benutzerrechte verfügen.
Hab zu diesem Zweck folgende Mapiing mit net groupmap add angelegt.
file:~# net groupmap list
Domain Admins (S-1-5-21-3345194714-1557009652-1967612821-512) -> d-admins
Domain Guests (S-1-5-21-3345194714-1557009652-1967612821-514) -> d-guest
Domain Users (S-1-5-21-3345194714-1557009652-1967612821-513) -> d-users
Wenn ich nun ins Sambalog gehe und einen User anmelden der sich in der Gruppe d-users befinden kommt im Log der Hinweis
[2008/03/03 10:31:01, 1] smbd/service.c:make_connection_snum(950)
ws44 (192.168.1.44) connect to service profiles initially as user azander (uid=1003, gid=1002) (pid 9691)
gid 1002 ist auch die GroupID von d-users, aber der Benutzer hat trotzdem volle Adminrechte auf den jeweiligen Workstation. Hab ich irgendwas übersehen, oder muss noch irgendeine Einstellung in der smb.conf vorgenommen werden?
User die weder der Gruppe d-admins oder d-users zugeordnet sind, haben lediglich Gastrecht auf den Workstations. Also irgendwie scheint das ganze schon zu funktionieren.
-->EDIT: Sobald ich den User in die Gruppe d-guest stecke kommt im Log auch
[2008/03/03 10:46:25, 1] smbd/service.c:make_connection_snum(950)
ws44 (192.168.1.44) connect to service netlogon initially as user azander (uid=1003, gid=1004) (pid 11082)
und der User hat nur noch Gastrechte auf der Workstation. Aber ich schaff es einfach nicht ihm normale Userrechte zu verpassen.
-->EDIT2: Was ebenfalls komisch ist, ist die Tatsache, dass User die sich in der Gruppe d-users befinden zwar Adminrechte haben, aber nicht über das Recht verfügen neue User der Domain hinzuzufügen. Sie sind also keine D-Admins, haben aber trotzdem Adminrechte auf den Clients.
-->EDIT3: Jetzt wird es komisch. Wenn ich einen User bei anlegen der Gruppe d-users zuordnet, hat er keine Adminrechte. Wenn ich ihn jedoch bei Einrichtung in die Gruppe d-admins packe und ihn dann nachträglich in die Gruppe d-users packe behält er seine Adminrechte. :(
hab erfolgreich nen Samba-PDC unter Debian 4.0 und Samba 3.0.24 zum laufen bekommen.
Einzig, die Rechteverwaltung bekomm ich irgendwie nicht zu laufen. Und zwar sollen nur die Domainadmins auf den Workstations über Adminrechte verfügen, alle Domainuser sollen lediglich über normale Benutzerrechte verfügen.
Hab zu diesem Zweck folgende Mapiing mit net groupmap add angelegt.
file:~# net groupmap list
Domain Admins (S-1-5-21-3345194714-1557009652-1967612821-512) -> d-admins
Domain Guests (S-1-5-21-3345194714-1557009652-1967612821-514) -> d-guest
Domain Users (S-1-5-21-3345194714-1557009652-1967612821-513) -> d-users
Wenn ich nun ins Sambalog gehe und einen User anmelden der sich in der Gruppe d-users befinden kommt im Log der Hinweis
[2008/03/03 10:31:01, 1] smbd/service.c:make_connection_snum(950)
ws44 (192.168.1.44) connect to service profiles initially as user azander (uid=1003, gid=1002) (pid 9691)
gid 1002 ist auch die GroupID von d-users, aber der Benutzer hat trotzdem volle Adminrechte auf den jeweiligen Workstation. Hab ich irgendwas übersehen, oder muss noch irgendeine Einstellung in der smb.conf vorgenommen werden?
User die weder der Gruppe d-admins oder d-users zugeordnet sind, haben lediglich Gastrecht auf den Workstations. Also irgendwie scheint das ganze schon zu funktionieren.
-->EDIT: Sobald ich den User in die Gruppe d-guest stecke kommt im Log auch
[2008/03/03 10:46:25, 1] smbd/service.c:make_connection_snum(950)
ws44 (192.168.1.44) connect to service netlogon initially as user azander (uid=1003, gid=1004) (pid 11082)
und der User hat nur noch Gastrechte auf der Workstation. Aber ich schaff es einfach nicht ihm normale Userrechte zu verpassen.
-->EDIT2: Was ebenfalls komisch ist, ist die Tatsache, dass User die sich in der Gruppe d-users befinden zwar Adminrechte haben, aber nicht über das Recht verfügen neue User der Domain hinzuzufügen. Sie sind also keine D-Admins, haben aber trotzdem Adminrechte auf den Clients.
-->EDIT3: Jetzt wird es komisch. Wenn ich einen User bei anlegen der Gruppe d-users zuordnet, hat er keine Adminrechte. Wenn ich ihn jedoch bei Einrichtung in die Gruppe d-admins packe und ihn dann nachträglich in die Gruppe d-users packe behält er seine Adminrechte. :(