Hallo.

Ich habe mit Samba eine Domäne erstellt und meine Linux Kiste zum PDC gemacht.

Läuft bisher alles toll:
User können sich an der Domäne anmelden, das Login Script läuft und das Home Laufwerk wird verbunden.

Nur 1 Punkt nervt mich und ich krieg den Mist nicht weg:
Ein User soll nach der Anmeldung an der Workstation lokaler Admin sein.

Dazu gibt es 13 Millionen Seiten bei Google und jede machts irgendwie anders.
Ich hab z.B. das hier gefunden:
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetCommand.html#nestedgrpmgmgt
3x gelesen und ich hab jetzt ein ganz Fragezeichen. Ist mal ganz unverständlich geschieben.
Was wolln die von mir?

Andere Guides schreiben was von net groupmap add womit man das eintragen kann:
Siehe http://gertranssmb3.berlios.de/output/groupmapping.html
Ich also probiert:
[root@server ~]# net groupmap add ntgroup=„Domänen Administratoren“ unixgroup=ntadmin
[root@server ~]# net groupmap list
Domänen Administratoren (S-1-5-21-2940320636-1021735119-3296255081-1004) -> ntadmin
Server und Client rebootet. Keine Auswirkung. War klar -.-

Manche Seiten schreiben was von einer SID die auf -512 endet und das dann ermöglicht. Die SID kann ich mir aber ja leider net einfach aus den Fingern saugen... :/

Wäre für hilfe echt dankbar.

mfg
Daniel

Selbst unter Windows wüsste ich jetzt nicht direkt wonach ich da suchen müsste um das Serverseitig zu steuern. (Was nicht heissen soll dass es nicht geht)

Wenn es sich nur um wenige Workstations handelt würde ich in der Benutzerverwaltung auf jeder Workstation die entsprechende Benutzergruppe (z.B. DOMÄNEN-BENUTZER) zur lokalen Admin Gruppe hinzufügen. Mach ich auch in reinen Windows Netzen immer so.
In grösseren Netzen und in Firmen ist das Arbeiten als lokaler Admin sowieso eine dumme Idee.

also in einer windows umgebung kann man das im AD einstellen
bei linux ... kp :D

also in einer windows umgebung kann man das im AD einstellen

Na dann gib uns doch bitte einen Hinweis wie. Mit einer kleinen Anleitung für Windows Server lässt sich hoffentlich eine Analogie in der Samba Doku finden.

Also ich bin damals nach diesem Tutorial vorgegangen, welches du oben auch schon gepostet hast.

http://gertranssmb3.berlios.de/output/groupmapping.html



[root@wolf-server:~] $ net groupmap list
NT-Users (S-1-5-21-3920668044-3852430083-318532076-513) -> ntusers
NT-Admins (S-1-5-21-3920668044-3852430083-318532076-512) -> ntadmins
NT-Guests (S-1-5-21-3920668044-3852430083-318532076-514) -> ntguests

und habe in die Windowsgruppe, die Unixgruppe mit aufgenommen über die Computerverwaltung -> System -> Lokale Benutzer und Gruppen -> Gruppen (siehe Screenshot)

http://www.gamers-pub.de/images/Clipboard01.png

bzw. zu allerst hab ich im Linuxserver mal die die Gruppen angelegt

Auszug aus meiner /etc/group:


ntadmins:x:512:user1,user3
ntusers:x:513:user2,user4
ntguests:x:514:

Mehr hab ich eigentlich auch nicht gemacht, und das funktioniert Prima. Evtl hilft s dir ein bissl weiter.

Also ich bin damals nach diesem Tutorial vorgegangen, welches du oben auch schon gepostet hast.

Dies ist wie ich schon sagte der Weg, die Gruppe lokal an jeder Workstation separat zur Adminsitratorengruppe hinzuzufügen.

Der TE sucht aber nach einem Weg, dies Serverseitig zu bestimmen. Sollte das möglich sein würde es mich auch interessieren wie. (Auch unter Windows Server.)

http://www.admins-tipps.de/Microsoft/Gruppenrichtlinien/Nutzern_per_GPO_lokale_Administratorrechte_vergebe n.htm

aber ich habe bei linux noch keine möglichkeit gesehen die GPOs zu verändern und genau dieses wäre dafür nötig.

Warum GPOs ändern? Unter Linux muss man sowas wohl händisch machen.

1. Gruppe unter Linux erstellen und Benutzer da reinpacken
2. Linuxgruppe zu einer Sambagruppe mappen
3. Auf dem Client die Sambagruppe in die lokale Gruppe der Administratoren packen.

Also ich habe folgendes gemacht:

Auf dem Linux Samba Server eine Gruppe ntuser und ntadmin erstellt.
Ziel sollte es sein, dass ntuser nach dem Domänen-Login als eingeschränkte User arbeiten, ntadmins dagegen alle Rechte haben.

Was sich mir nicht erschließt, ist der Punkt wie ich die Rechte überhaupt richtig anpassen kann.
"Lokale Gruppen" oder "Lokale Administratorengruppe" wie hier schon ein paar mal geschrieben wurde, bezieht sich ja immer nur auf den Rechner an dem man sich gerade anmeldet.

Ich möche aber, dass der User von der Domäne her schon alle Rechte kriegt.
Bei z.B. 200 Client-PCs wärs doch unsinnig wenn sich der Admin erst mal überall anmelden müsste, um diese Reche einzuräumen. Dann liegt ja auch überall ein ungenutztes Admin-Profil rum...

Ich bastel gerade damit rum:
http://thegoldenear.org/toolbox/unices/samba-3-pdc-print-server-debian-etch.html#samba-domain-admins
... bin aber noch nicht schlau draus geworden, da ich das Recht eigentlich schon haben müsste:
net rpc group members "Domänen Administratoren"
Enter root's password: xxxx
[Domain]\daniel
Ich hab irgendwie das Gefühl, dass die Gruppe "Domänen Administratoren" zwar jetzt existiert, aber auch keine Rechte hat.
Irgendwie bräuchte Samba ganz dringend einen brauchbarene User-Manager... :/

Edit:
Mir ist grad aufgefallen, dass an der Geschichte mit der SID die auf manchen Seiten erwähnt wird, anscheinend doch etwas dran ist.
In der lokalen Administrator Gruppe ist bei mir auf allen Test-Clients (XP und Vista) ein neuer Eintrag aufgetaucht:
http://files.pctex.de/other/001.jpg
Ich weiß nur leider nicht, was der Eintrag macht, da ich keine Ahnung habe, woher er kommt...

Solved. :)

Als mir klar wurde, dass die Endung -512 eh schon in der Administrator Gruppe drin stand, wurde mir klar, dass ich da beim Mapping mist gebaut habe.

Ich hab also mal alle Mappings gekillt und die Test-Clients nochmal aus der Domäne genommen.

Dann nochmal saubere Mappings angelegt:

net groupmap add rid=512 unixgroup=ntadmin ntgroup="Domain Admins"
net groupmap add rid=513 unixgroup=ntuser ntgroup="Domain Users"
net groupmap add rid=514 unixgroup=nobody ntgroup="Domain Guests"
Wichtig ist, dass die Gruppe Domain Admins die 512 bekommt.
Das hatte ich letztes mal nicht, darum hats auch nicht funktioniert.

Jetzt neu in die Domäne gefahren und alle Mitglieder von der Unix Gruppe "ntadmin" sind jetzt sowohl Domänen Admins (= Können rechner in die Domäne fahren und entfernen) als auch Lokale Admins (= Mitglied der lokalen Administratorengruppe, Zugriff auf Gerägemanager, etc...).
Alle Mitglieder von ntuser sind nun Hauptbenutzer.

Danke euch, solved & close
Daniel

die SID ist eine eindeutige kennung in der domäne (auch im reinen lokalen betrieb)
wie die ID in einer datenbank oder die zahlen bei linux (root = 0, user1 = 1000. jedes neue objekt erhält so eine SID.

wenn die sid nicht aufgelöst werden kann, so wird diese angezeigt .. genauso wie bei linux ;)