Добрый вечер.Итак установлен сервер FreeBsd 4.4 и Samba 2.2.4
При добавлении компьютера с ХР винда просит \Ведите имя и пороль учётной записи с правами присоединения к домену\ так вот если если я ввожу пользователя root и пороль то всё ок, ХР добовляется в домен и дальше проблем не возникает , но дело в том , что я не могу ходить и вводить пороль рута на каждой машине, вопрос в том как добавлять машины в домен?
Можно ли изначально добавить все компы в домен и какая прога для этого нужна под ХР?
smb.conf
[global]
client code page = 866
workgroup = HOME
netbios name = SERVER
server string = Samba PDC %v
encrypt passwords = Yes
update encrypted = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successful
ly*
log level = 2
log file = /usr/local/samba/var/log.%m
max log size = 50
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
character set = KOI8-R
logon script = netlogon.bat
logon path = \\%L\profiles\%U
logon drive = H:
logon home = \\%L\%U
domain logons = Yes
os level = 128
preferred master = True
domain master = True
dns proxy = No
wins support = Yes
hosts allow = 192.168.34.0/255.255.255.0 127.0.0.1[homes]
comment = User Home Directory
read only = No
browseable = No[profiles]
path = /usr/local/samba/lib/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = No[netlogon]
comment = Network Logon Service
path = /usr/local/samba/lib/netlogon
write list = root
browseable = No
Ищи в предыдущих темах, кажется всех уже достал этот вопрос.
>Ищи в предыдущих темах, кажется всех уже достал этот вопрос.
В предыдущих темах искал, не нашёл, там везде написано как настроить Sambu, а я же не могу понять как администрить домен, ещё раз повторюсь
самба с ХР у меня работает всё ок, но при добавлении компа с ХР спрашивается имя пользователя с правами присоединения в домен, я не понимаю, что это за пользователь, root проходит , но не давать же мне пороль рута всем, так вот могу ли я присоединить комп 'A' со своего компа
'B'и как это сделать?
>>Ищи в предыдущих темах, кажется всех уже достал этот вопрос.
>В предыдущих темах искал, не нашёл, там везде написано как настроить Sambu,
>а я же не могу понять как администрить домен, ещё раз
>повторюсь
>самба с ХР у меня работает всё ок, но при добавлении компа
>с ХР спрашивается имя пользователя с правами присоединения в домен, я
>не понимаю, что это за пользователь, root проходит , но не
>давать же мне пороль рута всем, так вот могу ли я
>присоединить комп 'A' со своего компа
>'B'и как это сделать?
Naskol'ko ya pomnu dobavlenie v domen vsegda trebuet opredelenni'h prav. Kstati suschestvuet spetsial'no chto-to vrode option domain admin
Zabi'l otmetit' dlya dobavleniya XP v domen Sambi' neohodimo podpravit' reestr
>Zabi'l otmetit' dlya dobavleniya XP v domen Sambi' neohodimo podpravit' reestr
Реестр подправлен, не в этом дело , фактически мне нужна программа server menager for domen , но только по ХР, чтобы я мог подключать и удалять компы к домену со своего рабочего места.Так вот существует ли такая прога под ХР?
Pochemu bi' ne sozdat special'nuyu group dlya togo,chtobi' useri mogli dobavlyatsya v domen, b dat' eye domain admins, a naschet administrirovaniya chem tebe nenravitsya Swat ?
>Pochemu bi' ne sozdat special'nuyu group dlya togo,chtobi' useri mogli dobavlyatsya v
>domen, b dat' eye domain admins, a naschet administrirovaniya chem tebe
>nenravitsya Swat ?
1)Можно ли подробнее, что означает дать группе domain admins?
2)Сват мне нравится, но домен из под него администрировать нельзя, пока у меня только одна проблема, как мне добавлять машины с ХР в домен .... если честно, то я не понимаю, что за это за имя с правами на присоединения к домену, ведь формально добавление в домен происходит на сервере сразу после того как создана учетная запись имя_компа$ и дана команда smbpasswd -a -m имя_компа
3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой машине при добавлении вводите пороль рута?
>3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой
>машине при добавлении вводите пороль рута?
А чем это плохо?
>3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой
>машине при добавлении вводите пороль рута?Именно что вводим. %-))) Только не UNIXовый, а SAMBA-вский. %-)))
>>3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой
>>машине при добавлении вводите пороль рута?
>
>Именно что вводим. %-))) Только не UNIXовый, а SAMBA-вский. %-)))Я понимаю, что самбовский, не нравится мне это, т.к вводить пороль буду не я, а пользователи, придётся тогда урезать права самбовского рута , у меня стоит например path = /usr/local/samba/lib/netlogon write list = root , не хватало мне , чтоб юзера ещё logon script правили:(
>>>3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой
>>>машине при добавлении вводите пороль рута?
>>
>>Именно что вводим. %-))) Только не UNIXовый, а SAMBA-вский. %-)))
>
>Я понимаю, что самбовский, не нравится мне это, т.к вводить пороль буду
>не я, а пользователи, придётся тогда урезать права самбовского рута ,
>у меня стоит например path = /usr/local/samba/lib/netlogon write list =
>root , не хватало мне , чтоб юзера ещё logon script
>правили:(Непонятно.
1)Машина вводится в домен один раз - зачем этим должны заниматься пользователи? Или все настолько запущено что система на машинах слетает ежечасно и ее над каждый раз в домен вводить?
2) А netlogon то зачем для записи с виндовых машин открывать?
>Непонятно.
>1)Машина вводится в домен один раз - зачем этим должны заниматься пользователи?
>Или все настолько запущено что система на машинах слетает ежечасно и
>ее над каждый раз в домен вводить?
>2) А netlogon то зачем для записи с виндовых машин открывать?
1)Сетка у меня домашняя, нету у меня физического доступа к компам, не могу я придти ко всем домой , дабы внести их комп в домен.
2) Он у меня был открыт только для рута , теперь я просто сменю имя, чтобы править его мог только я.....сам скрипт должен быть написан в досовсков формате, если править этот файл из юникса, то не работает, т.к в досе и юнексе по разному обозначается конец строки.
Ya tebe ze napisal est' option domain admin group. Sozdayi groupu special'no dlya dobavleniya v domen, posle togo kak oni dobavyatsya v domen tebe nado budet prosto ih isku'chit' iz nee, i nenado nikakih root paroley
>Ya tebe ze napisal est' option domain admin group. Sozdayi groupu special'no
>dlya dobavleniya v domen, posle togo kak oni dobavyatsya v domen
>tebe nado budet prosto ih isku'chit' iz nee, i nenado nikakih
>root paroley
1)domain admin group = @adm отвечает не за добовление в домен!, этот параметр указывает юниксовую группу, юзеры в которой будут с правами админов на рабочих станциях с NT.2)цитата с http://www16.brinkster.com/newusers/default.asp
В настоящее время, для создания учетных записей компьютеров при их присоединении к домену, должно быть соблюдено несколько условий:
Это может делать только пользователь root!так что для себя я пока сделал вот что:
-создал логин roota без пороля, пусть юзеры вводят имя root, если уж по другому нельзя
-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе, то комп в домен не добавляется)но остаётся проблема, после регистрации в домене не что не мешает войти в домен под именем root и хотя папки на сервере не доступны (invalid users = root), но можно спокойно сменить пороль,так вот можно ли как-нибудь сделать, чтобы пользователь не мог менять пороль? для всех юзеров понятно , просто убрать passwd chat и passwd program из раздела Global, а как для одного?
>>Непонятно.
>>1)Машина вводится в домен один раз - зачем этим должны заниматься пользователи?
>>Или все настолько запущено что система на машинах слетает ежечасно и
>>ее над каждый раз в домен вводить?
>>2) А netlogon то зачем для записи с виндовых машин открывать?
>1)Сетка у меня домашняя, нету у меня физического доступа к компам, не
>могу я придти ко всем домой , дабы внести их комп
>в домен.
а такую вещь как Remote Admin не пробовал?
>а такую вещь как Remote Admin не пробовал?
Стандартная ситуация пользователь переставил винду да ещё и format c: сделал, ну где он возьмёт RAdmin,чтобы я включил его комп в домен, да и попробуйте объяснить пользователю, как запустить Radmin server, у вас пол часа уйдёт, чтобы он понял как это, делать...
off:Только сегодня через Radmin помогал worms2 ставить:), сначала пользователь запускал radmin client вместо server:(при этом говорил мне, что всё запущено, а я пытался понять почему же я не могу подключиться,
потом, когда был запущен radmin server, я долго пытался узнать пороль:)
так что вариант с RAdminom ни как не подходит.
Пока я остановился на этом:
-создал логин roota без пороля, пусть юзеры вводят имя root, если уж по другому нельзя
-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе, то комп в домен не добавляется)Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи могли добавлять себя в домен, и при этом, чтобы не сделать дырок на сервере.
>Пока я остановился на этом:
>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>по другому нельзя
>-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе,
>то комп в домен не добавляется)
>
>Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи
>могли добавлять себя в домен, и при этом, чтобы не сделать
>дырок на сервере.1) Отдай им пароль root sambы
2) Отключи сват (или разреши его только с 127 или своего адреса)
3) invalid users = root (ну а это должно быть всегда, блин)
Устраивает?
Забыл добавить, если так root добавлять не сможет, добавь
invalid users = root во все шары, кроме глобально.
>>Пока я остановился на этом:
>>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>>по другому нельзя
>>-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе,
>>то комп в домен не добавляется)
>>
>>Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи
>>могли добавлять себя в домен, и при этом, чтобы не сделать
>>дырок на сервере.
>
>1) Отдай им пароль root sambы
>2) Отключи сват (или разреши его только с 127 или своего адреса)
>
>3) invalid users = root (ну а это должно быть всегда, блин)
>
>Устраивает?
Читай выше.
1)>>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>>по другому нельзя
2)Когда логинешься к swat воодишь имя пользователя и пороль локального рута , а не самбовского.
3)>>-на всех ресурсах прописал invalid users = rootпо пункту 1 и 3 это я и сам сделал , я же спрашиваю нет ли другого пути?
>>>Пока я остановился на этом:
>>>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>>>по другому нельзя
>>>-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе,
>>>то комп в домен не добавляется)
>>>
>>>Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи
>>>могли добавлять себя в домен, и при этом, чтобы не сделать
>>>дырок на сервере.
>>
>>1) Отдай им пароль root sambы
>>2) Отключи сват (или разреши его только с 127 или своего адреса)
>>
>>3) invalid users = root (ну а это должно быть всегда, блин)
>>
>>Устраивает?
>Читай выше.
>1)>>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>>>по другому нельзя
>2)Когда логинешься к swat воодишь имя пользователя и пороль локального рута ,
>а не самбовского.
>3)>>-на всех ресурсах прописал invalid users = root
>
>по пункту 1 и 3 это я и сам сделал , я
>же спрашиваю нет ли другого пути?
Да, виноват до конца не прочитал (редко читаю до конца большие сообщения), но этого чем не устаивает?
>Пока я остановился на этом:
>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>по другому нельзя
>-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе,
>то комп в домен не добавляется)
>
>Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи
>могли добавлять себя в домен, и при этом, чтобы не сделать
>дырок на сервере.Если так сложно добраться до компов юзверей, то зачем вообще домен делать? Если на каждом компе работает 1-2 юзверя, то сделать не домен, а обычную рабочую группу. Зачем именно домен-то нужен?
>Реестр подправлен, не в этом дело , фактически мне нужна программа
А чего надо подправить в реестре? Меня устраивает и root с его самбовым паролем, а вот чего поменять в xp-ишном реестре ни как не найду.
>>Реестр подправлен, не в этом дело , фактически мне нужна программа
>А чего надо подправить в реестре? Меня устраивает и root с его
>самбовым паролем, а вот чего поменять в xp-ишном реестре ни как
>не найду.
Там надо в локальной политики установить такой параметр
Локальная политика -> Парамтры безопасности -> Член домена: Всегда требуется цифровая подпись или шифрование потока данных установить в отключенное
Или ставь третью самбу
>>>Реестр подправлен, не в этом дело , фактически мне нужна программа
>>А чего надо подправить в реестре? Меня устраивает и root с его
>>самбовым паролем, а вот чего поменять в xp-ишном реестре ни как
>>не найду.
>Там надо в локальной политики установить такой параметр
>Локальная политика -> Парамтры безопасности -> Член домена: Всегда требуется цифровая подпись или шифрование потока данных установить в отключенное
>Или ставь третью самбу
Ia prosto vkliuchil potderzhku tekstovih paroley ;)