URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 17912
[ Назад ]

Исходное сообщение
"Samba PDC + WinXp = вход в домен ?"

Отправлено Mushu , 19-Июн-02 00:45 
Добрый вечер.Итак установлен сервер FreeBsd 4.4 и Samba 2.2.4
При добавлении компьютера с ХР винда просит \Ведите имя и пороль учётной записи с правами присоединения к домену\ так вот если если я ввожу пользователя root и пороль то всё ок, ХР добовляется в домен и дальше проблем не возникает , но дело в том , что я не могу ходить и вводить пороль рута на каждой машине, вопрос в том как добавлять машины в домен?
Можно ли изначально добавить все компы в домен и какая прога для этого нужна под ХР?
smb.conf
[global]
        client code page = 866
        workgroup = HOME
        netbios name = SERVER
        server string = Samba PDC %v
        encrypt passwords = Yes
        update encrypted = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successful
ly*
        log level = 2
        log file = /usr/local/samba/var/log.%m
        max log size = 50
        socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
        character set = KOI8-R
        logon script = netlogon.bat
        logon path = \\%L\profiles\%U
        logon drive = H:
        logon home = \\%L\%U
        domain logons = Yes
        os level = 128
        preferred master = True
        domain master = True
        dns proxy = No
        wins support = Yes
        hosts allow = 192.168.34.0/255.255.255.0 127.0.0.1

[homes]
        comment = User Home Directory
        read only = No
        browseable = No

[profiles]
        path = /usr/local/samba/lib/profiles
        read only = No
        create mask = 0600
        directory mask = 0700
        browseable = No

[netlogon]
        comment = Network Logon Service
        path = /usr/local/samba/lib/netlogon
        write list = root
        browseable = No


Содержание

Сообщения в этом обсуждении
"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Bart Simpson , 19-Июн-02 05:30 
Ищи в предыдущих темах, кажется всех уже достал этот вопрос.

"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Mushu , 19-Июн-02 11:39 
>Ищи в предыдущих темах, кажется всех уже достал этот вопрос.
В предыдущих темах искал, не нашёл, там везде написано как настроить Sambu, а я же не могу понять как администрить домен, ещё раз повторюсь
самба с ХР у меня работает всё ок, но при добавлении компа с ХР спрашивается имя пользователя с правами присоединения в домен, я не понимаю, что это за пользователь, root проходит , но не давать же мне пороль рута всем, так вот могу ли я присоединить комп 'A' со своего компа
'B'и как это сделать?

"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено LittleBoy , 19-Июн-02 12:18 
>>Ищи в предыдущих темах, кажется всех уже достал этот вопрос.
>В предыдущих темах искал, не нашёл, там везде написано как настроить Sambu,
>а я же не могу понять как администрить домен, ещё раз
>повторюсь
>самба с ХР у меня работает всё ок, но при добавлении компа
>с ХР спрашивается имя пользователя с правами присоединения в домен, я
>не понимаю, что это за пользователь, root проходит , но не
>давать же мне пороль рута всем, так вот могу ли я
>присоединить комп 'A' со своего компа
>'B'и как это сделать?
Naskol'ko ya pomnu dobavlenie v domen vsegda trebuet opredelenni'h prav. Kstati suschestvuet spetsial'no chto-to vrode option domain admin


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено LittleBoy , 19-Июн-02 12:21 
Zabi'l otmetit' dlya dobavleniya XP v domen Sambi' neohodimo podpravit' reestr

"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Mushu , 19-Июн-02 20:23 
>Zabi'l otmetit' dlya dobavleniya XP v domen Sambi' neohodimo podpravit' reestr
Реестр подправлен, не в этом дело , фактически мне нужна программа server menager for domen , но только по ХР, чтобы я мог подключать и удалять компы к домену  со своего рабочего места.Так вот существует ли такая прога под ХР?

"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено LittleBoy , 19-Июн-02 21:01 
Pochemu bi' ne sozdat special'nuyu group dlya togo,chtobi' useri mogli dobavlyatsya v domen, b dat' eye domain admins, a naschet administrirovaniya chem tebe nenravitsya Swat ?

"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Mushu , 19-Июн-02 23:22 
>Pochemu bi' ne sozdat special'nuyu group dlya togo,chtobi' useri mogli dobavlyatsya v
>domen, b dat' eye domain admins, a naschet administrirovaniya chem tebe
>nenravitsya Swat ?
1)Можно ли подробнее, что означает дать группе domain admins?
2)Сват мне нравится, но домен из под него администрировать нельзя, пока у меня только одна проблема, как мне добавлять машины с ХР в домен .... если честно, то я не понимаю, что за это за имя с правами на присоединения к домену, ведь формально добавление в домен происходит на сервере сразу после того как создана учетная запись имя_компа$ и дана команда smbpasswd -a -m имя_компа
3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой машине при добавлении вводите пороль рута?



"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено als , 20-Июн-02 08:41 
>3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой
>машине при добавлении вводите пороль рута?
А чем это плохо?


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено PJ , 20-Июн-02 09:14 
>3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой
>машине при добавлении вводите пороль рута?

Именно что вводим. %-))) Только не UNIXовый, а SAMBA-вский. %-)))


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Mushu , 20-Июн-02 12:22 
>>3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой
>>машине при добавлении вводите пороль рута?
>
>Именно что вводим. %-))) Только не UNIXовый, а SAMBA-вский. %-)))

Я понимаю, что самбовский, не нравится мне это, т.к вводить пороль буду не я, а пользователи, придётся тогда урезать права самбовского рута , у меня стоит например  path = /usr/local/samba/lib/netlogon write list = root , не хватало мне , чтоб юзера ещё logon script правили:(


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено PJ , 20-Июн-02 13:09 
>>>3)Объясните пожалуйста как ВЫ добавляете компы в домен, неужели ВЫ на каждой
>>>машине при добавлении вводите пороль рута?
>>
>>Именно что вводим. %-))) Только не UNIXовый, а SAMBA-вский. %-)))
>
>Я понимаю, что самбовский, не нравится мне это, т.к вводить пороль буду
>не я, а пользователи, придётся тогда урезать права самбовского рута ,
>у меня стоит например  path = /usr/local/samba/lib/netlogon write list =
>root , не хватало мне , чтоб юзера ещё logon script
>правили:(

Непонятно.
1)Машина вводится в домен один раз - зачем этим должны заниматься пользователи? Или все настолько запущено что система на машинах слетает ежечасно и ее над каждый раз в домен вводить?
2) А netlogon то зачем для записи с виндовых машин открывать?


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Mushu , 20-Июн-02 14:24 
>Непонятно.
>1)Машина вводится в домен один раз - зачем этим должны заниматься пользователи?
>Или все настолько запущено что система на машинах слетает ежечасно и
>ее над каждый раз в домен вводить?
>2) А netlogon то зачем для записи с виндовых машин открывать?
1)Сетка у меня домашняя, нету у меня физического доступа к компам, не могу я придти ко всем домой , дабы внести их комп в домен.
2) Он у меня был открыт только для рута , теперь я просто сменю имя, чтобы править его мог только я.....сам скрипт должен быть написан в досовсков формате, если править этот файл из юникса, то не работает, т.к в досе и юнексе по разному обозначается конец строки.

"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено LittleBoy , 20-Июн-02 16:12 
Ya tebe ze napisal est' option domain admin group. Sozdayi groupu special'no dlya dobavleniya v domen, posle togo kak oni dobavyatsya v domen tebe nado budet prosto ih isku'chit' iz nee, i nenado nikakih root paroley



"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Mushu , 20-Июн-02 18:40 
>Ya tebe ze napisal est' option domain admin group. Sozdayi groupu special'no
>dlya dobavleniya v domen, posle togo kak oni dobavyatsya v domen
>tebe nado budet prosto ih isku'chit' iz nee, i nenado nikakih
>root paroley
1)domain admin group = @adm отвечает не за добовление в домен!, этот параметр указывает юниксовую группу, юзеры в которой будут с правами админов на рабочих станциях с NT.

2)цитата с http://www16.brinkster.com/newusers/default.asp
В настоящее время, для создания учетных записей компьютеров при их присоединении к домену, должно быть соблюдено несколько условий:
Это может делать только пользователь root!

так что для себя я пока сделал вот что:
-создал логин roota без пороля, пусть юзеры вводят имя root, если уж по другому нельзя
-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе, то комп в домен не добавляется)

но остаётся проблема, после регистрации в домене не что не мешает войти в домен под именем root и хотя папки на сервере не доступны (invalid users = root), но можно спокойно сменить пороль,так вот можно ли как-нибудь сделать, чтобы пользователь не мог менять пороль? для всех юзеров понятно , просто убрать passwd chat и passwd program из раздела Global, а как для одного?


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено PJ , 20-Июн-02 18:00 
>>Непонятно.
>>1)Машина вводится в домен один раз - зачем этим должны заниматься пользователи?
>>Или все настолько запущено что система на машинах слетает ежечасно и
>>ее над каждый раз в домен вводить?
>>2) А netlogon то зачем для записи с виндовых машин открывать?
>1)Сетка у меня домашняя, нету у меня физического доступа к компам, не
>могу я придти ко всем домой , дабы внести их комп
>в домен.
а такую вещь как Remote Admin не пробовал?



"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Mushu , 20-Июн-02 18:54 
>а такую вещь как Remote Admin не пробовал?
Стандартная ситуация пользователь переставил винду да ещё и format c: сделал, ну где он возьмёт RAdmin,чтобы я включил его комп в домен, да и попробуйте  объяснить пользователю, как запустить Radmin server, у вас пол часа уйдёт, чтобы он понял как это, делать...
off:Только сегодня через Radmin помогал worms2 ставить:), сначала пользователь запускал radmin client вместо server:(при этом говорил мне, что всё запущено, а я пытался понять почему же я не могу подключиться,
потом, когда был запущен radmin server, я долго пытался узнать пороль:)
так что вариант с RAdminom ни как не подходит.

"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Mushu , 20-Июн-02 18:58 
Пока я остановился на этом:
-создал логин roota без пороля, пусть юзеры вводят имя root, если уж по другому нельзя
-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе, то комп в домен не добавляется)

Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи могли добавлять себя в домен, и при этом, чтобы не сделать дырок на сервере.


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Bart Simpson , 21-Июн-02 06:08 
>Пока я остановился на этом:
>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>по другому нельзя
>-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе,
>то комп в домен не добавляется)
>
>Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи
>могли добавлять себя в домен, и при этом, чтобы не сделать
>дырок на сервере.

1) Отдай им пароль root sambы
2) Отключи сват (или разреши его только с 127 или своего адреса)
3) invalid users = root (ну а это должно быть всегда, блин)
Устраивает?


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Bart Simpson , 21-Июн-02 06:11 
Забыл добавить, если так root добавлять не сможет, добавь
invalid users = root во все шары, кроме глобально.

"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Mushu , 21-Июн-02 21:05 
>>Пока я остановился на этом:
>>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>>по другому нельзя
>>-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе,
>>то комп в домен не добавляется)
>>
>>Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи
>>могли добавлять себя в домен, и при этом, чтобы не сделать
>>дырок на сервере.
>
>1) Отдай им пароль root sambы
>2) Отключи сват (или разреши его только с 127 или своего адреса)
>
>3) invalid users = root (ну а это должно быть всегда, блин)
>
>Устраивает?
Читай выше.
1)>>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>>по другому нельзя
2)Когда логинешься к swat воодишь имя пользователя и пороль локального рута , а не самбовского.
3)>>-на всех ресурсах прописал invalid users = root

по пункту 1 и 3 это я и сам сделал , я же спрашиваю нет ли другого пути?


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Bart Simpson , 23-Июн-02 08:10 
>>>Пока я остановился на этом:
>>>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>>>по другому нельзя
>>>-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе,
>>>то комп в домен не добавляется)
>>>
>>>Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи
>>>могли добавлять себя в домен, и при этом, чтобы не сделать
>>>дырок на сервере.
>>
>>1) Отдай им пароль root sambы
>>2) Отключи сват (или разреши его только с 127 или своего адреса)
>>
>>3) invalid users = root (ну а это должно быть всегда, блин)
>>
>>Устраивает?
>Читай выше.
>1)>>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>>>по другому нельзя
>2)Когда логинешься к swat воодишь имя пользователя и пороль локального рута ,
>а не самбовского.
>3)>>-на всех ресурсах прописал invalid users = root
>
>по пункту 1 и 3 это я и сам сделал , я
>же спрашиваю нет ли другого пути?


Да, виноват до конца не прочитал (редко читаю до конца большие сообщения), но этого чем не устаивает?


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено PJ , 21-Июн-02 08:49 
>Пока я остановился на этом:
>-создал логин roota без пороля, пусть юзеры вводят имя root, если уж
>по другому нельзя
>-на всех ресурсах прописал invalid users = root(если описать в глобальном разделе,
>то комп в домен не добавляется)
>
>Может быть кто-нибудь знает другой путь решения проблему, как сделать, чтоб пользователи
>могли добавлять себя в домен, и при этом, чтобы не сделать
>дырок на сервере.

Если так сложно добраться до компов юзверей, то зачем вообще домен делать? Если на каждом компе работает 1-2 юзверя, то сделать не домен, а обычную рабочую группу. Зачем именно домен-то нужен?


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Aleks , 30-Июн-02 14:04 
>Реестр подправлен, не в этом дело , фактически мне нужна программа
А чего надо подправить в реестре? Меня устраивает и root с его самбовым паролем, а вот чего поменять в xp-ишном реестре ни как не найду.


"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено Stas , 19-Июл-02 17:24 
>>Реестр подправлен, не в этом дело , фактически мне нужна программа
>А чего надо подправить в реестре? Меня устраивает и root с его
>самбовым паролем, а вот чего поменять в xp-ишном реестре ни как
>не найду.
Там надо в локальной политики установить такой параметр
Локальная политика -> Парамтры безопасности -> Член домена: Всегда требуется цифровая подпись или шифрование потока данных установить в отключенное
Или ставь третью самбу

"RE: Samba PDC + WinXp = вход в домен ?"
Отправлено YOSNAIL , 01-Авг-02 22:25 
>>>Реестр подправлен, не в этом дело , фактически мне нужна программа
>>А чего надо подправить в реестре? Меня устраивает и root с его
>>самбовым паролем, а вот чего поменять в xp-ишном реестре ни как
>>не найду.
>Там надо в локальной политики установить такой параметр
>Локальная политика -> Парамтры безопасности -> Член домена: Всегда требуется цифровая подпись или шифрование потока данных установить в отключенное
>Или ставь третью самбу


Ia prosto vkliuchil potderzhku tekstovih paroley ;)