URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2219
[ Назад ]

Исходное сообщение
"Ldap группа с Локальными правами админа на машине в домене"
Отправлено ivanff , 29-Окт-09 14:50

Возможно ли сделать сабж.
Члены группы Domain Admins являются локальными админами машины в домене и соответственно домена( то есть с администрирование домена)
Как сделать группу в ldap чтобы она при логине в систему win попадала в локальную группу "Администрторы"?

Содержание

Ldap группа с Локальными правами админа на машине в домене,visaversa, 22:27 , 31-Окт-09
- Ldap группа с Локальными правами админа на машине в домене,ivanff, 00:40 , 01-Ноя-09
  - Ldap группа с Локальными правами админа на машине в домене,anonimous, 18:47 , 01-Ноя-09

Сообщения в этом обсуждении

"Ldap группа с Локальными правами админа на машине в домене"
Отправлено visaversa , 31-Окт-09 22:27

>Возможно ли сделать сабж.
>Члены группы Domain Admins являются локальными админами машины в домене и соответственно
>домена( то есть с администрирование домена)
>
>Как сделать группу в ldap чтобы она при логине в систему win
>попадала в локальную группу "Администрторы"?
ИМХО можно поробовать так:
1. делаешь группу в LDAP
2. В AD Microsoft делаешь групповую политику в которой назначешь этой группе админские права (делаешь ее членом группы администраторы или administrators если винда английская)
3. Вешаешь эту политику на те OU, где тебе надо получить админские права.

"Ldap группа с Локальными правами админа на машине в домене"
Отправлено ivanff , 01-Ноя-09 00:40

>[оверквотинг удален]
>>Как сделать группу в ldap чтобы она при логине в систему win
>>попадала в локальную группу "Администрторы"?
>
>ИМХО можно поробовать так:
>1. делаешь группу в LDAP
>2. В AD Microsoft делаешь групповую политику в которой назначешь этой группе
>админские права (делаешь ее членом группы администраторы или administrators если винда
>английская)
>3. Вешаешь эту политику на те OU, где тебе надо получить админские
>права.
%) если бы еще и AD было ... Этож полный PDC NT4 на samba. Чет не верится что ни как нельзя сделать, лазил по инету, что не только я один таким вопросом задаюсь.
Еще такой вопрос:
вот есть 2 глобальные samba/доменные группы.
как сделать так чтобы пользователям из этих двух групп можно было бы писать в шару самбы (неужели только создавать 3 группу). Ведь в linux у одной дирректории корорую расшариваешь можнт быть только одна шруппа, вот заморочилл... надеюсь понятно.
то есть если у директории в unix группа BIT_PDC\Managers
то писать в нее могут через шару только пользователи входящие в эту группу, несмотря на указание write users = @"BIT_PDC\Managers", @"BIT_PDC\Flashers" ---> толку ноль...

"Ldap группа с Локальными правами админа на машине в домене"
Отправлено anonimous , 01-Ноя-09 18:47

>>[оверквотинг удален]
>>>Как сделать группу в ldap чтобы она при логине в систему win
>>>попадала в локальную группу "Администрторы"?
512 группа (SID S-1-5-21-XXXXXXXXX-XXXXXXXXX-XXXXXXXXXX-512), у меня групмап
Domain Admins->smbadmins, при присоединении компа к домену дописывается в группу Администраторы локальную как DOMAIN\smbadmins.
>[оверквотинг удален]
>Еще такой вопрос:
>вот есть 2 глобальные samba/доменные группы.
>как сделать так чтобы пользователям из этих двух групп можно было бы
>писать в шару самбы (неужели только создавать 3 группу). Ведь в
>linux у одной дирректории корорую расшариваешь можнт быть только одна шруппа,
>вот заморочилл... надеюсь понятно.
>
>то есть если у директории в unix группа BIT_PDC\Managers
>
>то писать в нее могут через шару только пользователи входящие в эту группу, несмотря на указание write users = @"BIT_PDC\Managers", @"BIT_PDC\Flashers" ---> толку ноль...
Вероятно, write users = @"Managers" @"Flashers" - разделитель у меня пробел, и домен я не ставлю - он у меня один, хотя и территориально распределенный на 3 отдельных офиса. И
valid users = @"Managers" @"Flashers" я бы тоже поставил, если пользователям других групп не надо сюда ходить.
Смотрите
net groupmap list
и
Дисковые права на доступ к базовой директории шары
Сделайте в Миднайте (мс) меню ->файл ->смена владельца/группы. Есть там группа BIT_PDC\Flashers или просто Flashers?
Насколько я знаю, дисковые права определяется Никсовыми группами, а не Самбовскими/ЛДАПовскими. Никсовая группа НЕ может иметь в имени больших букв.
Дисковые права (Никс) должны разрешать всем членам обоих групп писать в целевую директорию, следовательно, всем пользователям - то есть chmod -R o+w делать придется...
Либо (как у меня) группа users->Domain Users владелец всех Самбовских шар, и это первичная группа для всех Самба юзеров. Администраторы же домена и так на любую шару заходят.

Права доступа через Самбу (с Виндовых машин) определяются конфигом Самбы, а дисковые права (Никс) придется ставить из Никсов...
Далее, на шару общую для 2-х и более групп
force directory mode = 0777
force create mode = 0777
если писать в файлы должны обе группы...
НО БУДЬТЕ ВНИМАТЕЛЬНЫ!!!
LoginShell=/bin/true или LoginShell=/bin/false для КАЖДОГО Самба юзера
или конец Вашей безопасности... И еще не должно быть пустых домашних директорий у Самба юзеров - это в любом случае...
Если же Вам нужен настоящий шелл для Виндовых пользователей - то только третья группа, и
force group = "Ваша Общая Группа" в шаре.
С наилучшими пожеланиями
Владимир.