https://slinkov.ru/openforum/vsluhforumID14/2199.html Поднял PDC на samba+ldap на linux. Делал все по официальному how-to. Остался непонятным вопрос: Вот собственно подключаю я тачку winxp в домен, логинюсь под root из ldap (пользователь с uid=0), все тачка в домене. Перегружаюсь вхожу под root, и получаю привилегии уровня пользователя или даже гостя а не администратора компьютера!!! вот собственно это и есть загвоздка!!!<br>Xотя в локальной группе Администраторы присутствует группа Domain Admins, а в Пользователи - Domain Users. При этом если смотреть на getenv group и getenv passwd, на PDC, то все кажется нормальным:<br>[code]<br>(примечание то что у рута из ldap группа не 0 а 512 так счас правильно делать!)<br>root:x:0:512:Netbios Domain Administrator:/root:/bin/bash<br>nobody:x:999:514:nobody:/dev/null:/bin/false<br>max:x:1000:513:System User:/home/max:/bin/bash<br>pdc$:*:1001:515:Computer:/dev/null:/bin/false<br>ivan-winxp-vm1$:*:1002:515:Computer:/dev/null:/bin/false<br>[/code]<br>[code]<br>Domain Admins:*:512:root<br>Domain Users:*:513:max<br>Domain Guests:*:514:<br>Domain Computer https://slinkov.ru/openforum/vsluhforumID14/2199.html#21 Wed, 21 Oct 2009 13:13:46 GMT &gt;&gt;&gt;И что он получает локальные права админа windows? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;можешь где нибудь ldif выложить? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;я чет раз попробовал, вроде получилось, потом удалил этого пользователя так <br>&gt;&gt;&gt;же делаю и не получается.:( <br>&gt;&gt;<br>&gt;&gt;Да, права локального админа получает. В понедельник выложу. <br>&gt;<br>&gt;эй, забыл про меня :) <br><br>Сорри, приболел слегка. Завтра в контору пойду - скину.<br> https://slinkov.ru/openforum/vsluhforumID14/2199.html#20 Wed, 21 Oct 2009 12:36:45 GMT &gt;&gt;И что он получает локальные права админа windows? <br>&gt;&gt;<br>&gt;&gt;можешь где нибудь ldif выложить? <br>&gt;&gt;<br>&gt;&gt;я чет раз попробовал, вроде получилось, потом удалил этого пользователя так <br>&gt;&gt;же делаю и не получается.:( <br>&gt;<br>&gt;Да, права локального админа получает. В понедельник выложу. <br><br>эй, забыл про меня :)<br> https://slinkov.ru/openforum/vsluhforumID14/2199.html#19 Sat, 17 Oct 2009 06:34:51 GMT &gt;И что он получает локальные права админа windows? <br>&gt;<br>&gt;можешь где нибудь ldif выложить? <br>&gt;<br>&gt;я чет раз попробовал, вроде получилось, потом удалил этого пользователя так <br>&gt;же делаю и не получается.:( <br><br>Да, права локального админа получает. В понедельник выложу. <br> https://slinkov.ru/openforum/vsluhforumID14/2199.html#18 Thu, 15 Oct 2009 18:16:37 GMT И что он получает локальные права админа windows?<br><br>можешь где нибудь ldif выложить?<br><br>я чет раз попробовал, вроде получилось, потом удалил этого пользователя так же делаю и не получается.:(<br> https://slinkov.ru/openforum/vsluhforumID14/2199.html#17 Thu, 15 Oct 2009 06:39:33 GMT Я у себя решил проблему =) Вот в чем оказалась, как говорится, фича:<br>в smbldap.conf есть такая строчка<br>[code]<br> # Default User (POSIX and Samba) GID<br> defaultUserGid="513"<br>[/code]<br><br>т.е. если мы делаем 'smbldap-useradd -m "new_user"' он автоматом попадает в группу пользователей по дефолту, и не, как выяснилось, в какую группу его потом не влючай - толку нет. он юзер. Я попробовал создать пользователя с нуля при помощи Ldap Account Manager с включением его сразу в группу Domain Admins, и о чудо:<br>[code]<br>aliot:~# pdbedit -Lv test2<br>WARNING: The "write cache size" option is deprecated<br>smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=ECRB))]<br>smbldap_open_connection: connection opened<br>ldap_connect_system: successful connection to the LDAP server<br>init_sam_from_ldap: Entry found for user: test2<br>init_group_from_ldap: Entry found for group: 512<br>init_group_from_ldap: Entry found for group: 512<br>Unix username: test2<br>NT username: test2<br>Account Flags: https://slinkov.ru/openforum/vsluhforumID14/2199.html#16 Thu, 15 Oct 2009 06:17:49 GMT тут конфиги с действующего<br>http://dump.ru/file/3583284<br> https://slinkov.ru/openforum/vsluhforumID14/2199.html#15 Thu, 15 Oct 2009 05:58:22 GMT &gt;Primary Group SID: S-1-5-21-2041454016-2207556900-4205629940-513 <br>&gt;это сид действительно не от Domain Admins, а Domain Users (я заметил <br>&gt;это и раньше), но он собака не меняется! <br><br>а насчет сида - похоже на правду. с действующего ПДЦ:<br>[code]<br>server2003:/ # pdbedit -Lv root<br>Unix username: root<br>NT username: root<br>Account Flags: [U ]<br>User SID: S-1-5-21-3665451093-4203827586-2656080559-500<br>Primary Group SID: S-1-5-21-3665451093-4203827586-2656080559-513<br>Full Name: root<br>Home Directory: \\server2003\root<br>HomeDir Drive: H:<br>Logon Script: logon.bat<br>Profile Path: \\server2003\profiles\root<br>Domain: CULTURE<br>Account desc:<br>Workstations:<br>Munged dial:<br>Logon time: 0<br>Logoff time: never<br>Kickoff time: never<br>Password last set: Sat, 16 Feb 2008 17:19:12 MSK<br>Password can change: Sat, 16 Feb 2008 17:19:12 MSK<br>Password must change: never<br>Last bad password : 0<br>Bad password https://slinkov.ru/openforum/vsluhforumID14/2199.html#14 Thu, 15 Oct 2009 05:10:32 GMT &gt;[оверквотинг удален]<br>&gt;-G SID&#124;rid <br>&gt; This <br>&gt;option can be used while adding or modifying a user account. <br>&gt;It will specify the users&#180; new primary group SID (Security Identifier) <br>&gt;or rid. <br>&gt;<br>&gt; Example: <br>&gt;-G S-1-5-21-2447931902-1787058256-3961074038-1201 <br>&gt;<br>&gt;не рабоатет!!! <br><br>Ну у меня, допустим, рут никогда административных привилегий и не имел. У него было ТОЛЬКО право вводить машины в домен. Я его и не трогаю =) Добавлял себя с правами админа - и все. А в этом случае, у меня никто из группы Domain Admins не имеет привилегий. Сейчас я тут с делами немного с утра разгребусь, выложу конфиги работающего ПДЦ на openSUSE, где проблема отстутствует. Может совместными усилиями быстрее разберемся...<br> https://slinkov.ru/openforum/vsluhforumID14/2199.html#13 Wed, 14 Oct 2009 20:38:01 GMT &gt;&gt;&gt; А мне кажется у вас root в Ldap'e и root в <br>&gt;&gt;&gt;системе различные учетные записи... <br>&gt;&gt;<br>&gt;&gt;uid рута - 0 и в ldap и в passwd <br>&gt;&gt;к тому же функции администратора домена он может выполнять <br>&gt;<br>&gt; У вас самба идет напрямую к LDAP, а в базе Ldap'а <br>&gt;первичная группа у рута Domain Users, а не Domain Admins, попробуйте <br>&gt;дать id root, getenv passwd, getenv group и посмотреть что они <br>&gt;дадут... <br><br>getent passwd<br>[code]<br>root:x:0:512:Netbios Domain Administrator:/root:/bin/bash<br>nobody:x:999:514:nobody:/dev/null:/bin/false<br>max:x:1000:1004:System User:/home/max:/bin/bash<br>vlad:x:1004:1003:System User:/home/vlad:/bin/bash<br>pdc$:*:1001:515:Computer:/dev/null:/bin/false<br>ivan-winxp-vm1$:*:1002:515:Computer:/dev/null:/bin/false<br>[/code]<br>getent group<br>[code]<br>Domain Admins:*:512:root<br>Domain Users:*:513:max,vlad<br>Domain Guests:*:514:<br>Domain Computers:*:515:<br>Administrators:*:544:<br>Account Operators:*:548:<br>Print Operators:*:550:<br>Backup Operators:*:551:<br>Replicators:*:552:<br>Highload_BIT:*:1001:<br>Weddev_BIT:*:100