форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение		[ Отслеживать ]

"Ldap группа с Локальными правами админа на машине в домене"		+/–
Сообщение от ivanff (ok) on 29-Окт-09, 14:50
Возможно ли сделать сабж. Члены группы Domain Admins являются локальными админами машины в домене и соответственно домена( то есть с администрирование домена) Как сделать группу в ldap чтобы она при логине в систему win попадала в локальную группу "Администрторы"?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Ldap группа с Локальными правами админа на машине в домене"		+/–
Сообщение от visaversa (??) on 31-Окт-09, 22:27
>Возможно ли сделать сабж. >Члены группы Domain Admins являются локальными админами машины в домене и соответственно >домена( то есть с администрирование домена) > >Как сделать группу в ldap чтобы она при логине в систему win >попадала в локальную группу "Администрторы"? ИМХО можно поробовать так: 1. делаешь группу в LDAP 2. В AD Microsoft делаешь групповую политику в которой назначешь этой группе админские права (делаешь ее членом группы администраторы или administrators если винда английская) 3. Вешаешь эту политику на те OU, где тебе надо получить админские права.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Ldap группа с Локальными правами админа на машине в домене"		+/–
	Сообщение от ivanff (ok) on 01-Ноя-09, 00:40
	>[оверквотинг удален] >>Как сделать группу в ldap чтобы она при логине в систему win >>попадала в локальную группу "Администрторы"? > >ИМХО можно поробовать так: >1. делаешь группу в LDAP >2. В AD Microsoft делаешь групповую политику в которой назначешь этой группе >админские права (делаешь ее членом группы администраторы или administrators если винда >английская) >3. Вешаешь эту политику на те OU, где тебе надо получить админские >права. %) если бы еще и AD было ... Этож полный PDC NT4 на samba. Чет не верится что ни как нельзя сделать, лазил по инету, что не только я один таким вопросом задаюсь. Еще такой вопрос: вот есть 2 глобальные samba/доменные группы. как сделать так чтобы пользователям из этих двух групп можно было бы писать в шару самбы (неужели только создавать 3 группу). Ведь в linux у одной дирректории корорую расшариваешь можнт быть только одна шруппа, вот заморочилл... надеюсь понятно. то есть если у директории в unix группа BIT_PDC\Managers то писать в нее могут через шару только пользователи входящие в эту группу, несмотря на указание write users = @"BIT_PDC\Managers", @"BIT_PDC\Flashers" ---> толку ноль...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Ldap группа с Локальными правами админа на машине в домене"		+/–
	Сообщение от anonimous on 01-Ноя-09, 18:47
	>>[оверквотинг удален] >>>Как сделать группу в ldap чтобы она при логине в систему win >>>попадала в локальную группу "Администрторы"? 512 группа (SID S-1-5-21-XXXXXXXXX-XXXXXXXXX-XXXXXXXXXX-512), у меня групмап Domain Admins->smbadmins, при присоединении компа к домену дописывается в группу Администраторы локальную как DOMAIN\smbadmins. >[оверквотинг удален] >Еще такой вопрос: >вот есть 2 глобальные samba/доменные группы. >как сделать так чтобы пользователям из этих двух групп можно было бы >писать в шару самбы (неужели только создавать 3 группу). Ведь в >linux у одной дирректории корорую расшариваешь можнт быть только одна шруппа, >вот заморочилл... надеюсь понятно. > >то есть если у директории в unix группа BIT_PDC\Managers > >то писать в нее могут через шару только пользователи входящие в эту группу, несмотря на указание write users = @"BIT_PDC\Managers", @"BIT_PDC\Flashers" ---> толку ноль... Вероятно, write users = @"Managers" @"Flashers" - разделитель у меня пробел, и домен я не ставлю - он у меня один, хотя и территориально распределенный на 3 отдельных офиса. И valid users = @"Managers" @"Flashers" я бы тоже поставил, если пользователям других групп не надо сюда ходить. Смотрите net groupmap list и Дисковые права на доступ к базовой директории шары Сделайте в Миднайте (мс) меню ->файл ->смена владельца/группы. Есть там группа BIT_PDC\Flashers или просто Flashers? Насколько я знаю, дисковые права определяется Никсовыми группами, а не Самбовскими/ЛДАПовскими. Никсовая группа НЕ может иметь в имени больших букв. Дисковые права (Никс) должны разрешать всем членам обоих групп писать в целевую директорию, следовательно, всем пользователям -  то есть chmod -R o+w делать придется... Либо (как у меня) группа users->Domain Users владелец всех Самбовских шар, и это первичная группа для всех Самба юзеров. Администраторы же домена и так на любую шару заходят. Права доступа через Самбу (с Виндовых машин) определяются конфигом Самбы, а дисковые права (Никс) придется ставить из Никсов... Далее, на шару общую для 2-х и более групп force directory mode = 0777 force create mode = 0777 если писать в файлы должны обе группы... НО БУДЬТЕ ВНИМАТЕЛЬНЫ!!! LoginShell=/bin/true или LoginShell=/bin/false для КАЖДОГО Самба юзера или конец Вашей безопасности... И еще не должно быть пустых домашних директорий у Самба юзеров - это в любом случае... Если же Вам нужен настоящий шелл для Виндовых пользователей - то только третья группа, и force group = "Ваша Общая Группа" в шаре. С наилучшими пожеланиями Владимир.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема