Zobacz poprzedni temat :: Zobacz następny temat |
Autor |
Wiadomość |
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Wed Jan 18, 2012 11:24 am Temat postu: Samba jako PDC i ukrywanie napędu C |
|
|
Po zalogowaniu użytkownik widzi napęd C . Jak go ukryć ?
Kod: |
[global]
passdb backend = tdbsam
workgroup = domenalinux
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
domain logons = Yes
domain master = Yes
local master = Yes
os level = 99
preferred master = Yes
security = user
map to guest = Bad User
;include = /etc/samba/dhcp.conf
#logon path = \\%L\profiles\.msprofile
logon path = \\%L\%U\profiles
logon drive = H:
usershare allow guests = Yes
encrypt passwords = yes
update encrypted = No
add machine script = /usr/sbin/useradd -d /dev/null -g smbmachines -c 'konto maszyny %I' -s /bin/false %u
passwd chat debug = no
passwd chat = *New*UNIX*password* %nn *ReType*new*UNIX*password* %nn *passwd:*all*authentication*tokens*updated*successfully*
passwd program = /usr/bin/smbpasswd -L -a %u
hide files =/*.ini/
read raw = yes
write raw = yes
logon script = logon.bat
time server = yes
interfaces = 172.23.198.1 127.0.0.1
[homes]
comment = Katalog Domowy
read only = No
browseable = No
write ok = yes
valid users = %S
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
admin users = root
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
create mask = 0600
browseable = No
guest ok = yes
writable = no
printable = yes
printer admin = root, @ntadmin
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775
[netlogon]
comment = Network Logon Service
path = /etc/samba/netlogon
write list = root
|
_________________ Mirosław Butajło |
|
Powrót do góry |
|
|
smali Użytkownik Forum
Dołączył: 14 Mar 2011 Posty: 36 Pomógł: 1 Skąd: Lublin
|
Wysłany: Wed Jan 18, 2012 1:52 pm Temat postu: |
|
|
Witaj!
Jak się domyślam chodzi Ci o napęd systemowy "C"
Nie ukryjesz go z poziomu pliku konfiguracyjnego samby.
Jedyne co możesz zrobić to użyć narzędzia POLEDIT zmienić ustawienia dla wybranych użytkowników i/lub grup np. ukrycie wybranych dysków i zapisać plik z NTCONFIG.POL w folderze NETLOGON.
Możesz również ustawić odgórnie dla komputera ukrywanie dysku edytując rejestr.
Przejdź w to miejsce w rejestrze:
Kod: | [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] |
Dodaj klucz NoDrives jako typ REG_DWORD i ustaw jego wartość na 4 (to odpowiednik dysku C)
Niestety dopiero Samba w wersji 4.x będzie mogła się poszczycić pełną (lub prawie pełną) osługą Active Directory. Póki co samba obsługuje AD jedynie jako klient, zaś jako PDC działa w oparciu o standard Windowsa NT 4, stąd konieczne jest użycie POLEDIT'A.
Piotrek |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Wed Jan 18, 2012 3:30 pm Temat postu: |
|
|
Poledit to narzędzie do Windows 98, a przypuszczam, że to jest mowa o XP.
A poza tym, co szkodzi, że widzi C? Nie może tam nic zapisać przecież. _________________ Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
Powrót do góry |
|
|
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Wed Jan 18, 2012 4:11 pm Temat postu: |
|
|
Maciek napisał: | Poledit to narzędzie do Windows 98, a przypuszczam, że to jest mowa o XP.
A poza tym, co szkodzi, że widzi C? Nie może tam nic zapisać przecież. |
Ponadto użytkownik ma dostęp do "Zarządzaj w Mój komputer". A to trochę niebezpieczne. _________________ Mirosław Butajło |
|
Powrót do góry |
|
|
smali Użytkownik Forum
Dołączył: 14 Mar 2011 Posty: 36 Pomógł: 1 Skąd: Lublin
|
Wysłany: Wed Jan 18, 2012 4:44 pm Temat postu: |
|
|
Poledit był również dostarczany z Windowsem 2000. Od wersji z 98 różni się m.in. obsługą UTF-8. XP bezproblemowo korzysta z serwera domenowego opartego o NT jak i AD, więc Poledit radzi sobie z nadawaniem uprawnień dla użytkowników XP, wiadomo są pewne ograniczenia, ale póki co nie ma lepszego darmowego rozwiązania. Jeśli chodzi o płatne, które działają na Sambie 3.x i dodatkowo mają funkcjonalność zbliżoną do AD to polecam Nitrobit Group Policy. W ich ofercie są zniżki dla edukacji.
Piotrek |
|
Powrót do góry |
|
|
Roman Mor Moderator
Dołączył: 12 Mar 2008 Posty: 722 Pomógł: 35 Skąd: Wrocław
|
Wysłany: Wed Jan 18, 2012 5:37 pm Temat postu: |
|
|
Jest jeszcze narzędzie Microsoftu Steady State. Wcześniejsza wersja to Shared Computer Toolkit. Jak pamiętam (była w ICIM w czytelniach) bardzo skutecznie zabezpiecza system przez ingerencją użytkowników. _________________ Pozdrawiam, RM |
|
Powrót do góry |
|
|
smali Użytkownik Forum
Dołączył: 14 Mar 2011 Posty: 36 Pomógł: 1 Skąd: Lublin
|
Wysłany: Wed Jan 18, 2012 6:31 pm Temat postu: |
|
|
Fakt zapomniałem o tej aplikacji. Jednak z tego co pamiętam jej podstawowym minusem był brak centralnego zarządzania i dużo mniejsze możliwości kontroli uprawnień użytkowników.
Piotrek |
|
Powrót do góry |
|
|
Roman Mor Moderator
Dołączył: 12 Mar 2008 Posty: 722 Pomógł: 35 Skąd: Wrocław
|
Wysłany: Wed Jan 18, 2012 10:08 pm Temat postu: |
|
|
Zgadza się - nie ma centralnego zarządzania. Ale możliwości kontroli uprawnień są spore. _________________ Pozdrawiam, RM |
|
Powrót do góry |
|
|
Maciek Administrator
Dołączył: 01 Nov 2004 Posty: 2225 Pomógł: 23 Skąd: z Księżyca
|
Wysłany: Wed Jan 18, 2012 10:32 pm Temat postu: |
|
|
Podstawową zaletą Samby jest zastąpienie SBS. Nie ma pełnej kompatybilności, bo nie ma windowsowych policy groups, ale jednak jest możliwość zarządzania. Proponowanie rozwiązania wymagającego grzebania na X komputerach to ma moim zdaniem mały sens.
Ja się tak zastanawiam, bo jakoś nie widzę tych niebezpieczeństw dla Windowsów pod Sambą. Od czasu jak zrobiłem zarządzanie komputerów ICIM przez EOSa to mam spokój całkowity. Co z tego, ze userzy coś tam widzą, skoro i tak nie mogą wykonać. _________________ Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
Powrót do góry |
|
|
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Fri Jan 20, 2012 9:52 am Temat postu: |
|
|
Drążę dalej ....
Samba jako serwer wins.
1) Co i gdzie zmienić w rejestrach XP aby pobierał nazwy do samby ?
2) Czy wystarczy skorelować nazwę hosta z adresem MAC w dhcpd + wins support = yes w sambie aby Samba była serwerem wins i rozgłaszała nazwy hostów w sieci ? _________________ Mirosław Butajło |
|
Powrót do góry |
|
|
smali Użytkownik Forum
Dołączył: 14 Mar 2011 Posty: 36 Pomógł: 1 Skąd: Lublin
|
Wysłany: Fri Jan 20, 2012 11:18 am Temat postu: |
|
|
Witaj!
Do smb.conf musisz jeszcze dodać:
Kod: | name resolve order = wins lmhosts hosts bcast |
inaczej SAMBA nie będzie działać jako WINS Serwer.
WINS oparty na Sambie może pobierać nazwy kompów na wiele sposobów. Najczęściej, administrator wpisuje sobie wszystkie nazwy do pliku /etc/hosts, a SAMBA dalej wie co z tym robić.
W tym pliku sparowane są ze sobą: nazwa komputera i adres IP
Z kolei MAC komputera z numerem IP jest wiązany w zależności od tego jakiego serwera DHCP używasz. Np. w DNSMasq MAC'i i IP trzymane są w /etc/ethers.
Wracając do głównego tematu.
Sprawdź w XP'ku czy po wpisaniu w START->URUCHOM->CMD - ipconfig /all masz coś takiego jak Podstawowy serwer WINS: 192.168.1.1, gdzie 192.168.1.1 to Twój serwer Samby/Router z Sambą.
Dla próby możesz utworzyć jakiś testowy wpis w /etc/hosts np. serwer-butek.pl 192.168.1.5
Przeładuj sambę oraz ew. dhcp, i spróbuj taki komputer pingnąć po jego nazwie. Jeżeli przy pingowaniu nazwa hosta zostanie rozwiązana na adres IP (w moim przypadku) 192.168.1.5 to znaczy, że WINS Ci działa.
Piotrek |
|
Powrót do góry |
|
|
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Fri Jan 20, 2012 11:45 am Temat postu: |
|
|
Ja ma w dhcp.conf tak
Kod: | host pk100 {
hardware ethernet 00:10:DC:74:CA:10;
fixed-address 192.168.2.101;
} |
Czy jeszcze muszę powielać to w /etc/hosts ???
Chyba nie ? Chyba że samba nie zagląda do dhcp.conf, ale tego nie wiem _________________ Mirosław Butajło
Ostatnio zmieniony przez butek dnia Fri Jan 20, 2012 7:28 pm, w całości zmieniany 1 raz |
|
Powrót do góry |
|
|
butek Użytkownik Forum
Dołączył: 28 Dec 2007 Posty: 191 Skąd: Sierpc
|
Wysłany: Fri Jan 20, 2012 7:27 pm Temat postu: |
|
|
Maciek napisał: | Podstawową zaletą Samby jest zastąpienie SBS. Nie ma pełnej kompatybilności, bo nie ma windowsowych policy groups, ale jednak jest możliwość zarządzania. Proponowanie rozwiązania wymagającego grzebania na X komputerach to ma moim zdaniem mały sens.
Ja się tak zastanawiam, bo jakoś nie widzę tych niebezpieczeństw dla Windowsów pod Sambą. Od czasu jak zrobiłem zarządzanie komputerów ICIM przez EOSa to mam spokój całkowity. Co z tego, ze userzy coś tam widzą, skoro i tak nie mogą wykonać. |
Ale użytkownik, może wejść na XP w Zarządzaj (Mój Komputer) i wówczas może nabroić i chyba wtedy warto wchodzić w rejestry i chociażby usunąć Zarządzaj z menu _________________ Mirosław Butajło |
|
Powrót do góry |
|
|
|