KOPI

[paladyn]

Witam szanowne grono. Jako że to mój pierwszy post należy się przedstawić. Jestem Tomek, mam 18lat i jestem uczniem technikum informatycznego

Do rzeczy:

Chce stworzyć kontroler domeny windows oparty na sambie. Mój plik smb.conf wyglada tak:

[Maciek]

Jak na mój gust to na pewno masz w tym pliku dwa błędy:
domian logons = yes (literówka, domain)
security = user (zły poziom, powinno być server)
Na www.kopi.edu.pl jest artykuł na ten temat. Jest tam także plik konfiguracyjny do pobrania, możesz skorzystać choćby po to, by porównać.

[paladyn]

Dzięki. Zaskoczyło, ale mam jeszcze dwa pytania.

System pyta się o nazwę użytkownika uprawnionego do dołączenia do domeny czyli tutaj ma być root ?

W jaki sposób wciągnąc root'a do samby? bo otrzymuje coś takiego:

[Maciek]

Polecam sprawdzić konfig na stronie kopi, jest tam wpis dotyczacy użytkownika, który ma być administartorem domeny. Nie może być to root, takiego użytkownika trzeba założyć, nie polecam też użytkownika administrator, ani admin (te nazwy najczęściej są skanowane w poszukiwaniu dziur w systemie) - jeśli już to takiemu użytkownikowi trzeba wykasować hasło w shadow zastępując je znakiem! - podczas dodawania do domeny, należy się zalogowac właśnie na założonego użytkownika z uprawnieniami administracyjnymi w sambie.

[paladyn]

No własnie nie bardzo wiem gdzie to znaleśc. ort. co stanąłem na tym, że robie w ten sposób:

dodaje usera do dystemu a zarazem żeby nadawł sie do samby



useradd -g machines -d /dev/null -s /bin/false tomek$

oczywiście mam założona grupe machines

następnie

smbpasswd -a -m tomek

i tym sposobem mam dodanego uzytkownika.

Problem w tym, że nie wiem jakie on ma haslo
Nie wiem jak nadać mu prawa administracyjne do samby.

Jeśli wiesz jak to zrobić, to napisz,albo zapodaj zacytj z kopi.edu.pl(jeśli tam jest), bo siedze nad tym ładne kilka godzin i już rozlewa mi sie tekst na monitorze

[Maciek]

No cóż, szkoda, że ci się nie chce zajrzeć samodzielnie do proponowanej konfiguracji. Nie wszystko można dostać na talerzu...
w pliku jest:
admin users = tu_jakis_user
I ten użytkownik musi się logować podczas dodawania do domeny.
Natomiast zupełnie nie wiem, dlaczego ty nie wiesz, jakie ma hasło użytkownik, którego dodałeś poleceniem smbpasswd.
Sprawa druga w przykładowej konfiguracji na stronie kopi jest też fragment odpowiadający za automatyczne dodawanie maszyn i nie trzeba tego ręcznie robić. Jest też skrypt dodający użytkowników...

[paladyn]

Ten skrypt u mnie nie zadziałał, ale mój sposób dodawania użytkowników tak.

Na konfigu pobranym ze strony działa mi kontroler domeny i mogę się elegancko połączyć na danego użytkownika na serwerze, ale czuje pewien nie dosyt

Mianowicie:

1. Użytkowników na danym komputerze muszę dodawać ręcznie tzn loguje sie na konto administratora i dodaje użytkowników domeny.

2. Nie ma jak uciąć uprawnień tych użytkowników. Nawet gość potrafi zaglądać do rejestru czy usuwać pliki z windowsa, ale zegarka włączyć mu nie wolno.

3.Mają za dużo miejsca na dysku. Ogranicza się je quotą czy w ręcznie na każdym stanowisku?

4. Brak scentralizowanej bazy programów.


Pragnę dodać, że nigdy nie administrowałem domeną a tym bardziej SBS'em

Stąd moje pytanie:

Czy jakakolwiek zmiana dokonana na stacji klienckiej na danym użytkowniku za pośrednictwem konta administrator przekaże te zmiany do kontrolera domeny?

Np jeśli ograniczę użytkownikowi z domeny miejsce na dysku c na 500MB to na każdym stanowisku w domenie będzie miał te 500MB czy tylko na tym gdzie zostało to ustawione?

[Maciek]

ad 1.
Skrypt przystosowany jest do NND, zatem na innym systemie mógł nie zadziałać. Jakiej dystrybucji używasz?
ad 2.
Konto gościa jest kontem lokalnym, a nie serwerowym i powinno zostać wyłączone. Użytkownik, który się loguje do domeny, nie może mieć konta lokalnego na danej maszynie. Wg mnie ograniczenia uprawnień usera działa na windows XP i 2000 przy zachowaniu powyższych zastrzeżeń. Do windows 98 trzeba mieć poleditem zrobiony config.pol z tymi ograniczeniami.
ad 3.
Miejsce na dysku trzeba ograniczyć quotą, jeśli to konieczne, ja tego nie robiłem, bo dysk serwera był wystarczająco pojemny.
ad 4.
Jakiej bazy, jakich programów?

[paladyn]

Dystrybucja to Debian 5 Lenny

Jeśli chodzi o konto gościa to ja dołączam tego użytkownika do tejże grupy. Nie loguje się na gościa, a tylko dodaje użytkownika domenowego do tejże grupy. Mimo wszystko jego uprawnienia są duże.

Jeśli chodzi o bazę programów, to miałem na myśli programy zainstalowane na serwerze np jakiś office czy Acrobat reader z których to potem klienci mogą korzystać.


Kolejna sprawa, używałeś kiedyś samby jako kontrolera domeny w szkole albo w innym miejscy pracy? Jak wprowadzić restrykcyjne ograniczenia dla wszystkich użytkowników domeny np blokada rejestru itp.

[Maciek]

Tak, przynajmniej w kilku szkołach działają pracownie z sambą i windowsami, które postawiłem. Zawsze działają restrykcje na zwykłego użytkownika, nie wiem, co zepsułeś, że u ciebie nie działają...
Ja zwykle instalowałem XP na stacji dodając konto użytkownika lokalnego z ograniczeniami, na wypadek gdyby coś się stało z serwerem. Potem skryptem dodawałem iluś tam studentów i admina samby (zwykle nauczyciel). O ile mi wiadomo, wszystkie postawione przeze mnei serwery działają.

[paladyn]

Wiesz może jak ustawiać uprawnienia użytkowników na serwerze w sambie? Mozna wogóle takie rzeczy robić? Np ograniczanie pojemności dysku C: , blokada rejestru, czy też instalowania programów

Pytanie drugie:

Czy można administrować uprawnieniami każdego użytkownika czy też dodawać go do domeny na komputerze będącym członkiem domeny poprzez konto administratora?

[Maciek]

Aby ograniczyć przestrzeń dyskową dla użytkowników trzeba niestety zainstalować quotę.
Dodawanie użytkowników wykonuje się wyłącznie na serwerze, przy prawidłowej konfiguracji samby każdy zwykły użytkownik który nie jest administratorem (niewpisany do admin users = ) ma ograniczenia typowe dla zwykłych użytkowników Windows. Przed chwilą specjalnie to sprawdziłem - można wywołać regedit, ale nie można zapisać zmian, podobnie działają inne ograniczenia. Zamiana rozszerzenia DAT na MAN dodatkowo nie pozwala na zmiany w zakresie podstawowych ustawień.

[paladyn]

Mam jeszcze kilka pytań:

Co powinno sie wyświetlić zwyklemu użytkownikowi domeny który właczy konta użytkowników? U mnie w szkole wystakuje okienko z moim profilem i moge sobie tam zmienić hasło.

Natomiast tutaj podwójne kliknięcie na konta użytkowników powoduje uruchomienie okna pytającego o hasło administratora lokalnego. Tak to powinno wyglądać?


Co jeśli użytkownik zechcę zmienić sobie hasło?

[Maciek]

Zmiana hasła powinna działać podczas logowania, o ile pamiętam jest tam odpowiednia opcja, natomiast wejście do panelu sterowania, ma taki włąśnie efekt - użytkownikowi nie wolno tam grzebać...

[paladyn]

Wielkie dzięki za wszystkie informacje. Prawdopodobnie bez Ciebie bym sobie nie poradził.

Jeszcze raz wielkie dzieki