klark‎ > ‎

синхронизация пользователей

Ну сначала само-сабой в web интерфейсе в File Sharing включил статус PDC и назначил администратора домена (но этот админ может только вводить другие машины с виндой в домен - а на них у него права все равно урезаны - но об этом далее).
Logon Scrip=startup.bat(ну или какой у вас там файл);
Logon Path надо править ручками в smb.conf - явно прописать Logon Path= и оставить пустым - это чтобы небыло переносимых профилей (если конечно они вам не нужны);
В Advanced Configuration:
Security Type=User
Domain Master=Enable
local master=Enable
OS Level=65 (а вообще 255)

Ну а теперь конектимся через putty , логинимся рутом и создаем unix группы. Я для пробы сздал две:
groupadd Domain_admins
groupadd Domain_users
Теперь создаем и одновременно сопоставляем unix и NT группы:
net groupmap add rid=512 ntgroup="Domain Admins" unixgroup=Domain_admins
net groupmap add rid=513 ntgroup="Domain Users" unixgroup=Domain_users

Вот тут то как раз вся и фишка, а фишка в rid. Этот уникальный номер у стандартных групп в винде всегда одинаковый. Вот некоторые:

Domain Admins-512
Domain Users-513
Domain Guests-514
Domain Computers-515
Domain Controllers-516
Domain Certificate Admins-517
Domain Schema Admins-518
Domain Enterprise Admins-519
Domain Policy Admins-520
Builtin Admins-544
Builtin users-545
Builtin Guests-546
Builtin Power Users-547
Builtin Account Operators-548
Builtin System Operators-549
Builtin Print Operators-550
Builtin Backup Operators-551
Builtin Replicator-552
Builtin RAS Servers-553

По ним то винда и понимает какие права должны быть у пользователя - ну или где то так )))) Теперь если вы дадите команду net groupmap list, то увидите следующее:

Domain Admins (S-1-5-21-1675117381-2999086895-881351317-512) -> Domain_admins
Domain Users (S-1-5-21-1675117381-2999086895-881351317-513) -> Domain_users

Мы видим что группы сопоставлены и последние цифры ID группы как раз равны этому самому rid.

Кстати группы Domain_admins и Domain_users, если вы их через консоль создавали у вас в веб-интерфейсе непоявятся - потому что там появляются только группы у которых ID больше 60000, с чем это связано незнаю - но догадываюсь ))) Чтобы их было видно надо при добавлении их с консоли, добавить ключ -g и id начиная с 60 тысяч
groupadd -g 61000 Domain_admins
groupadd -g 61001 Domain_users
ну или просто добавлять через web интерфейс и потом сопоставлять через консоль, но я все делал через консоль.

Ну теперь создаем unix пользователей например admin и user (незабудте поставить галочку File Server Folder в Edit User Information чтобы они так же стали пользователями в samba) и добавляем их в соответствующие группы Domain_admins и Domain_users.

Ну а потом все как обычно вводим виндовую машину в домен СС и логинимся и админ будет админом, а юзер юзером.
Comments