Ну сначала само-сабой в web интерфейсе в File Sharing включил статус
PDC и назначил администратора домена (но этот админ может только
вводить другие машины с виндой в домен - а на них у него права все
равно урезаны - но об этом далее).
Logon Scrip=startup.bat(ну или какой у вас там файл); Logon Path надо править ручками в smb.conf - явно прописать Logon Path= и оставить пустым - это чтобы небыло переносимых профилей (если конечно они вам не нужны); В Advanced Configuration: Security Type=User Domain Master=Enable local master=Enable OS Level=65 (а вообще 255) Ну а теперь конектимся через putty , логинимся рутом и создаем unix группы. Я для пробы сздал две: groupadd Domain_admins groupadd Domain_users Теперь создаем и одновременно сопоставляем unix и NT группы: net groupmap add rid=512 ntgroup="Domain Admins" unixgroup=Domain_admins net groupmap add rid=513 ntgroup="Domain Users" unixgroup=Domain_users Вот тут то как раз вся и фишка, а фишка в rid. Этот уникальный номер у стандартных групп в винде всегда одинаковый. Вот некоторые: Domain Admins-512 Domain Users-513 Domain Guests-514 Domain Computers-515 Domain Controllers-516 Domain Certificate Admins-517 Domain Schema Admins-518 Domain Enterprise Admins-519 Domain Policy Admins-520 Builtin Admins-544 Builtin users-545 Builtin Guests-546 Builtin Power Users-547 Builtin Account Operators-548 Builtin System Operators-549 Builtin Print Operators-550 Builtin Backup Operators-551 Builtin Replicator-552 Builtin RAS Servers-553 По ним то винда и понимает какие права должны быть у пользователя - ну или где то так )))) Теперь если вы дадите команду net groupmap list, то увидите следующее: Domain Admins (S-1-5-21-1675117381-2999086895-881351317-512) -> Domain_admins Domain Users (S-1-5-21-1675117381-2999086895-881351317-513) -> Domain_users Мы видим что группы сопоставлены и последние цифры ID группы как раз равны этому самому rid. Кстати группы Domain_admins и Domain_users, если вы их через консоль создавали у вас в веб-интерфейсе непоявятся - потому что там появляются только группы у которых ID больше 60000, с чем это связано незнаю - но догадываюсь ))) Чтобы их было видно надо при добавлении их с консоли, добавить ключ -g и id начиная с 60 тысяч groupadd -g 61000 Domain_admins groupadd -g 61001 Domain_users ну или просто добавлять через web интерфейс и потом сопоставлять через консоль, но я все делал через консоль. Ну теперь создаем unix пользователей например admin и user (незабудте поставить галочку File Server Folder в Edit User Information чтобы они так же стали пользователями в samba) и добавляем их в соответствующие группы Domain_admins и Domain_users. Ну а потом все как обычно вводим виндовую машину в домен СС и логинимся и админ будет админом, а юзер юзером. |
klark >