GPO и SAMBA

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

GPO и SAMBA

Непрочитанное сообщение Amadeus » 2009-01-28 13:22:19

Доброго времени суток.

Хотелось ты прояснить один момент.

У меня есть КД на Samba + LDAP который уже полгода прекрасно работает без дополнительных настроек:)

Озадачился недавно попробовать припаять к данной конструкции нечто подобное GPO на мс, так как немного утомило на локалках политики прописывать.

С помощью poleedit создал шаблон и положил в папку netlogon sambы. Полеедит требует двух шаблонов политик common.adm и шаблона от НТ. С только первым машина при входе в домен авторизуется и у нее убирается вообще почти все) так как там нет настроек и ограничений системы, а вот с двумя шаблонами политика вообще не работает. к сожалению.:(

Я так понял что если машины XP SP2 и XP SP3 надо брать шаблоны от 2к а не НТ?

У кого нибудь получалось так настроить вообще политики на самбе?:) гугление и поиск говорят что либо не поддерживает либо полеедитом. Что то не очень верится что это невозможно:)

P.S. Оффтоп Ну КОГДА уже выйдет 4 стабильная версия самбы :evil:
Нет ничего невозможного

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: GPO и SAMBA

Непрочитанное сообщение princeps » 2009-01-28 16:47:30

Amadeus писал(а):У кого нибудь получалось так настроить вообще политики на самбе?:)
У меня поледитом не получилось вообще ничего сделать. Вообще мне кажется более правильным использовать стартовые скрипты для управления сетью самба-доменом
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: GPO и SAMBA

Непрочитанное сообщение Amadeus » 2009-01-28 22:54:42

Тока органическая наверное нелюбовь к МС заставляет сидеть на работе в полодинадцатого и пытаться привинтить все это хозяйство к самбе.:)

Политика созданая полиэдитом начала восприниматься. Другое дело что для этого в смб конф пришлось вставить вот такой кусок

Код: Выделить всё

[netlogon]
   comment = Network Logon Service
   path = /usr/local/etc/samba/netlogon
   guest ok = yes
   writable = yes
   valid users = test, test1
   admin users = test, test1
   share modes = no
   browseable = no
Строчки где админ юзерс и валид юзерс.

Без этого политика воспринималась только на аккаунте доменного админа:(

Мне чего собственно надо от нее, что бы юзер при авторизации в домене на любой машине автоматом попадал в группу что то типа опытных пользователей в винде, которым закрыты некоторые админские настройки плюс ограничение политики но самое главное у них работает торговый клиент, который стоит в конторе, и все свои файлы зараза кладет в корень windows и т.д право на юзание который тока у двух групп в винде.

Вобщем ели получится напишу:)
Нет ничего невозможного

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: GPO и SAMBA

Непрочитанное сообщение princeps » 2009-01-29 10:16:56

Вопрос с политиками в домене под управлением unix встает время от времени, так что ждем статью
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: GPO и SAMBA

Непрочитанное сообщение Amadeus » 2009-01-30 1:23:18

Не дорос я еще до статей)

Учиться, учиться и еще раз учиться:)

а пока вот

Код: Выделить всё

[root@data /]# net groupmap list
Domain Admins (S-1-5-21-44071763-2363771099-1564184532-512) -> admins
Domain Users (S-1-5-21-44071763-2363771099-1564184532-513) -> users
Domain Computers (S-1-5-21-44071763-2363771099-1564184532-515) -> computers
Administrators (S-1-5-32-544) -> 10012
Users (S-1-5-32-545) -> 10013
Power Users (S-1-5-21-44071763-2363771099-1564184532-547) -> people
Завтра приду на работу проверю, если юзер на машине залогиниться со всеми нужными мне правами - будет маленькая победа:)

Хотя вот эта штука http://www.podgoretsky.com/ftp/Docs/Mic ... ket3-4.htm говорит что не получится) посмотрим. Авторизацию на файловой части проходит значит с LDAP воспринимает, видимо группа people добавилась дополнительным контейнером в users. жалко на ноуте хоме премиум, проверить не могу(
Нет ничего невозможного

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: GPO и SAMBA

Непрочитанное сообщение Amadeus » 2009-02-02 12:40:30

Вобщем все, проблему наконец удалось победить.

При практическом применении оказалось что группа опытные юзеры то же не позволяет работать с торговым клиентом.

Пришлось изобретать велосипед:(

Если обобщать все сводиться к следующему:

Для того что бы конкретно в моем случае (я делал жестко под мою собственную сеть) заработали GPO в описание шары netlogon я добавил следующее

Код: Выделить всё

valid users = @users
   admin users = @users
После этого любая схема созданная полиэдитом прекрасно воспринимается на локальных компьютерах под Windows XP SP2

А вот дальше пошло самое интересное :roll: что бы группа Пользователи имела возможность редактировать нужные мне файлы и папки, при этом не повышая админские права, был написан следующий батник.

Код: Выделить всё

cacls c:\windows\filename.ini /T /G пользователи:F @ cacls c:\sharename /T /G пользователи:F
С батником надо обязательно проверить что бы файл был сохранен в кодировке, которая воспринимает русские буквы в командной строке.

Далее создаем учетку админа, почему, пока не выяснил, но учетка admin в группе admins ведет себя как обычный пользователь, а вот учетка например administrator входящая в ту же группу admins ходит по всем компам без ограничений.

Как итог: при заливке нового компа вводим его в домен, применяем батник к нему, лочим локальный админский пароль. и ВСЕ, больше не подходим. Все юзеры авторизируются с нужными мне правами плюс работают ГП. Дальнейшее администрирование компа при каких либо случаях через administrator.

Может кому то пригодиться то что я написал)

P.S. В автозагрузку пока не удалось поставить так как cacls зараза требует подтверждения, хотя мб я пока не понял)
Нет ничего невозможного

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: GPO и SAMBA

Непрочитанное сообщение princeps » 2009-02-02 12:44:05

А кроме XP, со свистой и с 2000 про работает, не проверял?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: GPO и SAMBA

Непрочитанное сообщение Amadeus » 2009-02-02 12:55:36

с 2000 касательно батника проверю вечером, так как нехорошо манагера с рабочего места сгонять. а ГП работают на 2000 хотя у меня тачка под 2000 SP4, а вот машин с вистой в конторе нет к счастью)
Нет ничего невозможного

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: GPO и SAMBA

Непрочитанное сообщение Amadeus » 2009-02-03 12:19:03

Спрашивали под 2000.

Работает полностью. Под вистой проверить не могу, машин нет
Нет ничего невозможного