Samba34 + MSI install over GPO

[vasyun]

Здравствуйте!
Пытаюсь перенести свои шары с Win2K3 на Samba3.4. (Контроллер домена на Win2K)
Эксперимент начал с тех шар которые использовал для установки софта через GPO.
Очень долго парился над этой проблемой. В итоге единственный вариант при котором у меня начинал ставиться софт, это если шара public=Yes.
Все остальные параметры уже не играли роли.

Код: Выделить всё

/etc/smb.conf
[global]
...
[appl]
 path = /mnt/applications
 public = Yes
 writable = Yes
 browseable = Yes
 read only = No
 #valid users = @"DOMAIN+Domain Admins", @"DOMAIN+Domain Users", @"DOMAIN+domain computers"
 #admin users = @"DOMAIN+Domain Admins"

Если кто-то, знает как заставить устанавливаться софт без шары public, откликнитесь пожалуйста.
Если нет то модераторам просьба добавить в какую-нибудь статью эта информацию т.к. в интернете много форумов с такой же проблемой, а вот работающих ответов не видел.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[fox]

В чём проблемы то? В шары юзверей не пускает? А контроллер на виндузятине?

[vasyun]

Да, контроллер на Windows2000server SP4 ENG
Попробуйте создать шару на samba34 и поставить с неё какой-нить софт (adobe_reader_9.4.msi) через GPO.
Если в smb.conf в параметрах шары не указать public=Yes то скорее всего у вас ни чего не получится.
А я хотел использовать шару в которой использую параметры valid users и admin users, но если их включить то public будет автоматически игнорироваться. GPO не срабатывает, точнее срабатывает, но ругается на то что нет доступа к источнику где лежит инсталлятор. Просто очень много времени убил на выяснение проблемы, хотел чтобы у других было быстрее.

В общем мне показалось, эта информация будет многим полезнее не в форуме, а в каком-нибудь из многочисленных how-to по samba.

[fox]

Попробуйте добавить такие строки:

Код: Выделить всё

    read only = no
    read list = admin sa
    writable = yes
    write list = admin sa
    public = no
    valid users = admin sa
    create mask = 0777
    directory mask = 0777

[vasyun]

Для установки MSI-софта не требуется запись в директорию где лежит дистрибутив. Пробовал давать 0777 не помогало. Пробовал добавлять в valid users группу @"DOMAINNAME+Domain computers" то же не помогало.

[fox]

Для установки MSI-софта не требуется запись в директорию где лежит дистрибутив. Пробовал давать 0777 не помогало. Пробовал добавлять в valid users группу @"DOMAINNAME+Domain computers" то же не помогало.

Вы вот эти два параметра к своим параметрам добавили?
И ещё попробуйте самому католугу app или как он там у вас присвоить право 777

Код: Выделить всё

create mask = 0777
directory mask = 0777

[fox]

Подождите а в ручную пробовали ставить? Из данной директории?

[vasyun]

Ага, всё пучком. Только сначала авторизоваться надо чтобы в папку войти.
Я себе это вкратце так представляю.
При загрузке компьютера идет поиск домена, он его находит затем начинает применять политики и GPO на компьютер затем просит ввести логин пароль, затем после авторизации применяет политики и GPO на пользователя. В момент когда применяются политики компьютера авторизация идет не от имени доменного пользователя, а от имени учетной записи КОМПЬЮТЕРА или может ещё какой системной этого выловить не получилось и вот здесь возникает аксесс денай для этой учетки, в случае с public думаю всё и так понятно.

[vasyun]

ещё идеи?

[snorlov]

Ага, всё пучком. Только сначала авторизоваться надо чтобы в папку войти.
Я себе это вкратце так представляю.
При загрузке компьютера идет поиск домена, он его находит затем начинает применять политики и GPO на компьютер затем просит ввести логин пароль, затем после авторизации применяет политики и GPO на пользователя. В момент когда применяются политики компьютера авторизация идет не от имени доменного пользователя, а от имени учетной записи КОМПЬЮТЕРА или может ещё какой системной этого выловить не получилось и вот здесь возникает аксесс денай для этой учетки, в случае с public думаю всё и так понятно.

Ты правильно все описал...
public= yes означает, что к этому сетевому ресурсу имеют доступ все, включая гостей, это не означает, что все туда могут писать...

[vasyun]

Согласен, именно такая цель и была.
Просто уже была создана для софта шара с возможностью обновления там дистрибутивов и не хотелось еще одну шару публиковать.
Сейчас работает вот такой конфиг

Код: Выделить всё

[msi$]
    path = /mnt/applications/msi
    #comment = "Install"
    public = Yes
    writable = No
    browseable = Yes
    read only = Yes

Так вот для тех кто использует GPO для установки софта, эта информация будет очень полезна. Когда искал, видел что многие задают такой же вопрос, русскоязычных форумом по этой проблеме не встретил. Поэтому захотелось чтобы мои труды были для кого-то полезны. Не писать же отдельно ради этого статью.

[fox]

Ну правельно GPO использует свою учётную запись... Надо вычеслить какую и добавить в разрешённые!