Samba Domain Admin

[croPe]

Hallo,

Vielleicht kann mir hier jemand helfen...

Also ich möchte in einer Domain, die unter einem Samba 3.0622 Server läuft, ein Domainmitglied haben, dass nach Anmeldung auf allen Client-Rechnern (WinXP) Adminrechte hat.

Alle Anderen Domainmitglieder sollen weiterhin normale userrechte haben.

Momentan habe ich in der smb.conf folgende Einträge:

# User
    admin users = admin root
    guest account = nobody
    invalid users = bin deamon sys man postfix mail ftp

# Die Administratoren des PDC
    domain admin users = root
    #domain admin group = @pdcadmins

Es funktionier eigentlich alles, nur muss es ja irgendwie möglich sein, einen Administrator festzulegen, der auch auf den clients automatisch admin rechte hat. ein automatischer eintrag in die Administratoren Gruppe unter WinXP, der den DomainAdmins Admin rechte gibt, existiert bereits.

aber auch nach login mit root hat man unter windows keine admin rechte.

THX

 

[Michael]

Ich kenne es nur so, daß der Benutzer, der sich am Domaincontroller anmeldet auch als lokaler Admin an der jeweiligen Maschine sein muß. Hierzu muß er aber wirklich an jeder Maschine einmal einrichtet sein.
\domainname\benutzername
Dies wird i.d.R. bei uns so gemacht, daß beim Aufsetzen des Clients, dieser Benutzer mit angelegt wird.

 

[Boron]

Habe ich das richtig verstanden?

Du willst, dass eine Person, die an einem WinXP Rechner sitzt und sich dort nicht als Administrator angemeldet hat schlagartig lokale Administratorrechte bekommt, sobald sie auf eine per Samba freigegebene Ressource zugreift.

So etwas geht nicht!
Du kannst doch nicht von Server Seite aus (Linux mit Samba) etwas an Rechten auf User/Client Seite (WinXP) ändern. Das wäre ja superböse.
Da würde ja die Rechteverwaltung von WinXP ja komplett verarscht werden.

Der Parameter admin users bewirkt, dass wenn ein User mit dem Namen admin oder root (wie in deinem Fall) auf die Samba Freigabe zugreift dieser User alles machen kann, auch löschen, unbhängig von zusätzlich gesetzten Zugriffsrechten.
Deshalb kann dieser Parameter auch nur in einer Section benutzt werden die einen Freigabe darstellt.

Den Parameter domain admin users gibt es laut Doku zur smb.conf gar nicht !

 

[croPe]

also ich versuchs noch mal anders zu beschreiben.

Nach dem Beitritt zur Domain wurde folgender Eintrag in die Gruppe Administratoren auf dem WinXP System gemacht (automatisch):

DOMAIN\Domain Admins (S-.....)

Rein theoretisch müsste das ja heißen, dass ein Dömanenadministrator auch Adminrechte auf dem WinXP System haben müsste (von Anfang an nach dem einloggen ins System)?
Zudem wäre das ja auch mit dem Windows Rechtesystem nicht in Konflikt...

Ich hab auch schon versucht den user DOMAIN\admin der Administratorengruppe in Win hinzuzufügen, aber da kommt ein Fehler (irgendwas mit is schon eingeloggt oder so, obwaohl das eigentlich nicht sein kann. Den original Wortlaut poste ich dann später)

 

[Boron]

Ich behaupte dann mal, in meinem jugendlichen Leichtsinn, dass das Problem auf der Seite von Windows liegt und nichts mit Samba zu tun hat.

In diesem Fall verweise ich doch dann mal auf das Windows Forum: https://www.computerbase.de/forum/forums/windows-7-8-vista-xp-2000.88/

 

[croPe]

also ich hab jetzt die lösung des problems.
mit dem befehl 'net groupmap' kann man die unix gruppen auf windows gruppen mappen.
jetzt hab ich aber noch ein weiteres problem, und zwar...
auf meinem fedora system (FC2) existiert der befehl net garnicht, jetzt steht überall net wird mit samba mitgeliefert???

kennt jemand das paket mit diesem tool? oder was muss ich anstellen um diesen befehl ausführen zu können

danke für eure hilfe

 

[Boron]

Eventuell gibt es noch Samba Pakete von Fedora, die du noch nachinstallieren kannst.
Wahrscheinlich heißt es "samba-utils" oder so ähnlich.

 

[aki]

installier das paket "samba-client"

 

[croPe]

€dit:
thx werds ausprobieren

€dit2:
funktioniert einwandfrei

Danke an alle für eure Hilfe... cYa

 

[croPe]

Die Syntax um der unixgruppe domainadmins Adminrechte in der Domain zu geben lautet:
'net groupmap modify ntgroup='Domain Admins' unixgroup=domainadmins'

Wichtig dabei ist, dass die gruppen-ids beibehalten werden und stimmen (512 für Admins, 513 für users und 514 für Guests usw.)

Mit 'net groupmap list' kann man die maps auflisten lassen.