Domaingroups

Dieses Thema im Forum "Samba" wurde erstellt von tiptel170, 28.12.2008.

  1. #1 tiptel170, 28.12.2008
    tiptel170

    tiptel170 Tripel-As

    Dabei seit:
    20.07.2008
    Beiträge:
    161
    Zustimmungen:
    0
    Hallo,

    ich weis zwar nicht unter welchem schlagwort ich suchen soll. Aber hier ist meine problematik:

    Zwei Stationen mit WinXP Prof. einen Samba-Server mit LDAP-AUthenfiezierung.

    Wenn ich mich jtzt unter windwos anmelde, dann hat der netzwerk-user erstmals normale benutzerrechte. Aber mache programme brauchen halt die adminrechte, damit die laufen können.

    Das eigendliche problem ist. Ich kann auf der Win-Arbeitsstation jeden Benutzer maluell zuweisen ob er einen "Hauptbenutzer" oder "Administrator" sein soll.

    Unter den Benutzerobjekten dort finde ich nur das Objekt "Benutzer"

    Wie kann ich dies in der smb-pdc so einrichten (zentral), dass ich bestimmte Benutzer admin-rechte haben und manche nicht?

    Wie mache ich es auf der Windows-Arbeitsstation klar? So, dass er immer alle "Domain-Gruppen" findet.

    Habe mich schon mit der smbldap-groupadd auseinder gesetzt - kein erfolg. Habe in der ldap-datenbank die gruppenzugehöhrigkeit geänder - kein erfolg.

    :hilfe2::hilfe2::hilfe2::hilfe2::hilfe2::hilfe2:

    Gruss tiptel170
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 nicolai, 30.12.2008
    nicolai

    nicolai Jungspund

    Dabei seit:
    21.04.2008
    Beiträge:
    16
    Zustimmungen:
    0
    Du suchst Groupmappings. Um eine Gruppe von Domänenadministratoren zu erstellen gehst du wie folgt vor:

    1. Erstellen einer Unixgruppe und die entsprechenden Benutzer aufnehmen:
    Code:
    $ groupadd domadmin
    $ usermod -a -G domadmin <BENUTZER>
    2. Die Unixgruppe auf Samba abbilden:
    Code:
    $ net groupmap add ntgroup="Domain Admins" rid=512 unixgroup="domadmin"
    Nach einem Neustart von Samba solltest du mit <BENUTZER> entsprechende Domänenadministratorenrechte haben.

    Gruß Nicolai
     
  4. #3 tiptel170, 30.12.2008
    tiptel170

    tiptel170 Tripel-As

    Dabei seit:
    20.07.2008
    Beiträge:
    161
    Zustimmungen:
    0
    Danke für den tipp.

    Aber die option -a kennt er nicht.

    Code:
    sles10:/ # usermod --help
    Usage: usermod ...
    usermod - modify a user account
    
      -c comment     Set the GECOS field for the new account
      -D binddn      Use dn "binddn" to bind to the LDAP directory
      -d homedir     Home directory for the new user
      -e expire      Date on which the new account will be disabled
      -f inactive    Days after a password expires until account is disabled
      -G group,...   List of supplementary groups
      -g gid         Name/number of the users primary group
      -l login       Change login name.
      -m             Move home directory to the new path
      -o             Allow duplicate (non-unique) UID
      -A group,...   List of groups the user should be added to
      -R group,...   List of groups the user should be removed from
      -P path        Search passwd, shadow and group file in "path"
      -p password    Encrypted password as returned by crypt(3)
      -s shell       Name of the user's login shell
      -u uid         Change the userid to the given number
      --service srv  Use nameservice 'srv'
      -L             Locks the password entry for "user"
      -U             Try to unlock the password entry for "user"
          --help     Give this help list
          --usage    Give a short usage message
      -v, --version  Print program version
    Valid services are: files, ldap
    
    
    Gruss tiptel170
     
  5. #4 nicolai, 31.12.2008
    nicolai

    nicolai Jungspund

    Dabei seit:
    21.04.2008
    Beiträge:
    16
    Zustimmungen:
    0
    Gut in deinem Fall müsste es heißen:
    Code:
    $ usermod -A domadmin <USERNAME>
     
  6. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

Domaingroups