Samba PDC keine Adminrechte auf Windowsclient

[rootrules]

Hallo,

dies ist mein erster Beitrag in diesem Forum. Ich hänge leider komplett fest...

Ich nutze debian mit samba 3.0.14a. Mein Windowsclient befindet sich in der Domaine, jedoch mit Benutzerrechten. Ich möchte jedoch einen "Administrator" für meine Windowsrechner nutzen ohne mich immer lokal anmelden zu müssen.

Lokale Gruppen > Administratoren > Domain und User auswählen ist nicht möglich, da ich keine Rechte dazu habe.

Melde ich mich mit dem lokalen Admin an und versuche die Rechte zu vergeben, bringt er nach eingabe des Passwortes für die Domaine User oder PW falsch.

meine conf
[Global]
netbios name = smbpdc
workgroup = domain.local
server string = %h server (Samba %v)

domain master = yes
local master = yes
domain logons = yes
os level = 65

guest account = nobody
domain admin group = adm
domain admin users = root,Administrator
root = Administrator
Domain Admins = root,Administrator
security = user

meine /etc/group
adm:x:4:Administrator,root

Ich hänge nun seit einer kleinen Ewigkeit an diesem Problem, auch

net groupmap update rid=512 unixgroup=adm

hat leider nicht den gewünschten Erfolg gebracht :-(




Vielen Dank im vorraus.

root rules

 

[Rumba]

Wie schauts damit aus

Hallo rootrules,


versuch mal das hier:

net groupmap modify ntgroup=“Domain Admins“ unixgroup=adm

Oder versuch mal ne neue Gruppe zu erstellen, vielleicht samba_admin z. B.

Wie schaut denn der Output aus wenn Du "net groupmap list" eingibst?

Kommt das dem Ergebnis nahe:

........
Domain Admins (S-1-5-21-3732367786-856876144-3282938955-512) -> adm
........

 

[aspire_5652]

Hallo ich stehe vor dem gleichen Problem:

Die Gruppe "adm" wurde angelegt. Die Benutzer "root" und "Administrator" wurden in diese Gruppe hinzugefügt:

# grep adm /etc/group
adm:x:109:Administrator,root

Ein Benutzermapping schlug zunächst leider fehl:

# net groupmap modify ntgroup="Domain Admins" unixgroup=adm
Can't map to an unknown group type.

Nach einer Suche im Netz bin ich auf folgendes Statement gestoßen:

# net groupmap modify ntgroup="Domain Admins" unixgroup=adm type=domain.local
Updated mapping entry for Domain Admins

Das Update hat also zunächst funktioniert:

# net groupmap list
Domain Users (S-1-5-21-281483003-3884152089-3744742158-1001) -> samba
Domain Admins (S-1-5-21-281483003-3884152089-3744742158-1000) -> adm

Doch ich wundere mich, wieso man zusätzlich explizit "type=domain.local" angeben musste. Meine Domäne heißt eigentlich "heimnetz.zone"

Doch leider habe ich nach wievor keine Domain-Adminrechte. Wenn ich am Win-XP Client versuche Änderung in "Lokale Benutzer und Gruppen" innerhalb der Computerverwaltung vorzunehmen, wird mit mir dies mit "Zugriff verweigert" quittiert.

Hat jemand eine Idee?

Versionen:
samba-3.3.4-0.1.146
openSUSE 11.0 (i586)

Werden Configs benötigt, dann bitte melden.

 

[ehorn]

Hallo,

meiner Meinung nach liegt das an der RID. Die muss, damit das unter Windows funktioniert, auf 512 stehen. Bei mir hat das einwandfrei mit

net groupmap add rid=512 ntgroup="Domain Admins" unixgroup=adm

funktioniert. Vorher müsste natürlich das bestehende Mapping gelöscht werden. Das ist vor allem unter SuSE-Linux notwendig, weil dort von Anfang an die RID 512 meist schon belegt ist. Dementsprechend zuvor:

net groupmap delete ntgroup="Domain Admins"

Nach dem erneuten Anlegen des Mappings - wie oben angegeben - sollte das Maplisting für "Domain Admins"

Domain Admins (S-1-5-21-281483003-3884152089-3744742158-512) -> adm

lauten. Wieso das mit "type=domain.local" da rein muss, weiß ich nicht. Jedenfalls brauchte ich das bei mir nicht anzugeben.

 

[aspire_5652]

Ok, danke für den Tipp.

der Zusatz "type" bei "net groupmap modify" dient zur zusätzlichen Kennzeichnung für die Art des Logins. Die Eigenschaft ist scheinbar zum Pflichtfeld in Samba 3.3 geworden. Für Domänen-Logins funktioniert auch die Kurzschreibweise "type=d"

@ ehorn:

ich habe deine Anweisungen mal ausgeführt, habe es leider aber nicht hinbekommen

# net groupmap delete sid="S-1-5-21-281483003-3884152089-3744742158-1000"
# net groupmap add ntgroup="Domain Admins" unixgroup=adm rid=512

Das Ergebniss:

#net groupmap list
Domain Users (S-1-5-21-281483003-3884152089-3744742158-1001) -> samba
Domain Admins (S-1-5-21-2148110351-1885310288-3103870393-512) -> adm

Doch leider erhalte ich nachwievor ein "Zugriff verweigert", wenn ich versuche zusätzliche Nutzer in die "Remotedesktopnutzer"-Gruppe unter Win-XP aufzunehmen.

Hat jemand noch einen Tipp?

Hier der entsprechende Auszug aus "/var/log/samba/log.smbd" (debug level = 5)

[2009/09/06 12:27:20,  3] smbd/process.c:process_smb(1554)
  Transaction 695 of length 43 (0 toread)
[2009/09/06 12:27:20,  5] lib/util.c:show_msg(645)
[2009/09/06 12:27:20,  5] lib/util.c:show_msg(655)
  size=39
  smb_com=0x74
  smb_rcls=0
  smb_reh=0
  smb_err=0
  smb_flg=24
  smb_flg2=51207
  smb_tid=0
  smb_pid=65279
  smb_uid=103
  smb_mid=44097
  smt_wct=2
  smb_vwv[ 0]=  255 (0xFF)
  smb_vwv[ 1]=    0 (0x0)
  smb_bcc=0
[2009/09/06 12:27:20,  3] smbd/process.c:switch_message(1378)
  switch message SMBulogoffX (pid 2659) conn 0x0
[2009/09/06 12:27:20,  3] smbd/sec_ctx.c:set_sec_ctx(324)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2009/09/06 12:27:20,  5] auth/token_util.c:debug_nt_user_token(522)
  NT user token: (NULL)
[2009/09/06 12:27:20,  5] auth/token_util.c:debug_unix_user_token(548)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2009/09/06 12:27:20,  5] smbd/uid.c:change_to_root_user(329)
  change_to_root_user: now uid=(0,0) gid=(0,0)
[2009/09/06 12:27:20,  3] smbd/reply.c:reply_ulogoffX(1977)
  ulogoffX vuid=103
[2009/09/06 12:27:20,  5] lib/util.c:show_msg(645)
[2009/09/06 12:27:20,  5] lib/util.c:show_msg(655)
  size=39
  smb_com=0x74
  smb_rcls=0
  smb_reh=0
  smb_err=0
  smb_flg=136
  smb_flg2=51201
  smb_tid=0
  smb_pid=65279
  smb_uid=103
  smb_mid=44097
  smt_wct=2
  smb_vwv[ 0]=  255 (0xFF)
  smb_vwv[ 1]=    0 (0x0)
  smb_bcc=0
[2009/09/06 12:27:20,  3] smbd/process.c:process_smb(1554)
  Transaction 696 of length 39 (0 toread)
[2009/09/06 12:27:20,  5] lib/util.c:show_msg(645)
[2009/09/06 12:27:20,  5] lib/util.c:show_msg(655)
  size=35
  smb_com=0x71
  smb_rcls=0
  smb_reh=0
  smb_err=0
  smb_flg=24
  smb_flg2=51207
  smb_tid=1
  smb_pid=65279
  smb_uid=103
  smb_mid=44161
  smt_wct=0
  smb_bcc=0
[2009/09/06 12:27:20,  3] smbd/process.c:switch_message(1378)
  switch message SMBtdis (pid 2659) conn 0xb7fc3a90
[2009/09/06 12:27:20,  3] smbd/sec_ctx.c:set_sec_ctx(324)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2009/09/06 12:27:20,  5] auth/token_util.c:debug_nt_user_token(522)
  NT user token: (NULL)
[2009/09/06 12:27:20,  5] auth/token_util.c:debug_unix_user_token(548)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2009/09/06 12:27:20,  5] smbd/uid.c:change_to_root_user(329)
  change_to_root_user: now uid=(0,0) gid=(0,0)
[2009/09/06 12:27:20,  3] smbd/sec_ctx.c:set_sec_ctx(324)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2009/09/06 12:27:20,  5] auth/token_util.c:debug_nt_user_token(522)
  NT user token: (NULL)
[2009/09/06 12:27:20,  5] auth/token_util.c:debug_unix_user_token(548)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2009/09/06 12:27:20,  5] smbd/uid.c:change_to_root_user(329)
  change_to_root_user: now uid=(0,0) gid=(0,0)
[2009/09/06 12:27:20,  3] smbd/service.c:close_cnum(1323)
  win-xp (::ffff:192.168.97.130) closed connection to service IPC$
[2009/09/06 12:27:20,  3] smbd/connection.c:yield_connection(31)
  Yielding connection to IPC$
[2009/09/06 12:27:20,  4] smbd/vfs.c:vfs_ChDir(733)
  vfs_ChDir to /
[2009/09/06 12:27:20,  3] smbd/sec_ctx.c:set_sec_ctx(324)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2009/09/06 12:27:20,  5] auth/token_util.c:debug_nt_user_token(522)
  NT user token: (NULL)
[2009/09/06 12:27:20,  5] auth/token_util.c:debug_unix_user_token(548)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2009/09/06 12:27:20,  5] smbd/uid.c:change_to_root_user(329)
  change_to_root_user: now uid=(0,0) gid=(0,0)
[2009/09/06 12:27:20,  5] lib/util.c:show_msg(645)
[2009/09/06 12:27:20,  5] lib/util.c:show_msg(655)
  size=35
  smb_com=0x71
  smb_rcls=0
  smb_reh=0
  smb_err=0
  smb_flg=136
  smb_flg2=51201
  smb_tid=1
  smb_pid=65279
  smb_uid=103
  smb_mid=44161
  smt_wct=0
  smb_bcc=0

Wird da jemand schlau draus?

 

[aspire_5652]

Update: ich habe es hinbekommen:

Die Samba-Installation war derartig verklemmt, dass nur noch eine Neuinstallation geholfen hat:

Folgende Kommandos wurden nach Abschluss der Installation ausgeführt:

useradd -md /home/Administrator -s /bin/bash -g ntadm -G users,video,dialout,samba -e 0 -c "Samba Windows-Administrator" Administrator
chmod 700 /home/Administrator/
passwd Administrator
smbpasswd -a Administrator
net groupmap add ntgroup="Domänen Administratoren" unixgroup=ntadm rid=512
net groupmap add ntgroup="Domänen Benutzer" unixgroup=samba rid=513

Das Ergbeniss:

# net groupmap list
Domänen Administratoren (S-1-5-21-686564711-601574070-2617028892-512) -> ntadm
Domänen Benutzer (S-1-5-21-686564711-601574070-2617028892-513) -> samba

=> Der Administrator hat nun die vollen Berechtigungen!

Doch leider bin nun auf das nächste Problem gestoßen. In den Genuss der "Roaming Profiles" kann nur noch der Administrator kommen. Den Nutzern der Gruppe "Domänen Benutzer" wird das lesen, bzw anlegen der Profile verweigert. Hat da jemand eine Idee?

 

[maxix]

Prüf bitte:
Wie sieht in der smb.conf der Abschnitt für die Freigabe des Profiles aus?