Samba PDC keine Adminrechte auf Windowsclient

Dieses Thema im Forum "Samba" wurde erstellt von rootrules, 13.12.2006.

  1. #1 rootrules, 13.12.2006
    rootrules

    rootrules Grünschnabel

    Dabei seit:
    13.12.2006
    Beiträge:
    1
    Zustimmungen:
    0
    Hallo,

    dies ist mein erster Beitrag in diesem Forum. Ich hänge leider komplett fest...

    Ich nutze debian mit samba 3.0.14a. Mein Windowsclient befindet sich in der Domaine, jedoch mit Benutzerrechten. Ich möchte jedoch einen "Administrator" für meine Windowsrechner nutzen ohne mich immer lokal anmelden zu müssen.

    Lokale Gruppen > Administratoren > Domain und User auswählen ist nicht möglich, da ich keine Rechte dazu habe.

    Melde ich mich mit dem lokalen Admin an und versuche die Rechte zu vergeben, bringt er nach eingabe des Passwortes für die Domaine User oder PW falsch.

    meine conf
    [Global]
    netbios name = smbpdc
    workgroup = domain.local
    server string = %h server (Samba %v)

    domain master = yes
    local master = yes
    domain logons = yes
    os level = 65

    guest account = nobody
    domain admin group = adm
    domain admin users = root,Administrator
    root = Administrator
    Domain Admins = root,Administrator
    security = user

    meine /etc/group
    adm:x:4:Administrator,root

    Ich hänge nun seit einer kleinen Ewigkeit an diesem Problem, auch

    net groupmap update rid=512 unixgroup=adm

    hat leider nicht den gewünschten Erfolg gebracht :-(


    :hilfe2:

    Vielen Dank im vorraus.

    root rules
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Rumba

    Rumba Grünschnabel

    Dabei seit:
    14.12.2006
    Beiträge:
    3
    Zustimmungen:
    0
    Wie schauts damit aus

    Hallo rootrules,


    versuch mal das hier:

    net groupmap modify ntgroup=“Domain Admins“ unixgroup=adm

    Oder versuch mal ne neue Gruppe zu erstellen, vielleicht samba_admin z. B.

    Wie schaut denn der Output aus wenn Du "net groupmap list" eingibst?

    Kommt das dem Ergebnis nahe:

    ........
    Domain Admins (S-1-5-21-3732367786-856876144-3282938955-512) -> adm
    ........
     
  4. #3 aspire_5652, 05.09.2009
    aspire_5652

    aspire_5652 Tripel-As

    Dabei seit:
    02.01.2008
    Beiträge:
    198
    Zustimmungen:
    0
    Hallo ich stehe vor dem gleichen Problem:

    Die Gruppe "adm" wurde angelegt. Die Benutzer "root" und "Administrator" wurden in diese Gruppe hinzugefügt:
    Code:
    # grep adm /etc/group
    adm:x:109:Administrator,root
    Ein Benutzermapping schlug zunächst leider fehl:
    Code:
    # net groupmap modify ntgroup="Domain Admins" unixgroup=adm
    Can't map to an unknown group type.
    Nach einer Suche im Netz bin ich auf folgendes Statement gestoßen:
    Code:
    # net groupmap modify ntgroup="Domain Admins" unixgroup=adm type=domain.local
    Updated mapping entry for Domain Admins
    Das Update hat also zunächst funktioniert:
    Code:
    # net groupmap list
    Domain Users (S-1-5-21-281483003-3884152089-3744742158-1001) -> samba
    Domain Admins (S-1-5-21-281483003-3884152089-3744742158-1000) -> adm
    Doch ich wundere mich, wieso man zusätzlich explizit "type=domain.local" angeben musste. Meine Domäne heißt eigentlich "heimnetz.zone"

    Doch leider habe ich nach wievor keine Domain-Adminrechte. Wenn ich am Win-XP Client versuche Änderung in "Lokale Benutzer und Gruppen" innerhalb der Computerverwaltung vorzunehmen, wird mit mir dies mit "Zugriff verweigert" quittiert.

    Hat jemand eine Idee?

    Versionen:
    samba-3.3.4-0.1.146
    openSUSE 11.0 (i586)

    Werden Configs benötigt, dann bitte melden.
     
  5. ehorn

    ehorn Jungspund

    Dabei seit:
    18.09.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo,

    meiner Meinung nach liegt das an der RID. Die muss, damit das unter Windows funktioniert, auf 512 stehen. Bei mir hat das einwandfrei mit

    funktioniert. Vorher müsste natürlich das bestehende Mapping gelöscht werden. Das ist vor allem unter SuSE-Linux notwendig, weil dort von Anfang an die RID 512 meist schon belegt ist. Dementsprechend zuvor:

    Nach dem erneuten Anlegen des Mappings - wie oben angegeben - sollte das Maplisting für "Domain Admins"

    lauten. Wieso das mit "type=domain.local" da rein muss, weiß ich nicht. Jedenfalls brauchte ich das bei mir nicht anzugeben.
     
  6. #5 aspire_5652, 06.09.2009
    Zuletzt bearbeitet: 06.09.2009
    aspire_5652

    aspire_5652 Tripel-As

    Dabei seit:
    02.01.2008
    Beiträge:
    198
    Zustimmungen:
    0
    Ok, danke für den Tipp.

    der Zusatz "type" bei "net groupmap modify" dient zur zusätzlichen Kennzeichnung für die Art des Logins. Die Eigenschaft ist scheinbar zum Pflichtfeld in Samba 3.3 geworden. Für Domänen-Logins funktioniert auch die Kurzschreibweise "type=d"

    @ ehorn:

    ich habe deine Anweisungen mal ausgeführt, habe es leider aber nicht hinbekommen
    Code:
    # net groupmap delete sid="S-1-5-21-281483003-3884152089-3744742158-1000"
    # net groupmap add ntgroup="Domain Admins" unixgroup=adm rid=512
    Das Ergebniss:
    Code:
    #net groupmap list
    Domain Users (S-1-5-21-281483003-3884152089-3744742158-1001) -> samba
    Domain Admins (S-1-5-21-2148110351-1885310288-3103870393-512) -> adm
    Doch leider erhalte ich nachwievor ein "Zugriff verweigert", wenn ich versuche zusätzliche Nutzer in die "Remotedesktopnutzer"-Gruppe unter Win-XP aufzunehmen.

    Hat jemand noch einen Tipp?

    Hier der entsprechende Auszug aus "/var/log/samba/log.smbd" (debug level = 5)
    Code:
    [2009/09/06 12:27:20,  3] smbd/process.c:process_smb(1554)
      Transaction 695 of length 43 (0 toread)
    [2009/09/06 12:27:20,  5] lib/util.c:show_msg(645)
    [2009/09/06 12:27:20,  5] lib/util.c:show_msg(655)
      size=39
      smb_com=0x74
      smb_rcls=0
      smb_reh=0
      smb_err=0
      smb_flg=24
      smb_flg2=51207
      smb_tid=0
      smb_pid=65279
      smb_uid=103
      smb_mid=44097
      smt_wct=2
      smb_vwv[ 0]=  255 (0xFF)
      smb_vwv[ 1]=    0 (0x0)
      smb_bcc=0
    [2009/09/06 12:27:20,  3] smbd/process.c:switch_message(1378)
      switch message SMBulogoffX (pid 2659) conn 0x0
    [2009/09/06 12:27:20,  3] smbd/sec_ctx.c:set_sec_ctx(324)
      setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
    [2009/09/06 12:27:20,  5] auth/token_util.c:debug_nt_user_token(522)
      NT user token: (NULL)
    [2009/09/06 12:27:20,  5] auth/token_util.c:debug_unix_user_token(548)
      UNIX token of user 0
      Primary group is 0 and contains 0 supplementary groups
    [2009/09/06 12:27:20,  5] smbd/uid.c:change_to_root_user(329)
      change_to_root_user: now uid=(0,0) gid=(0,0)
    [2009/09/06 12:27:20,  3] smbd/reply.c:reply_ulogoffX(1977)
      ulogoffX vuid=103
    [2009/09/06 12:27:20,  5] lib/util.c:show_msg(645)
    [2009/09/06 12:27:20,  5] lib/util.c:show_msg(655)
      size=39
      smb_com=0x74
      smb_rcls=0
      smb_reh=0
      smb_err=0
      smb_flg=136
      smb_flg2=51201
      smb_tid=0
      smb_pid=65279
      smb_uid=103
      smb_mid=44097
      smt_wct=2
      smb_vwv[ 0]=  255 (0xFF)
      smb_vwv[ 1]=    0 (0x0)
      smb_bcc=0
    [2009/09/06 12:27:20,  3] smbd/process.c:process_smb(1554)
      Transaction 696 of length 39 (0 toread)
    [2009/09/06 12:27:20,  5] lib/util.c:show_msg(645)
    [2009/09/06 12:27:20,  5] lib/util.c:show_msg(655)
      size=35
      smb_com=0x71
      smb_rcls=0
      smb_reh=0
      smb_err=0
      smb_flg=24
      smb_flg2=51207
      smb_tid=1
      smb_pid=65279
      smb_uid=103
      smb_mid=44161
      smt_wct=0
      smb_bcc=0
    [2009/09/06 12:27:20,  3] smbd/process.c:switch_message(1378)
      switch message SMBtdis (pid 2659) conn 0xb7fc3a90
    [2009/09/06 12:27:20,  3] smbd/sec_ctx.c:set_sec_ctx(324)
      setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
    [2009/09/06 12:27:20,  5] auth/token_util.c:debug_nt_user_token(522)
      NT user token: (NULL)
    [2009/09/06 12:27:20,  5] auth/token_util.c:debug_unix_user_token(548)
      UNIX token of user 0
      Primary group is 0 and contains 0 supplementary groups
    [2009/09/06 12:27:20,  5] smbd/uid.c:change_to_root_user(329)
      change_to_root_user: now uid=(0,0) gid=(0,0)
    [2009/09/06 12:27:20,  3] smbd/sec_ctx.c:set_sec_ctx(324)
      setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
    [2009/09/06 12:27:20,  5] auth/token_util.c:debug_nt_user_token(522)
      NT user token: (NULL)
    [2009/09/06 12:27:20,  5] auth/token_util.c:debug_unix_user_token(548)
      UNIX token of user 0
      Primary group is 0 and contains 0 supplementary groups
    [2009/09/06 12:27:20,  5] smbd/uid.c:change_to_root_user(329)
      change_to_root_user: now uid=(0,0) gid=(0,0)
    [2009/09/06 12:27:20,  3] smbd/service.c:close_cnum(1323)
      win-xp (::ffff:192.168.97.130) closed connection to service IPC$
    [2009/09/06 12:27:20,  3] smbd/connection.c:yield_connection(31)
      Yielding connection to IPC$
    [2009/09/06 12:27:20,  4] smbd/vfs.c:vfs_ChDir(733)
      vfs_ChDir to /
    [2009/09/06 12:27:20,  3] smbd/sec_ctx.c:set_sec_ctx(324)
      setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
    [2009/09/06 12:27:20,  5] auth/token_util.c:debug_nt_user_token(522)
      NT user token: (NULL)
    [2009/09/06 12:27:20,  5] auth/token_util.c:debug_unix_user_token(548)
      UNIX token of user 0
      Primary group is 0 and contains 0 supplementary groups
    [2009/09/06 12:27:20,  5] smbd/uid.c:change_to_root_user(329)
      change_to_root_user: now uid=(0,0) gid=(0,0)
    [2009/09/06 12:27:20,  5] lib/util.c:show_msg(645)
    [2009/09/06 12:27:20,  5] lib/util.c:show_msg(655)
      size=35
      smb_com=0x71
      smb_rcls=0
      smb_reh=0
      smb_err=0
      smb_flg=136
      smb_flg2=51201
      smb_tid=1
      smb_pid=65279
      smb_uid=103
      smb_mid=44161
      smt_wct=0
      smb_bcc=0
    
    Wird da jemand schlau draus?
     
  7. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  8. #6 aspire_5652, 07.09.2009
    aspire_5652

    aspire_5652 Tripel-As

    Dabei seit:
    02.01.2008
    Beiträge:
    198
    Zustimmungen:
    0
    Update: ich habe es hinbekommen:

    Die Samba-Installation war derartig verklemmt, dass nur noch eine Neuinstallation geholfen hat:

    Folgende Kommandos wurden nach Abschluss der Installation ausgeführt:
    Code:
    useradd -md /home/Administrator -s /bin/bash -g ntadm -G users,video,dialout,samba -e 0 -c "Samba Windows-Administrator" Administrator
    chmod 700 /home/Administrator/
    passwd Administrator
    smbpasswd -a Administrator
    net groupmap add ntgroup="Domänen Administratoren" unixgroup=ntadm rid=512
    net groupmap add ntgroup="Domänen Benutzer" unixgroup=samba rid=513
    Das Ergbeniss:
    Code:
    # net groupmap list
    Domänen Administratoren (S-1-5-21-686564711-601574070-2617028892-512) -> ntadm
    Domänen Benutzer (S-1-5-21-686564711-601574070-2617028892-513) -> samba
    => Der Administrator hat nun die vollen Berechtigungen!

    Doch leider bin nun auf das nächste Problem gestoßen. In den Genuss der "Roaming Profiles" kann nur noch der Administrator kommen. Den Nutzern der Gruppe "Domänen Benutzer" wird das lesen, bzw anlegen der Profile verweigert. Hat da jemand eine Idee?
     
  9. maxix

    maxix Eroberer

    Dabei seit:
    16.03.2006
    Beiträge:
    74
    Zustimmungen:
    0
    Prüf bitte:
    Wie sieht in der smb.conf der Abschnitt für die Freigabe des Profiles aus?
     
Thema:

Samba PDC keine Adminrechte auf Windowsclient

Die Seite wird geladen...

Samba PDC keine Adminrechte auf Windowsclient - Ähnliche Themen

  1. [HINWEIS] Nach Samba Update 3.2.x auf 3.5.x keine Benutzerdatenbank mehr geladen

    [HINWEIS] Nach Samba Update 3.2.x auf 3.5.x keine Benutzerdatenbank mehr geladen: Vorweg - dies ist nur ein Hinweis für ggf. nachfolgende Suchende Nach dem aktuellen Release von Debian 6.0 Codename Squeeze war es nunmehr...
  2. Samba - keinen Zugriff auf die Domäne

    Samba - keinen Zugriff auf die Domäne: Hallo, ich habe einen Server mit DHCP, DNS (dnsmasq), Apache und Squid (transparent). Die IP des Servers lautet 192.168.5.10. Ich kann von...
  3. Samba-Server speichert keine Profile

    Samba-Server speichert keine Profile: Hallo , ich hab da ein Problem das mich schon seit einigen Stunden beschäftigt (12 Std.) Na ja es dreht sich um folgendes: Ich hab...
  4. Samba - Nur homes funktoniert. Keine eigenen Freigaben

    Samba - Nur homes funktoniert. Keine eigenen Freigaben: Hallo zusammen, ich verzweifle gerade ein wenig an meinem Samba-Server. Ich konfiguriere mir per SWAT einen Wolf, aber es funktioniert zum...
  5. samba, drucker durchsuchen keine auflistung

    samba, drucker durchsuchen keine auflistung: Hallo, unter Systemeinstellung bei KDE kann man eine SMB-Druckressource hinzufügen. Im übernächsten Dialog kann ich mit Durchsuchen die...