Lokale Adminrechte entfernen???

A

avenTOURero

Grünschnabel
Hallo zusammen,

bin absoluter Samba Anfänger und stehe vor folgendem Problem, hoffe hier kann mir jemand helfen:

Wir nutzen in der Firma Windows XP Clients mit einem Linux SuSe Server als Domain Controller. Die (Roaming) Profile der einzelnen user werden auf dem Linux Server als .msprofiles gespeichert. Jeder user hat auf seinem Rechner lokale Admin Rechte. Dies möchte ich aus Sicherheitsgründen gerne unterbinden und mir wurde gesagt, dies ließe sich über die smb.conf regeln. Entziehe ich den usern die lokalen Admin Rechte schreibt der client PC beim runterfahren die user Profile nicht sauber in den .msprofile Ordner zurück.

Es muss doch möglich sein, dies zu ändern oder?

Besten Dank im Voraus.

Gruß,
avenTOURero

Anbei meine smb.conf

Code:
# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2008/01/23 15:07:55

[global]
	workgroup = TOUR
	server string = Samba 3.0.23d
	update encrypted = Yes
	map to guest = Bad User
	unix password sync = Yes
	printcap name = cups
	add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
	logon script = login.cmd
	logon path = \\%L\profiles\.msprofile
	logon drive = P:
	logon home = \\%L\%U\.9xprofile
	domain logons = Yes
	os level = 99
	preferred master = Yes
	domain master = Yes
	wins support = Yes
	ldap ssl = no
	usershare allow guests = Yes
	admin users = max, root
	create mask = 0777
	directory mask = 0777
	cups options = raw

[homes]
	comment = Home Directories
	valid users = %S, %D%w%S
	read only = No
	inherit acls = Yes
	browseable = No

[profiles]
	comment = Network Profiles Service
	path = %H
	read only = No
	create mask = 0600
	directory mask = 0700
	store dos attributes = Yes

[users]
	comment = All users
	path = /home
	read only = No
	inherit acls = Yes
	veto files = /aquota.user/groups/shares/

[printers]
	comment = All Printers
	path = /var/tmp
	create mask = 0600
	printable = Yes
	browseable = No

[print$]
	comment = Printer Drivers
	path = /var/lib/samba/drivers
	write list = @ntadmin, root
	force group = ntadmin
	create mask = 0664
	directory mask = 0775

[netlogon]
	comment = Network Logon Service
	path = /var/lib/samba/netlogon
	write list = root

[backup]
	comment = Backupverzeichnis
	writeable = yes
	path = /home/backup


[samba]
	comment = smb.conf
	path = /etc/samba
 
Zuletzt bearbeitet:
Bitte benutze fuer Auszug aus Configs die Code Tags, du kannst deine Beitraege ueber den Aendern-Button editieren ;)
 
Wie meinst du das mit lokalen adminrechten? Es gibt auf den XP Clients logischerweise einen Admin aber diesen benutzer fügst du ja nicht zur domain hinzu...Ein Benutzer hat halt adminrechte auf den Clients...Weiß nicht so genau was du meinst...
 
Hola,

mit lokalen Adminrechten meine ich, dass jeder user der sich an der Domaine (TOUR) anmelden möchte auf dem XP Client über die Computerverwaltung in der Gruppe Administratoren als (TOUR\username) eingetragen sein muss. Sobald ich ihn in die Gruppe der Benutzer eintrage um auf Rechte auf Windows Ebene einzuschränken werden Änderungen im .msprofile nicht sauber zurück geschrieben.

Gruß
avenTOURero

PS - Wie funzt das mit den Code Tags ???
 
Häää? Die Benutzer werden am PDC authentifiziert und nicht am Client selber. Er muss nicht in der Gruppe Administratoren eingetragen sein. Der User wird auf dem PDC angelegt und nicht auf der Windoofs-Maschine. Dannach joint man der D, startet den Win rechner neu und meldet sich mit dem, auf dem PDC angelegten User am Server an.

Sry vielleicht habe ich auch gerade einen Denkfehler aber ich kann mich nicht daran errinern das ich den Benutzer irgendwie auf den Windoof´s Rechnern angelegt habe.

Nimm die User doch einfach mal aus der Admingruppe ;)
 
Zuletzt bearbeitet:
Ich habs dir extra verlinkt, wer sich mit Samba rumschlaegt, sollte sowas eigentlich hinkriegen... :|

sorry, habe den link übersehen ;-). Ist nun geändert.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Häää? Die Benutzer werden am PDC authentifiziert und nicht am Client selber. Er muss nicht in der Gruppe Administratoren eingetragen sein. Der User wird auf dem PDC angelegt und nicht auf der Windoofs-Maschine. Dannach joint man der D, startet den Win rechner neu und meldet sich mit dem, auf dem PDC angelegten User am Server an.

Ich lege den user ja auch nicht lokal an, sondern trage in der Gruppe der Administratoren ein, dass der user TOUR\user mitglied in der Gruppe ist.

Sry vielleicht habe ich auch gerade einen Denkfehler aber ich kann mich nicht daran errinern das ich den Benutzer irgendwie auf den Windoof´s Rechnern angelegt habe.

Nimm die User doch einfach mal aus der Admingruppe ;)

Habe ich gemacht. Dann werden die Roaming Profile nicht mehr sauber syncronisiert, sprich ich lösche zB ein Dokument auf dem Desktop und sobald ich den PC neu starte ist es wieder da.
 
Zuletzt bearbeitet:
So ich habe mal meine alte smb.conf rausgekramt mit der funzt alles wunderbar ich hänge sie dir einfach mal an vllt. hilft dir das weiter...Mit den XP-Clients musste ich nichts machen auser halt der Domäne joinen...

Code:
[global]
	workgroup = Chaos
	netbios name = smart
	server string = home
	encrypt passwords = yes
	local master = yes
	os level = 80
	domain master = yes
	domain logons = yes
	logon script = %u.bat
	logon path = \\%L\profiles\%u
	logon home = \\%L\%u
	logon drive = U:
	admin users = root
	security = user
	printing = cups
	printcap name = cups

[homes]
	# ADDED BY KASPERSKY ANTI-VIRUS FOR SAMBA SERVERS 5.5
	comment = Home-Verzeichnisse
	read only = no
	create mask = 0700
	browseable = no

[pub]
	# ADDED BY KASPERSKY ANTI-VIRUS FOR SAMBA SERVERS 5.5
	comment = Public
	read only = no
	path = /net/public

[newz_dat]
	# ADDED BY KASPERSKY ANTI-VIRUS FOR SAMBA SERVERS 5.5
	comment = Newz
	read only = no
	path = /net/newz_dat
	browseable = no

[tune_dat]
	# ADDED BY KASPERSKY ANTI-VIRUS FOR SAMBA SERVERS 5.5
	comment = Tune
	read only = no
	path = /net/tune_dat
	browsable = no

[netlogon]
	# ADDED BY KASPERSKY ANTI-VIRUS FOR SAMBA SERVERS 5.5
	comment = Network Logon Service
	browsable = no
	path = /var/samba/share/netlogon
	read only = yes

[profiles]
	# ADDED BY KASPERSKY ANTI-VIRUS FOR SAMBA SERVERS 5.5
	comment = Benutzerprofile
	path = /var/samba/share/profiles
	create mask = 0600
	directory mask = 0700
	browsable = no
	read only = no

[printers]
	Comment = Alle Drucker
	printable = yes
	path = /var/tmp
	create mask = 0600
	browsable = no
 
ok vielen Dank, werde das am Wochenende mal Testen und sage dann bescheid.

Gruß
Max
 

Ähnliche Themen

Mit Windows auf Ubuntu Ordner erstellen

Samba 4.9.5-Debian - Kennwort von unix übernehmen

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

SMB Zugriff auf Homeshare

Samba Dateien und Ordner verschieben

Zurück
Oben