Domaingroups

T

tiptel170

Tripel-As
Hallo,

ich weis zwar nicht unter welchem schlagwort ich suchen soll. Aber hier ist meine problematik:

Zwei Stationen mit WinXP Prof. einen Samba-Server mit LDAP-AUthenfiezierung.

Wenn ich mich jtzt unter windwos anmelde, dann hat der netzwerk-user erstmals normale benutzerrechte. Aber mache programme brauchen halt die adminrechte, damit die laufen können.

Das eigendliche problem ist. Ich kann auf der Win-Arbeitsstation jeden Benutzer maluell zuweisen ob er einen "Hauptbenutzer" oder "Administrator" sein soll.

Unter den Benutzerobjekten dort finde ich nur das Objekt "Benutzer"

Wie kann ich dies in der smb-pdc so einrichten (zentral), dass ich bestimmte Benutzer admin-rechte haben und manche nicht?

Wie mache ich es auf der Windows-Arbeitsstation klar? So, dass er immer alle "Domain-Gruppen" findet.

Habe mich schon mit der smbldap-groupadd auseinder gesetzt - kein erfolg. Habe in der ldap-datenbank die gruppenzugehöhrigkeit geänder - kein erfolg.

:hilfe2::hilfe2::hilfe2::hilfe2::hilfe2::hilfe2:

Gruss tiptel170
 
Du suchst Groupmappings. Um eine Gruppe von Domänenadministratoren zu erstellen gehst du wie folgt vor:

1. Erstellen einer Unixgruppe und die entsprechenden Benutzer aufnehmen:
Code:
$ groupadd domadmin
$ usermod -a -G domadmin <BENUTZER>

2. Die Unixgruppe auf Samba abbilden:
Code:
$ net groupmap add ntgroup="Domain Admins" rid=512 unixgroup="domadmin"

Nach einem Neustart von Samba solltest du mit <BENUTZER> entsprechende Domänenadministratorenrechte haben.

Gruß Nicolai
 
Danke für den tipp.

Aber die option -a kennt er nicht.

Code:
sles10:/ # usermod --help
Usage: usermod ...
usermod - modify a user account

  -c comment     Set the GECOS field for the new account
  -D binddn      Use dn "binddn" to bind to the LDAP directory
  -d homedir     Home directory for the new user
  -e expire      Date on which the new account will be disabled
  -f inactive    Days after a password expires until account is disabled
  -G group,...   List of supplementary groups
  -g gid         Name/number of the users primary group
  -l login       Change login name.
  -m             Move home directory to the new path
  -o             Allow duplicate (non-unique) UID
  -A group,...   List of groups the user should be added to
  -R group,...   List of groups the user should be removed from
  -P path        Search passwd, shadow and group file in "path"
  -p password    Encrypted password as returned by crypt(3)
  -s shell       Name of the user's login shell
  -u uid         Change the userid to the given number
  --service srv  Use nameservice 'srv'
  -L             Locks the password entry for "user"
  -U             Try to unlock the password entry for "user"
      --help     Give this help list
      --usage    Give a short usage message
  -v, --version  Print program version
Valid services are: files, ldap

Gruss tiptel170
 
Gut in deinem Fall müsste es heißen:
Code:
$ usermod -A domadmin <USERNAME>
 

Ähnliche Themen

Benutzerprofile werden vom Server nicht kopiert

Nutzerrechte in Samba 3.2

Zurück
Oben