E
ehorn
Jungspund
Hallo zusammen,
bisher habe ich Samba in erster Linie als File-Server genutzt - das galt für den Verwaltungsbereich unserer Schule. Hier war es so, dass jeder Rechner einem (oder maximal zwei oder drei) bestimmten Personen zugeordnet war. Da brachte ein DC nicht viel, sondern Samba stellt hier nur Server-Verzeichnisse zur Verfügung, die beim Starten über Scripts auf den Clients eingebunden werden.
Im pädagogischen Bereich möchte ich nun einen uralten und baufälligen Server (MS Windows Server 2003) durch Samba ersetzen (Basis: SLES 10 SP2), vor allem, da wir immer mehr Rechner gespendet bekommen und plötzlich die Client-Lizenzen für den Windows Server ein Kostenproblem darstellen. Nun habe ich schon ziemlich viel mit Samba rumgespielt - aber inzwischen verzweifle ich. Ich habe es bisher in ich-weiß-nicht-wieviel-stündiger Arbeit nur ein einziges Mal geschafft, einen Windows-XP-Client an der Samba-Domäne anzumelden. Bei allen weiteren Versuchen (gleiches Basis-Image des Rechners, gleiche Kabel, selbst bei einem erneuten Versuch mit dem gleichen Client) erhalte ich immer die Fehlermeldung, dass der Domain-Controller nicht gefunden werden konnte - manchmal auch, dass der User nicht gefunden werden konnte, der zur Anmeldung berechtigt ist.
Ich kann mir eigentlich nicht vorstellen, dass es wirklich an der Samba-Konfiguration liegt. Diese gebe ich hier dennoch einmal an:
Kurz zur Erklärung der Grundkonfiguration (weitere Shares habe ich rausgelassen): "logon path" ist leer, weil ich lokale Profile erzwingen will (hat auch auf dem einen Client, der mal funktioniert hat, geklappt); aus dem gleichen Grund fehlt die PROFILES-Sektion.
Das Verrückte bei meinem Problem: Wenn ich die Clients in die Arbeitsgruppe "schule" bringe, kann ich über "\\server\freigabename" ohne Probleme auf die Shares zugreifen; Samba ist also ansprechbar. Wenn ich nun aber versuche, in die Domäne "schule" einzutreten, bekomme ich dauernd die oben erwähnten Probleme.
Mein Problem: Ich weiß im Moment nicht mehr, wo ich noch bei der Suche ansetzen soll. Hat jemand eine Ahnung, warum Samba Zugriffe auf die Shares bei gleicher Arbeitsgruppe erlaubt, aber sich weigert, die DC-Anmeldung anzunehmen (bzw. als DC nicht erreichbar zu sein scheint). Der frühere DC (Windows 2003) ist bei meinen Versuchen stets abgeschaltet gewesen, zudem habe ich längere Zeit (> 1 Stunde) gewartet, damit Samba seine DC-Dienste im Netzwerk anbieten kann.
Zuletzt noch eine ganz andere Frage: Mir ist ein Problem bei dem Client aufgefallen, der mal vorübergehend lief. Nutzer, die durch Samba angemeldet werden, haben keine lokalen Admin-Rechte. Die würde ich den Benutzern aber gerne geben (bzw. muss ich, weil viele Lernprogramme die erfordern). Bevor sich jetzt einer über den Sicherheitsaspekt aufregt: In allen Clients sind PC-Wächter-Karten installiert, die Veränderungen an den Clients nach einem Neustart rückgängig machen. Das ist für ein schulisches Umfeld eine sehr gute Lösung. - Die Frage also: Wie bekomme ich es hin, dass Benutzer innerhalb der Domäne lokale Admin-Rechte bekommen, ohne dass ich die Nutzer zusätzlich auf den Clients anlegen und von Hand mit Admin-Rechten ausstatten muss. Beim Test-Client war nämlich das Problem, dass nicht einmal die "Default User"-Dateien gelesen werden dürften, weshalb der Client in der Windows-Grundkonfiguration und mit englischer Tastatur startete [wegen erzwungenen lokalen Profilen].
Bei Suchen im Internet habe ich gefunden, dass angeblich der Befehl
dafür sorgen soll, wobei natürlich "smbusers" dann die primäre Gruppe der Samba-User sein muss. Habe ich so gemacht, hat aber keinerlei Auswirkungen gehabt.
Für alle Tipps vielen Dank im Voraus.
bisher habe ich Samba in erster Linie als File-Server genutzt - das galt für den Verwaltungsbereich unserer Schule. Hier war es so, dass jeder Rechner einem (oder maximal zwei oder drei) bestimmten Personen zugeordnet war. Da brachte ein DC nicht viel, sondern Samba stellt hier nur Server-Verzeichnisse zur Verfügung, die beim Starten über Scripts auf den Clients eingebunden werden.
Im pädagogischen Bereich möchte ich nun einen uralten und baufälligen Server (MS Windows Server 2003) durch Samba ersetzen (Basis: SLES 10 SP2), vor allem, da wir immer mehr Rechner gespendet bekommen und plötzlich die Client-Lizenzen für den Windows Server ein Kostenproblem darstellen. Nun habe ich schon ziemlich viel mit Samba rumgespielt - aber inzwischen verzweifle ich. Ich habe es bisher in ich-weiß-nicht-wieviel-stündiger Arbeit nur ein einziges Mal geschafft, einen Windows-XP-Client an der Samba-Domäne anzumelden. Bei allen weiteren Versuchen (gleiches Basis-Image des Rechners, gleiche Kabel, selbst bei einem erneuten Versuch mit dem gleichen Client) erhalte ich immer die Fehlermeldung, dass der Domain-Controller nicht gefunden werden konnte - manchmal auch, dass der User nicht gefunden werden konnte, der zur Anmeldung berechtigt ist.
Ich kann mir eigentlich nicht vorstellen, dass es wirklich an der Samba-Konfiguration liegt. Diese gebe ich hier dennoch einmal an:
[global]
workgroup = schule
netbios name = server
wins support = yes
server string = Server
domain master = yes
local master = yes
preferred master = yes
os level = 250
host name lookups = yes
security = user
encrypt passwords = yes
domain logons = yes
map to guest = never
logon drive = h:
logon home = \\%N\%U
time server = yes
logon script = logon.bat
logon path =
add machine script = /usr/sbin/useradd -g computers -d /var/lib/nobody -s /bin/false %u$
[netlogon]
path = /home/local/sonstige/netlogon
read only = yes
writeable = no
browseable = no
writelist = @ntadmin
Kurz zur Erklärung der Grundkonfiguration (weitere Shares habe ich rausgelassen): "logon path" ist leer, weil ich lokale Profile erzwingen will (hat auch auf dem einen Client, der mal funktioniert hat, geklappt); aus dem gleichen Grund fehlt die PROFILES-Sektion.
Das Verrückte bei meinem Problem: Wenn ich die Clients in die Arbeitsgruppe "schule" bringe, kann ich über "\\server\freigabename" ohne Probleme auf die Shares zugreifen; Samba ist also ansprechbar. Wenn ich nun aber versuche, in die Domäne "schule" einzutreten, bekomme ich dauernd die oben erwähnten Probleme.
Mein Problem: Ich weiß im Moment nicht mehr, wo ich noch bei der Suche ansetzen soll. Hat jemand eine Ahnung, warum Samba Zugriffe auf die Shares bei gleicher Arbeitsgruppe erlaubt, aber sich weigert, die DC-Anmeldung anzunehmen (bzw. als DC nicht erreichbar zu sein scheint). Der frühere DC (Windows 2003) ist bei meinen Versuchen stets abgeschaltet gewesen, zudem habe ich längere Zeit (> 1 Stunde) gewartet, damit Samba seine DC-Dienste im Netzwerk anbieten kann.
Zuletzt noch eine ganz andere Frage: Mir ist ein Problem bei dem Client aufgefallen, der mal vorübergehend lief. Nutzer, die durch Samba angemeldet werden, haben keine lokalen Admin-Rechte. Die würde ich den Benutzern aber gerne geben (bzw. muss ich, weil viele Lernprogramme die erfordern). Bevor sich jetzt einer über den Sicherheitsaspekt aufregt: In allen Clients sind PC-Wächter-Karten installiert, die Veränderungen an den Clients nach einem Neustart rückgängig machen. Das ist für ein schulisches Umfeld eine sehr gute Lösung. - Die Frage also: Wie bekomme ich es hin, dass Benutzer innerhalb der Domäne lokale Admin-Rechte bekommen, ohne dass ich die Nutzer zusätzlich auf den Clients anlegen und von Hand mit Admin-Rechten ausstatten muss. Beim Test-Client war nämlich das Problem, dass nicht einmal die "Default User"-Dateien gelesen werden dürften, weshalb der Client in der Windows-Grundkonfiguration und mit englischer Tastatur startete [wegen erzwungenen lokalen Profilen].
Bei Suchen im Internet habe ich gefunden, dass angeblich der Befehl
net groupmap add ntgroup="Domain Admins" unixgroup="smbusers"
dafür sorgen soll, wobei natürlich "smbusers" dann die primäre Gruppe der Samba-User sein muss. Habe ich so gemacht, hat aber keinerlei Auswirkungen gehabt.
Für alle Tipps vielen Dank im Voraus.