Исходное сообщение
"Ldap группа с Локальными правами админа на машине в домене" Отправлено anonimous, 01-Ноя-09 18:47
>>[оверквотинг удален] >>>Как сделать группу в ldap чтобы она при логине в систему win >>>попадала в локальную группу "Администрторы"? 512 группа (SID S-1-5-21-XXXXXXXXX-XXXXXXXXX-XXXXXXXXXX-512), у меня групмап Domain Admins->smbadmins, при присоединении компа к домену дописывается в группу Администраторы локальную как DOMAIN\smbadmins. >[оверквотинг удален] >Еще такой вопрос: >вот есть 2 глобальные samba/доменные группы. >как сделать так чтобы пользователям из этих двух групп можно было бы >писать в шару самбы (неужели только создавать 3 группу). Ведь в >linux у одной дирректории корорую расшариваешь можнт быть только одна шруппа, >вот заморочилл... надеюсь понятно. > >то есть если у директории в unix группа BIT_PDC\Managers > >то писать в нее могут через шару только пользователи входящие в эту группу, несмотря на указание write users = @"BIT_PDC\Managers", @"BIT_PDC\Flashers" ---> толку ноль... Вероятно, write users = @"Managers" @"Flashers" - разделитель у меня пробел, и домен я не ставлю - он у меня один, хотя и территориально распределенный на 3 отдельных офиса. И valid users = @"Managers" @"Flashers" я бы тоже поставил, если пользователям других групп не надо сюда ходить. Смотрите net groupmap list и Дисковые права на доступ к базовой директории шары Сделайте в Миднайте (мс) меню ->файл ->смена владельца/группы. Есть там группа BIT_PDC\Flashers или просто Flashers? Насколько я знаю, дисковые права определяется Никсовыми группами, а не Самбовскими/ЛДАПовскими. Никсовая группа НЕ может иметь в имени больших букв. Дисковые права (Никс) должны разрешать всем членам обоих групп писать в целевую директорию, следовательно, всем пользователям -  то есть chmod -R o+w делать придется... Либо (как у меня) группа users->Domain Users владелец всех Самбовских шар, и это первичная группа для всех Самба юзеров. Администраторы же домена и так на любую шару заходят. Права доступа через Самбу (с Виндовых машин) определяются конфигом Самбы, а дисковые права (Никс) придется ставить из Никсов... Далее, на шару общую для 2-х и более групп force directory mode = 0777 force create mode = 0777 если писать в файлы должны обе группы... НО БУДЬТЕ ВНИМАТЕЛЬНЫ!!! LoginShell=/bin/true или LoginShell=/bin/false для КАЖДОГО Самба юзера или конец Вашей безопасности... И еще не должно быть пустых домашних директорий у Самба юзеров - это в любом случае... Если же Вам нужен настоящий шелл для Виндовых пользователей - то только третья группа, и force group = "Ваша Общая Группа" в шаре. С наилучшими пожеланиями Владимир.