Dar politica GPO (nu funcțională, dar organizațională) vă rog - autentificarea, intrarea în domeniu, adăugarea / blocarea utilizatorului, prescrierea bilelor, imprimantele! Apropo, aici este necesar să le mulțumim Microsoft aceste caracteristici ale meritelor mari ale Samba ale echipei Samba Developers. dar, de asemenea, un pic de Microsoft din cauza deschiderii sale și non-rezistență la această problemă.
Și trebuie să spunem imediat că aceasta este cea de-a 15-a versiune a acestui articol, și exact cea de-a 15-a instalare a SAMBA4 (4.1 acum) în toate celelalte au avut o problemă pe care domeniul a încetat să mai funcționeze după repornirea serverului.
Această configurare diferă de celelalte în următoarele:
- Nu am adăugat utilizatorii la AD în consola Samba de pe server
- Eu, ca Realm, am luat un nume de domeniu arbitrar, iar numele gazdei reale = SAMBA.ITCOOKY_VPS (mai detaliat)
Confirmați relația nu a fost de lucru, principalul lucru!
Pentru a implementa Samba ca AD, trebuie să îndepliniți câteva condiții
- includeți pe discul ACL (nu știu de ce)
- toți clienții trebuie să fie configurat NTP reglează automat ora exactă - este în toate implementările trebuie să fie făcut AD - principalul lucru pe care serverul a fost corectă, iar PC Win tras automat de pe Internet (trebuie să fie).
Du-te la fstab
vi / etc / fstab
Și adăugăm ACL la parametrii atașamentului discului
Pentru a nu restabili, ne conectăm
mount -o acls /
Mergeți la porturi
cd / usr / ports / net / samba41
face
În mod implicit, totul se potrivește, încercați să utilizați serverul Samba DNS încorporat. Podkachivaet lung, care este necesar - poate fi, de asemenea, rupt, apoi din nou face presă. Dacă selectați locațiile pentru a sări peste suport pentru interfața grafică X11, nu este nevoie să o puneți exact.
face instalare
Când am spus "Long" nu ma asteptam asa!
Și trebuie să spun imediat că atunci când nu creați dosarele necesare pentru lucru, le fac manual
mkdir / var / db / samba4 /
mkdir / var / log / samba4 /
Rulați utilitarul pentru a porni domeniul.
/ usr / local / bin / instrumentul samba
Numele Realm SAMBA.ITCOOKY_VPS este format din:
SAMBA - nume de domeniu - arbitrar, acesta va fi numele domeniului pentru introducerea pe PC
ITCOOKY_VPS este numele serverului gazdă, îl puteți vedea cu comanda:
uname -n
Introducem doar faptul că acel indraznet, unde gol, intră în mod implicit în costume.
Realm: SAMBA.ITCOOKY_VPS
Domeniu [samba]:
Server Role (dc, membru, standalone) [dc]:
Suportul DNS (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
Adresă IP DNS pentru transmitere (scrieți "nici unul" pentru a dezactiva redirecționarea) [212.188.4.10]: DNS-ul dvs. ISP
Parola de administrator:
Parola trebuie să fie de tip complex 123qweQWE aceasta este cerința AD
Dosarul / var / db / samba4 / privat creează fișierul krb5.conf și îl copiază în / etc
cp /var/db/samba4/private/krb5.conf /etc/krb5.conf
Editați fișierul resolv.conf
vi /etc/resolv.conf
În el este necesar să adăugați linii
Adăugarea la rc.conf ...
Fișierul /usr/local/etc/smb4.conf a apărut automat, nu îl atingem încă.
Rularea Samba
/ usr / local / sbin / samba începe
Să încercăm
/ usr / local / bin / smbclient -L localhost -U%
face
/ usr / local / bin / smbclient // localhost / netlogon -U Administrator -P -c 'ls'
Acum redăm din nou
vi /etc/resolv.conf
Anterior, a existat un furnizor DNS, am scris IP SAMBA DOMENA, acesta va fi DNS, și el a întrebat, de asemenea, când să instalați care furnizor DNS pentru a trimite cereri. Ar trebui să arate astfel:
Apropo, în / etc / host lăsați să fie (bine, a fost acolo):
verificați
host -t SRV _ldap._tcp.SAMBA.ITCooky_VPS
face
samba_dnsupdate --verbose | grep Eșuat
Vedem jurământul pe cea de-a doua interfață ... încă nu este clar ce implică asta!
Am inserat-o în secțiunea [global] în smb4.conf
După repornirea Samba și de câteva ori executarea comenzii anterioare, erorile dispar
În ambele cazuri, pot fi adăugate înregistrări DNS (dar este mai bine să nu faceți acest lucru)
/ usr / local / bin / samba-instrument dns adăugați
Utilizare: adăugați dns samba-tool
klist
De asemenea, arată ceva (și nu a putut arăta) și este bine!
face
informații despre anunțurile nete
Pare bine
verificați
reclame net testjoin
Nu este plăcut, desigur, dar nu are nimic de-a face cu asta, se pare că e vorba despre un alt dzhoyin!
Acesta poate fi controlat de o consolă (nu este necesară o mai bună), dar am încercat să stabilească graficul. interfață phpLDAPadmin! Pe de o parte, el pare ciudat, nu a lucrat, dar pe de altă parte, la un simplu act elementar de a adăuga utilizatorilor să emită formular în care a trebuit să completeze un nume și nu ktonikto prsto încă nu știu că ... așa că am decis să utilizeze instrumentul de la Microsft!
Am pus sfatul managementului Samba AD de la ferestre, și anume Remote Server Administration Tools pentru Windows 8.1
Și trebuie să spun imediat că acest lucru va funcționa numai cu PC-ul introdus în Domeniu dacă este conectat la Domain Administrator, deoarece atunci când îl introduceți, acesta nu solicită parola, ci încearcă să introducă unul care este în cont.
Și în cazul Windows Enterprase 8.1 și Samba 4, el a venit cu o jumătate de pint - el a verificat în special o instalare proaspătă, deoarece testul a reușit deja să-l ridice în timp ce Samba se înființa. Poate să jure ceva de la DNS, dar nu este esențial.
Și trebuie să spunem imediat că prima intrare sub utilizatorul de domeniu, Windows 8 are răbdare (acest utilizator) pentru putere cu cuvântul Bine ati venit si castiga am rebootat (deși poți să aștepți). Și aici, trebuie să spui imediat că nu vrea să se oprească și este necesar să-l tăiați aproximativ! Dar a doua oară în 37.5 secunde!
Și trebuie să spunem imediat că după instalarea și repornirea scurtăturii pe acest instrument nu se găsește nicăieri, chiar și în plăcile este necesar să se scrie în consola:
dsa.msc
Și sigur, nu descărcați nimic
gpmc.msc
acesta este GPO-ul nostru, îl vedem ca administrator de domeniu
Vom încerca să creăm bilele pentru diferite grupuri de utilizatori și să le înregistrăm cu unitățile de rețea prin GPO
Creați un folder pentru gustul dvs. unul va fi pentru administratori un alt pentru utilizatori
mkdir / usr / samba_share
mkdir / usr / samba_share / admin
mkdir / usr / samba_share / utilizatori
Noi acordăm toate drepturile, probabil nu cea mai bună cale, dar drepturile vor fi determinate de Domeniu
chmod 777 / usr / samba_share / utilizatori
chmod 777 / usr / samba_share / utilizatori
Adăugarea în smb4.conf
vi /usr/local/etc/smb4.conf
jos
Re-citim configurația samba pentru ca schimbările să aibă efect.
smbcontrol toate reload-config
Alte setări pe care le vom face cu Win PC pentru acest lucru, așa cum scriu. Este necesar să grupați administratorii de domenii pentru a da drepturile SeDiskOperatorPrivilege nu uităm să scriem domeniul în loc de SAMBA
Net grant Rpc de drepturi "SAMBA \ Domain Admins" SeDiskOperatorPrivilege -Uadministrator
Drepturile pot fi văzute de către echipă
registrul de drepturi nete din lista de drepturi de rpc -administrator
Acum, încă o dată, mulțumesc Metro Metro pentru toate programele necesare pentru care a fost posibil să se întâmple cu mouse-ul înainte este acum necunoscut în cazul în care vom preda echipa.
Desfășurați gestionarea computerelor
[WIN] + [R]
compmgmt.exe
Apoi, alegeți Acțiune> Conectați-vă la alt computer și introduceți serverul IP și vedem bilele sale! Faceți clic pe bara pe care doriți să o selectați Proprietăți
Ștergeți grupul Everyone din listă, adăugați grupul Adăugați grupul Normalusers pe care l-am adăugat anterior prin dseamsitsa, setați drepturile de citire a înregistrării - nu acordăm drepturi complete (acesta este dreptul de a modifica drepturile).
Noi prescriem în Domeniu, există un astfel de punct de ce să nu prescrie
Repetați și pentru administratori.
Lansăm
gpmc.msc
Defetați politica de domeniu și editați-o
În Configurare utilizator> Preferințe> Setări Windwos> Hărți Drive, selectați New> Driver Mapped
Personalizați, dacă doriți, acțiunea principală> Creați și selectați literele discului astfel încât să nu se potrivească cu celelalte discuri
Repetați și pentru administratori.
Acum am încărca un al doilea sau al treilea (da, pe acest subiect a treia) mașină virtuală am merge sub de utilizator Utilizator, în speranța că voi avea disc de doua rețea K și J, una care pot intra și drugyo acolo, pentru că este pentru administratorii de grup.
Ura! Unitatea de rețea K a utilizatorului a apărut și este scrisă la ea, discul L nu a apărut nici măcar - este potrivit pentru un grup de administratori. Prin link-ul direct \\ 192.168.1.200 \ Admins nu intră solicită parola utilizatorului nu este potrivit!
Sau alt lucru, un lucru util este să împiedicați toți utilizatorii de domenii normale să modifice setările de rețea!
Mergem sub administratorul domeniului din PC-ul introdus în domeniu. rulați:
[WIN] + [R]
gpmc.msc
Vreau să împiedic grupul de utilizatori Normalusers să editeze setările de rețea. În acest fel, le doresc ca membri ai utilizatorilor autentificați să primească unități de rețea (deci nu trebuie să fie configurate din nou pentru GPO Normalusers) - asta va spune logica GPO.
În primul rând, fac doar un alt GPO numit NormalUsers unde în Securuty Filter am alocat grupul Normalusers
Editați acest obiect GPO atât în Configurare utilizator> Politici> Șabloane administrative> Rețea> Conexiuni în rețea și activați opțiunea Activare interzicere la interzicerea configurației TCP / IP advented
Îl închid. Pornesc pe un alt PC și mă duc sub User pe computer, toate unitățile de rețea excelente sunt acolo, a apărut brusc ca un administrator dezactivat, când încerc să deschid conexiunea de rețea Propertis, solicit parola de administrator a domeniului.
Logica GPO este probabil următoarea: pentru un grup de utilizatori există două obiecte GPO, dar acestea nu se află în conflict deoarece majoritatea setărilor din acesta nu sunt definite. Utilizatorul ia pentru el ceea ce este determinat în GPO din ambele. Trebuie să utilizați politica de domenii implicite pentru GPO pentru reguli generale pentru toată lumea și pentru GPO Normalusers pentru un anumit grup. Mă întreb ce se va întâmpla dacă normele încep să contrazică, dar înainte de asta nu puteți aduce - amintiți-vă doar unde este remarcat, pentru ce și pentru care emmm.