• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

(SuSE Linux)Samba als Domänecontroller

M

michael390

Hi Leute , ich hab eine Frag an euch und ich hoffe das ihr mir helfen könnt :)
Ich hab mit Samba nen Domäne Controller aufgezogen der recht gut funktioniert nur leider hackt es bei ein paar sachen :(
Ich komm einfach nicht dahinter wie ich einen Global System Admin für die windows (Xp) clients einrichten kann so dass ich mich auf jedem Xp einloggen kann mit dem Admin konto und dort alles als System Admin einstellen kann...
 
OP
M

michael390

großen dank :D

ich werd mir das gleich mal durchlesen und ausprobieren :)
wenn was nicht klappt meld ich mich nochmal :)
 
OP
M

michael390

Also ich hab versucht wie in der How to beschrieben mit dem Befehl
net groupmap add ntgroup=„Domänen Administratoren“ unixgroup=domadm den Admin anzulegen... hat soweit auch geklappt... es kam keine Fehlermeldung.
Dann hab ich den Samba mal neugestartet und dann hab ich versucht mich als Admin bei ner maschine einzuloggen... auch das hat noch geklappt, doch als ich Administrative Tätigkeiten auf dem Windows Client machen wollte kam die Fehlermeldung das ich keine Admin rechte hätte... ich versteh das nicht, wo liegt den da der Fehler?? muss ich in der smb.conf noch zusätzlich was eintragen?
 
S

stka

Hast du alle erforderliche Gruppen aus der Liste (RID 512 513 514) angelegt? Hast du das gemacht bevor die Windowsclients in die Domäne aufgenommen hast? Schau mal ob in der lokalen Gruppe "Administratoren" deine Admingruppe Mitglied ist. Denn nur dann hast du lokale Adminrechte. Wenn die Groupmappings vor dem Hinzufügen zur Domaine bereits vorhanden sind, dann passiert die Gruppenzuordnung, wie in einer "echten" Windowsdomäne, automatisch.
 
OP
M

michael390

Gruppen hab ich auf den Win Clients keine angelegt, wo genau muss ich die eintragen und wie, kann ich das irgendwie automatisieren oder so oder muss ich da immer zu jedem winclient hinlaufen und das vorher eintragen? wenn da jemand 500 rechner oder so verwaltet ist das je enormer stress....

in der samba version 2.2 oder so gab es die option domain admin users, musste man da auch gruppen oder so auf dem win client eintragen?
oder ging das dann automatisch bzw gibts da nen ähnlichen eintrag für samba 3.0 oder so?
 
S

stummel

Wer hat denn gesagt das du auf den Win-Clients irgendwas eintragen sollst? Die "Eintragungen" erfolgen auf dem Server. Dort mußt du die Gruppen erstellen die dann gemappt werden. Hast du das HowTo wirklich gründlich gelesen? Das steht da nämlich alles drinn.

Poste hier bitte mal die Ausgabe von "net groupmap list".
 
OP
M

michael390

ok hier die list:

System Operators (S-1-5-32-549) -> -1
Domänen-Administratoren (S-1-5-21-1391415704-2522623-790865182-3001) -> 1000
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domänen Administratoren (S-1-5-21-1391415704-2522623-790865182-2005) -> domadm
Domain Users (S-1-5-21-1391415704-2522623-790865182-513) -> -1
Power Users (S-1-5-32-547) -> -1
Administratoren (S-1-5-21-1391415704-2522623-790865182-1143) -> ntadmin
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Domain Admins (S-1-5-21-135484457-4116922335-1852552788-512) -> -1
Domain Admins (S-1-5-21-1391415704-2522623-790865182-512) -> -1
Domain Users (S-1-5-21-135484457-4116922335-1852552788-513) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
Domain Guests (S-1-5-21-135484457-4116922335-1852552788-514) -> -1
Domain Guests (S-1-5-21-1391415704-2522623-790865182-514) -> -1
 
S

stummel

michael390 schrieb:
ok hier die list:


Domänen-Administratoren (S-1-5-21-1391415704-2522623-790865182-3001) -> 1000
Domänen Administratoren (S-1-5-21-1391415704-2522623-790865182-2005) -> domadm

Domain Admins (S-1-5-21-135484457-4116922335-1852552788-512) -> -1
Domain Admins (S-1-5-21-1391415704-2522623-790865182-512) -> -1
Zum Vergrößern anklicken....

Da haben wir auch schon das Problem, bzw. die Probleme. Die beiden Einträge mit den "Domänen-Administratoren" kannst du gleich wieder löschen (net groupmap delete). Genauso einen von den beiden "Domain Admins". Da ist es aber wichtig das du den mit der richtigen SID behälst. Deine SID erfährst du mit dem Befehl "net getlocalsid".

Am Ende darf es dann nur noch einen Eintrag für die Domain Admins mit deiner SID geben. Ganz wichtig ist die "512" am Ende.

Dieser muß dann, da bei Suse schon vorhanden, nicht neu angelegt, wie im Howto beschrieben, sondern modifiziert werden. Dazu dient der Befehl "net groupmap modify". Die Vorgehensweise steht auch im Howto.

Nach dieser Modifizierung darf dann hinter der Klammer nicht mehr "-> -1" stehen, sondern "-> domadm (also der von dir angelegte Gruppenname).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben