[Eisfair] [E1] Samba 9.2.0 mit Windows 10 in Domäne

Thomas Bork tom at eisfair.org
Di Mai 5 21:14:08 CEST 2020 

Am 05.05.2020 um 17:47 schrieb Mario Reisinger:

> Schande über mich - das Problem mit dem falschen Kennwort bei der
> Reaktivierung ist geklärt! Wenn ich unter sysdm.cpl nachsehe, sehe ich
> meinen Fehler sofort! Dort gibt es einen Administrativen User (der den
> ich verwende) mit der falschen Domäne (testdomäne\user). Den hab ich
> wohl beim Testen am Samba angelegt und einfach so behalten. Löschen und
> wieder neu anlegen des SAMBA Users behebt das Problem sofort!

Ok, passiert.

> Jetzt ist nur noch die Frage, wie verwaltet man die User "richtig"?
> Normale User sind einfach, anlegen und geht. Aber wie mach ich das mit
> User die lokale Administratorrechte brauchen? Ich hab sie jetzt mal
> einfach der Gruppe root hinzugefügt, aber dadurch haben sie natürlich
> bei den Freigaben zu viel rechte...

Da bleiben wenig Möglichkeiten. Es gibt bei uns bisher nur statische 
Group-Mappings. Siehe Dokumentation:

http://www.eisfair.org/fileadmin/eisfair/doc/node82.html#SAMBAPDC

Die einzige noch nicht vergebene Gruppe ist dabei Domänen-Hauptbenutzer 
(sys, 3). Frühere Windows-Versionen kannten die lokale Gruppe der Power 
Users, die mehr Rechte hatten, als die normalen User. Die Gruppe 
existiert heute noch, das mit den Rechten ist angeblich nicht mehr so - 
probiere also aus, welche Rechte die Gruppe noch hat.

Du musst eine lokale Gruppe auf den Clients haben (z.B. Power Users), 
die bezüglich der Rechte Deinen Vorstellungen entspricht. Die 
entsprechenden Samba-User, die mehr Rechte erhalten sollen, müssen als 
primäre Gruppe users (Domänen-Benutzer) haben und als zusätzliche Gruppe 
sys (Domänen-Hauptbenutzer).
Dann musst Du auf jedem einzelnen Client die Domänengruppe 
Domänen-Hauptbenutzer (sys) auf dem Client in die lokale Gruppe (z.B. 
Power Users) aufnehmen, die bezüglich der Rechte Deinen Vorstellungen 
entspricht (hier gibt es keinerlei Automatik, wie bei den 
Domänen-Administratoren, die automatisch der lokalen Gruppe der 
Administratoren hinzugefügt werden).

Und damit haben die entsprechenden User schliesslich die Rechte der 
lokalen Gruppe...

-- 
der tom
[eisfair-team]

Mehr Informationen über die Mailingliste Eisfair