Samba PDC und Domänengruppen

Samba verwaltet Berechtigungen der Benutzern und Gruppen auf der Linux-Ebene. Mit Hilfe von net groupmap list werden die aktuell konfigurierten Gruppen angezeigt. Wenn bis jetzt noch keine Gruppe gemappt ist, bekommt man auch eine leere liste zurück.

 

Beim Anlegen von neuem Benutzer wird der Benutzer sofort der Gruppe "Domänen-Benutzer" zugeordnet. Mit RID=513 kann man das gut erkennen.

Bei Ausführung des Befehls pdbedit -Lv benutzername

unter

Primary Group SID: S-1-5-21-1484962838-348979990-2210860xxx-513

 

Jeden Benutzer kann man mehreren Gruppen zuweisen.

 

Die Administratoren sollten der Gruppe "Domänen-Administratoren" zugewiesen werden, auf diese Weise haben die auch Administratorrechte auf jedem Computer der Domäne.

 

 

Zuweisung von bestimmten Benutzern zu der Gruppe "Domänen-Admins"

 

1.

Zuerst erstellt man in System z.B. mit YaST eine Gruppe mit dem Namen DomainAdmins. Die Zukünftige Domänen-Admins werden zu der Gruppe zugefügt inkl. der Benutzer Administrator.

 

2.

Jetzt kann man die Gruppe mappen. Wichtig dabei ist, dass die RID=512 ist.

net groupmap add rid=512 ntgroup="Domänen-Admins" unixgroup=DomainAdmins

 

Will man die Gruppe wieder löschen, dann mit...

net groupmap delete ntgroup="Domänen-Admins"

Tips zu Verwaltung

Einige Informationen am besten in einer Textdatei speichern, das wichtigste sind die SID-Nummer. Sollten man zufällig einen Benutzen löschen, muss man dann ihn wieder wiederherstellen. Am schnellsten ist es den Benutzer neu anzulegen und die alte SID-Nummer zuweisen.

 

LinuxPDC:/ # pdbedit -Lv > user_samba_SID.txt
LinuxPDC:/ # net getlocalsid > domaene_SID.txt

 

 

Wenn es notwöndig wäre, kann man neue SID für die Domäne setzen

LinuxPDC:/ # net setlocalsid S-1-5-21-1484962838-348979990-2210860658

 

 

Das ersetzen der SID Nummer als Beispiel bei einem Benutzer.

LinuxPDC:/ # pdbedit -U S-1-5-21-1484962838-348979990-2210860658-666 -u benutzername