Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA

Автор: Rucheiooo Дата: 17.12.2009 11:25 Есть 2 машины:
1 машина = ASP Linux Server CPE
2 машина = Windows XP SP3

Я в свойствах службы файлового сервера указал рабочую групу RT, потом в окне свойств и с помощью пункта "Запуск контролера домена" контекстного меню службы файлового сервера запустил контроллер домена.

Далее, зарегестрирывал пользывателя asas в качестве samba-пользывателя, для обеспечения возможности регистрации Windows-машин в организованном домене.

Потом в Windows на рабочем столе щелкнул по пиктограмме "Мой компьютер", выбрал закладку "Имя компьютера" и нажал кнопку "изменить". В появшемся окне свойств выбрал переключатель "Является членом домена" и указал в качестве имени домена имя рабочей группы RT. В появившемся окне аутентификации задал имя пользывателя "asas" и пароль. Нажал "ОК"
выскочело окно с ошибкой "При присоединении к домену "RT" произошля следующая ошибка: Отказано в доступе."
Помогите пожалуйсто разобраться в этой ситуации.
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 17.12.2009 16:59Chief А вот на счет:

> В появшемся
> окне свойств выбрал переключатель "Является членом
> домена" и указал в качестве имени домена имя
> рабочей группы RT.

тут еще можно поспорить. Я подозреваю что винда ожидает что-то типа rt.lan

Вообще если уж хочется сделать аналог AD то нужно брать OpenLDAP.
им можно управлять через phpldapadmin очень удобно, как нибудь соберусь с мыслями и набросаю коротенькую инструкцию по установке
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 25.12.2009 10:36AndreyPA А когда набросаешь жду с нетерпением. Хочу сделать домен на Linux. + samba. Оставить один сервак с WinTerminal на W2K3 а остальное на linux перевести (шлюз, домен, файл сервер с печатью и SQL (firebird))
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 28.12.2009 18:36Chief На счет WinTerminal есть вот такая тема:
http://www.forum.mista.ru/topic.php?id=405082

А на счет полноценной замены AD тут очень трудно. На OpenLDAP можно настроить авторизацию клиентов win и адресную книгу, но не более, разграничить права доступа на общие ресурсы можно на samba, но сделать так чтобы каким-либо готовым open source решением заменить хотя-бы на 50% AD этого не получится. На openLDAP точно не получится запретить юзерам коннектить флешки к компу.
Но есть что-то на подобе AD у Nowell'a, но это опять же все платное. Еще слышал по-моему есть что-то в SUSE (в этом не уверен).
На OpenLDAP вообще можно все сделать, но какого размера должен быть для этого напильник? Если бы были готовы схемы под win, DNS и DHCP, это бы сильно сократило размер напильника, но пока готовых решений нет, а жаль.
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 29.12.2009 00:31BigAndy
Цитата:
но пока готовых решений нет, а жаль.

Как только линуксоидам подобные костыли понадобятся - таки появятся...
В линуксе все гораздо более строго ранжировано.


Вот, стесняюсь спросить.. А что всем ак дался масдайный АД? Что в нем такого естть, чего нельзя реализовать суровыми нативными линуксовыми методами
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 29.12.2009 03:21Chief Не стесняйся спрашивай!

Если встает задача по разграничению ресурсов для достаточно большой и распределенной фирмы (чтобы не мелочиться на 2-3 тыс. компов, хотя я думаю от 500). т.е. поднять корпоративную почту, dhcp, dns, настроить сетевые принтеры, папки общего доступа и т.д. и т.п., то вот для того чтобы сидеть за одним компом и спокойно все это разруливать нет более менее готового open source решения.
Можно подружить dhcp и dns, но для того чтобы это прикрутить к OpenLDAP нужен просто фантастических размеров напильник и уйма времени для написания схем и т.п. Потом смотрим почту, опять таки то же самое, нужно писать свои схемы и скрипты, чтобы все это работало вместе с sendmail или postfix, нет никаких даже наметок на это как с dhcp и dns. Даже если все это получится соединить, как будем например рулить виндовыми системами, в таких больших фирмах это тоже приходится делать, средствами OpenLDAP можно только организовать авторизацию на машине, а как же разрешения и т.п.
А как реализовать разрешения на smb ресурсы централизовано, опять же таких схем готовых нету, а общие принтеры, как указать в cups что василию можно печатать но цветном принтере, а маше нельзя.
А как запретить на виндовом компе подключать флешки?
И с почтой, адресную книгу согласен грузить можно но как это соединить все вместе, чтобы в OpenLDAP создал учетную запись и к нему автоматом создавалась учетная запись на почтовом сервере и т.д. и т.п.

Я не спорю что все о чем я написал можно организовать на линуксе кучей самописных скриптов. Будет это работать примерно так:
1. Создаем юзера в LDAP
2. прописываем его ручками в dhcp и dns
3. создаем ему почтовый ящик, потом настраиваем у него на компе почту
4. потом еще по сети к нему должны при авторизации грузиться скрипты которые немножко разруливают его настройки
5. редактируем все samba ресурсы
6. по моему я еще что-то забыл в общем и т.д.
если сотрудник поменял отдел, проделываем процедуру заново.
если необходимо например изменить права доступа к принтеру - долго и упорно смотрим конфиги и т.д.
получится что вместо 2-3 человек которые могут управлять всей этой системой на AD имеем целый штат админов которые будут целыми днями осуществлять вышеописанные действия, плюс мониторить это все надо, и перепроверять.

Цитата:
Как только линуксоидам подобные костыли понадобятся - таки появятся...
В линуксе все гораздо более строго ранжировано.

Не поверите! Нужно! а нету.
Тут дело все как раз не в строгости а в гибкости.
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 29.12.2009 07:56BigAndy Chief Пишет:
-------------------------------------------------------
>для того чтобы сидеть за одним
> компом и спокойно все это разруливать нет более
> менее готового open source решения.

А есть большая разница в администрировании большой и малой сети? Достаточно пару десятков скриптов, чтобы рулить любой сетью хоть с мобильного тетефона.


Для любителей унылого AD есть [www.redhat.com] И то только для тех, кто не может отказаться от привычки маздайных решений.
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 29.12.2009 13:35Chief Спасибо за информацию. С ходу ничего конкретного не нашел, но думаю стоит рассмотреть повнимательнее.
Если все что написано в обзорах правда, даже если часть, то есть смысл лезть в документацию.
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 07.01.2010 09:07AndreyPA Chief Пишет:
-------------------------------------------------------
> На счет WinTerminal есть вот такая тема:
> [www.forum.mista.ru]

Проблема не только в 1С но блин нужен грёбанный MSOffice не ниже 2003. Ну и так по мелочи всякие RIK и иже с ними поэтому Пока Terminal на W2K3 хотя от экспериментов я не откажусь. Просто остальное связанное с почтой, интернетом, файл сервером, SQL не хочу связываться с MS. Если получится по "Red Hat Directory Server" отпишись пожалуйста.
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 27.01.2010 10:05werwolf1 Rucheiooo Пишет:
-------------------------------------------------------
> Есть 2 машины:
> 1 машина = ASP Linux Server CPE
> 2 машина = Windows XP SP3
>
> Я в свойствах службы файлового сервера указал
> рабочую групу RT, потом в окне свойств и с помощью
> пункта "Запуск контролера домена" контекстного
> меню службы файлового сервера запустил контроллер
> домена.
>
> Далее, зарегестрирывал пользывателя asas в
> качестве samba-пользывателя, для обеспечения
> возможности регистрации Windows-машин в
> организованном домене.
>
> Потом в Windows на рабочем столе щелкнул по
> пиктограмме "Мой компьютер", выбрал закладку "Имя
> компьютера" и нажал кнопку "изменить". В появшемся
> окне свойств выбрал переключатель "Является членом
> домена" и указал в качестве имени домена имя
> рабочей группы RT. В появившемся окне
> аутентификации задал имя пользывателя "asas" и
> пароль. Нажал "ОК"
> выскочело окно с ошибкой "При присоединении к
> домену "RT" произошля следующая ошибка: Отказано в
> доступе."
> Помогите пожалуйсто разобраться в этой ситуации.


Для подключения к домену нужно выбрать(в confpoint client): Служба пользователей и групп - поставить галочку там где Показывать скрытые элементы - появиться много пользователей - выбрать пользователя root - нажать свойства- установить галочку Samba пользователь - указать пароль root (пароль должен соответствовать паролю системного пользователя root) и подтвердить изменения нажав ОК

После этого подсоединять компьютер в домен с учетной записью root.
Re: Помогите пожалуйсто настроить Windows-домен на базе Unix-службы SAMBA 31.01.2010 20:56Tray Рутом лучше не пользоваться, а сделать отдельную группу для мастеров схемы...

Создадим группу для админов...
groupadd admins

Далее сопоставим для винды...

net groupmap add rid=550 ntgroup="admins" unixgroup=admins

Далее создадим пользователя, в нашем случае, это asas

useradd asas


Добавим его в самба-пользователи

smbpasswd -a asas

Добавим в группу администраторов...

useradd -m -c "admin" -G admins -g users asas

И дадим привилегии группе....

net rpc rights grant "admin" SeMachineAccountPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeBackupPrivilege SeTakeOwnershipPrivilege SePrintOperatorPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege -Uasas

Перезапускаем самбу...

service smb restart

И загоняем XP под учеткой asas ) Будут вопросы - пишите! )
RSS-материал