• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Domänen-Mitglieder mit lokalen Adminrechten ausstatten

Phillinger

Member
Hallo!

Ich habe seit kurzem meine Samba-Kiste zu einem PDC aufgemöbelt. Nachdem mir hier schon geholfen wurde, ist es auch über OpenVPN in verschiedenen Standorten möglich, sich an der Domäne anzumelden.

Wenn man sich derart anmeldet, ist man immer nur "Benutzer", d.h. man hat keine Admin-Rechte. Prinzipiell ist das ja auch gut so. Doch es ist nötig, dass einige User auf manchen Computern sich als lokaler Administrator anmelden können. Also z.B. soll sich User john.doe an dem Computer pc-001 als lokaler Admin anmelden können, an allen anderen Computern nur als normaler Benutzer. Wie stelle ich das an?

Als Password-Backend ist LDAP im Einsatz. Ich kann also per LDAP-Tool sehr komfortabel Gruppen- und Benutzereinträge bearbeiten.


Falls es nicht möglich ist, das so fein aufzugliedern, würde es schon helfen, wenn sich einfach ALLE Domänen-Mitglieder als lokale Administratoren an den Windows-Clients anmelden können. Wie teile ich dem PDC mit, dass er das an die Clients so raus gibt?
 
OP
Phillinger

Phillinger

Member
Hm, das klingt nicht gut. :(

Geht da denn gar nichts? Auch nicht über lokale Gruppenrichtlinien? Dann müsste ich an jeder Kiste nur einmal diese Richtlinie aktivieren und jeder User, der sich dort anmeldet, bekommt dann automatisch ein Profil in der lokalen Administrator-Gruppe.
 

spoensche

Moderator
Teammitglied
Gruppenrichtlinien beziehen sich auf Benutzergruppen. Ich bin mir nicht sicher, aber bei Benutzergruppen funktioniert das glaub ich.

Ich hatte dich so verstanden, dass der User sich mit dem lokalen User Administrator anmeldet. Korrigiere mich bitte wenn ich damit falsch liege.
 
OP
Phillinger

Phillinger

Member
Mein Ziel ist, dass ein User auf bestimmten Computern in dessen lokale Administrator-Gruppe aufgenommen wird und in anderen nicht.


Stellt euch einfach mal den realen Einsatz in diesem speziellen Fall vor: Es handelt sich um mehrere Filialen mit Verkaufsräumen und Verkäufern. Dort arbeiten auch Halbtagskräfte. Das bedeutet, auf einen Computer kommen mehrere User. Einige dieser User (Filialleiter) dürfen Administrator-Rechte auf ausgewählten Computern bekommen. Auf anderen Computern in unserer Domäne (z.B. andere Filiale oder mein Laptop ;) ) dürfen die User keine Admin-Rechte erhalten.

Nun möchte ich das dynamisch und zentral steuern können. Meine Idee wäre jetzt, pro Computer in der Domäne eine Gruppe in meinem LDAP-Backend zu erstellen. Also für Computer pc-001 die Gruppe pc-001_lokaleAdministratoren. Und auf dem Computer pc-001 erstelle ich eine Richtlinie, dass jeder, der in der entsprechenden Gruppe ist (hier also pc-001_lokaleAdministratoren) automatisch in die lokale Administratoren-Gruppe aufgenommen wird.

Nur habe ich leider nicht die geringste Ahnung, ob das überhaupt geht. Geschweige denn, wie. :(


Ich hoffe, ich habe mich verständlich ausgedrückt, was überhaupt mein Ziel ist. Das ist schon etwas verwirrend auszuformulieren. :D
 

na-cx

Hacker
Phillinger schrieb:
Mein Ziel ist, dass ein User auf bestimmten Computern in dessen lokale Administrator-Gruppe aufgenommen wird und in anderen nicht.
Meinst Du etwa sowas? http://www.heise.de/ct/hotline/Domaenenbenutzer-als-lokaler-Administrator-313642.html
 
OP
Phillinger

Phillinger

Member
Ja, darüber bin ich auch gestolpert. Da wird tatsächlich mein Problem beschrieben: "Wie bekomme ich ein Domänenmitglied in die lokale Administrator-Gruppe?". Dass das an jedem Client zu Fuß funktioniert, weiß ich natürlich auch und so mache ich das derzeit in meinem Testfeld.

Aber ich will es ja zentral steuern können. Und da der Artikel von 2002 ist, wollte ich das nicht als der Weisheit letzter Schluss akzeptieren. ;)
 

stka

Guru
Wenn du deine Samba-Domäne richtig konfiguriert hast. Dann hast du eine Gruppe Domänenadmins mit dem RID 512. Diese Gruppe ist immer Mitglied der lokalen Gruppe der Administratoren auf jedme Client der Domäne. Wenn du jetzt im LDAP einen Benutzer in die Gruppe aufnimmst, hat der auch loka Adminrechte.
 
OP
Phillinger

Phillinger

Member
Eine solche Gruppe habe ich nicht. Aber ich kann sie ja leicht hinzufügen. RID 512 ist wichtig, klar. Muss die Gruppe sonst einen bestimmten Namen haben?
 

spoensche

Moderator
Teammitglied
Bevor wir hier jetzt weiter fleissig im Trüben fischen und Sinnlos rum raten, Butter bei die Fische.

Ist dein Samba der PDC? Verwendest du ein Windows AD? Wie sieht deine Samba Config aus? Verwendest du Winbind? Wenn ja, was sagt
Code:
wbinfo -g
?
Was sagt der Samba Konfigcheck
Code:
testparm
? Was bringt
Code:
net ads status
bzw.
Code:
net ads info
zum Vorschein?
 
OP
Phillinger

Phillinger

Member
Ja, du hast recht. Hätte ich schon längst schreiben sollen. Also, Debian Squeeze mit Samba 3.5.6 sagte ich ja schon.

spoensche schrieb:
Ist dein Samba der PDC?
Ja.
spoensche schrieb:
Verwendest du ein Windows AD?
Nein.

spoensche schrieb:
Wie sieht deine Samba Config aus?
Code:
[global]
        netbios name    = albert
        workgroup       = firmenname
        server string   = Server

        domain master   = yes
        domain logons   = yes

        local master    = yes
        wins support    = yes
        os level        = 254

        guest account   = nobody
        guest ok        = yes

        log level       = 2

        passdb backend          = ldapsam:ldap://localhost
        ldap suffix             = dc=firmenname,dc=org
        ldap admin dn           = cn=admin,dc=firmenname,dc=org
        ldap ssl                = no
        ldap passwd sync        = Yes
        ldap machine suffix     = ou=Computers
        ldap group suffix       = ou=Groups
        ldap user suffix        = ou=Users

        load printers           = no
        show add printer wizard = no
        printcap name           = /dev/null
        disable spoolss         = yes

spoensche schrieb:
Verwendest du Winbind?
Nein.

spoensche schrieb:
Was sagt der Samba Konfigcheck testparm?
Code:
root@albert:~# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[homes]"
Processing section "[Software]"
Processing section "[www]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

spoensche schrieb:
Was bringt net ads status bzw. net ads info zum Vorschein?

net ads status
Code:
root@albert:~# net ads status
[2013/02/25 21:56:42.341703,  0] utils/net_ads.c:285(ads_startup_int)
  ads_connect: No logon servers
[2013/02/25 21:56:42.342793,  0] utils/net_ads.c:285(ads_startup_int)
  ads_connect: No logon servers
root@albert:~#

net ads info
Code:
root@albert:~# net ads info
[2013/02/25 21:57:40.591622,  0] utils/net_ads.c:285(ads_startup_int)
  ads_connect: No logon servers
[2013/02/25 21:57:40.591811,  0] utils/net_ads.c:285(ads_startup_int)
  ads_connect: No logon servers
Didn't find the ldap server!
root@albert:~#
 

spoensche

Moderator
Teammitglied
Code:
Didn't find the ldap server!

Du kannst dem Samba nicht sagen, dass er einen LDAP- Server verwenden soll wenn keiner da ist. Führe mal die net ... Kommandos auf einem anderen Linux Rechner aus, der Mitglied der Domäne ist.
 

spoensche

Moderator
Teammitglied
Code:
Didn't find the ldap server!

Du kannst dem Samba nicht sagen, dass er einen LDAP- Server verwenden soll wenn keiner da ist. Führe mal die net ... Kommandos auf einem anderen Linux Rechner aus, der Mitglied der Domäne ist.
 
OP
Phillinger

Phillinger

Member
Bin wieder da. Die langen Antwortzeiten von mir sind leider der Arbeit geschuldet, wir hängen gerade ein bisschen drin. Es ist bestimmt kein Desinteresse, das Problem muss ja irgendwie zu einer Lösung geführt werden. ;)


spoensche schrieb:
Code:
Didn't find the ldap server!
Du kannst dem Samba nicht sagen, dass er einen LDAP- Server verwenden soll wenn keiner da ist. Führe mal die net ... Kommandos auf einem anderen Linux Rechner aus, der Mitglied der Domäne ist.
Also ein LDAP-Server ist ganz sicher da. Das Anmelden klappt ja schon und der LDAP ist schön mit Computern, Gruppen und v.a. Usern gefüttert, auf die eifrig zugegriffen wird. Warum das Kommando damit ("Didn' find...") zurückkommt, weiß ich nicht.

Eine Linux-Kiste in der Domäne habe ich gar nicht, aber ich werde mein Thinkpad mit Linux Mint drauf mal entsprechend konfigurieren. :D
 
Oben