• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] - Domänen Admin und Gruppen

froemken

froemken

Member
Am Anfang habe ich mich ja noch in gpedit und poledit eingelesen, aber irgendwie sind die wohl nur für die lokalen Benutzer attraktiv.

Mitlerweile habe ich mich bis zu den groupmaps durchgelesen und frage mich so nach und nach, warum ich mich an einem Client nicht als Domänen Admin anmelden kann?!

Ist ja nicht so als hätte ich die hier eingetragenen Beiträge nicht gelesen, aber eigentlich müsste es bei mir schon laufen?!

Bei mir ist der Samba 3 mit Anschluss an den LDAP installiert. User sind auf dem LDAP eingerichtet und man kann sich mit den eingetragenen Usern am Client anmelden.

Meine groupmap list sieht eigentlich ganz in Ordnung aus:
Code: 
edv (S-1-5-21-2919320598-2818823037-3991562991-4537) -> edv
geschaeftsfuehrung (S-1-5-21-2919320598-2818823037-3991562991-4641) -> geschaeftsfuehrung
verkauf (S-1-5-21-2919320598-2818823037-3991562991-4183) -> verkauf
lager (S-1-5-21-2919320598-2818823037-3991562991-4345) -> lager
technik (S-1-5-21-2919320598-2818823037-3991562991-4203) -> technik
domadmin (S-1-5-21-2919320598-2818823037-3991562991-512) -> domadmin

Laut dem phpLdapTool (LAM) ist die Gruppe domadmin der Gruppe Domänenadministratoren sauber gemappt worden.
Der user root und s.froemken sind laut LAM auch in der Gruppe domadmin enthalten.
DomAdmin hat am Ende der SID die 512: Auch richtig

Trotzalledem kann ich nicht mal den gpedit.msc unter Ausführen öffnen, wenn ich mich mit einem von den beiden Usern anmelde?!

Vielleicht als Tipp/Info:
Auf den XP-Clients werden die Gruppen von "groupmap list" NICHT angezeigt. Domänenadministratoren und Domänen Benutzer sind NICHT als Gruppe auf den XP-Clients zu finden. Per "net group" und Eingabe root-PW werden mir KEINE Gruppen angezeigt. Selbst mit dem Eintrag "admin users = s.froemken" in der smb.conf konnte ich keinen Erfolg erzielen.

Vielleicht hat noch einer von Euch eine Idee

Stefan

PS: Bei einigen Beiträgen, wenn ich nach groupmap gesucht habe, fehlen einige Antworten. Laut Aussage der Folgebeiträge fehlen wohl die Beiträge von "cybermailer". Warum auch immer?!?!

edit Mod: auf gelöst gesetzt 19.11.05
 
S

stka

Guru
Das am Ende der SID 512 steht ist für die Gruppe Domainadmins nicht richtig. Dort muss die 2025 stehen. Die gruppen-sid setzt sich aus zwei Teilen zusammen. Zum einen der SID der Domäne , das ist der Teil bis zum letzten Bindestrich und der RID (relativ Identifier) Der RID wird so berechnet:
unix-gid * 2 + 1001
Das gleiche gilt für die Benutzer Domän-sid plus RID bei usern wird der RID so berechnet:
unix-uid *2 + 1000
Dir fehlen auch noch die folgenden Groupmappings:
Domainuser GID 513
Domaingäste GID 514
Domainhosts 553
 
OP
froemken

froemken

Member
Ohhkee, dann tasten wir uns mal langsam an das Problem ran...

Ich habe jetzt 3 neue Gruppen angelegt mit dem Namen: domuser, domguest und domhosts.

domadmin: gidNumber: 512; sambaSID: ..XX..-2025
domguest: gidNumber: 514; sambaSID: ..XX..-2029
domhosts: gidNumber: 553; sambaSID: ..XX..-2107
domuser: gidNumber: 513; sambaSID: ..XX..-2027

objectClass ist für all diese Gruppen zusätzlich mit sambaGroupMapping versehen.

Ich hab dann gleich mal weiter gedacht:
domadmin: memberUid: s.froemken; memberUid: root
domhosts: memberUid: NO18$; memberUid: NO43$
domguest: keiner
domuser: memberUid: s.froemken; memberUid: root und noch ca. 30 weitere

Die eingetragenen hosts und user waren unter ou=hosts,dc=firma und ou=users,dc=firma schon vorhanden.

Alle User hatten von mir schon von Anfang an eigene zugeteilte uidNumbers. Bei s.froemken und root habe ich vorhandene Uids mit 2 multipliziert und 1000 addiert und das Ergebnis den entsprechenden sambaSIDs der jeweiligen user geändert.

Fazit: Die serverseitigen Profile konnten ab jetzt nicht mehr aktualisiert werden. Folglich habe ich die Client-Profile und die Server-Profile gelöscht und mich erneut mit s.froemken angemeldet und abgemeldet. Serverseitige Profile konnten jetzt wieder überschrieben werden.

Aber mit s.froemken als Admin/Domänenadministrator konnte ich mich immernoch nicht anmelden. Ich kann weder gpedit noch in den Gerätemanager gehen.

Wo liegt da blos der Haken?

Stefan
 
S

stka

Guru
Schau mal nach, ob deine Domänen Admin Gruppe Mitglied in der lokalen Gruppe der Admistratoren ist. Das passiert normalerweise beim Aufnehmen eines Hosts in die Domäne. Genau wie die Domänen Benutzer Mitglied in der lokalen Gruppe der Benutzer werden.

PS Dein Impressung entspricht immer noch nicht den gelteden Gesetzen ;-)
 
OP
froemken

froemken

Member
Ha!!! Trallala. Freu...

Das war eine Information, die ich gebraucht habe :)

Als Dankeschön für dich habe ich mein Impressum geändert :lol:

Als letze Minifrage bleibt nur noch:
Muss ich jetzt all meinen 30 Usern im LDAP die sambaSID korregieren? Logische Antwort ist doch eigentlich: "Nein! Da ja schon die sambaSID für die Domänenbenutzergruppe entsprechend gesetzt wurde, oder?" Folglich dürfte ja auch die SID-Änderung von root und s.froemken Schwachsinn gewesen sein...

Auf jeden Fall vielen vielen Dank und bis dahin

Stefan Frömken
 
S

stka

Guru
Da es nur 30 Benutzer sind, würde ich die Änderung durchführen. Dann hast du in Zukunft, wenn du dann neue Benutzer anlegst, alles passend.
Zum Thema Impressum habe ich gerade mal was in Blafasel geschrieben. Ich habe eine Bekannten, der hat jetzt mit dem falschen Impressum etwas Stress.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben