Sicherheitsrichtlinien wenn Samba PDC ist

Huflatisch · 4 Nov. 2006

Hey

Habe mir mal einen Samba 3 als PDC eingerichtet.
Wenn ich mich jetzt mit XP an der Domäne anmelde habe ich kaum lokale Rechte (kann nicht mal die Uhr öffnen). Der Benutzer wird auch nicht im XP System mit eingerichtet.
Wo kann ich Standart Sicherheitsrichlinien lokal einstellen. bzw. von wo werden welche übernommen. Ich möchte lokal erst mal Admin sein.

cu Huflatisch

stummel · 4 Nov. 2006

Hallo Huflatisch,

um einen XP-Client in die Domäne zu hängen, mußt du ja auch Adminrechte auf dem Client haben. Die behälst du auch weiterhin, wenn du dich lokal anmeldest.

Wenn du dich an der Domäne anmeldest, hast du Standardmäßig erstmal nur User-Rechte. Um auch in der Domäne mit verschiedenen Berechtigungen arbeiten zu können, mußt du dich mit dem "Groupmapping" beschäftigen.

Guckst du hier.:

http://gertranssmb3.berlios.de/output/groupmapping.html

Huflatisch · 4 Nov. 2006

Hey

um einen XP-Client in die Domäne zu hängen, mußt du ja auch Adminrechte auf dem Client haben. Die behälst du auch weiterhin, wenn du dich lokal anmeldest.

<-- das ist klar, war auch nicht die Frage ;-)

Wenn du dich an der Domäne anmeldest, hast du Standardmäßig erstmal nur User-Rechte. Um auch in der Domäne mit verschiedenen Berechtigungen arbeiten zu können, mußt du dich mit dem "Groupmapping" beschäftigen.

genau, ich möchte aber Adminrechte nur auf den lokalen Stationen haben. (unabhängig ob sinnvoll oder nicht)

Der Parameter domain admin group wurde aus Samba-3 entfernt

gleich das erste was da stand --> kein Wunder da die Fehlermeldung im log ist

Danke. Scheint zu sein was ich such

Huflatisch · 12 Nov. 2006

Hey
Habe mittlerweile das gefunden.

„ Was muss ich machen, um Domänenbenutzer zu der Hauptbenutzer-Gruppe hinzuzufügen? “

Die Hauptbenutzer-Gruppe ist eine Gruppe, die lokal auf jeder Windows 200x/XP Professional-Arbeitsstation vorhanden ist. Sie können die Domänen-Benutzergruppe nicht automatisch zu der Hauptbenutzer-Gruppe hinzufügen. Dazu müssen Sie sich auf jeder Arbeitsstation als der lokale Arbeitsstations-Administrator und anmelden und folgende Prozedur abarbeiten:

Klicken Sie auf Start -> Systemsteuerung -> Benutzer und Kennwörter.

Klicken Sie auf die Registerkarte Erweitert.

Klicken Sie auf den Button Erweitert.

Klicken Sie auf Gruppen.

Doppelklicken Sie auf Hauptbenutzer. Dies lässt das Feld zum Hinzufügen von Benutzern und Gruppen zu der lokalen Gruppe Hauptbenutzer erscheinen.

Klicken Sie auf den Button Hinzufügen.

Wählen Sie die Domäne aus, von der Sie die Gruppe Domänen Benutzer hinzufügen.

Doppelklicken Sie auf die Gruppe Domänen Benutzer.

Klicken Sie auf den Button Ok. Falls während dieses Prozesses eine Anmeldebox erscheint, denken Sie bitte daran, die Anmeldung als Domäne\Benutzername durchzuführen. Für die Domäne MITTELERDE und den Benutzer root geben Sie beispielsweise MITTELERDE\root ein.

Das ist aber nicht zufriedenstellend, weil ich dann immer an jeden Rechner muss. Wie kann ich das per Script oder noch besser mit net groupmap lösen.

Funktionieren tut es nur wenn ich die user den Domänen-Administratoren (rid=512) hinzufüge (net groupmap add ntgroup="Domain Admins" unixgroup=ntadmins , dabei muss der user in der gruppe ntadmins sein)
Nur dann bin ich auch lokaler admin.

Aber ich will nicht das ich als lokaler admin auch Domainenadmin bin

Also habe ich es mit der Gruppe der Builtin-Admins versucht (rid=544). Aber da klappt das mit den lokalen Admins nicht. Was sind überhaupt Builtin Administratoren. Die tauchen auch in der Liste der RDN des Sambas PDC (unter Windows) nicht auf. Da gibt es nur die Domänen Admins, die Domänenbenutzer und die Domänengäste

# net groupmap list
System Operators (S-1-5-32-549) -> -1
Domain Users (S-1-5-21-3099109641-710614809-2022358100-513) -> users
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> admins
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
Domain Admins (S-1-5-21-3099109641-710614809-2022358100-512) -> ntadmins
Domain Guests (S-1-5-21-3099109641-710614809-2022358100-514) -> nobody

Wo hab ich denn meinen Denkfehler. Ich lese und teste schon seit Tagen.

cu
Huflatisch

stummel · 12 Nov. 2006

Also irgendwie kann ich dir nicht mehr ganz folgen. Lokaler Admin bist du doch sowieso, wenn du dich lokal anmeldest. Aber Domain-Admin möchtest du gar nicht sein, aber trotzdem lokale Adminrechte in der Domäne haben?

Eigentlich verstehe ich überhaupt nicht mehr was du willst. Vielleicht erklärst du das ja hier mal in ganz einfachen Worten.

Ach nochwas. In einer Domäne musst du auf den Clients überhaupt nichts in der Userverwaltung der Clients konfigurieren, das geschieht alles auf dem Server.

Aber wie gesagt, ist alles ein bischen undurchsichtig.

rolle · 12 Nov. 2006

Das ist aber nicht zufriedenstellend, weil ich dann immer an jeden Rechner muss.

Das ist eben das Problem an Deiner gewünschten Konstellation. In einer Domäne findet die Nutzerinnenverwaltung eben auf dem PDC statt. Und der wiederum kennt potentiell vorhandene lokale Nutzerinnen nicht. Du müßtest wohl also ein Windowsscript bauen (falls das geht, das weiß ich nicht), das in geeigneter Weise, also wohl per Netlogon, die gerade sich anmeldende Nutzerin der lokalen Admingruppe hinzufügt. Eine Lösung dafür wirst Du aber sicher eher in einem Windowsforum finden. Mit Samba hat das nichts mehr zu tun.

Huflatisch · 12 Nov. 2006

Hey

Also irgendwie kann ich dir nicht mehr ganz folgen. Lokaler Admin bist du doch sowieso, wenn du dich lokal anmeldest.

Wenn ich mich lokal anmelde haut ja alles hin. Aber wenn ich mich in der Domäne anmelde bin ich nur noch normaler User und kann nicht mal Programme installieren.
Wen ich mich an der Domäne anmelde will ich trotzdem Admin auf dem Rechner sein von dem aus ich der Domäne beitrete. Das funktioniert ja auch ABER nur wenn ich den Benutzer Domainadminrechte zugestehe. Das soll aber nicht sein. Der Benutzer des Rechners soll keine Domainadminrechte haben sondern nur lokale Adminrechte, selbst wenn er in der Domäne angemeldet ist.

Ach nochwas. In einer Domäne musst du auf den Clients überhaupt nichts in der Userverwaltung der Clients konfigurieren, das geschieht alles auf dem Server.

Genau so sollte es sein. Wie kann ich dem User lokale Adminrechte zugestehen ?

In einer Domäne findet die Nutzerinnenverwaltung eben auf dem PDC statt. Und der wiederum kennt potentiell vorhandene lokale Nutzerinnen nicht.

Soweit ich versanden habe geht das ab Samba 3 mit den vorgefertigten RIDs (siehe net groupmap list)

Du müßtest wohl also ein Windowsscript bauen (falls das geht, das weiß ich nicht), das in geeigneter Weise, also wohl per Netlogon, die gerade sich anmeldende Nutzerin der lokalen Admingruppe hinzufügt.

Ja, genau. (Wäre ne Lösung ich gucke mal im MCSE Board) Aber ich dachte das muss über die groupmap gehen. Da funktioniert das aber nur das mit den 3 Gruppen Domänenadmin, Domänenbenutzer und Domänengäste (RID 512, 513 und 514)

Stellen Sie sicher, dass jede Domänengruppe auf eine UNIX-Systemgruppe gemappt wird. Dies ist der einzige Weg, um sicherzustellen, dass die Gruppe als eine NT-Domänengruppe verfügbar sein wird.

Tabelle 12.1. Bekannte Standardbenutzer-RIDsBekannte Einheit RID Typ Notwendig
Domänen-Administrator 500 Benutzer Nein
Domänen-Gast 501 Benutzer Nein
Domäne KRBTGT 502 Benutzer Nein
Domänen-Administratoren 512 Gruppe Ja
Domänenbenutzer 513 Gruppe Ja
Domänengäste 514 Gruppe Ja
Domänencomputer 515 Gruppe Nein
Domänencontroller 516 Gruppe Nein
Domänen-Certificate-Administratoren 517 Gruppe Nein
Domänen-Schema-Administratoren 518 Gruppe Nein
Domänen-Enterprise-Administratoren 519 Gruppe Nein
Domänen-Policy-Administratoren 520 Gruppe Nein
Builtin-Administratoren 544 Alias Nein
Builtin-Benutzer 545 Alias Nein
Builtin-Gäste 546 Alias Nein
Builtin-Hauptbenutzer 547 Alias Nein
Builtin-Zugriffsoperator 548 Alias Nein
Builtin-System-Operator 549 Alias Nein
Builtin-Drucker-Operator 550 Alias Nein
Builtin-Backup-Operator 551 Alias Nein
Builtin-Replikator 552 Alias Nein
Builtin-RAS-Server 553 Alias Nein

steht ja so auch hier http://gertranssmb3.berlios.de/output/groupmapping.html#WKURIDS

By Huflatisch

stummel · 13 Nov. 2006

Hallo Huflatisch,

du solltest dich mal mit der Userverwaltung von Windows auseinandersetzen, vielleicht fällt dann ja der Groschen.

Der "Admin" kann bei lokaler Anmeldung auf dem einzelnen Client Programme installieren, gut. Der "User" kann das nicht, auch gut. Warum nicht? Weil ihm die nötigen Rechte fehlen. Soweit dürften wir uns ja einig sein.

Nun kommt dein Verständnisproblem mit der Domänenanmeldung.

Der "Domain-Admin" kann bei der Anmeldung an der Domäne auf den Clients Programme installieren, gut. Der "Domain-User" kann das nicht, auch gut. Warum nicht? Richtig, weil ihm die nötigen Rechte fehlen. Na, kommt dir das irgendwie bekannt vor?

Warum sollte denn aus deiner Sicht ein "User" in einer Domäne plötzlich die Rechte erhalten, die er lokal nicht hat? Ich kann deiner Denkweise da wirklich nicht folgen.

Trotzdem noch eine kurze Erklärung, die vielleicht ein bischen Licht ins Dunkel bringt.

Warum kann denn ein Domänen-Admin auf jedem einzelnen Client der Domäne Programme installieren?

Antwort: weil die Gruppe der Domain-Admins beim Einhängen eines Clients in die Domäne auf die Gruppe der Administratoren gemappt wird. Verstehst du? Wenn der Domänen-Admin sich am Client anmeldet, ist er aus Sicht des Clients ein lokaler "Administrator".

Es gibt keine andere Möglichkeit, und das ist auch gut so. Stell dir mal vor jeder User im Firmennetz wäre Admin auf seinem Client und könnte installieren wie er will, wo sollte das enden?

Im Active Directory gibt es noch die Möglichkeit der Delegation von Aufgaben, aber wir sind ja hier im Samba-Forum.

Huflatisch · 13 Nov. 2006

Hey

Wir wollen das doch nicht in eine Grundsatzdiskussion ausarten lassen, wer welche Sicherheitsphilosophie vertritt. Ich kenne Firmen wo auch die Clients unter Admin laufen und auch welche wo nur die Benutzerrechte freigegeben sind. Aber Fakt ist das es sehr viele Programme gibt (Bank, Buchhaltung, lokale SQL Datenbaken, Lohn, Brennprogramme etc. und die Updates von solchen Programmen nicht zu vergessen) welche nur mit Adminrechten korrekt laufen. (Eigendlich würde ja teilweise sogar ein Hauptbenutzer reichen). Und nur aus diesem Grund ist es erforderlich das bestimmte Domänenuser auch lokale Admins/Hauptbenutzer sind wenn Sie an der Domäne angemeldet sind (natürlich besteht auch die Möglichkeit sich für diese Aufgaben lokal anzumelden). Die Wartung solcher Programme können die User selber machen, schon aus dem Grund weil ich nur fürs Netzwerk verantwortlich bin und nicht für Installationen und Updates. Wenn natürlich ein User sein OS zerschiesst dann ist das sein Problem und es gibt Anschiss vom Chef. Auserdem laufen da eh Full- und differnzielle-backups wöchentlich/täglich. (zumindest auf den wichtigen Rechnern)

Selbst Microsoft hat das Problem schon erkannt ;-)
http://www.microsoft.com/technet/scriptcenter/resources/qanda/oct04/hey1008.mspx
ist leider englich, und ich versteh nur Bahnhof, aber mal sehen ob mir das was nützt

mit Poledit hab ichs auch schon versucht, bin aber noch am testen. Irgenwie übernimmt der nicht die Ntconfig.pol. Da es aber verschiedene adm für w2k und XP gibt ist das bestimmt auch nicht die ideale Lösung.

Irgendwie hab ich auch das Gefühl das die in Samba vorkonfigurierten Sandart RIDs für das englischsprachige Windows sind. Eigendlich heisen ja die Adminsgruppe nicht "Administrators" sondern "Administratoren" und die Hauptbenutzer nicht "Power User"

siehe Befehl: net groupmap list
Administrators (S-1-5-32-544) -> admins
Power Users (S-1-5-32-547) -> -1

vielleicht bin ich deshalb nicht als lokaler Admin, trotz korrekter Zuweisung der Gruppe.

By Huflatisch

rolle · 13 Nov. 2006

Der Link von Microsoft bringt Dich nicht weiter, da deren Lösung von einem Active Directory ausgeht.
Für die meisten Programme, die nicht sauber ohne Adminrechte laufen, gibt es aber Möglichkeiten, die so umzubiegen (Verzeichnis- und Registryrechte), daß sie funktionieren. Google und ein wenig herumprobieren helfen da weiter.
Ansonsten wäre runas einen Blick wert, eventuell auch das Projekt 'Mach mich Admin' der c't (www.ctmagazin.de).

Ich kenne Firmen wo auch die Clients unter Admin laufen

Und wie haben die das gelöst?

Huflatisch · 13 Nov. 2006

Hey

Der Link von Microsoft bringt Dich nicht weiter, da deren Lösung von einem Active Directory ausgeht.

ahh ... Danke, hatte schon angefangen per bablfish zu übersetzten ... :-/

gibt es aber Möglichkeiten, die so umzubiegen (Verzeichnis- und Registryrechte),

Da muss ich aber wieder lokal an den Rechnern basteln. Da kann ich auch gleich lokal die User den Admingroup hinzufügen.

Zitat:
Ich kenne Firmen wo auch die Clients unter Admin laufen

Und wie haben die das gelöst?

mit Windowsdomänen über Novellserver. Dort ist jeder DomänenUser auch lokaler Admin.

stummel · 13 Nov. 2006

Hallo Huflatisch,

was ist das denn jetzt für eine Diskussion? Wenn du doch hier nicht über Sicherheit philosophieren möchtest, und darauf bestehst das der User der vor seinem PC sitzt, dort auch Software installieren darf, dann füg ihn doch zu der Gruppe der Administratoren hinzu und fertig.

Was in irgendwelchen Novell-Umgebungen angeblich möglich ist, nutzt uns doch jetzt hier bei dieser Thematik überhaupt nichts.

Ich hatte dir aber bereits gesagt das du mit Active Directory weitere Möglichkeiten hast, aber diese ganze Diskusion hier über das Für und Wieder der Rechtevergabe in Windowsdömänen hat mitlerweile überhaupt nichts mehr mit deinem Ausgangsthread zu tun.

Nur zur Erinnerung, dort geht es nämlich um einen Samba-PDC mit XP-Clients, und nicht um Großbanken mit speziellen Novell-Umgebungen, Active Directory oder sonstigen Feinheiten.

Nachtrag.:

Huflatisch schrieb:
Wenn natürlich ein User sein OS zerschiesst dann ist das sein Problem und es gibt Anschiss vom Chef. Auserdem laufen da eh Full- und differnzielle-backups wöchentlich/täglich. (zumindest auf den wichtigen Rechnern)

Diese Aussage ist gelinde gesagt Blödsinn, und zeigt das du nicht sehr tief im Thema bist. Ich kenne nicht ein Unternehmen bei denen das Betriebssystem der Clients in die Backups einbezogen wird. Bei den Backups werden Daten gesichert, und diese liegen im Normalfall (Idealfall) auf dem Server.

Das sichern der Clients ist auch gar nicht nötig, da das Aufsetzen eines neuen Clients in solchen Umgebungen wie du sie beschreibst, vollautomisch verläuft, und mit minimalem Aufwand zu bewerkstelligen ist.

jcfoxy · 23 Nov. 2006

Hallo Stummel und alle anderen

Antwort: weil die Gruppe der Domain-Admins beim Einhängen eines Clients in die Domäne auf die Gruppe der Administratoren gemappt wird. Verstehst du? Wenn der Domänen-Admin sich am Client anmeldet, ist er aus Sicht des Clients ein lokaler "Administrator".

Zu dieser AUssage habe ich eine Frage.

Ich habe Domain Admins, Domain Users und Domain Guests auf LinuxGruppen mit net groupmap gemappt. Des weiteren Habe ich noch zwei weitere Gruppen unter Linux erstellt und diese auch gemappt. Linux-SambaUser haben die entsprechende gemappte Linuxgruppe als primäre Gruppe eingetragen.

Dann habe ich auf meinem Client an der Samba Domain angemeldet und die erstellten DomainGruppen und DomainUser mit Poledit importiert und Berichtigungen geändert. Das ganze als NTConfig.pol gespeichert und in die Freigabe Netlogon gelegt. NAch dem testen habe ich herausgefunden, dass BErechtigungsänderrungen für user übernommen werden aber Berechtigungsänderrungen bei GRuppen haben keine Auswirkung.

Ich habe einen user UserA in der LinuxGruppe GruppeA. GruppeA ist gemappt auf DomainGruppeA. poledit-änderungen an UserA funktionieren aber Änderungen an DomainGruppeA wenn ich mich mit UserA anmelde haben keine wirkung.

Hat jemand eine Ahnung woran das liegen kann?

BEsten Danke im Voraus
Jan

stummel · 23 Nov. 2006

Du hast mit Samba als PDC nunmal nicht die gleichen Möglichkeiten wie mit einem Windows-DC.

Deswegen sage ich ja auch immer das Leute, die einen W2k3-Server, bzw. dessen Möglichkeiten wollen, diesen auch einsetzen sollen.

Samba ist nicht die kostenlose 1:1-Kopie eines W2K3-Servers.

jcfoxy · 23 Nov. 2006

Hallo Stummel,
Danke für deine schnelle antwort.
Soll ich dich jetzt so verstehen, dass "Gruppenrichtlinien" mit samba als pdc und dem tool poledit nicht möglich sind?

Hier gibt es ja schon viele Beiträge zu dem Thema aber irgendwie werde ich aus keinem dieser richtig schlau.

Würde mir Poledit weiterhelfen, wenn ich mich nur auf die standartgruppen domadmin domuser und domguest beschränke?

Hierbei habe ich noch gelesen, dass es auf die richtige RID ankommt zB bei domain admin RID 2025. bei mir steht aber RID 512.
WIe kann man das ändern oder hilft mir das auch nicht weiter?
Gruß
Jan

stummel · 23 Nov. 2006

jcfoxy schrieb:
....bei mir steht aber RID 512.

Das ist auch die Richtige. Auf deine andere Frage kann ich dir keine eindeutige Antwort geben, da ich solche "Basteleien" nicht mache. Wie gesagt, wenn ich Gruppenrichtlinien benötige, setze ich einen W2K3-Server ein.

Du kannst ja mal einen Versuch starten indem du ein paar Linux-User auf die Gruppe der Domain User mappst, und diese dann mit Poledit bearbeitest.

Eine hundertprozentige Umsetzung der Gruppenrichtlinien ist aber mit Samba nicht möglich.

jcfoxy · 23 Nov. 2006

reicht es wenn ein linuxUser in einer gruppe ist die auf eine domaingruppe gemappt wurde oder muss man den user direkt auf eine domaingruppe mappen? Wenn Ja, wie geht das?

stummel · 23 Nov. 2006

Wie hast du es denn bei den Domain Admins gelöst?

jcfoxy · 24 Nov. 2006

Noch gar nicht.
Da hänge ich gerade dran und komme mit den RID`s nicht weiter.
Ein LDAP ist doch dafür niht notwendig?

stummel · 24 Nov. 2006

Schau mal hier.: http://www.werthmoeller.de/doc/ausarbeitungen/samba/account_datenbanken Dort ist die Vorgehensweise mal ganz kurz und knapp beschrieben.

Hier mal in Kurzform die für dich benötigten Befehle.:

net groupmap add rid=512 ntgroup='Domain Admins' unixgroup='Domain Admins'
net groupmap add rid=513 ntgroup='Domain Users' unixgroup='Domain Users'
net groupmap add rid=514 ntgroup='Domain Guests' unixgroup='Domain Guests'

Die "unixgroup" muß dann natürlich auch vorhanden sein, bzw. du passt den Namen an deine Bedürfnisse an.

Bei Suse-Distris ist Vorsicht geboten, denn dort gibt es die "rid=512" schon. Somit würde ein "net groupmap add" nicht weiterhelfen, dort mußt du mit "net groupmap modify" den Eintrag einfach nur an deine Bedürfnisse anpassen.

Welche Einträge schon vorhanden sind kannst du dir mit "net groupmap list" anzeigen lassen.

Um tiefer in die Materie einzusteigen kann ein Blick in das Samba-Howto nicht schaden.

Sicherheitsrichtlinien wenn Samba PDC ist

Hacker

Hacker

Hacker

Hacker

Hacker

Guru

Hacker

Hacker

Hacker

Guru

Hacker

Hacker

Newbie

Hacker

Newbie

Hacker

Newbie

Hacker

Newbie

Hacker