[gelöst] Domain Admin Anlegen

Hi leuts
Ich weis nimmer weiter evtl weis einer von euch die lösung.
Ich möchte auf meinen PDC den Domain Admin Hinzufügen, davor wurde alles per root gemacht geht auch wunderbar, aber nun benötige ich den user=Administrator wo Domain admin ist.
Ich weis einfach nicht wie ich den Administrator zum Domain Admin machen kann
ich hab eine groupe Angelegt Domain Admin GRID 512 und dann den user Administrator hinzugefügt.
net groupmap list zeigt:

System Operators (S-1-5-32-549) -> -1
Domain Guests (S-1-5-21-3379350580-3823824322-1811882640-514) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Power Users (S-1-5-32-547) -> -1
Domain Users (S-1-5-21-3379350580-3823824322-1811882640-513) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
Domain Admins (S-1-5-21-3379350580-3823824322-1811882640-512) -> -1
net groupmap zeigt mir das die groupe gibt aber funzen tuhts nicht !!!!!!

evtl weis einer ja rat

danke im voraus

smbuseradd oder useradd ist wahrscheinlich die Lösung.

Du brauchst die User immer als smb user und als unix user.

Schau mal in die Doku! Ich meine nich die manpages, sondern die sonstige Doku die mitgeliefert wird. Die ist ausführlich und gut!

Domain Admins (S-1-5-21-3379350580-3823824322-1811882640-512) -> -1

Zum Vergrößern anklicken....

Wenn ich das richtig sehe, dann ist Deine Sambagruppe nicht auf eine Linuxgruppe gemapt. Mappe (komisches Wort) sie mal auf die Gruppe root.

... und in der /etc/samba/smbusers
reinschreiben.

RichieX

Hi

danke das ihr so schnell Antwortet, in /etc/samba/smbusers is root=administrator
smbuser und local user gibs auch den Administrator.
Was ich denke ist auch das mit den groupmap, nur bin ich mir nicht sicher welche wie ich das mache !!!
Ich hab in samba ein group erstellt "Domain admins" ok soweit nur ,wie weis ich die unix group ? muß ich da im YAST schauen local?

http://de.samba.org/samba/docs/man/Samba-HOWTO-Collection/

Schau mal unter Punkt 2 "Worked examples"

Hi Bonsai

wie darf ich den Artikel verstehen ? da gibs ja einige Möglichkeiten, meinst du das unter PDC groupadd?
Bei mir gibs die Samba group = Domain Admins und unix group = Administrator(512)
sodele und nun wo find ich die ntgroup? is die auch Administrator dann? weil dann map ich mit z.b.
net groupmap modify ntgroup="Domain Admins" unixgroup=Administrator kann das sein?

mfg flipi

Ähmm sorry, ich wollte Dich nur auf die richtige Spur bringen. Ich stand mal vor dem gleichen Problem und hatte damals die deutsche Übersetzung des Buchs, das man unter dem oben genannten Link findet komplett gelesen.

Wenn Du wirklich mit Samba produktiv arbeiten willst, kauf Dir das Buch! Habe selten so ein gutes Fachbuch gelesen! Samba ist so komplex, dass Du Dich wegen einer Kleinigkeit dumm und dämlich suchen kannst, ohne wirlich etwas zu erreichen. Vor einem Jahr hätte ich Dir die Frage aus dem Stehgreif beantwortet, jetzt müsste ich selbst erstmal wieder nachlesen.

Folgendes als Checkliste:

Sich überlegen welche SMB Userdatenbank man will und konfigurieren.
User und Gruppen in Linux und Samba anlegen,
Usermapping und Groupmapping einrichten,
(Administrator = root)
(Domain Admins = root, soweit ich weiss braucht man auch Administratoren = root)
Darauf achten, dass die GIDs stimmen!!!

Wichtig beim PDC ist auch, dass er Gott ist!!!! (prefered master, local master, os level) sonst gibts immer Ärger!

Irgendwas habe ich aber bestimmt noch vergessen. Ich habe im Moment nur einen Samba3 mit secutity=user am laufen.

Nimm doch erstmal eine smb.conf aus den "Working examples". Wenn es dann läuft, passe sie auf das an, was Du brauchst.

Was ich denke ist auch das mit den groupmap, nur bin ich mir nicht sicher welche wie ich das mache !!!

Zum Vergrößern anklicken....

net groupmap add ntgroup="Domain Admins" unixgroup=root

So sollte es (aus dem Kopf) klappen. Der Befehl net mit seinen vielen Möglichkeiten ist aber auch gut dokumentiert. Sieh hier unter Anhang C: http://www.oreilly.de/catalog/samba2ger/.

hm

net groupmap add ntgroup="Domain Admins" unixgroup=root
No rid or sid specified, choosing algorithmic mapping
Successully added group Domain Admins to the mapping db
dann:
net groupmap list
System Operators (S-1-5-32-549) -> -1
Domain Guests (S-1-5-21-3379350580-3823824322-1811882640-514) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Power Users (S-1-5-32-547) -> -1
Domain Users (S-1-5-21-3379350580-3823824322-1811882640-513) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
Domain Admins (S-1-5-21-3379350580-3823824322-1811882640-1001) -> root
Domain Admins (S-1-5-21-3379350580-3823824322-1811882640-512) -> -1


nun steht zwar grp=root aber gid 1001 ,die root grp bei mir hat aber 0 kann das sein ?
und normal hab ich ja da auch die GID 512 für Domain admins, die sollte er nehmen evtl dann

mfg

flipi

P.S.
Die sache ist halt so das im laufenden Betrieb mache und ich 500user dran hab, von daher Bonsai ist es schwer mit der smb.conf usw.. so einfach rumzuspielen.

Ja, das Problem hatte ich auch mal. Lösche das Mapping wieder und mappe unter Verwendung der gid. Sorry, da hatte ich nicht mehr dran gedacht.

edit: Wieder Sorry, nicht Gid, sondern rid. Also in etwa so:
net groupmap modify rid=512 unixgroup=root
Und vor allem nicht map groupmap add, sondern, da die Gruppe ja schon vorhanden ist, map groupmap modify.

noch ein edit: Ich habe gerade getestet: Vor 512 müssen auch alle anderen Zahlen. Und es muß sid sein. Also jetzt endgültig:
net groupmap modify sid=VIELE_ZEICHEN-512 unixgroup=root. Irgendwie bin ich heute nicht richtig wach.

Hi rolle
Also ich hab das so gemacht net groupmap modify sid=VIELE_ZEICHEN-512 unixgroup=root
hat auch geklappt
net groupmap modify sid=S-1-5-21-3379350580-3823824322-1811882640-512 unixgroup=root
Updated mapping entry for Domain Admins

net groupmap list
Domain Admins (S-1-5-21-3379350580-3823824322-1811882640-512) -> root
die 512 SID hat aber die groupe Domain Admin bei mir im sys ,root hat die SID=0 *g hätte ich da nicht net groupmap modify sid=VIELE_ZEICHEN-512 unixgroup=Domain Admin ?????

oder hab ich ein logig problem *g ich blicks nimmer hehe

mfg

flipi

ACHTUNG!!!!

Samba2 und Samba3 sind zwei verschiedene Paar Stiefel!
Was in Samba2 geht muss in Samba3 nicht zwangsläufig genauso sein. Betrifft vor allem Domänen!

Ja das Stimmt Bonzai ,bei 2 hat man das noch über die smb.conf gemacht
bei samba3 macht man das nun über net groupmap
Ich use samba 3

mfg flipi

Ich dachte nur, weil der link von Rolle samba2 enthält.....

Das ist die zweite Auflage des Buchs, nicht die von Samba.

die 512 SID hat aber die groupe Domain Admin bei mir im sys ,root hat die SID=0 *g hätte ich da nicht net groupmap modify sid=VIELE_ZEICHEN-512 unixgroup=Domain Admin ?????

Zum Vergrößern anklicken....

Die Nummer der Sambagruppe *****-512 hat nicht mit der Numerierung der Linuxgruppen zu tun. Das sind zwei verschiedene Ebenen. So, wie es jetzt ist, sieht es bei mir auch aus und läuft seit Jahren problemlos.[/quote]

Also auch wenn es euch nicht weiter bringt, aber bei mir funktioniert das mit einem einfachen net groupmap modify ohne irgendwelche Zusätze. "Domain Admins" muss aber in Anführungszeichen stehen.

Ja, aber ich wollte auf Nummer Sicher gehen, nicht daß noch einmal die falsche Gruppe 'Domain Admins' angefaßt wird.

Danke jungs (ralle,hacker ...)

nun funktionierts nach dem ich auf die root grp gemappt habe und mein netlogon script funzt nun uach wieder