rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:samba_ad

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:linux:sa:samba_ad [2021/09/01 08:06] – [Gestione utenti e gruppi] niccolodoc:appunti:linux:sa:samba_ad [2021/10/27 16:15] (current) – [Gestione utenti e gruppi] niccolo
Line 298: Line 298:
 </code> </code>
  
-Per aggiungere un utente al gruppo Administrators+Per aggiungere o togliere un utente al gruppo Administrators
  
 <code> <code>
 samba-tool group addmembers "Administrators" niccolo.rigacci samba-tool group addmembers "Administrators" niccolo.rigacci
 +samba-tool group removemembers "Administrators" niccolo.rigacci
 </code> </code>
  
Line 318: Line 319:
 samba-tool group listmembers 'Domain Users' samba-tool group listmembers 'Domain Users'
 </code> </code>
 +
 +===== Accesso in Remote Desktop =====
 +
 +Come impostazione predefinita solo gli utenti del gruppo **Domain Admins** possono accedere in dekstop remoto ad un host del dominio Active Directory; contrariamente a quanto ci si potrebbe aspettare **non è sufficiente** appartenere al gruppo **Remote Desktop Users**.
 +
 +Per abilitare l'accesso al gruppo //Remote Desktop Users// è necessario sulla singola macchina eseguire **secpol.msc** e quindi seguire **Allow log on through Remote Desktop Services** => **Add Users or Group** e aggiungere il gruppo.
 +
 +Solo dopo questa impostazione **da fare su ogni singola macchina** sarà sufficiente aggiungere l'utente del dominio al gruppo opportuno:
 +
 +<code>
 +samba-tool group addmembers "Remote Desktop Users" niccolo.rigacci
 +</code>
 +
  
 ===== Integrazione di utenti e gruppi Samba in Unix ===== ===== Integrazione di utenti e gruppi Samba in Unix =====
Line 415: Line 429:
  
 Per accedere invece con utente locale del PC si usa la sintassi **NOMEPC\username**. Per accedere invece con utente locale del PC si usa la sintassi **NOMEPC\username**.
 +
 +===== Modifica record LDB di un utente =====
 +
 +Le informazioni che riguardano gli utenti sono contenute in un database **LDB**. È è possibile utilizzare il comando **ldbedit** (fornito dal pacchetto Debian **ldb-tools**) per visualizzare e modificare direttamente il contenuto di un record:
 +
 +<code>
 +ldbedit -H /var/lib/samba/private/sam.ldb 'sAMAccountName=niccolo.rigacci'
 +</code>
 +
 +Viene lanciato l'editor (**$VISUAL** oppure **vi**) ed è possibile correggere o aggiungere campi. Ad esempio è possibile aggiungere il percorso per il profilo roaming (**senza slash finale**):
 +
 +<file>
 +profilePath: \\server\profiles\niccolo.rigacci
 +</file>
 +
 +===== Attivare i profili roaming =====
 +
 +È necessario creare la directory che conterrà i profili utente e condividerla con uno share di nome **profiles**. Nel file **/etc/samba/smb.conf** aggiungere la sezione:
 +
 +<file>
 +[profiles]
 +    path = /home/samba/profiles
 +    read only = no
 +</file>
 +
 +La directory **/home/samba/profiles** deve avere **mode 2775** e appartenere a **root:users**. Non è necessario riavviare il servizio, la modifica al file viene riconosciuta al volo e resa attiva.
 +
 +=== Attivazione per il singolo utente ===
 +
 +Per attivare il profilo roaming per un **singolo utente** è sufficiente aggiungere l'attributo **profilePath** al record LDB di quell'utente. Sull'host Samba Active Directory si esegue:
 +
 +<code>
 +ldbedit -H /var/lib/samba/private/sam.ldb 'sAMAccountName=niccolo.rigacci'
 +</code>
 +
 +quindi si aggiunge l'attributo:
 +
 +<file>
 +profilePath: \\server\profiles\niccolo.rigacci
 +</file>
 +
 +Questa impostazione è sufficiente ad ottenere il profilo roaming, non è necessario alcuna modifica alla configurazione del singolo host. In alternativa alla riga di comando GNU/Linux si può utilizzare il programma Windows **Active Directory Users and Computers**.
 +
 +=== Attivazione per tutti gli utenti di un computer ===
 +
 +**ATTENZIONE**: Questa ricetta non attiva il profilo roaming per tutti gli utenti del dominio, ma per tutti gli utenti che si collegano **ad un certo computer**.
 +
 +Per attivare il profilo roaming per **tutti gli utenti** del dominio si può utilizzare il programma Windows chiamato **Group Policy Management Console**, che ovviamente richiede i privilegi di Administrator. Seguendo il percorso //Computer Configuration// => //Policies// => //Administrative Templates// => //System// => **User Profiles** si arriva alla dialog box **Set roaming profile path for all users logging onto this computer**.
 +
 +Nella versione italiana: si cerca **Modifica Criteri di gruppo**, viene trovato ed avviato l'**Editor Criteri di gruppo locali**, quindi => //Criteri Computer locale// => //Configurazione computer// => //Modelli amministrativi// => //Sistema//
 +=> //Profili utente// si arriva a **Imposta percorso profilo mobile per tutti gli utenti che accedono al computer**.
 +
 +Nell'apposita edit box sarà sufficiente aggiungere qualcosa del tipo:
 +
 +<code>
 +\\SERVER\PROFILES\%USERNAME%
 +</code>
 +
 ===== Web References ===== ===== Web References =====
  
doc/appunti/linux/sa/samba_ad.1630483616.txt.gz · Last modified: 2021/09/01 08:06 by niccolo