rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:samba_ad

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:linux:sa:samba_ad [2021/10/22 14:24] – [Attivare i profili roaming] niccolodoc:appunti:linux:sa:samba_ad [2021/10/27 16:15] (current) – [Gestione utenti e gruppi] niccolo
Line 298: Line 298:
 </code> </code>
  
-Per aggiungere un utente al gruppo Administrators+Per aggiungere o togliere un utente al gruppo Administrators
  
 <code> <code>
 samba-tool group addmembers "Administrators" niccolo.rigacci samba-tool group addmembers "Administrators" niccolo.rigacci
 +samba-tool group removemembers "Administrators" niccolo.rigacci
 </code> </code>
  
Line 318: Line 319:
 samba-tool group listmembers 'Domain Users' samba-tool group listmembers 'Domain Users'
 </code> </code>
 +
 +===== Accesso in Remote Desktop =====
 +
 +Come impostazione predefinita solo gli utenti del gruppo **Domain Admins** possono accedere in dekstop remoto ad un host del dominio Active Directory; contrariamente a quanto ci si potrebbe aspettare **non è sufficiente** appartenere al gruppo **Remote Desktop Users**.
 +
 +Per abilitare l'accesso al gruppo //Remote Desktop Users// è necessario sulla singola macchina eseguire **secpol.msc** e quindi seguire **Allow log on through Remote Desktop Services** => **Add Users or Group** e aggiungere il gruppo.
 +
 +Solo dopo questa impostazione **da fare su ogni singola macchina** sarà sufficiente aggiungere l'utente del dominio al gruppo opportuno:
 +
 +<code>
 +samba-tool group addmembers "Remote Desktop Users" niccolo.rigacci
 +</code>
 +
  
 ===== Integrazione di utenti e gruppi Samba in Unix ===== ===== Integrazione di utenti e gruppi Samba in Unix =====
Line 427: Line 441:
  
 <file> <file>
-profilePath: \\server\profiles\demo+profilePath: \\server\profiles\niccolo.rigacci
 </file> </file>
  
 ===== Attivare i profili roaming ===== ===== Attivare i profili roaming =====
  
-Creare la directory che conterrà i profili utente e creare lo share **profiles**. Nel file **/etc/samba/smb.conf** aggiungere la sezione:+È necessario creare la directory che conterrà i profili utente e condividerla con uno share di nome **profiles**. Nel file **/etc/samba/smb.conf** aggiungere la sezione:
  
 <file> <file>
Line 440: Line 454:
 </file> </file>
  
-Non è necessario riavviare il servizio, la modifica al file viene riconosciuta al volo e resa attiva.+La directory **/home/samba/profiles** deve avere **mode 2775** e appartenere a **root:users**. Non è necessario riavviare il servizio, la modifica al file viene riconosciuta al volo e resa attiva.
  
-Per attivare il profilo roaming per **tutti gli utenti** del dominio si può utilizzare il programma Windows chiamato **Group Policy Management Console**, che ovviamente richiede i privilegi di AdministratorSeguendo il percorso //Computer Configuration// => //Policies// => //Administrative Templates// => //System// => **User Profiles** si arriva alla dialog box **Set roaming profile path for all users logging onto this computer**. Sarà sufficiente aggiungere qualcosa del tipo:+=== Attivazione per il singolo utente === 
 + 
 +Per attivare il profilo roaming per un **singolo utente** è sufficiente aggiungere l'attributo **profilePath** al record LDB di quell'utenteSull'host Samba Active Directory si esegue:
  
 <code> <code>
-\\SERVER\PROFILES\%USERNAME%+ldbedit -H /var/lib/samba/private/sam.ldb 'sAMAccountName=niccolo.rigacci'
 </code> </code>
  
-Per attivare il profilo roaming per un **singolo utente** è sufficiente aggiungere l'attributo **profilePath** al record LDB di quell'utente (vedi sopra). In alternativa si può utilizzare il programma Windows **Active Directory Users and Computers**.+quindi si aggiunge l'attributo:
  
 +<file>
 +profilePath: \\server\profiles\niccolo.rigacci
 +</file>
  
-FIXME +Questa impostazione è sufficiente ad ottenere il profilo roaming, non è necessario alcuna modifica alla configurazione del singolo host. In alternativa alla riga di comando GNU/Linux si può utilizzare il programma Windows **Active Directory Users and Computers**. 
-  Come creare lo share **%%\\SERVER\PROFILES%%**? + 
-  Bisogna aggiungere l'attributo **profilePath** al record LDB di ciascun untente? +=== Attivazione per tutti gli utenti di un computer === 
-  Avendo aggiunto l'attributo **profilePath** al record LDB di un **singolo utente**, il profilo risulta attivo per quel singolo utente anche se non si è attivata l'opzione per tutti gli untenti?+ 
 +**ATTENZIONE**: Questa ricetta non attiva il profilo roaming per tutti gli utenti del dominio, ma per tutti gli utenti che si collegano **ad un certo computer**. 
 + 
 +Per attivare il profilo roaming per **tutti gli utenti** del dominio si può utilizzare il programma Windows chiamato **Group Policy Management Console**, che ovviamente richiede i privilegi di Administrator. Seguendo il percorso //Computer Configuration// => //Policies// => //Administrative Templates// => //System// => **User Profiles** si arriva alla dialog box **Set roaming profile path for all users logging onto this computer**. 
 + 
 +Nella versione italiana: si cerca **Modifica Criteri di gruppo**, viene trovato ed avviato l'**Editor Criteri di gruppo locali**, quindi => //Criteri Computer locale// => //Configurazione computer// => //Modelli amministrativi// => //Sistema// 
 +=> //Profili utente// si arriva a **Imposta percorso profilo mobile per tutti gli utenti che accedono al computer**. 
 + 
 +Nell'apposita edit box sarà sufficiente aggiungere qualcosa del tipo: 
 + 
 +<code> 
 +\\SERVER\PROFILES\%USERNAME%
 </code> </code>
  
doc/appunti/linux/sa/samba_ad.1634912677.txt.gz · Last modified: 2021/10/22 14:24 by niccolo