GroupPolicy WinXP samba3

Предисловие

   Поднял в школе домен под управлением samba 3.3.6. Создал mandatory профиль (можете почитать предыдущий пост). В общем все замечательно Единственное что – в предыдущем посте я сказал, что для mandatory профиля нужно подправить групповую политику, а машин у меня 26 штук и настраивать политику на каждой машине не хотелось, поэтому я изобрел велосипед

Про pstools можно почитать здесь.

 0. Для начала необходимо настроить самбу. Нам будет нужна шара, которая пускает пользователей без пароля (вообще! то есть запроса пароля нет). Для этого редактируем smb.conf:

- в секцию [global] добавляем такие параметры:

map to guest = bad user
guest account = nobody

- создаем шару:

[GroupPolicy]
  path = /home/GroupPolicy
  browseable = no
  read only = yes
  guest only = yes

 

   Теперь, после таких манипуляций, самба будет пускать на эту шару без пароля (даже при security = user). Остается только перезапустить самбу.

1.  Сидя за своим рабочим местом, запускаем gpedit.msc и настраиваем политику для локального компьютера.

После чего копируем папку %systemroot%\system32\GroupPolicy на нашу самбовскую шару.
Примечание: папка скрытая, так что включите отображение скрытых папок.

2.  Скачиваем pstools. И разархивируем их куда-нибудь. Нам понадобится утилита psexec.exe и pshutdown.exe (эта необязательная утилита).

3. Теперь выбираем любой компьютер (просто посмотрите на него xD ), запоминаем имя. У меня это ws1-48. Теперь переходим непосредственно к применению политик. Для этого запускаем последовательно нижеследующие команды.
 

Первая команда удаляет директорию с политиками:

psexec.exe \\ws1-48 -u Администратор -p password cmd.exe /C rmdir C:\WINDOWS\system32\GroupPolicy /S /Q

Здесь мы создаем каталог для политик:

psexec.exe \\ws1-48 -u Администратор -p password cmd.exe /C mkdir C:\WINDOWS\system32\GroupPolicy

А здесь происходит копирование политики с самбовской шары:

psexec.exe \\ws1-48 -u Администратор -p password cmd.exe /C xcopy \\asassin\GroupPolicy\GroupPolicy C:\WINDOWS\system32\GroupPolicy /s /e /h /y

4.  Все – политики скопировались (можно пойти и на машине ws1-48 запустить gpedit и посмотреть изменения). Для их применения можно использовать gpedit или ребутнуть машину. Для пущей уверенности я перезагружу удаленную машину. Для этого я буду использовать psshutdown.exe:

psshutdown.exe -u Администратор -p password -r -t 10 \\ws1-48

Удаленная машина перезагрузится (-r) через десять секунд (-t).

Итого: Мы получили вполне работоспособное решение, которое, к тому же не требует GUI оболочек, а следовательно все эти команды можно запихнуть в скрипт и запускать автоматом, после изменения политики. Вот такой вот костыль

Источник:

security = USER

Пример:

security = DOMAIN

англ. security (G)

Этот параметр влияет на то, как будут себя вести клиенты Samba и это один из наиболее важных параметров файла smb.conf.

Он устанавливает "security mode bit" в репликах к smbd в момент согласования протокола, тем самым включая или отключая режим безопасности. Клиенты, основываясь на этой информации, определяют нужно ли (и если да то как) передавать серверу имя пользователя и пароль.

Значение по умолчанию security = USER, т.к. это наиболее подходящее значение для связи с Windows 98 и Windows NT. Другие значения: SHARE, SERVER или DOMAIN.

В версиях Samba до 2.0.0, значением по умолчанию было SHARE в основном потому, что это было единственное значение, имевшее тогда смысл. Есть одна ошибка в Windows для рабочих групп (Windows for Workgroups, WfWg), которая имеет отношение к этому параметру. При работе в режиме USER или SERVER, клиенты Windows для рабочих групп игнорируют имя пользователя и пароль, указываемые в диалоге для доступа к ресурсу. "Благодаря" этому практически невозможно присоединиться к сервису Samba пользователем, отличным от того, с правами которого произведен вход в Windows. Если на Ваших ПК имена пользователей такие же как имена пользователей в UNIX, тогда Вам нужно использовать режим USER. Если Вы используете имена, которые не существуют на сервере UNIX тогда используйте режим SHARE. Вам также следует использовать режим SHARE, если Вы хотите открыть гостевой доступ. В основном это используется для принт-серверов. Настроить гостевой доступ при использовании USER сложнее, смотрите секцию map to guest для получения более подробной информации. Возможно настроить smbd в смешанном режиме, когда Samba будет обслуживать оба режима (USER и SHARE), используя разные псевдонимы NetBIOS.

security = SHARE

Когда клиенты присоединяются к ресурсу с security = SHARE им не нужно регистрироваться с использованием действительного имени пользователя и пароля (хотя современные клиенты Windows 95/98 и Windows NT посылают запрос на вход в систему с именем пользователя без пароля, когда подсоединяются к серверу, находящемуся в режиме SHARE). Вместо этого, клиенты посылают информацию аутентификации (пароли) на конкретный ресурс, в тот момент, когда хотят получить доступ к этому ресурсу. Заметьте, что smbd ВСЕГДА использует реального пользователя UNIX, когда обслуживает клиента, даже если установлено security = SHARE. Т.к. в режиме SHARE от пользователя не требуется посыла его имени, smbd использует несколько приемов для определения пользователя UNIX.

Список предполагаемых имен пользователей UNIX и соответствующих им паролей определяется следующим образом:

• Если установлен параметр guest only, тогда все остальные сценарии пропускаются и используется только имя гостевой учетки (guest account).
• Если имя пользователя послано вместе с запросом на установление соединения после сопоставления (см. username map), добавляется в список.
• Если клиент выполнял запрос logon (вызов SessionSetup SMB), тогда имя пользователя, использовавшееся в этом вызове будет добавлено в список.
• Имя сервиса, которое запросил клиент, будет добавлено в список. NetBIOS имя клиента добавляется в список. Все пользователи из списка пользователей добавляются в этот список.

Если параметр guest only не установлен, тогда этот список пользователей обрабатывается с соответствующими паролями. Первый пользователь, пароль которого совпадет с реальным будет использован в качестве действующего пользователя UNIX.

Если параметр guest only установлен или не найдено подходящего имени пользователя, тогда, если Samba разрешено "принимать гостей" (usershare allow guests), будет использоваться гостевая учетка, в противном случае доступ будет запрещен.

Заметьте, что при использовании уровня безопасности SHARE может быть очень сложно определить какой же пользователь UNIX будет использован в конечном счете.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

security = USER

Это значение по умолчанию в Samba 3.0. При этом, клиент должен сначала произвести вход (logon), с существующим именем пользователя и паролем (имя может быть транслировано с помощью параметра username map). Шифрованные пароли (см. encrypted passwords) также могут быть использованы в этом режиме.

Такие параметры, как user и guest only, если они установлены на ресурс, могут поменять значение пользователя UNIX, который будет использоваться в конечном счете, НО только после того как пользователь успешно пройдет аутентификацию.

Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые учетки не работают в режиме USER, не позволяя серверу преобразовывать неопознанных пользователей в гостей.

См. секцию параметра map to guest.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

security = DOMAIN

Такой режим будет работать только в том случае, если была использована команда net(8) для добавления этого компьютера в домен Windows NT. Это требует установленного параметра encrypted passwords = yes.

В этом режиме Samba попытается опознать имя пользователя и пароль, передав их первичному или резервному домен контроллерам Windows NT, т.е. сделает тоже самое, что сделал бы сервер Windows NT.

Заметьте, что реальный пользователь UNIX все-таки должен быть, потому что Samba придется проверять права доступа пользователя UNIX (пусть даже и транслированного в другого, прим. перев.), к файлу в файловой системе UNIX. С точки зрения клиента, нет разницы между режимами DOMAIN и USER. Это затрагивает лишь то, как сервер проводит аутентификацию, только и всего.

Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые шары не работают в режиме USER, не позволяя серверу преобразовывать неопознанных пользователей в гостей, чтобы сервер аутентифицировал пользователя используются параметр guest account.

Обязательно ознакомьтесь с map to guest.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

И еще смотрите секции параметров password server и encrypted passwords.

security = SERVER

В этом режиме Samba попытается определить правильность пары пользователь/пароль, передав ее другому серверу SMB, такому как NT. Если это не получится, будет работать security = USER.

Шифрованные пароли (см. encrypted passwords) также могут быть использованы в этом режиме (конечно удаленный сервер должен поддерживать их). Тем не менее, если на этапе согласования параметров соединения, Samba уже НЕ сможет вернуться к режиму проверки файла паролей UNIX, у нее должен быть файл smbpasswd, в котором она и будет проверять пользователей. Как это сделать? — см Samba HOWTO Collection.

Замечание. В зтом режиме есть серьезные недостатки, потому что он уязвим для атак посредника (man-in-the-middle) и подмене сервера. В частности, этот режим работы может вызвать значительно потребление ресурсов первичного контроллера домена, т.к. должен обслуживать активное соединение все то время пока оно активно. Более того, если соединение потеряно, нет вариантов переподключиться и будущие аутентификации могут провалиться (от одного клиента, пока он не отсоединится).

Замечание. С точки зрения клиента, нет разницы в режимах SERVER и USER. Это затрагивает лишь то, как сервер проводит аутентификацию, только и всего. Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые учетки не работают в режиме USER, не позволяя серверу преобразовывать неопознанных пользователей в гостей.

См. секцию параметра map to guest.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

И еще смотрите секции параметров password server и encrypted passwords.

security = ADS

В этом режиме Samba работает как член домена AD.

Для работы в этом режиме, компьютеру, на котором запущена Samba, необходим будет установленный и настроенный Kerberos, и Samba должна быть присоеденина к области AD с использованием утилиты net.

Заметим, что этот режим НЕ заставляет Samba работать в качестве доменного контроллера AD.

Прочитайте раздел Domain Membership в HOWTO для получения более подробной информации.