LINUX.ORG.RU
ФорумAdmin

[cds][samba][ldap][off topic] Как добавить права пользователю домена чтобы он мог инсталить проги у себя в винде?

 ,


0

1

Поставил домен на калкулете по инструкции, пользователям дал права 'Power users' но они хотят инсталить проги, сменил им группу на 'Administrators' но в калкулете эта группа может только добавлять пользователя в домен... Как ей дать права устанавливать проги и прочие?

Локально доменный пользователь в группе «Администраторы» не находится... Если руками локально добавить в Админитсраторы то конечно права есть...

В cds группа Administrators насильно зарезана в привелегиях только для добавления компа в домен. Гдето видел как их расширить

net rpc rights grant "Administrators" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -Uadmin

Чё-то типа такого пойдёт? Оно на простой самбе точно сработает, а в калкулате с его LDAP и утелитами cl-*? Ничего не похерит?

Вообще надо только права устанавливать софт... Кто поможет?!!!!


никак, на винде и надо делать в группу локальных админов

guilder
()

# net groupmap add rid=512 ntgroup=«Domain Admins» unixgroup=nt_admins
Группы заменить на свои. 512 - RID локального администратора.

fractaler ★★★★★
()

Чё-то типа такого пойдёт? Оно на простой самбе точно сработает, а в калкулате с его LDAP и утелитами cl-*? Ничего не похерит?

Если на простой работает, значит с ldap будет. Никакой разницы.

zgen ★★★★★
()
Ответ на: комментарий от fractaler

Ай, не внимательно читал, сорри. Да, команда на старте топика должна помочь, раз пользователь уже в группе.
Меня смутило название «Administrators» вместо «Domain Admins».

fractaler ★★★★★
()
Ответ на: комментарий от fractaler

Ай, не внимательно читал, сорри. Да, команда на старте топика должна помочь, раз пользователь уже в группе.

Не помогает!...

Меня смутило название «Administrators» вместо «Domain Admins».

Да я не хочу давать им «Domain Admins»... который есть в группе локальных администраторов.

Хочу чтобы юзеры имели права админа только на локальных машинах....

# net rpc rights grant "Administrators" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -Uadmin
Enter admin's password:
Successfully granted rights.

# cl-info -G 'Domain Admins' samba 
Information about group Domain Admins for service Samba
+------------+-----------------------+
| Field      | Value                 |
+------------+-----------------------+
| Group      | Domain Admins         |
| Name       | Domain Administrators |
| GID        | 512                   |
| Group type | domain group          |
| Member UID | No                    |
+------------+-----------------------+
(5 rows)

# cl-info -G Administrators samba 
Information about group Administrators for service Samba
+------------+------------------------------------------------------------------+
| Field      | Value                                                            |
+------------+------------------------------------------------------------------+
| Group      | Administrators                                                   |
| Name       | Domain Members can fully administer the computer/sambaDomainName |
| GID        | 544                                                              |                                                                            
| Group type | builtin group                                                    |                                                                            
| Member UID | admin                                                            |
...................
                                                                          

+------------+------------------------------------------------------------------+ 

# cl-info -g samba 
All groups in LDAP for service Samba
+-------------------+------+---------------+
| Group             | GID  | Group type    |
+-------------------+------+---------------+
| System Operators  | 549  | builtin group |
| Print Operators   | 550  | builtin group |
| Domain Guests     | 514  | domain group  |
| Domain Admins     | 512  | domain group  |
| Account Operators | 548  | builtin group |
| Domain Users      | 513  | domain group  |
| Administrators    | 544  | builtin group |
| client            | 900  | domain group  |
| Backup Operators  | 551  | builtin group |
| Replicators       | 552  | builtin group |
| Domain Computers  | 515  | domain group  |
| accountancy       | 1000 | domain group  |
| Power Users       | 547  | builtin group |
+-------------------+------+---------------+

Вот у него GID 544....

Какой rid у локального админа?

Перечитывая вновь и вновь http://www.calculate-linux.ru/main/ru/configuration_of_samba_server и вопрос остайтся открытый...

sdh
() автор топика
Ответ на: комментарий от sdh

Что-то мне кажется, что пользователь admin, от которого даётся команда, должен быть «Domain Admins».
Да и непонятно, почему пользователи домена не входят (как я понял) в группу «Domain Users».

fractaler ★★★★★
()
Ответ на: комментарий от fractaler

«Domain Admins» пуста... ввести туда админа? Команда от него же сработала «Successfully granted rights.»

Пользователи у меня в первичной группе accountancy, также они изначально были добавлены в «Power Users» потом я их и в «Domain Users» добавлял - без результата..

sdh
() автор топика
Ответ на: комментарий от sdh

>«Domain Admins» пуста... ввести туда админа?
Да, это обязательно. Потом повтори команду выдачи прав. И посмотрим, что будет. Если дать эту команду на «Domain Users», то «Domain Users»=«Domain Admins», а что будет с Administrantors — не знаю.
Вообще, рулить локальными пользователями из домена — странный ход.

Предлагаю просто создать на каждом компе локальную учётку админа и пусть пользователь вводит его пароль при установке программ. И не надо будет сидеть под админом. Профит очевиден.

fractaler ★★★★★
()
Ответ на: комментарий от fractaler

>Да, это обязательно. Потом повтори команду выдачи прав. И посмотрим, что будет. Если дать эту команду на «Domain Users», то «Domain Users»=«Domain Admins», а что будет с Administrantors — не знаю.

Посмотрю скажу:)

Вообще, рулить локальными пользователями из домена — странный ход.

Почему? Удобно... Одной командой сразу всех.

Предлагаю просто создать на каждом компе локальную учётку админа и пусть пользователь вводит его пароль при установке программ. И не надо будет сидеть под админом. Профит очевиден.

Уже есть, не хотят...

sdh
() автор топика
Ответ на: комментарий от sdh

>Почему? Удобно... Одной командой сразу всех.
Почему не доменными пользователями? Вот в чем вопрос.

Уже есть, не хотят...

Я бы сказал - обойдутся. Сидеть под админом - зло. А тебе потом разгребать неведомое нечто.

fractaler ★★★★★
()
Ответ на: комментарий от fractaler

>Почему не доменными пользователями? Вот в чем вопрос.

Не хочу делать всех админами домена...

Я бы сказал - обойдутся. Сидеть под админом - зло. А тебе потом разгребать неведомое нечто.

В данной ситуации я за это не отвечаю...

sdh
() автор топика
Ответ на: комментарий от sdh

>Не хочу делать всех админами домена...
Так не админами, а доменными пользователями. Иначе говоря, рулить не группами Users, Administrators и т.д., а Domain Users и другими, хранящимися на сервере, а не на локальных машинах.

fractaler ★★★★★
()
Ответ на: комментарий от fractaler

Показал челу как добавлять в винде доменного пользователя в группу локальных админов... кому надо он добавит....

sdh
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin