|
|
| Zeile 1: |
Zeile 1: |
| − | {{Wettbewerb}} | + | {{Löschantrag}} |
| | | | |
| − | == Client in die Domäne aufnehmen ==
| + | --[[Benutzer:Flo84|Flo84]] 23:10, 16. Mai 2007 (CEST) |
| | | | |
| − | Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.
| + | Ich hätte gerne meine komplette Samba-Script-Sammlung veröffentlicht - hier baut ein Script auf dem nächsten auf. Da ich mangels Zeit nur selten dazu komme, bereits bestehende Beiträge von anderen Usern so zu überarbeiten, dass diese im Einklang mit meiner Doku sind, lösche ich hiermit meine Beiträge. Gerne übergebe ich die Dokumente an jemanden, der diese dann einpflegt (alle mit OpenOffice.org Writer erstellt)! |
| − | | |
| − | | |
| − | '''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script [[Samba mit LDAP - extended]] bei folgenden Schritten berücksichtigen!
| |
| − | | |
| − | | |
| − | Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:
| |
| − | | |
| − | | |
| − | [[Bild:smb_config_client_01.jpg]]
| |
| − | | |
| − | | |
| − | Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht
| |
| − | | |
| − | add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u
| |
| − | | |
| − | angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:
| |
| − | | |
| − | useradd -s /bin/false [RECHERNAME]$
| |
| − | smbpasswd -a -m [RECHNERNAME]
| |
| − | | |
| − | Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''
| |
| − | | |
| − | | |
| − | Für LDAP gilt übrigens folgender Befehl:
| |
| − |
| |
| − | add machine script = /usr/sbin/smbldap-useradd -w %u
| |
| − | | |
| − |
| |
| − | Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!
| |
| − | | |
| − | | |
| − | Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!
| |
| − | | |
| − | == Serverbasierende Profile ==
| |
| − | | |
| − | Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.
| |
| − | | |
| − | | |
| − | In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:
| |
| − | | |
| − | [profiles]
| |
| − | comment=Profile
| |
| − | path=/srv/samba/profiles
| |
| − | read only=no
| |
| − | create mask=0600
| |
| − | directory mask=0770
| |
| − | browseable=no
| |
| − | | |
| − | Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.
| |
| − | | |
| − | | |
| − | Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich
| |
| − | | |
| − | | |
| − | a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,
| |
| − | | |
| − | b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder
| |
| − | | |
| − | c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")
| |
| − | | |
| − | | |
| − | [[Bild:smb_config_client_02.jpg]]
| |
| − | | |
| − | Grafik 1
| |
| − | | |
| − | | |
| − | == Profilvorlagen anlegen ==
| |
| − | | |
| − | Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.
| |
| − | | |
| − | | |
| − | '''''Schritt 1: "vorlage"-User erstellen'''''
| |
| − | | |
| − | Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.
| |
| − | | |
| − | | |
| − | '''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''
| |
| − | | |
| − | Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an.
| |
| − | | |
| − | | |
| − | '''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.
| |
| − | | |
| − | | |
| − | Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:
| |
| − | | |
| − | net use \\server01 /user:root
| |
| − | | |
| − | Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!
| |
| − | | |
| − | | |
| − | Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:
| |
| − | | |
| − | \\server01\profiles\vorlage
| |
| − | | |
| − | Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.
| |
| − | | |
| − | | |
| − | Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!
| |
| − | | |
| − | | |
| − | [[Bild:smb_config_client_03.jpg]]
| |
| − | | |
| − | Grafik 2
| |
| − | | |
| − | | |
| − | [[Bild:smb_config_client_04.jpg]]
| |
| − | | |
| − | Grafik 3
| |
| − | | |
| − | | |
| − | == Verbindliche, unveränderbare Profile ==
| |
| − | | |
| − | Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei:
| |
| − | | |
| − | chmod 400 ntuser.man
| |
| − | | |
| − | damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Lies dir den Beitrag [[Zentrale Verteilung der Gruppenrichtlinien - poledit]] durch. Ich habe hier [[http://www.f-tech.de/dokumente/flo_poledit.adm]] eine ADM-Vorlage zum Download, welche u. a. Ordnerumleitung ermöglicht. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.
| |
| − | | |
| − | | |
| − | '''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet, erneut angemeldet, Wallpaper entfernt, abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!
| |
| − | | |
| − | | |
| − | == Profilvorlage für User kopieren ==
| |
| − | | |
| − | Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:
| |
| − | | |
| − | cp -R vorlage/ franz
| |
| − | chown -R franz franz
| |
| − | chmod 700 franz
| |
| − | | |
| − | Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).
| |
| − | | |
| − | | |
| − | Das soll's gewesen sein!
| |
| − | | |
| − | | |
| − | [[Samba|Zurück zu Samba]]
| |
| − | | |
| − | | |
| − | --[[Benutzer:Flo84|Flo84]] 21:56, 14. Mai 2007 (CEST)
| |
