Re: Samba + Vista i profile mobilne [problem z uprawnieniami]

[Przemysław Korzekwa <23przemo@wp.pl>]

Grzegorz Kuczyński pisze:
> Witam
> W skrócie to tak: mam windows server 2003, domena, klienci Vista. Nie 
> wiedzieć czemu ;) postanowiłem wywalić ten win srv i zamienić go na 
> Debiana z sambą jako PDC, a klienci zostają z najlepszym systemem na 
> świeci ;).
> 10 opisów jak to zrobić itp, w końcu poskładałem ten smb.conf do 
> swoich potrzeba i upodobań, dodaje Viste do domeny, Witamy w domenie 
> ;) loguje się i co widzę? przepiękny dymek informacyjny... coś w stylu 
> załadowanie profilu nie powiodło się, został załadowany profil 
> tymczasowy, po wylogowaniu zmiany nie zostaną zachowane... skontaktuj 
> się sam z sobą ;).
> Patrze w logi i widzę (przepraszam, że nie podaje dokładnie 
> szczegółów, pisze z pamięci, bo nie mam dostępu do serwera ponieważ 
> musiałem przepiać dysk z działającym win srv) i widzę ze autoryzacja 
> ok, ale chce stworzyć katalog test.V1 i tu odmowa dostępu 
> identyfikowana czymś w stylu NT_DOMAIN_ACCESS_DENIED (ale nie 
> dokładnie tak), ale wiadomo o co chodzi, gdzieś prawa poleciały.
> Profiles i netlogon mam w /home/samba/, do samby już mam 777. Głównie 
> wzorowałem się na opisie z rozdziału "Domain Controller" samba HOWTO.
> Dodałem te grupy oraz odwzorowałem je na NT jak tam pisze. Testowego 
> użytkownika test dodałem do grupy users, czyli jak rozumiem 
> ntgroup="Domain Users". mimo to nie może zapisać swojego profilu.
> Podejrzewam, i pewnie słusznie ;) że mój błąd kryje się w tym 
> lakonicznym zdaniu: "Add users to groups as required for access 
> control on files, directories, printers, and as required for use in 
> the Samba environment." Przyznaje się, że na Viscie nie było konta 
> lokalnego test, czy musi być?
nie musi
> Być może ktoś mi coś podpowie, może sam dojdę po jakimś czasie, bo 
> domena już działa, jest tylko problem z uprawnieniami - wykończeniówka 
> ;), i tu właśnie nie wiem czy to wina po stronie serwera czy Visty. 
> Nie mam jak przetestować czy na XP np. działa.
> Przeczytałem już wiele postów, opisów itp. odnośnie problemów z tą 
> domeną na sambie, a zwłaszcza z nowymi Windowsami jest wiele 
> problemów. Teraz (już tak mam tego dość) bardziej mnie interesuje czy 
> te profile mobilne są wogóle warte zachodu, wraz z ta cała domeną?
zależy, to jest fajne jak ludzie pracują na kompach gdzie popadnie i 
czytają pocztę przez jakiegoś webmaila
na ogół, gdy każdy user ma jakiś "swój" w miarę własny komputer to 
jedynie jako codzienna kopia zapasowa jego wypocin
nie można dopuścić, żeby synchronizowały się pliki outlooków bo będą 
problemiki
thunderbird działa na profilach mobilnych dopóki pliki z pocztą nie 
osiągną odpowiednich rozmiarów
userom nie bardzo można zapisywać duże pliki ogólnie (filmy nie filmy)  
bo wczytywanie i zapisywanie profilu trwa godzinami potem
no i userzy muszą wiedzieć, że zalogowanie się na dwóch maszynach 
jednocześnie może doprowadzić do utraty danych!

> Interesuje mnie scentralizowane logowanie (niech będzie ta domena), 
> wymiana plików w sieci oraz dane użytkowników w jednym miejscu. Jednym 
> zdaniem: PDC bez profili tylko z logowaniem oraz dyski sieciowe (z 
> objaśnieniem, że tam mają zapisywać dane, na których im zależy, oraz 
> których będą mogli użyć z innego komputera w sieci). Czy naprawdę tak 
> wiele zyskuję konfigurując te profile? Bo zabawy jest co niemiara. 
> Może ktoś z was otrzymuje podobny efekt do domeny z profilami 
> mobilnymi robiąc to troszkę inaczej niż Microsoft ;)
> Dokładnie to chodzi o pracownie komputerową, więc to nie są jakieś 
> super ważne dane, chodzi o to aby jak najmniej uczniowie mogli popsuć 
> a ja miał jak najwięcej czasu na inne zajęcia ;). Bo domena na win srv 
> 2003 w instalacji oprogramowania na 15 komputerach na raz jakoś 
> nieszczególnie pomaga ;) bardziej to w teorii działa niż praktyce, do 
> tego chyba zastosuje WPKG.
dla uczniów... :)
to najlepiej przygotować i wyexportować domyślny profi (ten, który 
powstaje w momencie pierwszego logowania do domeny na danym kompie, w 
xpeku to jest c:\documents and settings\Default Users i trzeba go 
wrzucić pomijając pliki destop.ini do \\serwer\netlogon z uprawnieniami 
tylko do odczytu dla wszystkich), katalogi domowe, żeby sobie mogli 
przenosić swoje pliki między komputerami i jakiś public na wymianę 
plików ogólnie
w takim układzie tylko Ty masz uprawnienia Domain Admins i możesz 
zarządzać kompami przez sieć, czyli np wywalić ordynarnie zaśmiecony 
profil z dowolnego komputera w domenie

żeby profile mobilne wyłączyć musisz umieśćić pusty wpis w smb.conf pt: 
logon path =
posługując się pdbedit możesz ustawiś zmienną Profile Patch tylko dla 
swojego konta jeśli tego potrzebujesz
żeby toto działało musi być share profiles:
[profiles]
       path = /home/smb/profiles
       force user = %U
       read only = No
       guest ok = Yes
       profile acls = Yes
       browseable = No

z odpowiednimi uprawnieniami, a udostępniany do tego celu katalog 
trzeba opatrzyć prawami zdaje się 1777
żeby wyglądało tak:
ls -al /home/smb
drwxrwxrwt 2 root root  48 III  3 12:22 profiles

> Aha, Debian Lenny
>
> To żem skrócił ;)
> Pozdrawiam wszystkich z lisy.
>
> ----------------------------------------------------------------------
>
> Zyskaj tak jak ja 9% na lokacie w pierwszym miesiacu! Sprawdz! 
> http://link.interia.pl/f207b
pozdrawiam
PK