Re: Determinando níveis dos usuários do Samba e do Windows XP

["Felipe Augusto van de Wiel (faw)" <felipe@cathedrallabs.org>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 12/28/2006 10:26 AM, Carolinux wrote:
> Citando "Felipe Augusto van de Wiel (faw)" <felipe@cathedrallabs.org>:
>> On 12/19/2006 03:24 PM, Carolinux wrote: 
>>> Olá Lista,
>>> Estou com alguns problemas para determinar no meu samba os usuários que
>>> serão administradores, usuários avançados e usuários comuns nas 
>>> estações windows XP.
>>> Estou utilizando o net groupmap para determinar os grupos, minha
>>> configuração atual é essa:

[...]

>>> Com essa configuração já consegui ter uma grupo de pessoas q ao se logar
>>> no sistema tem permissões de administradores locais (no windows), mas quando
>>> eu logo nas máquinas com as pessoas q serão apenas usuários comuns algumas
>>> coisas estranhas acontecem:

>>>- Quando o usuário tenta ver as propriedades dos arquivos (da rede) com o
>>> botão direito, o windows dá um erro;
>> 
>> 	O que o Samba diz nos logs dele?
> 
> Nos logs não vejo nada, os erros só acontecem na estação windows.

	Então mude o log level, se você está mexendo num arquivo de rede,
o Samba tem condições de te dar mais informações. Se preciso, ative o VFS
de auditoria.


> Acredito q não seja problema com as permissões do usuário linux pq quando ele
> está no grupo de administradores (Domain Admins
> (S-1-5-21-159630793-1622463341-864893648-512) -> admdomain) do samba como
> mostrado anteriormente funciona direitinho, só q ele tem permissão de tudo
> (adicionar e remover programas na estação) e não é isso q eu quero, quero q
> alguns usuários linux sejam vistos no windows como usuários "simples", ou seja,
> igual como é no windows em que quando o usuário não é administrador não consegue
> efetuar certas operações.

	A configuração errada no Linux pode levar a comportamento estranho
no Windows, as permissões tem que estar amarradas nas duas pontas pra
funcionar corretamente.


>>>- Quando o  usuário tenta apagar um arquivo criado por ele, o windows tb
>>> dá erro;
>> 
>> 	Quais são as permissões no Samba? Como o LDAP está configurado na
>> máquina que executa o Samba?
> 
> Não estou utilizando LDAP. E minhas permissões do samba estão iguais para acesso
> ao perfil do usuário e varia em relação aos diretórios mapeados.

	Você vai ter que começar a colar trechos do seu smb.conf e informações
do seu filesystem, senão vai ficar difícil de te ajudar.


>>>- Quando ele vai tertar acessar uma impressora da rede, o windows dá um
>>> erro.
>> 
>> 	Qual erro?
> 
> O erro é q o usuário não tem permissão para efetuar essa operação, só que é
> estranho... um usuário normal do windows deveria poder fazer isso.. não é?

	Não necessariamente. Há políticas que proibem o usuário de adicionar
impressora. Você também pode checar as opções "use cliente driver" e
"disable spoolss" no seu smb.conf/testparm.


>>> Já fiz modificações e sei q não é problema de permissões do usuário,
>>> pq quando incluo no grupo de Domain Admin tudo funciona, tudo bem q é 
>>> administrador, mas as permissões específicas daquele usuário funcionam
>>> nessas condições.
>> 
>> 	Tem certeza que são as permissões específicas do usuário? Ou você tem
>> essa impressão porque como administrador ele consegue fazer mais do que
>> poderia?
> 
> Tenho sim, pq o q está interferindo é justamente quando mudo isso aqui:
> 
> System Operators (S-1-5-32-549) -> -1
> Domain Guests (S-1-5-21-159630793-1622463341-864893648-514) -> -1
> Replicators (S-1-5-32-552) -> -1
> Guests (S-1-5-32-546) -> -1
> Power Users (S-1-5-32-547) -> -1
> Print Operators (S-1-5-32-550) -> -1
> Administrators (S-1-5-32-544) -> -1
> Domain Admins (S-1-5-21-159630793-1622463341-864893648-512) -> admdomain
> Account Operators (S-1-5-32-548) -> -1
> Domain Users (S-1-5-21-159630793-1622463341-864893648-513) -> users
> Backup Operators (S-1-5-32-551) -> -1
> Users (S-1-5-32-545) -> -1
> 
> Nessas configurações eu digo o q meu usuário vai ser ao se logar no windows, só
> q quem não é do grupo admdomain não consegue fazer NADA, e ainda dá erro ao
> efetuar operações simples como clicar com o botão direito num arquivo da rede.

	Nope, isso não faz sentido. Tradicionalmente os usuários são
mapeados pro -513, você tem que dizer especificamente quem são os
usuários no grupo 512 e ainda usar o net rpc rights pra conceder
privilégios complementares para o grupo de administradores (e isso
também muda de acordo com a versão do Samba que você está usando).


> Entendeu meu problema?? Não sei mais o q pensar!!!

	Entendi que você tem um problema, mas você ainda não localizou
o que está gerando isso. Mais informações como smb.conf, detalhes do
filesystem e logs com informações relevantes podem ajudar. Sem falar em
executar o testparm.


>>> Além disso queria criar um grupo de usuários avançados, mas não
>>> consegui. Aguém pode me ajudar?
>>
>> 	Defina "usuários avançados".
> 
> Como foi listado assim tb é possível criar um grupo de usuários avançados além
> dos padrão e administradores.

	net rpc rights



	Abraço,


- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Debian - http://enigmail.mozdev.org

iD8DBQFFlJG8CjAO0JDlykYRAipzAJ4r1lYvl/oiztk9zkTgxg+oNNeCFACgpxEV
2g7wi1Djh6MzelQbhI3Gtig=
=LziD
-----END PGP SIGNATURE-----