ドキュメント5.1. プライマリ ドメイン コントローラー
このセクションでは、デフォルトの smbpasswd バックエンドを使用して Samba をプライマリ ドメイン コントローラー (PDC) として構成する方法について説明します。
1. まず、ターミナル プロンプトに次のように入力して、Samba と libpam-winbind をインストールしてユーザー アカウントを同期します。
sudo apt install samba libpam-winbind
2. 次に、Samba を編集して設定します。 /etc/samba/smb.confを選択します。 セキュリティ モードを次のように設定する必要があります user、 そしてその workgroup あなたの組織に関連するものである必要があります:
ワークグループ = 例
...
セキュリティ=ユーザー
3. コメント化された「ドメイン」セクションで、次の内容を追加またはコメント解除します (最後の行は、このドキュメントの形式に合わせて分割されています)。
ドメインログオン = はい
ログオン パス = \\%N\%U\profile ログオン ドライブ = H:
ログオン ホーム = \\%N\%U ログオン スクリプト = logon.cmd
マシンスクリプトの追加 = sudo /usr/sbin/useradd -N -g マシン -c マシン -d
/var/lib/samba -s /bin/false %u
使用しないことをご希望の場合 ローミングプロファイル 出て ホームにログオン logon path オプションがコメント化されました。
• ドメインログオン: Samba をドメイン コントローラーとして機能させる netlogon サービスを提供します。
• ログオンパス: ユーザーの Windows プロファイルをホーム ディレクトリに配置します。 を設定することも可能です。 【プロフィール】 すべてのプロファイルを XNUMX つのディレクトリに配置して共有します。
• ログオンドライブ: ホームディレクトリのローカルパスを指定します。
• ホームにログオンします: ホームディレクトリの場所を指定します。
• ログオンスクリプト: ユーザーがログインした後にローカルで実行されるスクリプトを決定します。スクリプトは、 [ネットログオン] シェア。
• マシンスクリプトを追加します: を自動的に作成するスクリプト マシントラストアカウント ワークステーションがドメインに参加するために必要です。
この例では、addgroup ユーティリティを使用してマシン グループを作成する必要があります。セクション 1.2. 「ユーザーの追加と削除」 [p. 181] を参照してください。 詳細は「XNUMX」を参照してください。
4. コメントを解除します [homes] 共有して許可する ホームにログオン マッピングされるもの:
[homes]
コメント = ホーム ディレクトリを参照可能 = いいえ
読み取り専用 = マスク作成なし = 0700
ディレクトリマスク = 0700 有効なユーザー = %S
5. ドメイン コントローラーとして構成されている場合、 [ネットログオン] 共有を設定する必要があります。 共有を有効にするには、次のコメントを解除します。
[ネットログオン]
コメント = ネットワーク ログオン サービス パス = /srv/samba/netlogon guest ok = はい
読み取り専用 = はい 共有モード = いいえ
オリジナル ネットログオン 共有パスは /home/samba/netlogonただし、ファイルシステム階層標準 (FHS) によれば、 / srv20 システムによって提供されるサイト固有のデータの正しい場所です。
6. 次に、 ネットログオン ディレクトリと空 (今のところ) ログオン.cmd スクリプトファイル:
sudo mkdir -p /srv/samba/netlogon
須藤タッチ/srv/samba/netlogon/logon.cmd
通常の Windows ログオン スクリプト コマンドを入力できます。 ログオン.cmd クライアントの環境をカスタマイズします。
7. Samba を再起動して、新しいドメイン コントローラーを有効にします。
sudo systemctl restart smbd.service nmbd.service
8. 最後に、適切な権限を設定するために必要な追加コマンドがいくつかあります。
自律的AI ルート デフォルトでは無効になっているため、ワークステーションをドメインに参加させるには、システム グループを Windows にマッピングする必要があります。 ドメイン管理者 グループ。 net ユーティリティを使用して、端末から次のように入力します。
sudo net groupmap add ntgroup="ドメイン管理者" unixgroup=sysadminrid=512 type=d
20 http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM
前日比 sysadmin お好みのグループに。 また、ドメインに参加するために使用されるユーザーは、 sysadmin グループ、およびシステムのメンバー 管理人 グループ。 The 管理人 グループは sudo の使用を許可します。
ユーザーがまだ Samba 資格情報を持っていない場合は、smbpasswd ユーティリティを使用して資格情報を追加し、 sysadmin 適切なユーザー名:
sudo smbpasswd -a システム管理者
また、権利を明示的に提供する必要があります。 ドメイン管理者 を許可するグループ マシンスクリプトを追加
(およびその他の管理機能)が機能するようになります。 これは、以下を実行することで実現されます。
net rpc 権限付与 -U sysadmin "EXAMPLE\Domain Admins" SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege \ SeRemoteShutdownPrivilege
9. これで、Windows サーバー上で実行されている NT4 ドメインに Windows クライアントを参加させるのと同じ方法で、Windows クライアントをドメインに参加させることができるようになります。