文件记录5.1. 主域控制器
本节介绍如何使用默认的 smbpasswd 后端将 Samba 配置为主域控制器 (PDC)。
1. 首先,通过在终端提示中输入以下内容,安装 Samba 和 libpam-winbind 以同步用户帐户:
sudo apt 安装 samba libpam-winbind
2.接下来,通过编辑配置Samba /etc/samba/smb.conf。 该 安全 模式应设置为 用户,并 工作组 应该与您的组织有关:
工作组 = 示例
...
安全=用户
3. 在注释的“域”部分添加或取消注释以下内容(最后一行已拆分以适合本文档的格式):
域登录 = 是
登录路径 = \\%N\%U\profile 登录驱动器 = H:
登录主页 = \\%N\%U 登录脚本 = logon.cmd
添加机器脚本 = sudo /usr/sbin/useradd -N -g 机器 -c 机器 -d
/var/lib/samba -s /bin/false %u
如果您不想使用 漫游配置文件 离开 登录主页 和 登录路径 选项评论。
• 域登录: 提供 netlogon 服务,使 Samba 充当域控制器。
• 登录路径: 将用户的 Windows 配置文件放入其主目录中。 也可以配置一个 [简介] 共享将所有配置文件放在一个目录下。
• 登录驱动器: 指定主目录本地路径。
• 登录主页: 指定主目录位置。
• 登录脚本: 确定在用户登录后本地运行的脚本。该脚本需要放置在 [网络登录] 份额。
• 添加机器脚本: 一个脚本,将自动创建 机器信托账户 需要工作站加入域。
在此示例中,需要使用 addgroup 实用程序创建机器组,请参见第 1.2 节“添加和删除用户”[p. 181]。 XNUMX] 了解详情。
4. 取消注释 [家] 分享以允许 登录主页 要映射:
[家]
评论 = 可浏览的主目录 = 否
只读 = 不创建掩码 = 0700
目录掩码 = 0700 个有效用户 = %S
5. 当配置为域控制器时 [网络登录] 需要配置共享。 要启用共享,请取消注释:
[网络登录]
评论 = 网络登录服务路径 = /srv/samba/netlogon guest ok = yes
只读 = 是 共享模式 = 否
原 网络登录 共享路径是 /家/桑巴/网络登录, 但根据文件系统层次标准 (FHS), / srv20 是系统提供的站点特定数据的正确位置。
6. 现在创建 网络登录 目录和一个空的(现在) 登录命令 脚本文件:
须藤 mkdir -p /srv/samba/netlogon
须藤触摸/srv/samba/netlogon/logon.cmd
您可以在 登录命令 定制客户的环境。
7. 重新启动 Samba 以启用新的域控制器:
须藤 systemctl 重启 smbd.service nmbd.service
8. 最后,设置适当的权限需要一些额外的命令。
通过 根 默认禁用,为了将工作站加入域,需要将系统组映射到 Windows 域管理员 团体。 使用 net 实用程序,从终端输入:
sudo net groupmap add ntgroup="域管理员" unixgroup=sysadminrid=512 type=d
20 http://www.pathname.com/fhs/pub/fhs-2.3.html#SRVDATAFORSERVICESPROVIDEDBYSYSTEM
更改 系统管理员 到您喜欢的任何组。 此外,用于加入域的用户需要是 系统管理员 组,以及系统的成员 管理员 团体。 这 管理员 组允许使用 sudo。
如果用户还没有 Samba 凭据,您可以使用 smbpasswd 实用程序添加它们,更改 系统管理员 适当的用户名:
须藤 smbpasswd -a 系统管理员
此外,权利需要明确提供给 域管理员 组允许 添加机器脚本
(和其他管理功能)工作。 这是通过执行以下操作来实现的:
net rpc 权限授予 -U sysadmin "EXAMPLE\Domain Admins" SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege \ SeRemoteShutdownPrivilege
9. 您现在应该能够以与将 Windows 客户端加入到运行在 Windows 服务器上的 NT4 域相同的方式将 Windows 客户端加入到域中。