Вопрос к гуру Samba
Поднял PDC на samba+ldap на linux. Делал все по официальному how-to. Остался непонятным вопрос: Вот собственно подключаю я тачку winxp в домен, логинюсь под root из ldap (пользователь с uid=0), все тачка в домене. Перегружаюсь вхожу под root, и получаю привилегии уровня пользователя или даже гостя а не администратора компьютера!!! вот собственно это и есть загвоздка!!!
Xотя в локальной группе Администраторы присутствует группа Domain Admins, а в Пользователи - Domain Users. При этом если смотреть на getenv group и getenv passwd, на PDC, то все кажется нормальным:
(примечание то что у рута из ldap группа не 0 а 512 так счас правильно делать!) root:x:0:512:Netbios Domain Administrator:/root:/bin/bash nobody:x:999:514:nobody:/dev/null:/bin/false max:x:1000:513:System User:/home/max:/bin/bash pdc$:*:1001:515:Computer:/dev/null:/bin/false ivan-winxp-vm1$:*:1002:515:Computer:/dev/null:/bin/false
Domain Admins:*:512:root Domain Users:*:513:max Domain Guests:*:514: Domain Computers:*:515: Administrators:*:544: Account Operators:*:548: Print Operators:*:550: Backup Operators:*:551: Replicators:*:552:
[root@pdc profiles]# net rpc rights list accounts -Uroot%XXXXXX BUILTIN\Print Operators No privileges assigned BUILTIN\Account Operators No privileges assigned BUILTIN\Backup Operators No privileges assigned BIT\max No privileges assigned BUILTIN\Server Operators No privileges assigned BIT\Domain Admins No privileges assigned BUILTIN\Administrators SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege Everyone No privileges assigned
[root@pdc profiles]# net groupmap list Domain Admins (S-1-5-21-2041454016-2207556900-4205629940-512) -> Domain Admins Domain Users (S-1-5-21-2041454016-2207556900-4205629940-513) -> Domain Users Domain Guests (S-1-5-21-2041454016-2207556900-4205629940-514) -> Domain Guests Domain Computers (S-1-5-21-2041454016-2207556900-4205629940-515) -> Domain Computers Administrators (S-1-5-32-544) -> Administrators Account Operators (S-1-5-32-548) -> Account Operators Print Operators (S-1-5-32-550) -> Print Operators Backup Operators (S-1-5-32-551) -> Backup Operators Replicators (S-1-5-32-552) -> Replicators Users (S-1-5-32-545) -> 10000
[root@pdc profiles]# pdbedit -Lv -uroot WARNING: The "printer admin" option is deprecated Unix username: root NT username: root Account Flags: [U ] User SID: S-1-5-21-2041454016-2207556900-4205629940-500 Primary Group SID: S-1-5-21-2041454016-2207556900-4205629940-513 Full Name: root Home Directory: \\PDC\root HomeDir Drive: H: Logon Script: scripts\logon.bat Profile Path: \\PDC\profiles\root Domain: BIT Account desc: Workstations: Munged dial: Logon time: 0 Logoff time: never Kickoff time: never Password last set: Sun, 04 Oct 2009 15:59:36 MSD Password can change: Sun, 04 Oct 2009 15:59:36 MSD Password must change: never Last bad password : 0 Bad password count : 0 Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
При чем если в локальную группу Администраторы прописать вручную BIT\root, то зайдя под ним работаешь как админ, не понятно почему группа BIT\Domain Admins не работает :(, когда как root находится в ней.
Конфиги samba приводит не буду там все стандартно.
samba - 3.0.33-3.7.el5_3.1
ldap - 2.3.43
smbldap-tools 0.9.5
nss_ldap-17.el5
система centos 5.2 2.6.18-92.el5
- Для комментирования войдите или зарегистрируйтесь