LINUX.ORG.RU
ФорумAdmin

Группы в домене samba и авторизация на клиентах Windows

 , ,


0

1

Поднят домен на samba4 (centos 7), клиент на windows 7 введен в домен админской учёткой. Создаю пользователей домена в samba, присваиваю ему пароль

/usr/local/samba/bin/samba-tool user add user1

/usr/local/samba/bin/samba-tool user setpassword user1
Добавляю пользователя в группу для подключения пользователя к клиенту по rdp (админ подключается без добавления в группы)
/usr/local/samba/bin/samba-tool group addmembers 'Remote Desktop Users' user1
Added members to group Remote Desktop Users 
Проверяю, user1 в группе Remote Desktop Users
 /usr/local/samba/bin/samba-tool group listmembers 'Remote Desktop Users'

user1
Однако, при подключении к клиенту по rdp пользователем user1 - «Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему». Пароль и домен верный, для Windows группа в домене не указ? Или группа не та?

группа «Remote Desktop Users» должна быть доменная, проверь. может придется ее вручную добавить на целевой машине.

conalex ★★★
()
Последнее исправление: conalex (всего исправлений: 2)

Группа не та. Контроллер домена имитирует вендовый сервер и группа «Remote Desktop Users» - его локальная.

Тебе надо GPO и добавлять нужные группы доступа на каждый комп, на который нужен удалённый вход.

dhameoelin ★★★★★
()
Ответ на: комментарий от conalex

Спасибо за ответ.

Установила на клиентской машине обновление, подключаюсь к оснастке dsa.msc, вижу свой домен, в нем ветку Builtin, в ней нахожу группу Remote Desktop Users. Это, если я правильно понимаю, и есть доменная группа.

В настройках удаленного подключения клиента нужно добавить эту (доменную) группу в локальную группу Пользователи удаленного рабочего стола. Именно этой группы нет... Или она называется по-другому...

Есть группы:

  • Allowed RODC Password Replication Group
  • Cert Publishers
  • Denied RODC Password Replication Group
  • DnsAdmins
  • Domain Admins
  • Domain Computers
  • Domain Controllers
  • Enterprise Admins
  • Enterprise Read-only Domain Controlles
  • Group Policy Creator Owners
  • Guest
  • RAS and IAS Servers
  • Read-only Domain Controllers
  • Schema Admins Сравнила, все представленные группы в домене значатся в ветке Users, а нужная группа в ветке BuitIn... Т.е. поиск при добавлении пользователей в группу «Пользователи удаленного рабочего стола» идет в домене только в ветке Users... Можно как-то перенаправить место поиска в домене?
manik207
() автор топика
Ответ на: комментарий от dhameoelin

Спасибо за ответ.

Правильно ли я поняла, что на каждой клиентской машине, мне нужно в gpedit.msc добавить разрешение на удаленный доступ именно для доменной группы?

Если правильно, то клиентской машине в консоли gpedit.msc проделано следующее:

Политика «Локальный компьютер» - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Разрешить вход в систему через службу удаленных рабочих столов - Уже есть Администраторы и Пользователи удаленного рабочего стола - Добавляю группу Remote Desktop Users (расположена domen/BuiltIn) - Ошибка «Шаблоны безопасности» - «Ошибка расширенного типа. Не удалось сохранить База данных локальной политики». Где-то еще нужно прописать разрешение для группы или Винда ругается, что не может добавить не свою локальную группу?

При этом группа Remote Desktop Users добавлена, но своим пользователем войти всё равно не могу, та же ошибка «Удаленный доступ запрещен».

manik207
() автор топика
Ответ на: Спасибо за ответ. от manik207

эмм.. возможно, я не так понимаю, что ты делаешь. нужно на машине с вендой, к которой ты коннектишься по рдп ,и которая введене в домен, найти настройку удаленного доступа, разрешить его, и добавить в разрешениях доменную группу твою доменную группу для удаленного доступа. доменную групп при добавлении искать нужно в домене (кнопка «размещение» в диалоге добавления)

на вендовом домене сервер сам добавляет все согласно групповым политикам, самба вроде так не может.

conalex ★★★
()
Последнее исправление: conalex (всего исправлений: 1)
Ответ на: комментарий от conalex

Я поняла, что нужно добавить в локальную группу «Пользователи удаленного рабочего стола» доменную группу Remote Desktop Users. Но через простое добавление в группу - не проходит. Доменная группа не доступна для добавления (нашла, как выбрать именно ветку BuildIn - тогда вообще нет объектов для добавления).

По совету dhameoelin, начала копать в сторону Групповой политики. Там есть доменная группа. И ее получается добавить, но с ошибкой...

manik207
() автор топика
Ответ на: комментарий от conalex

на вендовом домене сервер сам добавляет все согласно групповым политикам, самба вроде так не может.

Всё она может. И настраивается через штатный вендовый RSAT.

dhameoelin ★★★★★
()
Ответ на: комментарий от manik207

Там есть доменная группа. И ее получается добавить, но с ошибкой...

Блджад, НЕТ У ТЕБЯ ДОМЕННОЙ ГРУППЫ «Remote Desktop Users»!!! Это локальная группа контроллера домена. ЛОКАЛЬНАЯ! Как тебе ещё в голову это вбить? Вижу, что нашла, наезд снимается.

Создай отдельную доменную группу (а лучше на каждый комп - свою) и раздавай её групповой политикой. Заодно этой же политикой можно включать удалённый доступ. Но лучше мух от котлет отделять.

P.S.: ошибку мы увидим или гадать надо?

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 3)
Ответ на: комментарий от dhameoelin

Создай отдельную доменную группу (а лучше на каждый комп - свою) и раздавай её групповой политикой.

Правильно ли я поняла, что Remote Desktop Users (которая локальная доменная группа), является таковой, так как она уже есть в samba? Доменную группу создавать через командную строку samba через

/usr/local/samba/bin/samba-tool group add *** 
или можно через RSAT (если можно, то как)?

P.S.: ошибку мы увидим или гадать надо?

Ошибка

«Ошибка «Шаблоны безопасности» - «Ошибка расширенного типа. Не удалось сохранить База данных локальной политики». Где-то еще нужно прописать разрешение для группы или Винда ругается, что не может добавить не свою локальную группу?»

manik207
() автор топика
Ответ на: комментарий от manik207

Нашла, как создавать группу в политиках, в ветке Users создана группа (глобальная, тип группы - безопасность), в нее добавлен в нее пользователь, и вся эта группа добавлена в разрешенные для удаленного входа (в политиках) при добавлении ошибка не появилась. Но удаленный вход этим пользователем опять запрещен - пользователь не имеет прав для удаленного входа в систему...

Создала группу в ветке BuiltIn (глобальную, безопасность), добавила в нее пользователя, в политиках не добавляла в Разрешенные для удаленного входа, зато добавила созданную группу в Пользователи удаленного рабочего стола и пользователь подключился... Т.е. разрешать удаленный вход в политиках необязательно?

Создала группу в samba через

 /usr/local/samba/bin/samba-tool group add 123
Группа оказалась в домене в ветке Users, добавила в группу через командную строку нового пользователя, а саму группу - в Пользователи удаленного рабочего стола (уже на клиенте). УРА!!! Всё работает!!! Всем спасибо ОГРОМНОЕ!!!!

manik207
() автор топика
Ответ на: комментарий от manik207

Ну ёлки-палки...

Как бы тебе сказать так, чтобы понятно было?

Карочи папробуйу как дебилы песатьсашипкаме^Uнет, не вариант...

Раз ты поняла, что ветка BUILTIN контроллера домена (локальная, напоминаю) тебе не нужна, то забудем про неё нафиг, Ok?

Далее. Ты создала доменную группу. Это хорошо. Ты на нужном ПК вручную «вложила» эту группу в локальную (BUILTIN для этого конкретного ПК) группу «Пользователи удалённого рабочего стола» - это плохо. Это должна делать групповая политика. Ферштейн?

Можно раздавать на каждый ПК уникальную группу доступа, привязанную к его hostname, можно раздавать глобальную группу доступа к рабочему столу на все ПК домена (что небезопасно), но не надо делать это вручную! Нахрена, в таком случае, нужен домен? Разбирайся с GPO - это не страшно.

P.S.: начать стоит с http://gpo-planet.com/

dhameoelin ★★★★★
()
Последнее исправление: dhameoelin (всего исправлений: 1)
Ответ на: Ну ёлки-палки... от dhameoelin

Спасибо за пинок)))

GPO действительно оказалось не так страшно, основы почерпнула здесь. Появилось представление, что это такое.

Т.е. есть политики, которые определяют, что кому можно, а кому нет, и эти политики применяются к подразделениям разного уровня. Через RSAT создала департаменты в домене, в департаментах подразделения, в подразделениях можно создавать группы (в которые уже загонять пользователей). Политики применяются не к группам, а к подразделениям (от домена до отделов, а может и ролей).

Создала группу, с пользователем, группу добавила в OU, для OU применила объект групповой политики с параметром: Политика *** - Конфигурация компьютера - Политики - Конфигурация Windows - Политика разрешения имен - Параметры безопасности - Локальные политики - Назначение прав пользователя - Разрешить удаленный вход - Добавила группу

Обновила политики на клиенте через Gpupdate.exe

Обновление политики...

Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\global.plus\SysVol\global.plus\Policies\{C980E49C-2A83-4D0C-AFEB-046C2B828137}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Обновление политики для компьютера успешно завершено.

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H
 GPReport.html из командной строки для просмотра сведений о результатах групповой политики.

Войти новым пользователем нельзя - удаленный вход запрещен.

В отчете по ошибке обновления:

Отклоненные объекты групповой политики - Имя - Default Domain Policy, Причина отказа - Пусто. Т.е. политика, даже дефолтная, не может быть пустой?

Из-за того, что дефолтная политика пуста, может не примениться политика с меньшим приоритетом? Или я опять не туда добавляю группу?

manik207
() автор топика
Ответ на: Спасибо за пинок))) от manik207

Отключила пустые политики (которые без параметров), обновила gpo, теперь обновление прошло без ошибок, но все равно не пускает юзера, который в группе, которая в OU, которому политикой разрешен Удаленный вход по RDP.

manik207
() автор топика
Ответ на: Ну ёлки-палки... от dhameoelin

Проверила, в объекте групповой политики, в его параметрах сохранена политика, разрешающая вход в систему через RDP именно созданной группе

manik207
() автор топика
Ответ на: Спасибо за пинок))) от manik207

Смотри, если совсем простой вариант рассматривать (без фильтров), то чтобы политика, закреплённая за OU применилась к компьютеру - компьютер должен входить в нужный OU.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

Компьютер переместила из ветки Computers в OU (это из оснастки AD-Пользователи и компьютеры), как скопировать, пока не нашла (подозреваю, что перетаскивать неправильно). Удаленный вход тоже запрещен.

manik207
() автор топика
Ответ на: комментарий от manik207

Правильно, перенос и нужен. А компьютер после перемещения групповые политики обновил? Подтолкнуть можно, сказав gpupdate /force в консоли администратора ПК.

dhameoelin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.