Samba 4: Unterschied zwischen den Versionen

Aus Vosp.info
Wechseln zu:Navigation, Suche
(Roaming Profiles)
(Group Policies)
Zeile 63: Zeile 63:
  
 
=== Folder Redirects ===
 
=== Folder Redirects ===
* Zuweisung User
+
* Zuweisung: User
 
* Zu finden unter
 
* Zu finden unter
 
* Benutzerkonfiguration=> Richtlinien=> Windows-Einstellungen=> Ordnerumleitung
 
* Benutzerkonfiguration=> Richtlinien=> Windows-Einstellungen=> Ordnerumleitung
Zeile 88: Zeile 88:
  
 
=== Drop Cortana ===
 
=== Drop Cortana ===
* Zuweisung PC
+
* Zuweisung: PC
  
 
* Abschalten von Cortana
 
* Abschalten von Cortana
 
Unter '''Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Suche''' die Einstellung '''Cortana zulassen''' aufrufen und dort '''deaktivieren''' auswählen.
 
Unter '''Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Suche''' die Einstellung '''Cortana zulassen''' aufrufen und dort '''deaktivieren''' auswählen.
 +
 +
=== No Lockscreen ===
 +
* Zuweisung: PC
 +
 +
* Kein Lockscreen, wenn sich jemand ausloggt oder kein User sich automatisch einloggt.
 +
* Zu finden unter
 +
* Computerkonfiguration=>Richtlinien=>Administrative Vorlagen=>Systemsteuerung=>Anpassen
 +
* => '''Sperrbildschirm nicht anzeigen'''

Version vom 14. Februar 2018, 17:56 Uhr

Tests

Samba 4 als AD DC

Kein Password

samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length=0
systemctl restart samba-ad-dc.service

Änderung des Passwortes mit RSAT Active Directory-Benutzer und -Computer Samba: Removing password complexity requirements under Samba4

samba-tool user setpassword

lässt anscheinden kein leeres Passwort zu.
Es ist nicht möglich, ein leeres Passwort zu setzen.
Minimum ist entgegen der Konfiguration 1 Zeichen.

Versucht mit

  • RSAT
    • Scheint das leere Password anzunehmen, danach kann mensch sich aber nicht mehr einloggen.
  • Windows Passwort ändern
  • samba-tool user setpassword

Shares und Redirects

Create Shares

smb.conf

  • /etc/samba/smb.conf

Samba Registry

  • net conf
Add Share
  • net conf addshare <share> <path> writeable=y guest_ok=n '<comment>'

Wenn ein comment mit rein soll, will der Befehl auch das guest_ok=N haben, auch wenn guest_ok=N default ist.

  • Nutze ich nicht, da ich keinen Mehrwert für meine Setups sehe und ich nicht plötzlich mit einer Registry anfangen will.
  • Die Config wird erst beim Zugriff eines Clients auf das Share eingelesen
  • registry soll schneller sein als smb.conf
  • Alles, was mit der smb.conf geht, geht auch mit der Samba registry

Roaming Profiles

  • Share "Profiles" erstellen
  • Rechte des Ordners anpassen
  • Roaming Profile im Benutzerkonto einrichten
  • Per GPO geht auch, ist allerdings Maschinenabhängig

Rechte

  • Rechte per Windows setzen (Rechtsklick, Eigenschaften, Reiter "Sicherheit")
  • Auf Linux-Server können die neu gesetzten Rechte einfach auch auf andere Ordner übertragen werden
    • getfacl <Folder> > acl.<Folder>
    • setfacl --modify-file=acl.<Folder> -R <Another Folder>

Group Policies

Folder Redirects

  • Zuweisung: User
  • Zu finden unter
  • Benutzerkonfiguration=> Richtlinien=> Windows-Einstellungen=> Ordnerumleitung
  • Redirects für
    • Dokumente (hier Pfad eingeben)
    • Musik (folge Dokumente)
    • Video (folge Dokumente)
    • Bilder (folge Dokumente)
    • Downloads (hier Pfad eingeben)
  • Rechte für den Folder \\<server>\redirects
    • CREATOR OWNER - Full Control (Apply onto: Subfolders and Files Only)
    • System - Full Control (Apply onto: This Folder, Subfolders and Files)
    • Domain Admins - Full Control (Apply onto: This Folder, Subfolders and Files)
    • Everyone - Create Folder/Append Data (Apply onto: This Folder Only)
    • Everyone - List Folder/Read Data (Apply onto: This Folder Only)
    • Everyone - Read Attributes (Apply onto: This Folder Only)
    • Everyone - Traverse Folder/Execute File (Apply onto: This Folder Only)


How to dynamically create security enhanced redirected folders

Drop Cortana

  • Zuweisung: PC
  • Abschalten von Cortana

Unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Suche die Einstellung Cortana zulassen aufrufen und dort deaktivieren auswählen.

No Lockscreen

  • Zuweisung: PC
  • Kein Lockscreen, wenn sich jemand ausloggt oder kein User sich automatisch einloggt.
  • Zu finden unter
  • Computerkonfiguration=>Richtlinien=>Administrative Vorlagen=>Systemsteuerung=>Anpassen
  • => Sperrbildschirm nicht anzeigen