Einrichten des Domainadministrators

Nichts geht in einer Windows-Domäne ohne den Domänenadministrator, der wiederum bestimmte Privilegien braucht, die ihm bestimmte Systemrechte gewähren, wie zum Beispiel das Recht, Clients zur Domäne hinzuzufügen. Eine Übersicht über alle Privilegien zeigt die folgende Tabelle 2.

Die Liste der Privilegien zeigt auch das Kommando »rpcclient localhost -U% -c enumprivs« auf dem Samba-Server an.

Einerseits braucht der Domänenadministrator mindestens das Privileg »SeMachineAccountPrivilege« , andererseits kann nur ein Mitglied der Gruppe Domänenadministratoren Privilegien vergeben. Das bedeutet, der Domänenadministrator muss sich das Privileg selbst geben. Listing 6 zeigt, wie der Domänenadministrator dabei vorgehen muss.

Im ersten Schritt wird der entsprechende Linux-Benutzer angelegt, denn auch hier muss es immer einen Linux-Benutzer zum Samba-Benutzer geben, wie schon bei den Group Mappings. Ob der Administrator ein Linux-Passwort erhält, hängt davon ab, ob der Administrator sich später auch am Linux-System anmelden können soll. Wenn das nicht gewünscht ist, braucht er kein Linux-Passwort.

Im zweiten Schritt wird der Samba-Benutzer mit dem Kommando »pdbedit -a -u administrator -G 512 -c "[UX]"« angelegt. Hier ist es wichtig, dass auf jeden Fall mit »-G 512« die Gruppe Domainadmins als primäre Gruppe angeben wird. Die Flags »[UX]« legen fest, dass es sich um einen Benutzer (»U« ) handelt und das Passwort nie abläuft (»X« ).

Im dritten Schritt wird mit »su - administrator« die Identität des Benutzers »administrator« angenommen. Dann wird das Privileg »SeMachineAccountPrivilege« für ihn vergeben. Jetzt existiert ein Domänenadministrator, der später auch Clients in die Domäne aufnehmen kann.

Einrichten von Benutzern in der Domäne

Nachdem jetzt alle Voraussetzungen für den Betrieb einer Domäne geschaffen wurden, kann man nun damit beginnen, die Gruppen und die Benutzer einzurichten. Bei den Gruppen sollte der Admin dabei die folgenden Überlegungen anstellen:

• Soll die Gruppe nur für die Vergabe von Berechtigungen auf diesem Host dienen? Dann ist lediglich eine Linux-Gruppe zu erzeugen, die Linux-Benutzer aufnimmt.
• Soll die Gruppe dazu verwendet werden, um Benutzer zusammenzufassen und anschließend Berechtigungen auf einem anderen Fileserver in der Domäne zu vergeben? Dann spielt es keine Rolle, ob es sich um einen anderen Samba-Server oder einen Windows-Server handelt, es muss ein Group Mapping erzeugt werden. Alle weiteren Group Mappings können so angelegt werden, wie schon die Domänengruppen zur Vorbereitung der Domäne, nur das man jetzt den RID nicht vorgeben muss, er wird automatisch vergeben.

Alle weiteren Benutzer legt der Admin mit »pdbedit« an (genau wie im Beispiel den Domänenadministrator). Alle Einstellungen der Benutzer im folgenden Listing, lassen sich über Parameter beim Anlegen ändern. Alle Parameter und deren Beschreibung werden sehr gut in der Manpage zum Kommando »pdbedit« erklärt. Listing 7 zeigt, wie man ein Group Mapping und einen Benutzer anlegt.

Dieses Mal wurde bei dem Group Mapping der Name der Linux-Gruppe und der Name des Group Mappings identisch vergeben, das macht keine Probleme. Auch wird der RID hier nicht vorgegeben, sondern vom System automatisch ermittelt. Der Linux-Benutzer hat kein Passwort erhalten, da sich dieser Benutzer später nicht auf dem Linux-System anmelden soll, sondern nur auf einem Windows-Client in der Domäne. Nach diesem Muster lassen sich jetzt weitere Gruppen und Benutzer anlegen.

Die Gruppenmitgliedschaften der Benutzer regeln immer die Linux-Gruppen, das Group Mapping sorgt dafür, dass die Mitglieder auch auf den Windows-System in der Domäne bekannt sind.