26 May 2008

Samba-Server: Lokale Administrator-Rechte

Jeder kennt das Problem: Man hat gerade eben einen guten(tm) Samba-Server aufgesetzt, und alle Rechner in die Domäne aufgenommen. Demzufolge hat man auf den Clients (Windows XP in diesem Fall) auch nur Benutzerrechte, und das ist im Prinzip gut so. Leider verweigern immer wieder diverse Programme den Dienst, wenn der lokale Benutzer keine Admin-Rechte hat. Also muss der Benutzer lokal in die Gruppe Administratoren.

Das geht so:

Lokal am Win-XP-Rechner als Administrator anmelden, und folgendes in der Kommandozeile cmd.exe eingeben:

Erst mal Berechtigungen anzeigen:

net localgroup Administratoren

[netlocalgr]

Dann z. B. folgendes, analog zu eurer Domäne / Benutzergruppen, eingeben:

net localgroup Administratoren "x-tra-designs\users" /add

[netlocalgr]

Die Gruppe Users auf der Domäne x-tra-designs wird jetzt auf diesem Rechner lokal in die Administratoren-Gruppe aufgenommen und besitzt auf diesem Rechner jetzt Admin-Rechte, nicht jedoch in der Domäne. Das ganze kann man auch überprüfen:

net localgroup Administratoren

[netlocalgr]

Fehlerbehandlung

Wird der Befehl net localgroups … eingegeben, auf der Windows-Box, und man erhält folgende Fehlermeldung:

c:\Dokumente und Einstellungen\Administrator> net localgroup Administratoren "jbs\users" /add
Das globale Benutzer- oder Gruppenkonto ist nicht vorhanden: jbs\users

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3783 eingeben

dann ist die Unix-Gruppe users nicht auf die Win-NT-Gruppe users verbunden. Das kann man auf dem Samba-Server mit dem groupmap-Befehl beheben. Schauen wir uns die Ausgabe erst mal an: - Funktionierendes Mapping (an anderem, funktionierendem Server :-)

chrissie@ibiza% net groupmap list
You must be root to edit group mappings.
chrissie@ibiza% su
Password:
ibiza# net groupmap list
users (S-1-5-21-1481842921-3062727715-998102220-514) -> users

• Fehlendes Mapping (auf neu installiertem Server, wo komischerweise das nicht funktioniert)

jbsserver:/home/chrissie # net groupmap list

• Fehlerbehebung: Unix-Windows-NT-Group-Mapping hinzufügen:

jbsserver:/home/chrissie # net groupmap add ntgroup="users" unixgroup=users type=d
No rid or sid specified, choosing a RID
Got RID 1201
Successfully added group users to the mapping db as a domain group
jbsserver:/home/chrissie # net groupmap list
users (S-1-5-21-2027641597-2371223926-3788139463-1201) -> users

jetzt funktioniert auch das net localgroups Administratoren “jbs\users” /add auf der Windows-NT-Kommandozeile als lokaler Administrator auf der Windows-Kiste.

c:\Dokumente und Einstellungen\Administrator> net localgroup Administratoren "jbs\users" /add
Der Befehl wurde erfolgreich ausgeführt.