ディレクトリ・ファイルのアクセス制限の掛け方はLinuxとwindowsで当然違う。
samba-toolでユーザを作ってユーザディレクトリを作るには
#code(nonumber){{
[root@c ~]# cp -r /etc/skel /home/illya
[root@c ~]# chown -R 1002:2000 /home/illya
}}
としたが、windowsPCにインストールした&color(green){リモートサーバ管理ツール};でユーザを作りユーザディレクトリを作ると
時に意図しないディレクトリパーミッション、所有者とかになってしまう事がある。
~
ここでは、&color(green){リモートサーバ管理ツール};でユーザを作成して同時にユーザディレクトリを
適切に用意できるファイルシステムの調整方法を示す。
~
windowsの&color(green){リモートサーバ管理ツール};で作るユーザディレクトリの作成には&color(white,blue){注意点};がある。
-&color(darkorchid){ドメインコントローラ};のマシンのファイルシステム限定
-&color(darkorchid){ドメインコントローラ};でもNFSで提供された領域は無理
-member serverのファイルシステムにユーザディレクトリは作れない
&color(red){*};&size(10){どうやらmember serverで <ドメイン>\administrator のUID/GIDが定義できないのが原因見たい};
[[https://wiki.samba.org/index.php/User_home_drives>+https://wiki.samba.org/index.php/User_home_drives]][[https://wiki.samba.org/index.php/Shares_with_Windows_ACLs>+https://wiki.samba.org/index.php/Shares_with_Windows_ACLs]]
***SeDiskOperatorPrivilege [#bdf30296]
まず、「&color(red){Domain Admins};」グループにSeDiskOperatorPrivilege権限を加えます。
これはADDCでのお話です。
#code(nonumber){{
[root@c ~]# /opt/samba/bin/net rpc rights grant 'SYBYL\Domain Admins' SeDiskOperatorPrivilege -U administrator
Enter Administrator's password:
Successfully granted rights.
[root@c ~]#
[root@c ~]# /opt/samba/bin/net rpc rights list accounts -U administrator
(略)
SYBYL\Domain Admins
SeDiskOperatorPrivilege
(略)
[root@c ~]#
}}
&size(10){正直、これが必要な意味が少々分かっていない...が参照によると必須見たいです};
*** リモートサーバ管理ツール で /home のACL を設定 [#u5330d85]
作業はこちら
[[samba/ACLs/home]]
この設定後に「ActiveDirectory ユーザとコンピュータ」でユーザを作成して、
&ref(2015y11m22d_114940079.png,nolink);
そのユーザのプロパティを開き、「UNIX属性」タブにてUIDと所属するgroupを定義して「更新」ボタンを押します。
&color(red){*};&size(10){事前にgroupを作成して、GIDを振る必要があります};
&ref(2015y11m23d_190835401.png,nolink);
次に「プロファイル」タブにてホームフォルダを定義して「OK」ボタンをクリックする
&ref(2015y11m22d_115208398.png,nolink);
すると、ユーザのホームフォルダが作成される。そのフォルダをwindowsPCからアクセスしてプロパティを参照すると下記のようになる。
&ref(2015y11m22d_115527897.png,nolink);
アクセスコントロールを表にすると
|BGCOLOR(YELLOW):グループ名またはユーザ名|BGCOLOR(YELLOW):アクセス許可|BGCOLOR(YELLOW):継承元|BGCOLOR(YELLOW):適用先|
|saber|フルコントロール|<継承なし>|このフォルダ、サブフォルダおよびファイル|
|Administrator|フルコントロール|\\c\home\|このフォルダ、サブフォルダおよびファイル|
|Administrators|フルコントロール|<継承なし>|このフォルダ、サブフォルダおよびファイル|
|Administrators|特殊|\\c\home\|このフォルダのみ|
|CREATOR OWNER|特殊|\\c\home\|サブフォルダとファイルのみ|
|Domain Admins|フルコントロール|\\c\home\|このフォルダ、サブフォルダおよびファイル|
|Domain Users|なし|\\c\home\|このフォルダのみ|
|SYSTEM|フルコントロール|\\c\home\|このフォルダ、サブフォルダおよびファイル|
&color(white,blue){要注意}; ただしDCにsshらでログインすると、
#code(nonumber){{
-bash: /home/saber/.bash_profile: 許可がありません
}}
と言われる。/etc/skelの内容をコピーすればいいだけなのだが、これでUnix操作が必要となるのなら初めからすべてコマンドラインで対処した方がいいのかも知れない。
***/share のACLを設定 [#id666f24]
[[samba/ACLs/share]]
![[PukiWiki]](image/picc.png "[PukiWiki]")
