ディレクトリ・ファイルのアクセス制限の掛け方はLinuxとwindowsで当然違う。
samba-toolでユーザを作ってユーザディレクトリを作るには
[root@c ~]# cp -r /etc/skel /home/illya
[root@c ~]# chown -R 1002:2000 /home/illya
としたが、windowsPCにインストールしたリモートサーバ管理ツールでユーザを作りユーザディレクトリを作ると
時に意図しないディレクトリパーミッション、所有者とかになってしまう事がある。
ここでは、リモートサーバ管理ツールでユーザを作成して同時にユーザディレクトリを
適切に用意できるファイルシステムの調整方法を示す。
windowsのリモートサーバ管理ツールで作るユーザディレクトリの作成には注意点がある。
https://wiki.samba.org/index.php/User_home_driveshttps://wiki.samba.org/index.php/Shares_with_Windows_ACLs
まず、「Domain Admins」グループにSeDiskOperatorPrivilege権限を加えます。
これはADDCでのお話です。
[root@c ~]# /opt/samba/bin/net rpc rights grant 'SYBYL\Domain Admins' SeDiskOperatorPrivilege -U administrator
Enter Administrator's password:
Successfully granted rights.
[root@c ~]#
[root@c ~]# /opt/samba/bin/net rpc rights list accounts -U administrator
(略)
SYBYL\Domain Admins
SeDiskOperatorPrivilege
(略)
[root@c ~]#
正直、これが必要な意味が少々分かっていない...が参照によると必須見たいです
作業はこちら
samba/ACLs/home
この設定後に「ActiveDirectory ユーザとコンピュータ」でユーザを作成して、
そのユーザのプロパティを開き、「UNIX属性」タブにてUIDと所属するgroupを定義して「更新」ボタンを押します。
*事前にgroupを作成して、GIDを振る必要があります
次に「プロファイル」タブにてホームフォルダを定義して「OK」ボタンをクリックする
すると、ユーザのホームフォルダが作成される。そのフォルダをwindowsPCからアクセスしてプロパティを参照すると下記のようになる。
アクセスコントロールを表にすると
グループ名またはユーザ名 | アクセス許可 | 継承元 | 適用先 |
saber | フルコントロール | <継承なし> | このフォルダ、サブフォルダおよびファイル |
Administrator | フルコントロール | \\c\home\ | このフォルダ、サブフォルダおよびファイル |
Administrators | フルコントロール | <継承なし> | このフォルダ、サブフォルダおよびファイル |
Administrators | 特殊 | \\c\home\ | このフォルダのみ |
CREATOR OWNER | 特殊 | \\c\home\ | サブフォルダとファイルのみ |
Domain Admins | フルコントロール | \\c\home\ | このフォルダ、サブフォルダおよびファイル |
Domain Users | なし | \\c\home\ | このフォルダのみ |
SYSTEM | フルコントロール | \\c\home\ | このフォルダ、サブフォルダおよびファイル |
要注意 ただしDCにsshらでログインすると、
-bash: /home/saber/.bash_profile: 許可がありません
と言われる。/etc/skelの内容をコピーすればいいだけなのだが、これでUnix操作が必要となるのなら初めからすべてコマンドラインで対処した方がいいのかも知れない。