Samba limitare install progra su client Xp pro

[TonicWater]

Ciao ragazzi

Secondo voi in una rete con un PDC Samba e 5 client Windows è possibile fare in modo che i client Win Xp pro autenticati sul PDC possano godere di alcune policy che impediscono al client di installare qualsiasi programma?
una cosa simile sarebbe molto carina perchè io da amministratore potrei limitare le installazione sui client almenochè il client non goda di privilegi di amministratore per installare qualisasi cosa.

Grazie

[PaoloVIP]

Bhè, l'utente di una workstation non deve semplicemente avere i diritti di amministratore.

... forse non ho capito bene la domanda....

[TonicWater]

Ciao Paolo

Gli utenti di una workstation ereditano le policy dall'utente con cui ci si logga, per fare un esempio su un macchina win2003SRV posso creare un utente con user id e password dopo di che posso impostare una policy per quel utente affinchè quando lo stesso si logga dalla worksation prenda quella policy.
Poi se sulla policy io ho impostato che la workstation non può modificare lo sfondo del desktop ad esempio l'utente della work non lo può fare, è limitato.
Nel nostro caso intendevo fare una cosa simile ovvero creare una regola sul server samba relativo all'utente samba per poi poterla replicare sul client Win Xp Pro quando lo stesso si logga con quella user.

Spero di essere statò più chiaro..

Saluti

[PaoloVIP]

Mi pare che tu sia addirittura più complicato di me 

Non so se si possa fare perchè non ho mai avuto l'esigenza. Di solito ho sempre fatto che gli utenti NON abbiano diritto di amministratore sulla workstation. Anche perchè se invece di loggarsi al server si loggano in locale? Chi gli impedisce di installarsi quello che vogliono? Secondo me le policy non andrebbero ereditate dal server, anche perchè penso (vado a memoria) che le policy, per esempio di gruppo, sono peculiarità di un server Active Directory, disponibile con Windows Server 2000 in su (o Samba 4 attualmente, alpha 3 build 26613).

Ma forse ho detto fesserie.

Ciao

[TonicWater]

No no Paolo

Non hai detto affatto fesserie anzi mi hai illuminato, posso aggiungere qualcosa al tuo post:
Acrive Directory è implementato anche su samba mi pare a partire dalla versione precedente alla 4 tramite il protocollo LDAP si possono gestire oggetti utenti e gruppi tramite policy quindi se questa cosa non esiste già sarà implemetata a breve.

Giusta la tua osservazione cmq devo provare se un utente che si logga su una work con una user con diritti non da amministratore se hai delle limitazioni sulla macchina o se può fare ciò che vuole

[PaoloVIP]

No no Paolo

Non hai detto affatto fesserie anzi mi hai illuminato, posso aggiungere qualcosa al tuo post:
Acrive Directory è implementato anche su samba mi pare a partire dalla versione precedente alla 4 tramite il protocollo LDAP si possono gestire oggetti utenti e gruppi tramite policy quindi se questa cosa non esiste già sarà implemetata a breve.

Samba 3 supporta LDAP, anche se non è facilissimo da installare, e permette la sincronizzazione degli utenti (e dei pc del dominio) in linux e samba, e permette la replica su altri server, in una classica configurazione PDC e BDC. Per quanto riguarda le policy, queste sono proprietarie di Microsoft e pertanto non sono integrate, nè lo saranno, neppure in Samba 4. Se ci pensi è logico. Tutto sommato neppure utile, anche perché un account di dominio può essere misto (l'utente potrebbe loggarsi con il suo account sia da un Mac che da una workstation Windows che da una Linux). L'uso della configurazione di dominio con Samba 3 è l'equivalente di un server Windows NT4.

Giusta la tua osservazione cmq devo provare se un utente che si logga su una work con una user con diritti non da amministratore se hai delle limitazioni sulla macchina o se può fare ciò che vuole

Decidi tu, in base al tipo di account che scegli sulla workstation Windows, cosa può o non può fare l'utente. Idem per le condivisioni sul Server (compresa la home, dove salverai i profili). Le due cose, permissions sulla workstation e quelle sul Server sono indipendenti.

Ciao

[PaoloVIP]

Invece, contrariamente a quanto pensassi, si possono anche gestire le policy di Windows. Dai una occhiata qui:

http://wiki.samba.org/index.php/Impleme ... with_Samba

[TonicWater]

Ciao Paolo

Oggi ho fatto quella famosa prova di cui ti parlavo nel precedente post, ovvero:
ho associato una macchina windows al dominio gestito da samba, mi sono autenticato come utente normale e morale della favola..... l'utente non può fare assolutamente nulla.
Ho provato ad installare sulla macchina win Xp Pro ad esempio una java e mi dice che non possiedo i privilegi da amministratore, poi ho provato ad installare office 2003 la stessa cosa, poi ho provato a disinstallare qualcosa da installazione applicazioni, la stessa cosa, in fine ho provato a cambiare l'IP della mia scheda di rete e mi dice che alcuna finestre non sono abilitate praticamente mi fa solo vedere ma non posso modificare nulla... non trovi sia una cosa grandiosa...? adesso devo capire come posso entrare da amministratore sulla macchina per apportare modifiche, ovviamente questa cosa deve succedere sempre con un utente samba e non entrando come utente locale sulla macchina win xp, sai per caso come si fa per creare un utente che abbia privilegi da amministratore su samba?

Grazie e a presto

[TonicWater]

Ho dato un occhiata al link su wiki che mi hai postato ..... tu ci hai capito qualcosa????
io sinceramente no...

[saxtro]

... adesso devo capire come posso entrare da amministratore sulla macchina per apportare modifiche, ovviamente questa cosa deve succedere sempre con un utente samba ...

basta loggarti con un utente amministratore di dominio (via desktop remoto o in locale)

[PaoloVIP]

Ho dato un occhiata al link su wiki che mi hai postato ..... tu ci hai capito qualcosa????
io sinceramente no...

E' un pò macchinoso, in effetti. Non sono sicuro tu ne abbia bisogno. Per quanto riguarda il join al dominio di un PC XP ci sono molte guide in rete, questa è una: http://wiki.samba.org/index.php/Samba4/ ... nto_Domain

Per esempio se hai un creato un utente con le giuste permission sia in unix che in samba non fai altro che aggiungere il pc al dominio, per fare ciò il sistema ti chiederà il login di un utente amministratore con relativa password. Questo potrai farlo solo se hai XP Professional (l'home non ti permette di fare il join al dominio).

Per le giuste permission intendo quelle che imposterai sulla condivisione che ti serve con i comandi chmod (per decidere quali permessi applicare ai files e directories) e chown (per decidere quali sono i propietari di quelle risorse). In samba è più o meno la stessa cosa. Quindi una volta che hai creato gli utenti e i gruppi che hanno accesso alla condivisione sul server, per esempio: pippo, pluto e paperino, non è detto che pippo e pluto e paperino debbano avere i permessi di amministratore sul pc locale no? Quindi puoi decidere che gli utenti abbiano il controllo completo sulla risorsa di rete (lettura, scrittura ed esecuzione) ma che non possano modificare o installare nulla sul pc locale. Per installare i programmi o fare varie modifiche di sistema dovrai operare con l'utente amministratore (come citato nel post precedente da saxtro).

Se non ho capito male è questo che ti servirebbe no?

Ciao