Active Directory File Server

Samba File Serving

Setting up a Share Using Windows ACLs

Voraussetzung:

• Installation eines Active Directory Domain Members, die Konfiguration geschieht auf diesem Server.

Extended ACL Support und Access based enumeration einschalten:

nano /etc/samba/smb.conf

[global]
 # Enable Extended ACL Support
   vfs objects = acl_xattr
   map acl inherit = yes
   store dos attributes = yes

 # Access based enumeration
   hide unreadable = yes

testparm
systemctl restart smbd

Granting the SeDiskOperatorPrivilege Privilege

Der Gruppe der Domänen-Admins das Recht zur Konfiguration von Freigabe-Berechtigungen erteilen:

net rpc rights grant "<YOURDOMAIN>\Domain Admins" SeDiskOperatorPrivilege -U "<YOURDOMAIN>\administrator"

Prüfung dieser Rechte:

net rpc rights list privileges SeDiskOperatorPrivilege -U "<YOURDOMAIN>\administrator"

Share erstellen

Ordner anlegen:

mkdir -p /srv/samba/data/

Domänen-Admins das Recht zur Verwaltung geben:

chown root:"<YOURDOMAIN>\Domain Admins" /srv/samba/data/
chmod 0770 /srv/samba/data/

Shares in die smb.conf eintragen (ganz ans Ende):

nano /etc/samba/smb.conf

 [data]
  path = /srv/samba/data/
  read only = no

• Den Abschnitt [homes] komplett auskommentieren

Samba Config neu laden

smbcontrol all reload-config

Auf dem Admin-PC:

• Computer Management / Action / Connect to another computer…: dm1
• System Tools / Shared Folders / Shares
  • data
    • Share Permissions:
      • Everyone: Full Control: Allow
    • Security:
      • Administrators (DM1\Administrators): Full control / This folder, subfolders and files
      • root: Full control / This folder only
      • SYSTEM: Full control / This folder, subfolders and files
      • Users (DM1\Users): Read & execute / This folder only
      • Alle anderen entfernen!

Berechtigung der Unterordner:

• data\IT
  • Security:
    • Administrators (DM1\Administrators): Full control / Inherited / This folder, subfolders and files
    • IT: Read, write & execute / This folder only
    • IT: Modify / Subfolders and files only
    • SYSTEM: Full control / Inherited / This folder, subfolders and files

Active Directory Users and Computers

• View: Advanced Features
• Gruppen in groups.campus anlegen:
  • Hauptgruppen:
    • Main-Misc
    • Main-Staff
    • Main-Students
  • Org-Gruppen:
    • FC-<Einheit>-Misc
    • FC-<Einheit>-Staff
    • FC-<Einheit>-Students
  • Rollen:
    • Role-President

Ordner auf dem Share data anlegen und berechtigen:

• X:\FC-<Einheit>
• X:\FC-<Einheit>\Administration
• X:\FC-<Einheit>\General
• X:\FC-<Einheit>\Misc
• X:\FC-<Einheit>\Students
• X:\FC-<Einheit>\Sub-FC …

Group Policy Management

• Eine Policy DriveMapping erstellen und an die OU users.campus und misc.campus hängen
• User Configuration / Preferences / Windows Settings / Drive Maps
  • General
    • Action: Replace
    • Location: \\dm1\data
    • Label as: <YOURDOMAIN> - Daten
    • Drive: X
  • Common
    • Run in logged-on user's security context (user policy option)