Danke Danke:  0
Gefällt mir Gefällt mir:  0
Dislikes Dislikes:  0
Ergebnis 1 bis 9 von 9

Thema: Windows 7 Prof. + Samba PDC

  1. #1

    Thumbs up Windows 7 Prof. + Samba PDC

    Anzeige
    Guten Morgen,

    ich werde mal versuchen in einem Tutorial meinen Leidensweg darzustellen - wie die Aufnahme von Windows 7 Prof. Clients in eine Samba-Domäne gut funktioniert.

    Da ich viele Dinge eingestellt habe, damit das alles reibungslos funktioniert - kann es durchaus auch sein, dass einige Einstellungen nicht unbedingt zwingend erforderlich sind. Aber das könnt Ihr dann am besten selbst testen.

    Inhalt:

    1. Infos
    2. Samba zum PDC machen
    3. Windows 7 Einstellungen
    4. Windows 7 in die Domäne aufnehmen
    5. Fertig

    Vielleicht ändere ich im Laufe des Tutorials noch das Inhaltsverzeichnis.

    Hinweis: Ich verzichte etwas auf Screenshots, da ich persönlich Bilderchen nicht so mag in Tutorials, aber versuche dennoch einige mit einzubringen. Bitte seht es mir nach - jeder schreibt es halt anders.

    Hoffe es wird euch hilfreich sein.

    Wichtig: Ihr dürft es gerne vervielfältigen, aber bitte mit dem Verweis auf das Forum und mit Hinweis auf den Autor, danke!

    Grüße

    chr0n0s
    Geändert von chr0n0s (07.04.12 um 22:56 Uhr)

  2. #2

    Standard 1. Infos

    Wie sieht die Umgebung aus?
    ca. 60 PC-Arbeitsplätze mit Windows 7 Professional 64-Bit
    3 "Haupt"-Server der Fujitsu Primergy Serie RX300
    - Alle ähnlich ausgestattet (Xeon Prozessor, 32 GB RAM, 8TB Bruttokapazität)

    Was für Linux-Server gibt es?
    Alle 3 Server werden mit dem Betriebssystem Debian Squeeze 6.0.4 amd64 betrieben.

    Es existiert ein PDC und ein BDC sowie ein Datenbankserver.

    Welche Samba-Version wird eingesetzt?
    Samba in der Version 3.5.6

    Welche Dienste sind noch für die Domäne nötig?
    Auf dem PDC und auf dem BDC läuft noch Bind9 (DNS-Server)
    Geändert von chr0n0s (06.04.12 um 11:37 Uhr)

  3. #3

    Post 2. Samba zum PDC machen

    1. Samba installieren

    Mittels
    Code:
    aptitude install samba
    wir zuerst der Samba-Server installiert. Ich habe hier aptitude gewählt, da dieser auch gleich alle noch benötigten Pakete mit installiert und ggf. Abhängigkeiten mit auflöst.

    2. Sambakonfiguration anpassen
    Ich nutze den MC (Midnight Commander) und verwende deshalb auch immer nur diesen Befehl - selbstverständlich kann jeder seinen Kommandozeileneditor frei wählen - sollte dann nur die Befehle entsprechend anpassen.

    Bearbeiten der Konfigurationsdatei smb.conf
    Zuerst mache ich noch ein Backup der mitgelieferten smb.conf-Datei:

    Code:
    cp /etc/samba/smb.conf /etc/samba/smb.conf.bkp
    danach wird eine neue smb.conf erstellt:

    Code:
    mcedit /etc/samba/smb.conf
    Dort habe sind folgende Anpassungen zu tätigen:
    Hinweis: Alle Einträge müssen entsprechend eurer geplanten/vorhanden Umgebung angepasst werden, deshalb kommentiere ich auch die entsprechenden Einträge

    In der [global]-Sektion (Domain Controller Einstellungen):
    Code:
    [global]
    workgroup = testdom                 # Muss angepasst werden
    
    netbios name = servername         # Euren Hostname eintragen
    
    server string = %h Testdomserver # %h setzt den Hostname autom., rest ist individuell - dient hauptsächlich des angezeigten Namens in der Windows-Netzwerkumgebung
    
    wins support = yes            # individuell, muss nicht zwingend gesetzt werden, bei uns in der Umgebung durch ältere Maschinen aber noch zwingend erforderlich
    
    dns proxy = no       # haben wir nicht
    
    domain master = yes   # Damit Samba auch ein Domaincontroller wird
    
    preferred master = yes   # Bisschen "Oberguru" spielen
    
    local master = yes   # Auch lokaler "Oberguru"
    
    domain logons = yes   # Damit auch domänenübergreifend die Authentifizierung/Anmeldung der Benutzer am Samba-PDC funktioniert
    
    os level = 65         # Wichtig, damit der Samba-Server (gerade beim Einsatz eines Backup Domain Controllers) der Master-Browser wird und "Oberguru" im Netzwerk bleibt
    
    logon path =   # Lasse ich leer, da ich keine servergespeicherten Profile einsetze
    
    logon drive = H:  # Individuell, bei mir "H:" - welches jeder Benutzer als Netzlaufwerksbuchstabe zugeordnet bekommt - das Homeverzeichnis des Benutzers
    
    logon home =  \\%N\%U      # Damit wird das richtige Homeverzeichnis dem Benutzer zugeordnet
    
    logon script = logon.bat  # Batch-Datei für die Zuordnung der Netzlaufwerke. Hier ist der Dateiname ebenfalls individuell einstellbar
    Weitere Anpassungen in der [global]-Sektion (Zeichensätze)
    Code:
    unix charset = ISO8859-15        # Deutscher Zeichensatz, man sollte den Defaultwert abändern auf ISO8859-15, alte Leier bzgl. Umlaute etc. 
    
    display charset = ISO8859-15  # Damit werden Umlaute usw. in der Windows-Netzwerkumgebung auch korrekt dargestellt
    
    dos charset = 850    # Gleiche Gesichte wie vorher
    [global]-Sektion (Netzwerkeinstellungen) - Meine Server haben alle mind. 2 Netzwerkkarten, jedoch soll der Sambaserver nur über ein Interface ansprechbar sein:
    Code:
    bind interfaces only = yes    # Damit "binde" ich meine Netzwerkkarte
    
    interfaces = 192.168.1.1/24  # IP-Adresse an welche Samba "gebunden" wird, sollte natürlich entsprechend angepasst werden
    Einstellungen für die NTLMv2 - Authentifizierung in der [global]-Sektion.
    Meiner Erkenntnis nach ist es nicht zwingend erforderlich, da ich aber entsprechende Einstellungen in den Gruppenrichtlinien von Windows setze, stelle ich die hier ein:
    Code:
    ntlm auth = yes   # NTLM-Authentifizierung
    
    lanman auth = yes   # LanManager-Authentifizierung
    
    client ntlmv2 auth = yes # NTLM Version 2 - Authentifizierung
    Einstellungen in der [global]-Sektion fürs Debugging (Log) und Accounting:
    Code:
    log file = /var/log/samba/log.%m   # Anlegen des Log-Files, individuell einstellbar
    
    max log size = 1000  # Größe des Log-Files bevor ein neues angelegt wird, individuell einstellbar
    
    log level = 3  # Wie "tief" soll das Logging erfolgen, individuell einstellbar
    
    syslog = 0    # Kann angepasst werden
    
    panic action = /usr/share/samba/panic-action %d   # Panik!!
    Samba-Authentifizierungseinstellungen in der [global]-Sektion:
    Code:
    security = user   # Je nach Art, kann dieses auch individuell eingestellt werden, z. Bsp. wenn man einen LDAP-Server einsetzt, sollte es angepasst werden
    
    encrypt passwords = true   # Passwörter sollten verschlüsselt werden
    
    passdb backend = tdbsam  # Passwortdatenbank des Samba-Servers, ist wiederrum auch individuell, z. Bsp. beim Einsatz eines LDAP-Servers ist das Backend anders
    
    obey pam restrictions = yes  # Verteilte PAM-basierte Authentifizierung
    
    unix password sync = yes   # Passwordsynchronisation Samba -> Unix/Linux
    
    passwd program = /usr/bin/passwd %u  # Das Linux-Programm für das sezten von Unix/Linux-Userpasswörtern
    
    passwd chat = "Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .    # Sagt eigentlich schon alles, bissle Kommunikation im Terminal zum setzen des Passworts
    
    pam password change = yes   # Ändert ebenfalls bei PAM das Passwort
    Domainuser/-gruppen/-maschine-Einstellungen in der [global]-Sektion.
    Hier werde ich nichts weiter kommentieren, da es eindeutig ist, welches was macht. Diese Einstellungen sind auch wichtig, wenn man Webmin/SWAT einsetzt. Man kann diese Scripte mit individuellen Parametern ergänzen.

    Hinweis: Ich setze hier die Unix-Programme ein, welche durchaus auch mit den Samba-Programmen/Scripten (gerade beim Einsatz eines LDAP-Servers sinnvoll) ersetzt werden können:
    Code:
    add user script = /usr/sbin/useradd %u
    
    delete user script = /usr/sbin/userdel -r %u
    
    add user to group script = /usr/sbin/groupmod -A %u %g
    
    delete user from group script = /usr/sbin/groupmod -R %u %g
    
    add machine script = /usr/sbin/useradd -g Computergruppe -d /dev/null -s /bin/false -m %u
    
    add group script = /usr/sbin/groupadd %g
    
    delete group script = /usr/sbin/groupdel %g
    Printing-/MISC-Einstellungen in der [global]-Sektion:
    Code:
    load printers = yes   # Wir wollen ja auch über Samba drucken.
    
    printing = cups     # Hier wird das gute CUPS als Printserver eingesetzt
    
    printcap name = cups   # Eine Bezeichnung bekommt es auch
    
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192  # Dieses ist ein bisschen Samba-Tuning. Ist individuell einstellbar, dazu einfach die Manpage von Samba befragen. Ich habe die RECEIVE und SEND-Werte erhöht, da dieses in einer Gigabit-Umgebung mit entsprechenden Netzwerkgeräten durchaus Möglich ist die Pakete etwas Größer zu senden/empfangen.
    
    idmap uid = 10000-20000   # Standardwerte, für das Setzen der User-IDs, kann individuell angepasst werden
    
    idmap gid = 10000-20000   # Standardwerte, für das Setzen der Gruppen-IDs, kann individuell angepasst werden
    
    # Winbind-Einstellungen, ich setze Winbind für die Linux- und Windows-NT Kontenverwaltung ein, muss nicht zwingend gesetzt werden.
    winbind enum groups = yes
    
    winbind enum users = yes
    
    winbind cache time = 10
    
    winbind separator = +  # Samba meldet das es bei diesem Separator zu Problemen kommen kann, ist aber eher in Verbindung mit ziemlich alten Windows-Betriebssystemen der Fall. Hatte bisher damit keine Probleme
    
    winbind use default domain = yes
    Damit ist die [global]-Sektion abgeschlossen und sollten nun ein paar Share Definitions durchführen.

    Das Benutzerverzeichnis:
    Code:
    [homes]
    comment = Benutzerverzeichnisse    # Individuelles Freigabekommentar
    
    browseable = no    # Wird in der Netzwerkumgebung mit dem Flag "no" nicht angezeigt (also nicht durchsuchbar). Hier kann auch der Parameter browsable - ohne "e" - gesetzt werden
    
    read only = no   # Die Benutzer sollen auch Schreiben können in ihrem Verzeichnis
    
    force create mode = 0700   # Erzwingt die Rechte beim Anlegen von Dateien
    
    security mask = 0700    # Parameter für die Änderung der Dateirechte
    
    force directory mode = 0700 # Dasselbe wie "force create mode" nur im Bezug auf Verzeichnisse
    
    directory security mask = 0700   # Parameter für die Änderung der Verzeichnisrechte
    
    valid users = %S   # Dieser Parameter setzt die Zugriffsberechtigung auf das jeweilige Homeverzeichnis, %S ist nichts anderes als der Benutzer selbst
    
    inherit owner = yes   # Muss nicht gesetzt werden, bezieht sich auf die Besitzerrechte im Windowsumfeld. Ist dieses auf 'yes' gesetzt, so wird der Benutzer automatisch zum Besitzer.
    Der [netlogon]-Bereich für das logon.bat-Script:
    Code:
    [netlogon]
    comment = Network Logon Service   # Nur Kommentar
    
    path = /home/samba/netlogon  # Individuell wählbarer Unix-Pfad
    
    guest ok = no   # Gäste haben hier nichts zu suchen
    
    read only = yes   # Nur Leserechte im Verzeichnis, reicht auch für das ausführen des Logon-Scripts
    
    write list = root  # Der Domänenadministrator darf allerdings schreiben
    
    browseable = no  # Muss auch nicht durchsucht bzw. in der Netzwerkumgebung angezeigt werden
    Kleiner Hinweis: Der write list-Parameter ist hier ziemlich wichtig, da eine Batchdatei nicht in der Kommandozeile von Linux geändert werden sollte, da hier die Formatierung einiges völlig zerlegt. Daher sollte die Batchdatei zwingend nur unter Windows angepasst/erstellt werden.

    Eine Freigabe erstellen:
    Code:
    [Verwaltung]
    comment = Verwaltungsdaten    # Individuelles Kommentar
    
    path = /home/samba/Verwaltung  # Pfad zum Freigabeverzeichnis
    
    browseable = yes   # Kann durchsucht werden bzw. wird in der Netzwerkumgebung angezeigt
    
    read only = no  # Die User der Verwaltung sollen schreiben dürfen
    
    valid users = @verwaltung  # Um es zu vereinfachen, wird hier nur eine Gruppe (verwaltung) definiert. Das @ davor bedeutet, dass eine Gruppe Zugriff hat, das @ ist dann zwingende Voraussetzung, sonst definiert Samba es als User und nicht als Gruppe
    
    admin users = root     # Der Chef im Ring, also für die Freigabe
    
    force group = verwaltung # In diesem Fall ist das @ keine Voraussetzung, da hier der Parameter "group" eindeutig ist, also werden alle angegebenen Werte als Gruppe behandelt.
    
    acl check permissinos = yes  # Definiert den Zugriff auf die Sicherheitseinstellung unter Windows.
    
    acl map full control = yes # Hat ebenfalls mit den Sicherheitseinstellung auf Windows-Maschinen zu tun.
    
    # Die weiteren Angaben sind schon in der Benutzerverzeichnis-Sektion beschrieben:
    
    security mask = 0770   
    
    force create mode = 0770
    
    directory security mask = 0770
    
    inherit owner = yes
    
    # Neu:
    inherit permissions = yes   # Damit wird vom oberen Verzeichnis "vererbt"
    Die Parameter inherit owner & inherit permissions überschreiben jeweils die force und security Werte, daher kann es auch ein wenig doppelt gemoppelt sein. Aber sei es drum

    So, damit ist die Konfiguration von Samba erst einmal abgeschlossen!

    Als nächstes sollten das Netlogon- und Verwaltung-Verzeichnis angelegt werden, ich gehe davon aus, dass jeder weiß wie das funktioniert und werde diese Wege nicht weiter beschreiben.

    Zum Abschluß überprüfen wird die Samba-Konfiguration mit folgendem Befehl:
    Code:
    testparm
    Spuckt hier Samba Fehler aus, sollte dieses überprüft und ggf. angepasst werden. Häufig sind es Schreibfehler oder falsche Parameter bzw. deren Werte.

    Dann starten wird Samba mal neu durch:
    Code:
    /etc/init.d/samba restart
    bzw. start, falls Samba noch nicht gestartet ist.

    Und nun geht es zur Windows-Einstellung!
    Geändert von chr0n0s (06.04.12 um 13:40 Uhr)

  4. #4

    Standard 3. Windows 7 Einstellungen

    Windows 7 - die Sicherheits und Microsoft. Leider, leider mag Microsoft Samba nicht so gerne, daher sind hier einige Einstellung auf Windows-Ebene notwendig.

    Dazu gehören: Registry, Gruppenrichtlinie, Netzwerkeinstellungen sowohl über das Netzwerk- und Freigabecenter sowie über die CMD (Eingabeaufforderung). Auch sollte noch eine Windows-Komponente deinstalliert werden.

    1. Die Registry-Datei
    In der Registry müssen einige Werte gesetzt bzw. geändert werden, damit Windows auch merkt, dass selbst Samba eine Domäne für Windows zur Verfügung stellen kann. Dazu kommt noch ein bisschen Tuning.

    Also, erstellen wir uns lieber gleich eine Registry-Datei, damit diese auch für andere Clients zur Verfügung steht und man nicht alles selbst tippen muss. Ich habe die Datei SambaWin7.reg genannt, dieses ist natürlich individuell.

    Die Dateiendung .reg ist zwingend erforderlich, damit Windows diese auch als solche erkennt.

    Wir starten den Texteditor von Windows und tragen folgende Registry-Werte ein:
    Code:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
    "DomainCompatibilityMode"=dword:00000001
    "DNSNameResolutionRequired"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
    "SlowLinkDetectEnabled"=dword:00000000
    "DeleteRoamingCache"=dword:00000000
    "WaitForNetwork"=dword:00000000
    "CompatibleRUPSecurity"=dword:00000001
    Sieht schlimmer aus als es ist. Diese Werte sollten in die Registry eingetragen werden, damit der Zutritt zur Samba-Domäne auch funktioniert.

    Der erste Abschnitt beschreibt die Kompabilität zu anderen Domänen. I.d.R. sollten diese Eintragungen in der Registry für den Domänenbeitritt reichen, aber das führte bei mir zu Problemen, auch dauerte die Benutzeranmeldung an der Domäne eine halbe Ewigkeit. Das wollte ich nicht, also habe ich den zweiten Abschnitt eingefügt. Dieser "tunt" Windows ein wenig, gerade das Roaming Cache ist bei nicht servergespeicherten Profilen wichtig, da Windows sonst ständig versucht servergespeicherte Profile zu laden.

    Sollte man servergespeicherte Profile einsetzen, so ist der Wert aus der Registry-Datei zu entfernen. Auch auf das Netzwerk müssen wir hier nicht warten, da eben keine Profile auf dem Server liegen.

    Weitere Informationen zu den Einträgen sind entsprechend im Netz zu finden.

    2. Die Gruppenrichtlinie
    Gestartet werden kann der Gruppenrichtlinien-Edit über gpedit.msc oder über die Systemsteuerung.

    Im Editor angekommen ändern wir folgende Einträge:

    Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
    Code:
    "Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich" -> aktivieren
    Damit ist man das lässtige Drücken von STRG+ALT+ENTF los. Kann man, muss man nicht setzen
    Code:
    "Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschl. sicherer RPC-Server)" -> Häkchen bei 128-Bit Verschlüsselung entfernen
    Windows verschlüsselt ja mittlerweile alles. Hier sollte darauf geachtet werden dass es der "sichere RPC-Server" ist und nicht der Eintrag darüber mit dem RPC-Client.
    Code:
    "Netzwerksicherheit: LAN-Manager-Authentifizierungsebene" -> auf LM- und NTLM-Antworten senden (NTLMv2 verwenden) setzen
    Das zum Thema Authentifizierung ntlmv2 in der smb.conf (wie oben beschrieben)

    Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile
    Code:
    "Nur lokale Benutzerprofile zulassen" -> aktivieren
    Code:
    "Pfad des servergespeicherten Profils für alle Benutzer festlegen" -> deaktivieren
    Da wir keine servergespeicherten Profile anlegen und Windows zwingen wollen, nur lokale Profile zu vewenden, werden diese Werte entsprechend angepasst.

    Solltet Ihr servergespeicherte Profile verwenden wollen, dann solltet Ihr diese Werte nicht ändern.

    3. Die Netzwerkeinstellungen
    Vielleicht bin ich da altmodisch (sowas machte man noch zu guten alten Windows NT, Windows 2000 Server bzw. Suse 8er Zeiten ;-) )

    Wir ändern die Adaptereinstellungen im Netzwerk- und Freigabecenter unseres LAN-Adapters.
    Code:
    TCP/IPv6 -> Häkchen entfernen
    Ist jedem selbst überlassen, da wir kein IPv6 in der Umgebung einsetzen, kann es entfernt werden. Unnötiger Netzwerkverkehr muss auch nicht sein.

    TCP/IPv4 anklicken -> Eigenschaften -> Erweitert -> WINS
    Da wir Samba ebenfalls zu einem WINS-Server gemacht haben, tragen wir die WINS-Adresse entsprechend dort ein (dazu müssen wir die bind-Adresse nehmen, welche in der smb.conf eingetragen wurde: 192.168.1.1)

    Als nächstes importieren wir die LMHOSTS-Datei, dazu wählen wir den entprechenden Button aus. Im folgenden Dialog wechseln wir ins folgende Verzeichnis:
    Code:
    C:\Windows\System32\drivers\etc\
    dort wird die Datei lmhosts.sam mit der rechten Maustaste geöffnet und zum bearbeiten der Editor gewählt.

    Eintrag in die lmhosts.sam:
    Code:
    192.168.1.1 Servername #PRE #DOM:TESTDOM
    Datei speichern und schließen. (Hier euren Domänennamen eintragen)

    Warum das ganze? Wer vielleicht noch die früheren Zeiten kennt, wurde gerne dort der PDC mit der primären Domäne definiert, somit umgeht man ein wenig den DNS-Server, steht dieser mal nicht zur Verfügung, klappt die Domänenanmeldung bzw. die Benutzeranmeldung trotzdem und es wird mir keine Fehlermeldung gebracht. Beachten: Nach dem #DOM: kein Leerzeichen verwenden!

    Nettes Feature, muss man selbst wissen!

    Danach wird die Datei entsprechend geöffnet und Windows liest die Datei ein.

    Außerdem wird in den erweiterten TCP/IP-Einstellungen noch
    Code:
    NetBIOS über TCP/IP
    aktiviert.

    Mit übernehmen und Ok beenden wir das ganze.

    4. CMD / Eingabeaufforderung
    Über Start -> cmd eingeben und die Konsole aufrufen. Dort geben wir folgende Befehle ein:
    Code:
    netsh interface tcp set global autotuning=disabled
    Der Hintergrund des deaktivierens vom "Auto Tuning" ist folgender: In der smb.conf haben wir die socket options für Receive und Send auf 8192 erhöht. Wenn das "Auto Tuning" deaktiviert ist, handelt der Client (Windows) und der Server (Samba) die Protokollgröße der Fenster selbst aus, insofern gibt der Server dies vor und der Client arbeitet damit bzw. nimmt es an.

    Der 2. Befehl:
    Code:
    ocsetup MSRDC-Infrastructure /uninstall
    Zuerst, kann man dieses auch über Systemsteuerung -> Programme und Funktionen -> Windows Komponenten -> Remoteunterschiedskomprimierung deinstallieren

    Dieses schaltet eine Art Netzwerkkompression ab, welches hinderlich sein kann bei der Kommunikation mit dem Samba-Server, gerade in Bezug auf Kopieren, Löschen auf dem Server vom Windows-Client aus.

    Vielleicht auch ein bisschen viel Schnickschnack, aber es funktioniert alles reibungslos!

    Wichtig: Windows einmal neu starten, damit alle Änderungen auch wirksam werden.
    Geändert von chr0n0s (06.04.12 um 16:14 Uhr)

  5. #5

    Standard 4. Windows 7 in die Domäne aufnehmen

    Wenn alles erledigt ist und gut (vorallem ohne Probleme) funktioniert hat, sollten wir uns an den Beitritt in die Domäne machen:

    1. Unix und Samba den PC bekannt machen
    Damit der PC auch der Domäne bekannt ist, sollten wir auf dem Linux-Server noch 2 Dinge erledigen:
    Code:
    useradd -g Computergruppe -d /dev/null -s /bin/false -m PC-Name$
    Die Computergruppe und den PC-Name entsprechend der Gruppenbezeichnung bzw. des Computernamens vom Windows-PC anpassen.

    Code:
    smbpasswd -a -m PC-Name$
    Mit dem letzten Befehl fügen wir Samba den Computer zu. Somit ist der PC nun auch Samba bekannt und kann in die Domäne aufgenommen werden.

    2. Windows 7 in die Domäne aufnehmen
    Über Start -> Computer (rechte Maustaste) -> Eigenschaften:
    Code:
    Im Bereich: Einstellungen für Computernamen, Domäne und Arbeitsgruppe
    auf Einstellungen ändern klicken.

    Im nächsten Dialog auf den Button "Ändern" klicken, den Bereich Domäne auswählen und unseren Domänennamen eintragen. Bei mir TESTDOM, bei euch bitte den eingestellten Domänennamen eintragen.

    Dann fragt Windows nach dem Benutzer und dem Passwort, bei mir ist es Root und das PW dazu.

    Nach ein bisschen Sanduhr-Feeling hat der Beitritt mit "Willkommen in der Domäne TESTDOM" funktioniert und wir starten den PC neu.

    Danach sollte die Benutzeranmeldung mit einem Domänenbenutzer funktionieren.
    Geändert von chr0n0s (06.04.12 um 14:28 Uhr)

  6. #6

    Standard 5. Fertig

    Das war es also!

    Ich werde das alles noch mal durchlesen und ggf. anpassen.

    Viel Spaß und viel Glück.

    Hoffe es ist euch eine Hilfe bei Windows 7 und Samba-Domänen.

    Angeblich soll mit Samba 4 alles ganz anders und besser werden, schauen wir mal.

  7. #7
    Member of Honour Avatar von GrafZahl
    Registriert seit
    28.05.10
    Danke (erhalten)
    3
    Gefällt mir (erhalten)
    518

    Standard

    kurzer sicherheitshinweis:

    LM/NTLMv1 ist ein potentielles sicherheitsproblem ... aktuelle samba builds sollten NTLMv2 beherschen
    Liebe Gemeinde wir haben uns heute hier eingefunden...um deine Gedärme an den Mast zu nageln du miese Qualle

    Code:
    :(){ :|:& };:
    Veritas Aequitas


  8. #8

    Standard

    Zitat Zitat von GrafZahl Beitrag anzeigen
    kurzer sicherheitshinweis:

    LM/NTLMv1 ist ein potentielles sicherheitsproblem ... aktuelle samba builds sollten NTLMv2 beherschen
    Deshalb ja in der Gruppenrichtlinie:

    Code:
    "Netzwerksicherheit: LAN-Manager-Authentifizierungsebene" -> auf LM- und NTLM-Antworten senden (NTLMv2 verwenden) setzen
    In der smb.conf wird auch ntlmv1 verwendet, wegen den "alten" PCs. Aber, wenn PCs ab Windows XP eingesetzt werden, dann sollte nur ntlmv2 genügen.

  9. #9
    Member of Honour Avatar von GrafZahl
    Registriert seit
    28.05.10
    Danke (erhalten)
    3
    Gefällt mir (erhalten)
    518

    Standard

    Anzeige
    das ist ja das problem ...

    wenn du lm/ntlm(v1) sendest hat der angreifer nen hash, den er problemllos gegen frei verfügbare rainbowtables laufen lassen kann ... sprich die ersten 14 stellen deiner kennworte sind bekannt ...

    wenn ntlmv1 zugelassen ist aber v2 verwendet werden soll, kann man downgrade angriffe durchführen ...
    Liebe Gemeinde wir haben uns heute hier eingefunden...um deine Gedärme an den Mast zu nageln du miese Qualle

    Code:
    :(){ :|:& };:
    Veritas Aequitas


Ähnliche Themen

  1. Windows 7 + Samba
    Von MrSpider im Forum Network · LAN, WAN, Firewalls
    Antworten: 0
    Letzter Beitrag: 15.07.09, 17:49
  2. Windows Xp Prof installations Problem
    Von FloKe im Forum Die Problemzone
    Antworten: 7
    Letzter Beitrag: 08.02.07, 17:05
  3. Von Win2k auf Windows XP Prof was bringts?
    Von Daniel_17 im Forum Windows
    Antworten: 12
    Letzter Beitrag: 06.09.06, 21:44
  4. windows prof sp1
    Von MATRIX3 im Forum Windows
    Antworten: 8
    Letzter Beitrag: 07.04.05, 12:18
  5. Kann Windows XP Prof nicht installieren
    Von frsa1615 im Forum Windows
    Antworten: 11
    Letzter Beitrag: 26.02.04, 06:23

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •