Page tree

Wenn sie zu dieser Seite Bemerkungen haben klicken sie bitte hier: Kontaktformular

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Allgemeines

In sogenannten "Roaming Profiles" werden die persönlichen Daten eines Windowsbenutzers auf einem Netzwerkordner gespeichert.
Das hat u.a. den Vorteil, dass man auf jedem Windows-Client "seinen" Desktop bekommt nebst persönlicher Konfiguration und seinen persönlichen Dateien/Ordnern wie z.B. "Dokumente", "Downloads" etc.

Man muss dazu mit einem Domainkonto angemeldet sein.
Als "Option" in den Einstellungen eines Domainbenutzerkontos kann der (Netzwerk-)Pfad angegeben werden auf dem dieses Profil gespeichert wird.

Voraussetzungen

  • Diese Anleitung bezieht sich auf Ubuntu 14.04 und Samba 4
    Zuletzt getestet mit Samba 4.1.6
  • Es muss ein Samba-Domaincontroller vorhanden sein.
    Ggf. nach folgender Anleitung konfiguriert: Konfiguration samba als active directory domain controller
  • Auf dem Domaincontroller muss auch das Paket "winbind" installiert und konfiguriert sein, damit die Namensauflösung der Domainbenutzerkonten funktioniert.
  • Soweit nicht anders angegeben beziehen sich die in diesem Artikel beschriebenen Konfigurationsschritte auf den Domaincontroller

Verwendete Konfiguration

ParameterWert
DomainMB
Realmlemaker.fritz.box
IP des Domaincontrollers192.168.101.18

 

Vorbereitung

Namensauflösung der Domainkonten prüfen

Mit den folgenden Befehlen sollte die Liste der Domainbenutzer und -gruppen angezeigt werden

root@lemaker:~# wbinfo -u
Administrator
Guest
krbtgt
DK
root@lemaker:~# wbinfo -g
Enterprise Read-Only Domain Controllers
Domain Admins
Domain Users
Domain Guests
Domain Computers
Domain Controllers
Schema Admins
Enterprise Admins
Group Policy Creator Owners
Read-Only Domain Controllers
DnsUpdateProxy
root@lemaker:~#

Sollte das nicht funktionieren bitte prüfen ob das Paket "winbind" installiert ist, der service "winbind" gestartet ist und die folgende Konfiguration vorhanden ist:

Auszug aus der Datei /etc/nsswitch.conf
passwd:         compat winbind
group:          compat winbind

 

Konfiguration

Profilpfad anlegen und berechtigen

In diesem Beispiel wird der Pfad /var2/profiles verwendet.

root@lemaker:/etc/samba# mkdir -p /var2/profiles
root@lemaker:/etc/samba# chmod 1770 /var2/profiles
root@lemaker:/etc/samba# chgrp "Domain Users" /var2/profiles

Anpassung der smb.conf

[global]
		....
        domain logons = yes
        logon path = \\192.168.101.18\profiles\%U
 
[netlogon]
        path = /var/lib/samba/sysvol/lemaker.fritz.box/scripts
        guest ok = no
        read only = yes
 
[Profiles]
        comment = Users profiles
        path = /var2/profiles
        read only = no
        store dos attributes = Yes
        guest ok = no
        browseable = Yes
        create mask = 0600
        directory mask = 0700
        profile acls = yes
        csc policy = disable
        valid users = @"MB\domain users"

Anmerkungen:

ParameterHinweise
logon pathHier muss der Netzwerkpfad angegeben werden aus Sichtweise des Windowsclients, also als sogenannter UNC-Pfad.
\\<Server>\<Freigabename> 
Wenn diese Einstellung verwendet wird bedeutet das, dass alle Domainbenutzer standardmäßig ein Roaming Profile verwenden.
(Welches unter diesem Pfad gespeichert wird)
Der Platzhalter %U wird während der Verwendung durch den Anmeldenamen des Benutzers ersetzt, ggf. gefolgt von einem Versionszusatz des Betriebssystems.
Ich habe als Servername hier die IP-Adresse verwendet. Man kann selbstverständlich auch den DNS-Namen des Servers verwenden.
Allerdings birgt das eine gewisse Fehlerquelle.
Sollte es Probleme geben sollte man als erstes prüfen ob der Windowsbenutzer Zugriff auf die Freigabe hat. (ohne den zusatz %U)
valid users

In der Freigabe "Profiles" wird die Berechtigung durch Angabe der gültigen Benutzer vergeben.
In diesem Beispiel:
Allgemein:

@"DOMAIN\Gruppe"

hier @"MB\domain users" bedeutet ==> "Alle Domainbenutzer" 

Alle Benutzer die in dieser Gruppe sind haben Zugriff auf die Freigabe "Profiles"
Der Gruppenname incl. Domain muss in "" Anführungszeichen gesetzt werden, weil ein Leerzeichen im Gruppennamen enthalten ist. 

 

 

  • No labels