Участник:AlenkaGlukhovskaya/ActiveDirectory/Logon script1: различия между версиями

Материал из ALT Linux Wiki
м (EvgenySinelnikov переименовал страницу ALT Linux Wiki:ActiveDirectory/Logon script1 в Участник:ActiveDirectory/Logon script)
(нет различий)

Версия от 16:09, 8 декабря 2020

Подключение дисков для пользователей Active Directory.

Параметры домена

Параметр Значение
Имя домена SCHOOL.ALT
Имя контроллера домена C228


TODO:
  • Маппирование для всех пользователей
  • Маппирование с помощью GPO
  • Реализация без RSAT


Создание общих папок

Создаём папки:

mkdir -m 755 /srv/Public
mkdir -m 755 /srv/Отдел

Прописываем в /etc/samba/smb.conf:

[Public]
        path = /srv/Public
        read only = No
[Отдел]
        path = /srv/Отдел
        read only = No

Перезапускаем samba:

service samba restart

Скрипт logon.bat

Создаём файл logon.bat в текущем каталоге:

@echo off
net use * /delete /yes
net use x: \\c228\Public
net use y: \\c228\Отдел

Преобразуем его (меняем кодировку и концы строк) и выкладываем в каталог ресурса netlogon: /var/lib/samba/sysvol/school.alt/scripts:

cat logon.bat | sed 's/$/\r/' | iconv -t cp866 > /var/lib/samba/sysvol/school.alt/scripts/logon.bat

Делаем скрипт запускаемым:

chmod go+rx /var/lib/samba/sysvol/school.alt/scripts/logon.bat

Привязка скрипта к конкретному пользователю

  • Под Windows в RSAT (Active Directory - пользователи и компьютеры) выберите домен, затем Users на панели слева;
  • Нажмите правой кнопкой мыши по пользователю и выберите пункт меню Свойства;
  • Перейдите на вкладку Профиль
  • Укажите в поле Сценарий входа сетевой путь к скрипту logon.bat:
\\с228\netlogon\logon.bat
  • Нажмите кнопку OK
TODO:
Переписать раздел на ldapmodify


Примечание

Если не используется LDAP, то используется logon script из smb.conf. В случае использования 'passdb backend = ldapsam' используется значение атрибута sambaLogonScript из LDAP или 'logon script' из smb.conf при его отсутствии.

В случае Samba AD всегда используется значение атрибута scriptPath из LDAP.

Такое поведение было с самых первых версий контроллера AD, потому что у нас в этом случае всегда гарантированно есть пользовательская учетная запись в собственном LDAP, в которой присутствует стандартный для AD атрибут scriptPath (https://msdn.microsoft.com/en-us/library/ms679656%28v=vs.85%29.aspx)

Ссылки