[CentOS-es] PROBLEMA DE PRIVILEGIOS DE USUARIOS EN SAMBA PDC

Andre Aspée easpee en gmail.com
Mie Ene 30 19:39:35 UTC 2008 

Hola,

Tengo un samba PDC, registro maquinas y usuarios que logran logearse 
correctamente. Todos los clientes seran winXP. Esoty haciendo las 
pruebas para comprobar los privilegios de usuarios segun los grupos que 
les asigno en el samba PDC.
En el equipo que inicia sesion no tiene los privilegios necesarios para, 
por ejemplo: instalar programas, cambiar configuracion de las conexiones 
de red,....Y mas problema aun, cuando ejecuto algunos programas (nuestro 
ERP) no lo deja por que no tiene el permiso para leer y escribir en la 
carpeta del SW. Es decir, inicia sesion, pero solo como un usuario 
restringido o invitado.
Para que pueda el usuario utilizar el ERP, tengo que hacer que el 
usuario sea parte de "Admins. del dominio", con el consiguiente problema 
de que puede instalar y cambiar configuraciones del equipo a su antojo.
Me gustaria lograr tener un tipo de usuario del dominio que pueda leer y 
escribir en las carpetas de los programas, sin ser administrador del 
dominio, que no pueda modificar parametros de red, ni instalar programas.
Se me ocurrio mapear un grupo Usuarios avanzado del dominio, y colocarle 
como sid S-1-5-32-SAmbaSID-547, pero el usuario al ser agregado a este 
grupo, queda como un usuario igual de restringido.
Alguna sugerencia???

Gracias

mi netgroupmap list

[root en rapanui ~]# net groupmap list
Opers. de servidores (S-1-5-32-549) -> opers_sistema
Duplicadores (S-1-5-32-552) -> duplicadores
Usuarios avanzados (S-1-5-32-547) -> usrs_avanzados
Opers. de impresión (S-1-5-32-550) -> opers_impresion
Administradores (S-1-5-32-544) -> administradores
Admins. del dominio (S-1-5-21-732503632-1872658953-3798343223-512) -> 
admins_dominio
Opers. de cuentas (S-1-5-32-548) -> opers_cuentas
Invitados del dominio (S-1-5-21-732503632-1872658953-3798343223-514) -> 
invitados
Usuarios del dominio (S-1-5-21-732503632-1872658953-3798343223-513) -> 
usuarios_dominio
Operadores de copias (S-1-5-32-551) -> opers_copias
Usuarios (S-1-5-32-545) -> usuarios


mi smb.conf

#======================= Global Settings 
=====================================

[global]

# ----------------------- Netwrok Related Options -------------------------

    workgroup = tremac
    server string = Samba PDC
    netbios name = rapanui
    hosts allow = 127. 192.168.10.

# ----------------------- Domain Controller Options ------------------------

    security = user
    passdb backend = tdbsam

    unix password sync = yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* 
%n\n *passwd:*all*authentication*tokens*updated*successfully*

    domain master = yes
    domain logons = yes
    time server = yes

    logon path =
    logon script = logon.cmd

    add user script = /usr/sbin/useradd %u
    add machine script = /usr/sbin/useradd -d /dev/null -g 100 -s 
/bin/false -c "Cuenta de máquina" -M %u
    delete user script = /usr/sbin/userdel %u
    delete group script = /usr/sbin/groupdel %g
    add user to group script = /usr/bin/gpasswd -a %u %g
    set primary group script = /usr/sbin/usermod -g %g %u
    delete user from group script = /usr/sbin/userdel "%u" "%g"
    add group script = /usr/sbin/groupadd "%g"



# ----------------------- Browser Control Options 
----------------------------
    local master = yes
;    os level = 33
    preferred master = yes

#----------------------------- Name Resolution 
-------------------------------
    wins support = yes
# --------------------------- Printing Options -----------------------------

    load printers = yes
    cups options = raw
    username map = /etc/samba/smbusers

;    printcap name = /etc/printcap
#obtain list of printers automatically on SystemV
;    printcap name = lpstat
;    printing = cups

# --------------------------- Filesystem Options ---------------------------
#
# The following options can be uncommented if the filesystem supports
# Extended Attributes and they are enabled (usually by the mount option
# user_xattr). Thess options will let the admin store the DOS attributes
# in an EA and make samba not mess with the permission bits.
#
# Note: these options can also be set just per share, setting them in global
# makes them the default for all shares

;    map archive = no
;    map hidden = no
;    map read only = no
;    map system = no
;    store dos attributes = yes


#============================ Share Definitions 
==============================

[homes]
    comment = Home Directories
    browseable = no
    writeable = yes
    valid users = tremac\%S

[printers]
    comment = All Printers
    path = /var/spool/samba
    browseable = no
    printable = yes

# Un-comment the following and create the netlogon directory for Domain 
Logons
[netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon
    guest ok = yes
    browseable = yes
    write list = @administradores, @admins_dominio

Más información sobre la lista de distribución CentOS-es