Berechtigung Freigabe automatische Berechtigungen

german

#1

Hallo, wie lege ich auf dem Master DC oder extra File Share eine Freigabe an, in welcher die Berechtigungen automatisch beim Anlegen eines neuen Users festgelegt werden (Profil und Home Laufwerk).


#2

Moin,

beim Anlegen eines Benutzers wird sein Home noch nicht automatisch angelegt. Statt dessen geschieht dies auf einem Server in dem Moment, wo sich ein Benutzer an diesem Server anmeldet: bei jeder Anmeldung prüft das PAM-Modul pam_mkhomedir.so, ob das Home schon existiert, und falls nicht, wird es angelegt. Direkt davor prüft ein anderes PAM-Modul mittels des Scripts univention-mount-homedir, ob für den Benutzer im LDAP eine Heimatverzeichnisfreigabe angegeben ist, und falls ja, versucht dieses Modul diese Freigabe zu mounten (das ist dafür da, die Homes zentral von einem Server via NFS bereitzustellen, und diese NFS-Freigabe würde dann auch auf anderen Servern automatisch gemountet).

Jetzt verstehe ich allerdings noch nicht genau, was Sie genau für eine Funktionalität haben möchten. Können Sie das bitte etwas genauer beschreiben?

Gruß,
mosu


#3

Vielen Dank für Ihre Rückmeldung.

Entschuldigen Sie bitte, ich meinte die Windows-Heimatverzeichnisse und -Profilvereichnisse.

Kurz zu meinem Wunsch: Ich habe einen DC und einen Memberserver. Auf dem Memberserver ist das Plugin Windows-kompatibler Memberserver installiert. Auf dem Memberserver sollen die Windows-Heimatverzeichnisse und -profilverzeichnisse der Nutzer liegen.

Zu meinem Problem: Wenn ich beim Benutzer unter Konto Windows-Heimatverzeichnis \\memberServer\nutzer angebe, funktioniert das Einbinden und der Zugriff auf das Verzeichnis. Wenn ich jedoch \\memberServer\nutzer\home angegbe, funktioniert es leider nicht. Warum ist dies so?

Ein weiteres Problem: Ich möchte gerne die Profilverzeichnisse der User auch auf dem Memberserver haben, leider bekomme ich es irgendwie nicht hin. Also wenn ich unter Profilverzeichnis %LOGONSERVER%\%USERNAME%\windows-profiles\default angebe funktioniert alles wunderbar. Nur scheinbar liegen dann die Profile auf dem DC, ich möchte diese jedoch auch auf dem Memberserver haben. \\memberServer\%USERNAME%\windows-profiles\default funktioniert leider nicht. Gibt es eine andere Lösung?

Nun noch ein paar Fragen zur Sache:

  1. Ist beim Transport sowohl Heim- und Profilverzeichnisse eine Verschlüsselung aktiviert?
  2. Wenn der User sein Heimverzeichnis aufruft, findet er dort schon die Ordner Downloads und windows-profiles vor. Ich möchte jedoch, dass der Benutzer einen leeres Heimverzeichnis erhält und die Daten der Profil und Heimverzeichnisse nach Möglichkeit getrennt sind. Wie kann ich dies realisieren?
  3. Wie kann ich realisieren, dass der User bei seinem Verzeichnisse seinen eigenen zur Verfügung stehenden Speicherplatz sieht?
  4. Kann der zur Verfügung stehende Speicherplatz sowohl für Heimverzeichnisse und Profilverzeichnisse begrenzt werden?
  5. Kann ich den Servernamen ausblenden lassen?
  6. Werden die Berechtigungen von UCS automatisch so vergeben, dass jeder User nicht in die Heim- und Profilverzeichnisse von anderen Usern schauen kann?
  7. Kann ich bezüglich Pfad des Heim- und Profilverzeichnisses ein Standard vorgeben, welcher automatisch beim Anlegen eines neuen Users eingetragen wird?

#4

Moin,

Es gibt unter Samba (und auch bei Windows-Servern) spezielle Freigabenamen. Der Nutzername ist ein solcher. Somit wird der UNC-Pfad \\memberServer\nutzer auf den Linux-Pfad /home/nutzer umgesetzt, sofern es einen Linux-User namens nutzer gibt.

Eine Anmeldung an der Freigabe \\memberServer\nutzer triggert nun wiederum das PAM-Modul zum automatischen Anlegen von Home-Verzeichnissen. Somit wird Linux-seitig in dem Moment /home/nutzer angelegt, sofern das vorher noch nicht existiert hat. Beim Anlegen werden auch einige Dateien und Unterverzeichnisse mit angelegt, genauer: es wird der Inhalt aus /etc/univention/skel übernommen. Dort gibt es z.B. das Unterverzeichnis windows-profiles und darin WinXP, Vista, Vista.V2… Im Endeffekt wird dadurch das Home-Verzeichnis bereits automatisch so vorbereitet, dass darin Windows-Profile gespeichert werden können — sofern der richtige Freigabepfad genommen wird.

\\memberServer\nutzer\home funktioniert deshalb nicht, weil das nach der obigen Ausführung auf den Linux-Pfad /home/nutzer/home umgesetzt wird. Dieses Verzeichnis existiert höchstwahrscheinlich nicht, um das automatische Anlegen von Home-Verzeichnissen legt nur /home/nutzer an (und behandelt den speziellen Inhalt von …/skel), nicht aber beliebige Unterverzeichnisse.

Sie können Windows-Profile problemlos auf dem Member-Server speichern. Verwenden Sie schlicht als Profilpfad \\memberServer\nutzer\windows-profiles — ohne default dahinter. Der richtige Unterordnername wird von der jeweiligen Windows-Version, an der man sich gerade anmeldet, automatisch hinten angehängt, z.B. Vista.V2 für Windows 10.

Nein. Es werden nur die Passwörter verschlüsselt übertragen, nicht aber die Daten, vermutlich aus Kompatibilitätsgründen. Hier wird z.B. beschrieben, wie man es allgemein mit Samba aktivieren kann. Allerdings ist das nicht auf Univention gemünzt, sprich man muss das in die Univention-Templates einarbeiten.

Das ist nicht trivial und erfordert die Änderung einiger Dateien. Der grobe Ablauf ist:

  1. Die PAM-Konfiguration zum Anlegen von Home-Verzeichnissen clonen, sodass das Profil-Home-Verzeichnis für den User angelegt wird, z.B. /data/profiles/<username>. Dieses sollte /etc/univention/skel/windows-profiles als Vorlagenverzeichnis nehmen.
  2. Die PAM-Konfiguration zum Anlegen der Home-Verzeichnisse so ändern, dass nicht /etc/univention/skel als Vorlagenverzeichnis genommen wird, sondern z.B. /etc/skel (das ist eigentlich der Standard bei Linux, dort gibt’s nur sehr wenige Dateien wie .profile, nicht aber Unterverzeichnisse wie windows-profiles).
  3. Eine Freigabe für /data/profiles einrichten, die z.B. profiles heißt.
  4. Bei den Benutzern als Profilpfad \\memberServer\profiles\nutzer eintragen.

Schritte 1 und 2 erfordern Modifikationen der Univention-Templates. Weiterhin ist erforderlich, diese Templates bei jedem Systemupdate erneut zu prüfen und eventuell durchgeführte Anpassungen in den Orignal-Templates wieder auf Ihre modifizierten Templates zu übernehmen.

Sprich manuelle Arbeit, an die man denken muss, und die Updates erschweren. Daher rate ich davon mehr oder minder dringend ab.

Arbeiten Sie mit Quota? Ich glaube, von Windows aus ist das gar nicht möglich.

Nur mit Dateisystemquotas. Bei Linux gelten Dateisystemquotas immer für alle Dateien auf einem Dateisystem. Wenn Sie also für Profilverzeichnisse und Homeverzeichnisse getrennte Quotas angeben wollen, so müssen beide jeweils auf einem eigenen Dateisystem liegen. Anschließend richten Sie die Quotas über die UMC ein.

Welchen Servernamen meinen Sie genau? Vielleicht ein Screenshot von dem, was Sie nicht sehen wollen?

Ja. Bei Übernahme der Dateien und Verzeichnisse aus …/skel werden auch die jeweils gesetzten Berechtigungen übernommen. Das bedeutet konkret, dass die Home-Verzeichnisse für alle lesbar sind, die Profil-Unterverzeichnisse (genauer: das Verzeichnis windows-profiles) hingegen ausschließlich für den Besitzer.

Ja, das geht über Benutzervorlagen.

Gruß,
mosu


#5

Moin,

besten Dank für die ausführliche Beantwortung meiner Fragen!

grafik
Ich meinte Servernamen/Beschreibung des Pfades, mit welchem auf die Freigaben zugegriffen wird. Ich würde gerne, dass der Pfad also (\\SRV012) komplett ausgeblendet wird und nur noch der Ordnername (test) und der Laufwerksbuchstabe (H:) ersichtlich sind.


#6

Keine Ahnung. Das ist eine rein clientseitige Windows-Angelegenheit. Schon mal ge-Googlet?


#7

Leider habe ich nur die Möglichkeit via Skript gefunden. Scheinbar ist dies über eine GPO nicht vorgesehen… Trotzdem danke!


#8

Ist es egal, ob ich die Pfadangabe mit einem Backslash (\\memberServer\nutzer\windows-profiles\) abschließe oder diese offen lasse (\\memberServer\nutzer\windows-profiles)?


#9

Das sollte egal sein. Ich kann’s aber nicht garantieren :slight_smile: