Gruppe "Administratoren" wiederherstellen?

german

#1

Hallo Leute,
[Entschuldigt den Spam mit den vielen Themen, habe etwas Zeitdruck, das System zum Laufen zu bringen…]

tja, beim Ausprobieren passiert so etwas: Ich habe die Gruppe Administratoren gelöscht.

Kriege ich die wieder irgendwie hergezaubert? Ja, ich habe bereits die jeweiligen Benutzer und Gruppen bei einer neuen Gruppe entsprechend eingetragen, aber da ist ja doch noch mehr, oder?

/KNEBB


#2

Unter /var/univention-backup solltest du Backups vom LDAP finden können.


#3

Stimmt.

War aber eine Testinstallation von heute. D.h. das Backup dort beinhaltet bereits die gelöschte Gruppe.

Aber ein guter Hinweis.


#4

Moin,

hmm, das habe ich bisher noch nicht versucht. Hier mal ein Beispiel, wie die Gruppe auf meinem UCS-4-Testsystem sowohl im LDAP als auch im Samba4 aussieht:

[code][0 root@master ~] univention-ldapsearch -x cn=administrators

extended LDIF

LDAPv3

base <dc=mbu-test,dc=intranet> (default) with scope subtree

filter: cn=administrators

requesting: ALL

Administrators, Builtin, mbu-test.intranet

dn: cn=Administrators,cn=Builtin,dc=mbu-test,dc=intranet
sambaGroupType: 2
cn: Administrators
description: Administrators have complete and unrestricted access to the compu
ter/domain
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
objectClass: univentionObject
univentionObjectType: groups/group
gidNumber: 5053
sambaSID: S-1-5-32-544
univentionGroupType: -2147483643
memberUid: Administrator
uniqueMember: cn=domain admins,cn=groups,dc=mbu-test,dc=intranet
uniqueMember: cn=enterprise admins,cn=groups,dc=mbu-test,dc=intranet
uniqueMember: uid=administrator,cn=users,dc=mbu-test,dc=intranet

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1

[0 root@master ~] univention-s4search cn=administrators
WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.

record 1

dn: CN=Administrators,CN=Builtin,DC=mbu-test,DC=intranet
objectClass: top
objectClass: group
cn: Administrators
description: Administrators have complete and unrestricted access to the compu
ter/domain
member: CN=Domain Admins,CN=Groups,DC=mbu-test,DC=intranet
member: CN=Enterprise Admins,CN=Groups,DC=mbu-test,DC=intranet
member: CN=Administrator,CN=Users,DC=mbu-test,DC=intranet
instanceType: 4
whenCreated: 20150414135820.0Z
whenChanged: 20150414135820.0Z
uSNCreated: 3564
uSNChanged: 3564
name: Administrators
objectGUID: 8dbcb76b-70bb-45c5-af34-1ba75f4a47e7
objectSid: S-1-5-32-544
adminCount: 1
sAMAccountName: Administrators
sAMAccountType: 536870912
systemFlags: -1946157056
groupType: -2147483643
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=mbu-test,DC=intranet
isCriticalSystemObject: TRUE
distinguishedName: CN=Administrators,CN=Builtin,DC=mbu-test,DC=intranet[/code]

Wichtig sind, meiner Meinung nach, praktisch alle Attribute, ganz besonders die sambaSID, weil Windows über spezielle SIDs spezielle Dinge wie Berchtigungen abbildet.

Beachten Sie, dass nicht alle Attribute in beiden Verzeichnissen enthalten sind. Manche werden Sie daher direkt im Samba 4 setzen müssen.


#5

Hallo,

ja, das dachte ich mir, dass es nicht so einfach ist. Wie würde ich denn das in Samba machen?

Ist aber nur noch als Referenz, ich habe zwischenzeitlich das System neu installiert, das ging schneller. :smiley:

Danke dennoch!

Christian


#6

Das geht mit den ldb*-Tools (ldbedit, ldbmodify…), ähnlich zu LDAP. Vorsicht, vorher auf jeden Fall ein Backup von /var/lib/samba/private machen (und noch vorheriger Samba beenden).