[Samba PDC]: User toegang beperken op sommige PC's

Dit kan je bereiken met een goede Samba config.

http://us4.samba.org/samba/docs/using_samba/ch09.html

Bedoel je 'kunnen inloggen op' of 'kunnen inloggen vanaf'?

Het eerste regel op de werkstations, het tweede in het domein.

Ik begrijp nu wat je bedoelt.

Dit is typisch iets wat je regelt op de werkstations zelf. Nu ben ik niet helemaal thuis in de mate waarin Samba de windows omgeving kan nabootsen, maar in de ideale situatie zou je vanaf de PDC een policy loslaten op de werkstations. Zeg maar een stel regels die centraal worden opgelegd. Die policy bevat dan gegevens over welke gebruikers(groepen) lokaal mogen inloggen (allow logon localy). Door verschillende policies te maken en deze naar de juiste werkstations te sturen kan je bereiken wat jij wil. Of Samba overweg kan met policies weet ik niet. Je zou het ook handmatig kunnen instellen mocht dat niet het geval zijn, maar dan hoop ik dat het niet om veel meer dan 10 PC's gaat.

Let er op dat het niet de PDC is die de inlogpoging weigert, het is het werkstation zelf dat het weigert. Alleen de informatie over wat wel en niet te weigeren kan worden opgelegd door de PDC zolang de werkstations onderdeel zijn van het domein. Als lid van het domein moeten ze zich immers conformeren aan de regels die binnen het domein gelden en DAT kan je via de PDC regelen. Ik hoop Samba ook.

Sorry maar jullie geven de topic starter allemaal foute adviezen.

Wat de topic starter bedoelt is de functie in het gebruikers beheer van Windows NT, 2000 en 2003 om een gebruiker toestemming te geven om alleen op bepaalde werkstations met zijn geldige account te kunnen laten inloggen.

Dit kan als het al kan alleen met samba 3. Hiervoor moet je dan het tooltje pdbedit gebruiken en tdbsam als password backend of een ldap configuratie.

Lees op http://hostopia.samba.org/samba/docs/ even de manual page van dit progje door.

Ik heb even een uitdraai gemaakt van mijn 3.0.10 configuratie.

Een machine:

Unix username: hzmst0j$
NT username:
Account Flags: [W ]
User SID: S-1-5-21-286684831-4258621208-3655364988-3010
Primary Group SID: S-1-5-21-286684831-4258621208-3655364988-3003
Full Name:
Home Directory:
HomeDir Drive: (null)
Logon Script:
Profile Path:
Domain: JOP.LAN
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Fri, 13 Dec 1901 21:45:51 GMT
Kickoff time: Fri, 13 Dec 1901 21:45:51 GMT
Password last set: Mon, 07 Feb 2005 17:41:08 GMT
Password can change: Mon, 07 Feb 2005 17:41:08 GMT
Password must change: Fri, 13 Dec 1901 21:45:51 GMT
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

Een gebruiker:

Unix username: beheer
NT username:
Account Flags: [U ]
User SID: S-1-5-21-286684831-4258621208-3655364988-3026
Primary Group SID: S-1-5-21-286684831-4258621208-3655364988-3027
Full Name: ,,,
Home Directory: \\debianrouter\beheer
HomeDir Drive: H:
Logon Script: beheer.bat
Profile Path: \\debianrouter\profile\beheer
Domain: JOP.LAN
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Fri, 13 Dec 1901 21:45:51 GMT
Kickoff time: Fri, 13 Dec 1901 21:45:51 GMT
Password last set: Tue, 15 Feb 2005 15:56:08 GMT
Password can change: Tue, 15 Feb 2005 15:56:08 GMT
Password must change: Fri, 13 Dec 1901 21:45:51 GMT
Last bad password : 0
Bad password count : 0

Afgaande hierop zou het niet mogelijk zijn. Maar er moet wel bij gezegd worden dat met iedere nieuwe release er nieuwe zaken worden toegevoegd aan pdbedit. Misschien dat het nog wordt toegevoegd.