Toon posts:

samba 3.0 roaming profiles, priveleges

Pagina: 1
Acties:

woensdag 29 oktober 2003 20:03

Acties:

Verwijderd

Topicstarter
Ik heb een probleempje met samba 3.0
Ik heb nu al een tijdje een domijn draaien met roaming profiles.
Dat werkte perfect, alle profielen werden netjes centraal opgeslagen en ook win2k en XP machines konden zich aanmelden bij m'n samba server.
Toen ik m'n log ging bekijken zag ik dat alle users zich met "admin priveleges" aanmelden. Snel even proberen en ja hoor, iedereen heeft overal schrijfrechten.
Dat is dus iets wat niet de bedoeling is, ik ben dus in smb.conf gedoken en heb de volgende regel aangepast van:
admin users = @root @users
naar:
admin users = @root

Dit heeft op zich wel het gewenste effect gehad wat nu staan alle rechten weer zoals ze horen te staan. Het probleem is echter dat alleen ikzelf me nog behoorlijk aan kan melden. Alle overige gebruikers krijgen bij het aanmelden in windows de melding dat hun profiel niet van de server geladen kan worden.
Hoe los ik dat op?

Alvast bedankt

woensdag 29 oktober 2003 20:05

Acties:
  • Jelmer
  • Registratie: Maart 2000
  • Laatst online: 29-04 17:25

Jelmer

Je draait of w2k sp4 of je hebt (iig voor w2k =< sp3) patch KB824141 geinstalleerd. Hiermee wordt je winlogon vernaggeld. Zelfde fix als voor sp4:
zwelgje schreef op 11 July 2003 @ 22:38:
[...]


To turn off this new security provision, Enable the Do not check for user ownership of Roaming Profile Folders GPO at Computer Configuration / Administrative Templates / System / User Profiles.

If the policy is Not Defined, you can enable it using the registry:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"CompatibleRUPSecurity"=dword:00000001

[ Voor 50% gewijzigd door Jelmer op 29-10-2003 20:08 ]

woensdag 29 oktober 2003 20:17

Acties:

Verwijderd

Topicstarter
Op een aantal machines is idd SP4 geinstalleerd.
op 1 machine echter niet (geen enkel servicepack geinstalleerd) en daar heb ik het probleem ook.
De sleutel die jij noemt is bij mij niet te vinden, ook niet op de win2k machines waar SP4 is geinstalleerd. Als ik de zoekfunctie van regedit gebruik kan ik ook geen sleutel met de naam "CompatibleRUPSecurity" vinden.

woensdag 29 oktober 2003 20:18

Acties:
  • Jelmer
  • Registratie: Maart 2000
  • Laatst online: 29-04 17:25

Jelmer

dat klopt, je moet op die plek dus gewoon een dword-sleutel aanmaken ;) (als je nou even een bestand aanmaakt wat je fix.reg noemt en dan alles va REGEDIT 4 er in zet, kun je het makkelijk overal importeren)

[ Voor 49% gewijzigd door Jelmer op 29-10-2003 20:21 ]

woensdag 29 oktober 2003 20:22

Acties:
  • pleuris
  • Registratie: Juni 2001
  • Laatst online: 24-03 16:20

pleuris

Dit probleem zit ook in recente hotfix die via windows update verspreid wordt. :) Ik weet alleen nog niet in welke. Dit verklaard misschien waarom het ook op een sp3 werkstation het probleem aanwezig is.

[ Voor 30% gewijzigd door pleuris op 29-10-2003 20:23 ]

woensdag 29 oktober 2003 20:24

Acties:
  • Jelmer
  • Registratie: Maart 2000
  • Laatst online: 29-04 17:25

Jelmer

pleuris, KB824141 is de boosdoener

MS03-045: Buffer Overrun in the ListBox and in the ComboBox Control Could Allow Code Execution

Bestanden die worden geupdate:

Basesrv.dll
Cmd.exe
Gdi32.dll
Kernel32.dll
Msgina.dll
Rdpwd.sys
Sp3res.dll
User32.dll
Userenv.dll
Win32k.sys
Winlogon.exe
Winsrv.dll

[ Voor 107% gewijzigd door Jelmer op 29-10-2003 20:27 ]

woensdag 29 oktober 2003 20:51

Acties:

Verwijderd

Topicstarter
Ok, ik zal er eens mee aan de slag.
Bedankt iig

woensdag 29 oktober 2003 23:29

Acties:

Verwijderd

Topicstarter
Helaas, deze truc helpt niet.
Ook als ik de pc helemaal herstart (dus niet alleen maar af- en aanmelden) krijg ik weer de melding dat het profiel van de server niet geladen kan worden.
Allen ikzelf heb dit probleem niet maar alle andere gebruikers dus niet.
Nog even een opmerking over mijn eerste bericht, er staat niet alleen @root maar ook @wheel. dus:
admin users = @root @wheel
En mijn account-naam staat dus in de wheel-group. Ik kan het op zich wel oplossen door iedereen root rechten te geven (de @users accounts toevoegen aan de admin groep) maar dat is eigenlijk niet mijn bedoeling. Het moet toch anders kunnen zodat ook de niet-admin users zich gewoon aan kunnen melden?
Iedereen heeft trouwens volledige xrw rechten in de map waar de profielen opgeslagen worden, dat zou dus goed moeten zijn.

donderdag 30 oktober 2003 09:32

Acties:
  • Jelmer
  • Registratie: Maart 2000
  • Laatst online: 29-04 17:25

Jelmer

Heb je KB824141 geinstalleerd staan? Zo ja, uninstall m dan eens.

donderdag 30 oktober 2003 10:03

Acties:

Verwijderd

Topicstarter
Nee, die heb ik thuis op geen enkele pc geinstalleerd.
Alleen SP4 (op 1 pc na) maar dat heeft altijd goed gewerkt todat ik de de @users groep heb weggehaald bij de admin groep.

donderdag 30 oktober 2003 10:09

Acties:
  • Kippenijzer
  • Registratie: Juni 2001
  • Laatst online: 28-04 20:21

Kippenijzer

McFallafel, nu met paardevlees

Als je gewoon in je samba profiles directory kijkt, welke rechten hebben de profiles daar? Ik heb hier nl. dat sommige zaken nog wel eens als root weggeschreven worden, terwijl de betreffende user helemaal geen root rechten heeft. Zodra ik dan die user uit de admin lijst haal, heeft hij in ene geen toegang meer (als in, alsof admin je dus root maakt op de samba bak... Hmmm, intressant :P ).

donderdag 30 oktober 2003 14:03

Acties:

Verwijderd

Topicstarter
Je had gelijk, van alle dir's en files in de map profiles stonden de rechten niet goed.
Nadat ik dit had aangepast (met de -R flag deze keer) werkte alles weel ok.
Bedankt voor de hulp :)
Pagina: 1
Reageer