Hallo !
Ich betreibe einen Samba Server (SuSE 9.2) an dem etliche W2k Clients
angeschlossen sind. Wie kann ich verhindern, dass von den W2k Clients
aus die Passwörter geändert werden ?
Gibt es einen entsprechenden Eintrag in der smbpasswd ?
Grüße
Alexander Scheib
Hi,
warum realisierst Du das nicht ueber eine MS Richtlinie/Policy ?
===
evtl. hilft Dir “man smbpasswd” weiter:
-r remote machine name
This option allows a user to specify what machine
they wish to change their password on…
===
oder in der smb.conf:
[global]
# funktioniert nicht wenn “encrypt passwords = yes”
pam password change = No
# oder
winbind User Cannot Change Password
===
weitere Moeglichkeiten:
==
– das smbpasswd aus samba-tng unterstuetzt andere Optionen (zusaetzl. Optionen nur als root), hier ein Auszug aus smbpasswd.c:
printf(“options:\n”);
printf(” -s use stdin for password prompt\n”);
printf(” -D LEVEL debug level\n”);
printf(” -U USER remote username\n”);
printf(” -r MACHINE remote machine\n”);
if (getuid() == 0) {
printf(” -R ORDER name resolve order\n”);
printf(” -a add user\n”);
printf(” -d disable user\n”);
printf(” -e enable user\n”);
printf(” -n set no password\n”);
printf(” -p user cannot change password\n”);
printf(” -x user can change password\n”);
Erst mal vielen Dank für die schnelle Antwort !!
winbind User Cannot Change Password
funktioniert aber leider nicht (testparm zeigt einen Fehler)
pam password change = No
habe ich auf dem Server eingestellt, testparm zeigt keine Fehler.
da ich aber “encrypt passwords = yes” habe geht das auch nicht…. =:-|
samba-tng fällt aus, da ein Samba “old stile” installiert ist.
Bleibt nur noch
smbpasswd -r ….
wie wendet man das an ? Die man page verstehe ich nicht (kann natürlich auch danach googeln aber vielleicht kann jemand die Erklärung aus dem Ärmel schütteln ?!!!
Grüße
Alexander
Hallo Alexander,
auf die einfachste Moeglichkeit, und zwar MS Windows Benutzer- / Gruppen Richtlinien (Policies), bist Du nicht eingegangen:
Sobald eine Windows NT4/200x/XP-Maschine sich am Netzwerk anmeldet, sieht der Client in der NETLOGON-Freigabe des authentifizierten Domänencontrollers nach, ob die Datei NTConfig.POL existiert. Falls ja, wird diese heruntergeladen, durchgesehen und dann in den Benutzerteil der Registry eingelesen.
Benutzer Richtlinien werden in der Datei NTConfig.POL gespeichert und befindet sich bei Samba im root Verzeichnis von [netlogon].
Wenn ich mich recht entsinne, beinhaltet der MS User Manager bereits eine Option (Checkbox) “User cannot change password”. Diese und weitere Optionen kann man auch ueber die Registry, die MMC (MS Management Console) oder mittels dem Programm “poledit.exe” setzen.
Abschliessend noch ein Hinweis zu “poledit.exe”:
Das Programm “poledit.exe” ist bei Windows 9x/Me- und MS Windows NT4/200x/XP unterschiedlich und (selbstverstaendlich) inkompatibel!
Bei Windows NT4/200x/XP Clients muss (!) die “poledit.exe” der Server(!) MS NT4 (>= SP3) oder MS Win200x verwendet werden.
Hallo !
gut, bin überzeugt.
Gibt es Benutzer- oder gruppenspezifische
NTConfig.POL ?
Grüße
Alexander
Poledit arbeitet mit adm-Files, mit denen man die registry manipulieren kann.
ich benutze folgenden textblock zum deaktivieren des “Kennwort aendern”-Buttons
im logon-fenster:
POLICY “‘Change password’-Button deaktivieren”
KEYNAME “Software\Microsoft\Windows\CurrentVersion\Policies\System”
VALUENAME “DisableChangePassword”
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
PART “————————————————–” TEXT END PART
PART “Registry-Path: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System” TEXT END PART
PART “Valuename : DisableChangePassword” TEXT END PART
END POLICY
wie aus dem registry-pfad ersichtlich, muss dieser block unter class user in ein
adm-file eingetragen werden. bei mir hat es auch recht lange gedauert, bis ich
alles am laufen hatte, aber jetzt funktioniert alles perfekt. ich kann per poledit
einstellungen aendern und ueber ntconfig.pol jedem client / user mitgeben.
ich hoffe, ich konnt dir ein bisschen helfen
zu der frage der benutzer / gruppenspezifischen ntconfig.pol gibt es folgenden weg:
samba kennt sogenannte makros, z. b. wird %G zur primary group des users und %U
bzw. %u zum usernamen erweitert. per include-anweisung koennte man in der smb.conf
user- bzw. gruppenspezifische smb.conf einfuegen.
include smb.conf-%G wuerde bei einem gruppennamen lehrer zum dateinamen
smb.conf-lehrer. diese datei wuerde samba zur laufzeit, also beim zugriff auf
das entsprechende share den inhalt der datei einfuegen. so koennte man gruppen-
spezifische pfade zum [netlogon]-share definieren und dort gruppenspezifische
ntconfig.pol-files ablegen.
diese makros sollte man unbedingt naeher anschauen, weil damit eine ganze menge
mehr moeglich ist.
viel glueck