J'ai un serveur samba qui fonctionnait très bien en contrôleur de domaine avec les profils itinérants (obligatoire -> le même pour tout le monde)
Je dois maintenant laisser les profils en "local" (sur des XP pro)
j'ai donc commenté le partage "profiles" ainsi que l'attribut "logon path"... (ci-joint un "testparm" pour voir la nouvelle config)
Mais lorsque je joins une machine au domaine (cela marche bien), à chaque démarrage de session, j'ai une erreur car il cherche le profil itinérant (sur le serveur!!) et sur les postes déjà dans le domaine c'est pareil..
Dans les propriété du poste de travail > avancés > gestion des profils (..) le bouton "modifier le type" est grisé!! Et en administrateur local, le profils des utilisateurs n'est pas présent... je ne peux donc pas "modifier le type"..
bref, je tourne en rond.. si quelqu'un avait une idée...
merci.
[global]
workgroup = DOMAINE1
server string = Samba PDC Server
obey pam restrictions = Yes
passdb backend = tdbsam
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
name resolve order = lmhosts host wins bcast
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usermod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null -g machines %u
logon script = %U.cmd
domain logons = Yes
domain master = Yes
dns proxy = No
wins support = Yes
panic action = /usr/share/samba/panic-action %d
admin users = maintenance
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
guest ok = Yes
browseable = No
share modes = No
[partage1]
comment = Tous les repertoires Perso (J:) des etudiants
path = /home/comptes
valid users = @etudiant @enseignant
# hummm
Posté par arn100 . Évalué à 1.
# pdbedit -v -u utilisateur
Unix username: utilisateur
NT username:
Account Flags: [U ]
User SID: S-1-5-21-2026905325-341997211-2826466348-3020
Primary Group SID: S-1-5-21-2026905325-341997211-2826466348-513
Full Name:
Home Directory: \\serv1\utilisateur
HomeDir Drive:
Logon Script: utilisateur.cmd
Profile Path: \\serv1\utilisateur\profile
Domain: DOMAINE1
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: mar, 19 jan 2038 04:14:07 CET
Kickoff time: mar, 19 jan 2038 04:14:07 CET
Password last set: mar, 28 aoû 2007 10:23:24 CEST
Password can change: mar, 28 aoû 2007 10:23:24 CEST
Password must change: mar, 19 jan 2038 04:14:07 CET
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
il faudrait que je change le profil path (comment?) sur tous mes users?
merci de l'info
bonne soirée
[^] # Re: hummm
Posté par arn100 . Évalué à 1.
je crois qu'il suffisait tout simplement de faire ceci :
# pdbedit -r utilisateur --profile=
Unix username: utilisateur
NT username:
Account Flags: [U ]
User SID: S-1-5-21-2026905325-341997211-2826466348-3020
Primary Group SID: S-1-5-21-2026905325-341997211-2826466348-513
Full Name:
Home Directory: \\serv1\utilisateur
HomeDir Drive:
Logon Script: utilisateur.cmd
Profile Path:
Domain: DOMAINE1
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: mar, 19 jan 2038 04:14:07 CET
Kickoff time: mar, 19 jan 2038 04:14:07 CET
Password last set: mar, 28 aoû 2007 10:23:24 CEST
Password can change: mar, 28 aoû 2007 10:23:24 CEST
Password must change: mar, 19 jan 2038 04:14:07 CET
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
pourtant ce que je ne comprends pas c'est lorsque je créé un nouvel utilisateur :
userad toto
smbpasswd -a toto
lorsque, après, je fais un pdbedit -vL toto
j'ai tout de même :
...
Profile Path: \\serv1\toto\profile
....
c'est à dire que par défaut, le profil "devrait" être stocké sur le serveur...
merci
bonne journée
[^] # Re: hummm
Posté par Gyro Gearllose . Évalué à 3.
D'abord, vu comment tu procèdes, (i.e. créer les comptes des utilisateurs uniquement sur le serveur), c'est normal que les profiles soient sur sur le serveur. En effet, tu as configuré ton serveur samba en contrôleur de domaine, il est donc normal que les profiles soient stockés sur le serveur. C'est d'ailleurs ce que j'ai fait à mon travail (en plus d'avoir couplé le serveur samba à un annuaire ldap).
Je n'ai pas le lien sous la main, mais j'ai lu quelque part qu'il fallait séparer à tout prix l'endroit où est stocké le profile sur le serveur des données utilisateur, à cause d'un bug windows qui peut permettre une escalade de droits sur le contrôleur de domaine. Là encore, je dis tout ça de mémoire. En clair, voici ce que j'ai fait moi :
sur le serveur : les profiles sont dans /smbhome/profiles/toto
Les données utilisateur dans /smbhome/users/toto/samba
Enfin, il faut noter que par défaut, windows stocke beaucoup de choses dans le répertoire enfermant le profile de l'utilisateur (données de session, mais aussi données de l'utilisateur, fichiers temporaires, configuration des applications, etc). Par conséquent, plus l'utilisateur a d'informations dans ce profile, plus l'ouverture et la fermeture de session sont longues.
Pour pallier à ce problème, voici les astuces que nous avons mis en place :
Le partage samba nommé Personnel pointe vers /smbhome/users/toto/samba. Il est mappé automatiquement vers P: à l'ouverture de session. On configure systématiquement tous les postes pour que le dossier "Mes Documents" pointe vers ce P:, ce qui le sort du profile.
Ensuite, pour les applications firefox et thunderbird, on a un autre partage (/smbhome/users/toto/mail) qui est mappé sur M:\ et dans le profile de l'utilisateur, on a placé les fichiers c:\Documents And Settings/toto/Application Data/Mozilla/firefox/profiles.ini et C:\Documents and settings/toto/Application Data/thunderbird/profiles.ini Avec un contenu ressemblant à : (extrait du profiles.ini de firefox)
[Profile0]
Name=default
IsRelative=0
Path=M:\firefox
Il suffit de créer sur le serveur le répertoire idoine M:\firefox et M:\thunderbird pour que les profiles soient automatiquement créés sur le serveur à cet emplacement, et hop, c'est sorti du profile. Et quand les utilisateurs ont une boîte mail de 2Go, ça allège d'autant l'ouverture de session.
Il doit y avoir d'autres choses à modifier, mais pour l'instant mes investigations ne sont pas allées plus loin, et ceci nous suffit.
Voilà pour la partie serveur. A noter que dans cette configuration, les utilisateurs sont des utilisateurs du DOMAINE, et non des utilisateurs de WINDOWS et/ou du PC qu'ils utilisent lorsqu'ils sont connectés.
Il existe une possibilité cependant pour changer ce comportement. Il "suffit" de se connecter en tant qu'administrateur sur la machine concernée, et d'ajouter un utilisateur, en allant le chercher sur le contrôleur de domaine. En procédant ainsi, tu peux définir des droits "spéciaux" et différents selon le point de vue que tu utilises.
Exemple : toto est utilisateur du domaine (on ne change rien sur le serveur quoi). Et sur le PC de toto, tu ajoutes l'utilisateur DOMAINE\toto en tant que PowerUser. Dans ce cas, l'utilisateur toto pourra faire tout ce qu'un PowerUser à le droit de faire sur un windows, sans pour autant perturber le contrôleur de domaine. Et à ce moment là, tu pourras changer le type du profile de l'utilisateur.
Voilà, j'espère que ces quelques explications te seront utiles, et qu' éventuellement elle donneront lieu à corrections si jamais j'ai écrit des boulettes (car je le rappelle, j'ai rédigé tout ça de mémoire).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.