Serviço alternativo de baixo custo: Samba + Windows XP + registros de bloqueio

Esse artigo tem a função de mostrar como trabalho na questão da criação e edição dos registros de um terminal Windows que acessa um servidor PDC Linux openSUSE 11.3 + Samba 3. Uma das maiores esperanças com o Samba 4 é o vínculo com as famosas GPOs, porém enquanto isso não for possível vamos trabalhar com registros.

[ Hits: 20.082 ]

Por: Leandro Gregory em 10/08/2010


Configuração



Partindo do intuito que a máquina terminal já esteja cadastrada no servidor (terminalwin$), deve-se logar no terminal novamente, agora usando o adminwin local.

Vamos criar uma conta para o usuário suse (Painel de Controle >> Conta de Usuários) a qual deva fazer referência ao domínio controlado pelo PDC e nesse primeiro momento deva fazer parte do grupo de administradores da máquina terminal. Veja a figura:
* Note que o domínio que o usuário suse faz parte é o DOMINIOLINUX e não NOTECPDVIRT32, que é o nome da máquina local.

Feito isso devemos fazer logoff da conta adminwin e logar novamente na máquina terminal com o usuário suse para que as configurações do suse.bat tenham efeito. Ao logar pela primeira vez, é possível notar que mesmo carregando o script de logon, não temos o efeito desejado, pois os registros dessa forma foram alterados, mas ainda não foram carregados no sistema.

Portanto devemos fazer o logoff do usuário suse, mas antes de entrar com este usuário novamente devemos entrar na conta adminwin do terminal local e mudar o grupo do usuário suse (Painel de Controle >> Conta de Usuário) para usuário restrito conforme a figura abaixo:
Eu coloco meus usuários em restrito devido a festa que viraria os terminais se eles tiverem poderes de administrador da máquina local.

Mas você deve estar se perguntando, pra que esse rodeio todo, se podemos criar direto a conta em nível de usuário restrito? Faço isso pois algumas alterações de registro não podem ser feitas por usuários restritos do sistema. No suse.bat que criei creio que não deva ter nenhum desses registros, porém a gama de registro que pode ser alterados é enorme (VEJA O ARTIGO ANTERIOR) e já que estamos restringindo o usuário suse, podemos aproveitar o momento para restringir que usuários mais informados alterem futuramente os registros, mandando por água abaixo a configuração que criamos.

Vá até o regedit que se encontra na pasta c:\WINDOWS\ e remova o grupo usuários do mesmo como na figura:
As alterações de registro já foram feitas quando logou a primeira vez com o usuário suse e não terá mais necessidade de permitir qualquer acesso ao registro após isso.

Finalizando faça o logon novamente com o usuário suse no terminal e teste os bloqueios de permissão.
Considerações finais:
  • Tudo bem que talvez esteja matando uma barata com um lança míssil, porém aqui essas alterações deram resultado.
  • Lembre-se dos importunos: usuário restrito só é legal para quem NÃO É UM, ou seja, tudo nele é bloqueado. Portanto qualquer alteração que for feita no sistema deve passar pelo crivo do administrador e essas alterações (como uma instalação) no terminal deva levar em consideração que o grupo usuários já não faz mais parte do regedit, portanto devendo adicioná-los novamente para que os *.reg da vida possam surtir efeito.
  • Faça o bloqueio do que realmente ache necessário e não vá esperando milagres, porque as pessoas nos surpreendem (quem faz bloqueio por proxy sabe do que estou falando). Espero que funcione como funciona aqui e por fim VIVA O LINUX openSUSE!

Página anterior    

Páginas do artigo
   1. Introdução
   2. Configuração
Outros artigos deste autor

JOOMLA no openSUSE em 10 passos

Leitura recomendada

Instalando o Samba + LDAP no Debian

Linux autenticando no AD e rodando LTSP com DHCP (Windows 2003)

Linux e Active Directory (Integrando COMPLETAMENTE sua estação Linux a um domínio MS Windows 2000/2003 Server)

Servidor Samba com autenticação no Windows XP e troca de senha automática

Samba 4 como controlador de domínio com Active Directory da MS

  
Comentários
[1] Comentário enviado por rauhmaru em 10/08/2010 - 08:58h

Ótima solução amigo. Parabéns!

[2] Comentário enviado por pingodua em 10/08/2010 - 10:07h

Muito bom hein, boa alternativa!
Vou testar aqui!

[3] Comentário enviado por [gregory] em 13/08/2010 - 16:48h

galera viva do Viva. vlw pelos comentarios... Pessoal estou enviando esse post pois notei algo relendo o artigo: Tendo em vista que o meu usuario do linux chama-se suse, e o [global] do meu smb esta em %U.bat; logo meu bat tem que chamar suse.bat, pois %U tras o nome do usuario que loga no server.
Desculpe qualquer coisa e estamos ae.
Viva o Linux OpenSuse.
:D
abraços

[4] Comentário enviado por hideoux em 14/08/2010 - 06:58h

é muito importante ler estudos de caso como o seu...
muito obrigado!

[5] Comentário enviado por perera10 em 05/09/2010 - 14:48h

OBRIGADO PELA DICA


Contribuir com comentário