SAMBA 4 como AD [RESOLVIDO]

1. SAMBA 4 como AD [RESOLVIDO]

Jose Carlos Anicesa Silva
servidorlinux

(usa Debian)

Enviado em 07/05/2019 - 15:40h

Olá a todos tudo bem?

Precisamos implantar um AD com o SAMBA 4 no Debian 9 e estamos tendo algumas dificuldades. Num primeiro momento, serão cadastrados em torno de 80 professores e na segunda etapa de implantação serão cadastrados em torno de 1200 alunos. Fizemos a instalação do SAMBA 4 seguindo este link:

https://www.vivaolinux.com.br/dica/Samba-4-Debian-9-64Bits-Netinst-Instalacao-Seca

Nesta instalação tivemos problemas quando a gente adicionou um servidor BDP. O BDP não estava assumindo o domínio quando o PDC estava fora do ar. A solução foi desinstalar o bind no servidor PDC apt-get remove --purge Bind. Isto porque na instalação foi configurado para usar o SAMBA_INTERNAL como dns e estava tendo conflito com o Bind.

Ingressamos um computador com o Windows 10 neste domínio e instalamos o RSAT seguinte este link:

https://support.microsoft.com/pt-br/help/2693643/remote-server-administration-tools-rsat-for-windows...


Tive problema depois na instalação do RSAT porque o Gerenciador de Servidores não apareceu. Consegui resolver seguindo este link:

https://www.mysysadmintips.com/windows/clients/637-rsat-for-windows-10-kb2693643-doesn-t-install


Criamos uma OUProfessores pelo RSAT.

Vou dividir em partes as dificuldades para facilitar:

Parte 1:
Precisamos executar um arquivo .bat que fará um mapeamento na rede fora do domínio para todos os professores. Neste .bat tem este script:

NET USE N: \\192.168.2.14\sistemaescolar senha /USER:nome_do_usuario /PERSISTENT:YES

Criamos a GPO no RSAT, mas não está executando o .bat.

A saída do comando gpresult /scope user /v mostra que a GPO foi aplicada, mas não executa o arquivo .bat:

Conjunto de políticas resultante para o usuário
------------------------------------------------

Instalações de software
-----------------------
N/A

Scripts de logon
----------------
GPO: GPO Mapeamento NSA
Nome: \\192.168.2.48\netlogon\mapeamentonsa.bat
Parâmetros:
ExecutadoEm: Este script ainda não foi executado.

Colocamos o arquivo mapeamentonsa.bat na pasta netlogon em /var/lib/samba/sysvol/etec.teste/scripts

No nosso smb.conf está assim:

[netlogon]
path = /var/lib/samba/sysvol/etec.teste/scripts
read only = No
browseable = No
logon script = mapeamentonsa.bat

Executamos o comando dando permissão na pasta:

#chmod -R 775 /var/lib/samba/sysvol

Então nesta primeira parte precisamos saber como executar este .bat no logon de cada professor?


Parte 2:

Criar um atalho na área de trabalho de cada professor para a instalação do sistema escolar. Este sistema é instalado em cada usuário que logar. Este atalho precisa executar o seguinte comando:

N:\publicacoes_secretaria\NSA - Professor PG.application

Parte 3:

Num primeiro momento cadastrar os professores que são em torno de 80 e num segundo momento serão em torno de 1200 alunos. Como cadastrar usuários em lote.

Desde já agradeço a todos.


  


2. Re: SAMBA 4 como AD [RESOLVIDO]

Daniel Lara Souza
danniel-lara

(usa Fedora)

Enviado em 07/05/2019 - 16:29h


Num primeiro momento cadastrar os professores que são em torno de 80 e num segundo momento serão em torno de 1200 alunos. Como cadastrar usuários em lote.

Script

https://www.vivaolinux.com.br/topico/Shell-Script/Scrip-criar-usuario-SAMBA4

http://blog.astreinamentos.com.br/2016/02/como-criar-varios-usuarios-em-massa-no-samba-4.html


3. SAMBA 4 como AD

Jose Carlos Anicesa Silva
servidorlinux

(usa Debian)

Enviado em 07/05/2019 - 22:55h

danniel-lara escreveu:


Num primeiro momento cadastrar os professores que são em torno de 80 e num segundo momento serão em torno de 1200 alunos. Como cadastrar usuários em lote.

Script

https://www.vivaolinux.com.br/topico/Shell-Script/Scrip-criar-usuario-SAMBA4

http://blog.astreinamentos.com.br/2016/02/como-criar-varios-usuarios-em-massa-no-samba-4.html


Olá danniel-lara tudo bem?

Meu script ficou assim:

#!/bin/bash
gawk -F ":" '{ print $2,$3 }' usuarios.txt | while read LISTA; do $(echo "/usr/bin/samba-tool user add $LISTA --must-change-at-next-login --use-username-as-cn"); done;


Meu arquivo usuarios.txt ficou assim (arquivo teste):

:Alexandre:Nova0166*
:Juarez:Nova0166*
:Roberta:Nova0166*

Executei o script e criou os usuários com sucesso.

Fui na minha maquina com Windows 10 que primeiro ingressei no dominio e depois instalei o RSAT e em Gerenciador do Servidor verifiquei que os usuários tinham sido criados na OU users. Selecionei eles e movi para a OUProfessores. Até aqui ok.

Mas preciso criar os usuarios com a seguinte UPN:

alexandresilva@etec.teste

Para isto, quando criar os usuarios com o comando gawk, preciso colocar no comando e no arquivo usuarios.txt o sobrenome de cada usuário para assim formar a UPN com o nome e sobrenome.

Como posso fazer isto?


4. SAMBA 4 como AD

Jose Carlos Anicesa Silva
servidorlinux

(usa Debian)

Enviado em 09/05/2019 - 15:19h

Ola danniel-lara tudo bem?

Veja o que consegui.

Primeiro eu precisava entender o awk. Estes artigos ajudaram muito:

http://cesarakg.freeshell.org/awk-1.html

http://www.dltec.com.br/blog/linux/uma-introducao-ao-uso-do-awk-no-linux/


Para formar o nome do usuário que precisamos, alexandresilva, no awk é preciso escrever o print da seguinte forma: print { $1$2 } porque $1 pega a primeira coluna nome e o $2 pega a segunda coluna sobrenome e concatena as duas formando alexandresilva, lembrando que o -F ":" vai indicar qual será o separador de colunas, neste caso estou informando que será os dois pontos e o arquivo usuarios.txt precisa estar formatado da seguinte forma:

alexandre:silva:Nova0166*
juares:silva:Nova0166*
roberta:silva:Nova0166*


Depois eu precisava entender o comando samba-tool user create, os artigos abaixo também ajudaram:

https://www.tecmint.com/manage-samba4-active-directory-linux-command-line/

https://www.vivaolinux.com.br/topico/Samba/Criar-OU-e-Usuario-no-Samba-4


Assim, o meu script ficou desta forma:

#!/bin/bash
gawk -F ":" '{ print $1$2 }' usuarios.txt | while read LISTA; do $(echo "/usr/bin/samba-tool user create $LISTA Nova0166* --userou=OU=OUProfessores --must-change-at-next-login"); done;

onde:
-F ":" ---> indica o separador de colunas
{ print $1$2 } ---> pega a primeira coluna e concatena com a segunda
$LISTA ---> contém os nomes concatenados que foram lidos a partir do arquivo usuarios.txt
samba-tool user create $LISTA Nova0166* ---> cria os usuários com a senha Nova0166* que será alterada no primeiro login do usuário devido o comando --must-change-at-next-login
--userou=OU=OUProfessores ---> cria os usuários diretamente na OUProfessores

Depois de executado este script, os usuários foram cadastrados corretamente na OUProfessores configurado para alterar a senha no primeiro logon, mas durante a criação de cada usuário foi emitido a seguinte mensagem, ou seja, foi emitido 3 vezes a mesma mensagem porque o arquivo teste tem 3 usuários:

Global parameter logon script found in service section!

Daquilo que li em alguns artigos e foruns esta mensagem é sobre alguma configuração no arquivo smb.conf mas não sei o que pode estar errado. Segue o meu smb.conf:

# Global parameters
[global]
netbios name = PDC-TESTE
realm = ETEC.TESTE
workgroup = ETEC
dns forwarder = 192.168.2.1
server role = active directory domain controller

[netlogon]
path = /var/lib/samba/sysvol/etec.teste/scripts
read only = No
browseable = No
logon script = mapeamentonsa.bat

[sysvol]
path = /var/lib/samba/sysvol
read only = No
browseable = No

Por favor, o que pode estar errado para estar emitindo estas mensagens?

E também com relação a parte 1 e 2 que precisamos executar um arquivo .bat e criar um atalho na área de trabalho de cada usuário para a instalação do sistema da escola?

Desde já agradeço toda ajuda.


5. SAMBA 4 como AD

Jose Carlos Anicesa Silva
servidorlinux

(usa Debian)

Enviado em 10/05/2019 - 01:45h

Ola danniel-lara tudo bem?

Consegui mais um progresso.

Para resolver a parte 1 fiz o seguinte:

Criei uma pasta chamada compartilhada em /var/lib/samba/sysvol/compartilhada

#mkdir /var/lib/samba/sysvol/compartilhada

Criei esta pasta neste path porque ela ja receberia as permissoes do samba. Observei que a pasta netlogon tambem e uma subpasta de sysvol.
Copiei para a pasta compartilhada os meus arquivos mapeamentonsa.bat para gerar o mapeamento na rede e wallpaper.png que usei como papel de parede.
No smb.conf criei o compartilhamento:

[compartilhada]
path = /var/lib/samba/sysvol/compartilhada
read only = No
# para os usuarios nao verem a pasta
browseable = yes

Reiniciei o samba:
#/etc/init.d/samba restart
#/etc/init.d/samba-ad-dc restart

Pronto, os usuarios ja conseguem ter acesso ao compartilhamento com os arquivos .bat e .png mas nao conseguem apagar ou alterar os arquivos devido as permissoes da pasta sysvol.

Ai fui para o Windows 10 com o RSAT (lembrando que este computador ja deve estar no dominio antes de instalar o RSAT) e em Gerenciador de Servidor fui em Gerenciamento de Politica de Grupo. Com o botao direito em Objetos de Politica de Grupo criei as minhas GPO's:

GPO Mapeamento NSA
Com o botao direito nesta GPO, fui em editar e ele abre o Editor de Gerenciamento de Politica de Grupo. Depois fui em Configuracao do Usuario/Politicas/Configuraçoes do Windows/Scripts (Logon/Logoff) e duplo clique em Logon. Abrindo a janela Propriedades de Logon cliquei em Adicionar e no campo Nome do Script coloquei:

\\192.168.2.48\compartilhada\mapeamentonsa.bat e cliquei em ok.

Assim foi inserido o caminho para executar o .bat no logon. Ok de novo para fechar a janela. E pronto GPO criada. Vinculei ela na OUProfessores e no cliente executei o comando gpupdate /force, funcionou perfeitamente.

Parte 2 criar o atalho na area de trabalho.

Criei a GPO Atalho area de trabalho NSA, fui no editor da GPO e depois em Configuracao do Usuario/Preferencias/Configuraçoes do Windows/Atalhos com o botao direito cliquei em Novo -> Atalho abre-se a janela Novas Propriedades de Atalho. Preenchi os campos da seguinte forma:

Nome: INSTALADOR DO NSA
Tipo de destino: URL
Local: Area de Trabalho
URL de destino: N:\publicacoes_coor\NSA.application

Cliquei e OK e pronto, atalho criado. Vinculei a GPO na OUProfessores e no cliente fiz gpupdate /force e o atalho apareceu na area de trabalho e instalou o sistema da escola.

Os links abaixo ajudaram nesta tarefa:

https://social.technet.microsoft.com/wiki/contents/articles/4329.criacao-de-gpo-para-mapeamento-e-at...

https://social.technet.microsoft.com/Forums/pt-BR/3cc4eff1-770a-49e5-a7d2-d29aa23c2aa4/script-de-log...


Eu preciva colocar o logo da escola como papel de parede na area de trabalho. Fiz o seguinte:

Criei a GPO papel de parede area de trabalho, fui no editor da GPO e depois em Configuraçoes do Usuario/Politicas/Modelos Administrativos/Area de Trabalho/Active Desktop e depois em Papel de parede da Area de Trabalho. Configurei da seguinte forma:

Habilitado
Nome do papel de parede: \\192.168.2.48\compartilhada\wallpaper.png
Estilo do papel de parede: Preencher, fui em Ok

Depois configurei para o usuario nao alterar o papel de parede. Fui em Proibir alteraçoes logo acima e habilitei esta politica. Vinculei a GPO na OUProfessores.

No cliente apliquei o comando gpupdate /force e o papel de parede foi aplicado. Caso alguma GPO nao seja aplicada com o comando gpupdate /force, reinicie o computador.

Os links abaixo ajudaram nesta tarefa:

https://www.profissionaisti.com.br/2016/08/ad-inserir-um-papel-de-parede-via-gpo/

http://cooperati.com.br/2018/10/05/gpo-altere-o-papel-de-parede-e-tela-de-bloqueio/


Terei mais GPO's para aplicar, assim que conseguir, volto aqui e compartilho com todos.

Quem tiver mais GPO's pode compartilhar aqui.

Obrigado danniel-lara e obrigado a todos.



6. SAMBA 4 como AD

Jose Carlos Anicesa Silva
servidorlinux

(usa Debian)

Enviado em 10/05/2019 - 17:51h

Olá a todos tudo bem?

Alguns sites sobre o assunto:

https://www.samba.org/samba/docs/current/man-html/samba-tool.8.html

http://tecnoti.info/wp-content/uploads/2014/05/samba4.pdf

http://www.bosontreinamentos.com.br/linux/samba-4-instalacao-e-provisionamento/

http://sombrio.ifc.edu.br/download/redes/TCC_2013/ARTIGO_Joelson.pdf

http://cetirp.sti.usp.br/wp-content/uploads/sites/47/2016/09/samba.pdf

http://cooperati.com.br/2015/03/16/samba-4-com-gpo-e-cliente-windows-8/

https://www.mundotibrasil.com.br/gerenciando-usuarios-e-grupos-pelo-shell-no-samba4/

https://netmixx.webnode.com.br/news/samba-dicas-e-comandos-mais-usados-/

https://cti.sertao.ifrs.edu.br/samba-4-comandos-uteis/

https://cti.sertao.ifrs.edu.br/samba-4-ingressando-dc-samba-como-site-de-active-directory/

https://cti.sertao.ifrs.edu.br/samba-4-ingressando-clientes-linux-no-ad-usando-a-ferramenta-cid/

https://cti.sertao.ifrs.edu.br/script-de-atualizacao-de-gpos/

https://cti.sertao.ifrs.edu.br/samba-4-configurando-o-samba-como-controlador-de-dominio-do-active-di...

https://wiki.projetoroot.com.br/index.php?title=Samba_4

http://fhs.pro.br/?page_id=1168

http://www.uniedu.sed.sc.gov.br/wp-content/uploads/2015/02/Artigo-Leandro-Barbieri.pdf

https://intranet.ifs.ifsuldeminas.edu.br/vinicius.souza/Minicurso%20-%20Samba%204/MINICURSO%20-%20Sa...

https://lobocode.me/2015/07/22/samba4.html

http://fhs.pro.br/flisol-2017/samba4.pdf

https://stato.blog.br/wordpress/samba-4-como-membro-ad-rodc-e-membro-samba-ad/




7. SAMBA 4 como AD

Jose Carlos Anicesa Silva
servidorlinux

(usa Debian)

Enviado em 16/05/2019 - 21:03h


GPO para bloquear o painel de controle:

http://identidademcp.blogspot.com/2014/10/configurar-bloqueio-de-acesso-ao-painel.html




GPO - Não Aplicar GPO a um Grupo Específico ou usuario(s) (pt-BR):

https://social.technet.microsoft.com/wiki/contents/articles/6207.gpo-nao-aplicar-gpo-a-um-grupo-espe...


8. GPO para bloquear o computador depois de um determinado tempo de inatividade.

Jonas de Souza Estevam
jonasestevam123

(usa Debian)

Enviado em 24/05/2019 - 10:33h

Em Configurações do Computador, expanda: Configurações do Windows > Configurações de segurança > Políticas locais. Procure por "Logon interativo: limite de inatividade do computador".

Segue imagem com a configuração:
https://imgur.com/HDMXEpF

Esta GPO só funciona em clientes com Windows 8.1 ou Windows 10.









Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts