SAMBA 4 como AD [RESOLVIDO]

servidorlinux
(usa Debian)

Enviado em 07/05/2019 - 15:40h

Olá a todos tudo bem?

Precisamos implantar um AD com o SAMBA 4 no Debian 9 e estamos tendo algumas dificuldades. Num primeiro momento, serão cadastrados em torno de 80 professores e na segunda etapa de implantação serão cadastrados em torno de 1200 alunos. Fizemos a instalação do SAMBA 4 seguindo este link:

https://www.vivaolinux.com.br/dica/Samba-4-Debian-9-64Bits-Netinst-Instalacao-Seca

Nesta instalação tivemos problemas quando a gente adicionou um servidor BDP. O BDP não estava assumindo o domínio quando o PDC estava fora do ar. A solução foi desinstalar o bind no servidor PDC apt-get remove --purge Bind. Isto porque na instalação foi configurado para usar o SAMBA_INTERNAL como dns e estava tendo conflito com o Bind.

Ingressamos um computador com o Windows 10 neste domínio e instalamos o RSAT seguinte este link:

https://support.microsoft.com/pt-br/help/2693643/remote-server-administration-tools-rsat-for-windows...


Tive problema depois na instalação do RSAT porque o Gerenciador de Servidores não apareceu. Consegui resolver seguindo este link:

https://www.mysysadmintips.com/windows/clients/637-rsat-for-windows-10-kb2693643-doesn-t-install


Criamos uma OUProfessores pelo RSAT.

Vou dividir em partes as dificuldades para facilitar:

Parte 1:
Precisamos executar um arquivo .bat que fará um mapeamento na rede fora do domínio para todos os professores. Neste .bat tem este script:

NET USE N: \\192.168.2.14\sistemaescolar senha /USER:nome_do_usuario /PERSISTENT:YES

Criamos a GPO no RSAT, mas não está executando o .bat.

A saída do comando gpresult /scope user /v mostra que a GPO foi aplicada, mas não executa o arquivo .bat:

Conjunto de políticas resultante para o usuário
------------------------------------------------

Instalações de software
-----------------------
N/A

Scripts de logon
----------------
GPO: GPO Mapeamento NSA
Nome: \\192.168.2.48\netlogon\mapeamentonsa.bat
Parâmetros:
ExecutadoEm: Este script ainda não foi executado.

Colocamos o arquivo mapeamentonsa.bat na pasta netlogon em /var/lib/samba/sysvol/etec.teste/scripts

No nosso smb.conf está assim:

[netlogon]
path = /var/lib/samba/sysvol/etec.teste/scripts
read only = No
browseable = No
logon script = mapeamentonsa.bat

Executamos o comando dando permissão na pasta:

#chmod -R 775 /var/lib/samba/sysvol

Então nesta primeira parte precisamos saber como executar este .bat no logon de cada professor?


Parte 2:

Criar um atalho na área de trabalho de cada professor para a instalação do sistema escolar. Este sistema é instalado em cada usuário que logar. Este atalho precisa executar o seguinte comando:

N:\publicacoes_secretaria\NSA - Professor PG.application

Parte 3:

Num primeiro momento cadastrar os professores que são em torno de 80 e num segundo momento serão em torno de 1200 alunos. Como cadastrar usuários em lote.

Desde já agradeço a todos.

danniel-lara
(usa Fedora)

Enviado em 07/05/2019 - 16:29h

Num primeiro momento cadastrar os professores que são em torno de 80 e num segundo momento serão em torno de 1200 alunos. Como cadastrar usuários em lote.

Script

https://www.vivaolinux.com.br/topico/Shell-Script/Scrip-criar-usuario-SAMBA4

http://blog.astreinamentos.com.br/2016/02/como-criar-varios-usuarios-em-massa-no-samba-4.html

servidorlinux
(usa Debian)

Enviado em 07/05/2019 - 22:55h

Olá danniel-lara tudo bem?

Meu script ficou assim:

#!/bin/bash
gawk -F ":" '{ print $2,$3 }' usuarios.txt | while read LISTA; do $(echo "/usr/bin/samba-tool user add $LISTA --must-change-at-next-login --use-username-as-cn"); done;


Meu arquivo usuarios.txt ficou assim (arquivo teste):

:Alexandre:Nova0166*
:Juarez:Nova0166*
:Roberta:Nova0166*

Executei o script e criou os usuários com sucesso.

Fui na minha maquina com Windows 10 que primeiro ingressei no dominio e depois instalei o RSAT e em Gerenciador do Servidor verifiquei que os usuários tinham sido criados na OU users. Selecionei eles e movi para a OUProfessores. Até aqui ok.

Mas preciso criar os usuarios com a seguinte UPN:

alexandresilva@etec.teste

Para isto, quando criar os usuarios com o comando gawk, preciso colocar no comando e no arquivo usuarios.txt o sobrenome de cada usuário para assim formar a UPN com o nome e sobrenome.

Como posso fazer isto?

servidorlinux
(usa Debian)

Enviado em 09/05/2019 - 15:19h

Ola danniel-lara tudo bem?

Veja o que consegui.

Primeiro eu precisava entender o awk. Estes artigos ajudaram muito:

http://cesarakg.freeshell.org/awk-1.html

http://www.dltec.com.br/blog/linux/uma-introducao-ao-uso-do-awk-no-linux/


Para formar o nome do usuário que precisamos, alexandresilva, no awk é preciso escrever o print da seguinte forma: print { $1$2 } porque $1 pega a primeira coluna nome e o $2 pega a segunda coluna sobrenome e concatena as duas formando alexandresilva, lembrando que o -F ":" vai indicar qual será o separador de colunas, neste caso estou informando que será os dois pontos e o arquivo usuarios.txt precisa estar formatado da seguinte forma:

alexandre:silva:Nova0166*
juares:silva:Nova0166*
roberta:silva:Nova0166*


Depois eu precisava entender o comando samba-tool user create, os artigos abaixo também ajudaram:

https://www.tecmint.com/manage-samba4-active-directory-linux-command-line/

https://www.vivaolinux.com.br/topico/Samba/Criar-OU-e-Usuario-no-Samba-4


Assim, o meu script ficou desta forma:

#!/bin/bash
gawk -F ":" '{ print $1$2 }' usuarios.txt | while read LISTA; do $(echo "/usr/bin/samba-tool user create $LISTA Nova0166* --userou=OU=OUProfessores --must-change-at-next-login"); done;

onde:
-F ":" ---> indica o separador de colunas
{ print $1$2 } ---> pega a primeira coluna e concatena com a segunda
$LISTA ---> contém os nomes concatenados que foram lidos a partir do arquivo usuarios.txt
samba-tool user create $LISTA Nova0166* ---> cria os usuários com a senha Nova0166* que será alterada no primeiro login do usuário devido o comando --must-change-at-next-login
--userou=OU=OUProfessores ---> cria os usuários diretamente na OUProfessores

Depois de executado este script, os usuários foram cadastrados corretamente na OUProfessores configurado para alterar a senha no primeiro logon, mas durante a criação de cada usuário foi emitido a seguinte mensagem, ou seja, foi emitido 3 vezes a mesma mensagem porque o arquivo teste tem 3 usuários:

Global parameter logon script found in service section!

Daquilo que li em alguns artigos e foruns esta mensagem é sobre alguma configuração no arquivo smb.conf mas não sei o que pode estar errado. Segue o meu smb.conf:

# Global parameters
[global]
netbios name = PDC-TESTE
realm = ETEC.TESTE
workgroup = ETEC
dns forwarder = 192.168.2.1
server role = active directory domain controller

[netlogon]
path = /var/lib/samba/sysvol/etec.teste/scripts
read only = No
browseable = No
logon script = mapeamentonsa.bat

[sysvol]
path = /var/lib/samba/sysvol
read only = No
browseable = No

Por favor, o que pode estar errado para estar emitindo estas mensagens?

E também com relação a parte 1 e 2 que precisamos executar um arquivo .bat e criar um atalho na área de trabalho de cada usuário para a instalação do sistema da escola?

Desde já agradeço toda ajuda.

servidorlinux
(usa Debian)

Enviado em 10/05/2019 - 01:45h

Ola danniel-lara tudo bem?

Consegui mais um progresso.

Para resolver a parte 1 fiz o seguinte:

Criei uma pasta chamada compartilhada em /var/lib/samba/sysvol/compartilhada

#mkdir /var/lib/samba/sysvol/compartilhada

Criei esta pasta neste path porque ela ja receberia as permissoes do samba. Observei que a pasta netlogon tambem e uma subpasta de sysvol.
Copiei para a pasta compartilhada os meus arquivos mapeamentonsa.bat para gerar o mapeamento na rede e wallpaper.png que usei como papel de parede.
No smb.conf criei o compartilhamento:

[compartilhada]
path = /var/lib/samba/sysvol/compartilhada
read only = No
# para os usuarios nao verem a pasta
browseable = yes

Reiniciei o samba:
#/etc/init.d/samba restart
#/etc/init.d/samba-ad-dc restart

Pronto, os usuarios ja conseguem ter acesso ao compartilhamento com os arquivos .bat e .png mas nao conseguem apagar ou alterar os arquivos devido as permissoes da pasta sysvol.

Ai fui para o Windows 10 com o RSAT (lembrando que este computador ja deve estar no dominio antes de instalar o RSAT) e em Gerenciador de Servidor fui em Gerenciamento de Politica de Grupo. Com o botao direito em Objetos de Politica de Grupo criei as minhas GPO's:

GPO Mapeamento NSA
Com o botao direito nesta GPO, fui em editar e ele abre o Editor de Gerenciamento de Politica de Grupo. Depois fui em Configuracao do Usuario/Politicas/Configuraçoes do Windows/Scripts (Logon/Logoff) e duplo clique em Logon. Abrindo a janela Propriedades de Logon cliquei em Adicionar e no campo Nome do Script coloquei:

\\192.168.2.48\compartilhada\mapeamentonsa.bat e cliquei em ok.

Assim foi inserido o caminho para executar o .bat no logon. Ok de novo para fechar a janela. E pronto GPO criada. Vinculei ela na OUProfessores e no cliente executei o comando gpupdate /force, funcionou perfeitamente.

Parte 2 criar o atalho na area de trabalho.

Criei a GPO Atalho area de trabalho NSA, fui no editor da GPO e depois em Configuracao do Usuario/Preferencias/Configuraçoes do Windows/Atalhos com o botao direito cliquei em Novo -> Atalho abre-se a janela Novas Propriedades de Atalho. Preenchi os campos da seguinte forma:

Nome: INSTALADOR DO NSA
Tipo de destino: URL
Local: Area de Trabalho
URL de destino: N:\publicacoes_coor\NSA.application

Cliquei e OK e pronto, atalho criado. Vinculei a GPO na OUProfessores e no cliente fiz gpupdate /force e o atalho apareceu na area de trabalho e instalou o sistema da escola.

Os links abaixo ajudaram nesta tarefa:

https://social.technet.microsoft.com/wiki/contents/articles/4329.criacao-de-gpo-para-mapeamento-e-at...

https://social.technet.microsoft.com/Forums/pt-BR/3cc4eff1-770a-49e5-a7d2-d29aa23c2aa4/script-de-log...


Eu preciva colocar o logo da escola como papel de parede na area de trabalho. Fiz o seguinte:

Criei a GPO papel de parede area de trabalho, fui no editor da GPO e depois em Configuraçoes do Usuario/Politicas/Modelos Administrativos/Area de Trabalho/Active Desktop e depois em Papel de parede da Area de Trabalho. Configurei da seguinte forma:

Habilitado
Nome do papel de parede: \\192.168.2.48\compartilhada\wallpaper.png
Estilo do papel de parede: Preencher, fui em Ok

Depois configurei para o usuario nao alterar o papel de parede. Fui em Proibir alteraçoes logo acima e habilitei esta politica. Vinculei a GPO na OUProfessores.

No cliente apliquei o comando gpupdate /force e o papel de parede foi aplicado. Caso alguma GPO nao seja aplicada com o comando gpupdate /force, reinicie o computador.

Os links abaixo ajudaram nesta tarefa:

https://www.profissionaisti.com.br/2016/08/ad-inserir-um-papel-de-parede-via-gpo/

http://cooperati.com.br/2018/10/05/gpo-altere-o-papel-de-parede-e-tela-de-bloqueio/


Terei mais GPO's para aplicar, assim que conseguir, volto aqui e compartilho com todos.

Quem tiver mais GPO's pode compartilhar aqui.

Obrigado danniel-lara e obrigado a todos.

servidorlinux
(usa Debian)

Enviado em 10/05/2019 - 17:51h

Olá a todos tudo bem?

Alguns sites sobre o assunto:

https://www.samba.org/samba/docs/current/man-html/samba-tool.8.html

http://tecnoti.info/wp-content/uploads/2014/05/samba4.pdf

http://www.bosontreinamentos.com.br/linux/samba-4-instalacao-e-provisionamento/

http://sombrio.ifc.edu.br/download/redes/TCC_2013/ARTIGO_Joelson.pdf

http://cetirp.sti.usp.br/wp-content/uploads/sites/47/2016/09/samba.pdf

http://cooperati.com.br/2015/03/16/samba-4-com-gpo-e-cliente-windows-8/

https://www.mundotibrasil.com.br/gerenciando-usuarios-e-grupos-pelo-shell-no-samba4/

https://netmixx.webnode.com.br/news/samba-dicas-e-comandos-mais-usados-/

https://cti.sertao.ifrs.edu.br/samba-4-comandos-uteis/

https://cti.sertao.ifrs.edu.br/samba-4-ingressando-dc-samba-como-site-de-active-directory/

https://cti.sertao.ifrs.edu.br/samba-4-ingressando-clientes-linux-no-ad-usando-a-ferramenta-cid/

https://cti.sertao.ifrs.edu.br/script-de-atualizacao-de-gpos/

https://cti.sertao.ifrs.edu.br/samba-4-configurando-o-samba-como-controlador-de-dominio-do-active-di...

https://wiki.projetoroot.com.br/index.php?title=Samba_4

http://fhs.pro.br/?page_id=1168

http://www.uniedu.sed.sc.gov.br/wp-content/uploads/2015/02/Artigo-Leandro-Barbieri.pdf

https://intranet.ifs.ifsuldeminas.edu.br/vinicius.souza/Minicurso%20-%20Samba%204/MINICURSO%20-%20Sa...

https://lobocode.me/2015/07/22/samba4.html

http://fhs.pro.br/flisol-2017/samba4.pdf

https://stato.blog.br/wordpress/samba-4-como-membro-ad-rodc-e-membro-samba-ad/

servidorlinux
(usa Debian)

Enviado em 16/05/2019 - 21:03h

GPO para bloquear o painel de controle:

http://identidademcp.blogspot.com/2014/10/configurar-bloqueio-de-acesso-ao-painel.html




GPO - Não Aplicar GPO a um Grupo Específico ou usuario(s) (pt-BR):

https://social.technet.microsoft.com/wiki/contents/articles/6207.gpo-nao-aplicar-gpo-a-um-grupo-espe...

jonasestevam123
(usa Debian)

Enviado em 24/05/2019 - 10:33h

Em Configurações do Computador, expanda: Configurações do Windows > Configurações de segurança > Políticas locais. Procure por "Logon interativo: limite de inatividade do computador".

Segue imagem com a configuração:
https://imgur.com/HDMXEpF

Esta GPO só funciona em clientes com Windows 8.1 ou Windows 10.