Bjoern Schmidt <[EMAIL PROTECTED]> wrote:
Automatische �bername von Gruppen in die lokalen Gruppen ist unter Windows _nicht_ vorgesehen und man sollte auch um Gottes Willen keine Gruppen in der Dom�ne anlegen, die genauso heissen, wie lokale Gruppen unter Windows.
Wie kommst Du darauf? Das ist falsch.
1. gibt es eine definierte Anzahl von Gruppen in jeder Windows-D�m�ne mit jeweils vordefinierten Rechten. Wenn es diese Gruppen gibt, ist es _nicht_ notwendig, die auf jedem Windows-Client manuell zu �bernehmen. Mit Samba 3.x gibt es die M�glichkeit, diese Gruppen mit "net groupmap ..." anzulegen (sollte eigentlich automatisch passieren, bei Verwendung mit LDAP ist das aber nicht der Fall). Die Windows-Clients erkennen anhand der RID, ob es sich um eine dieser vordefinierten Gruppen handelt und setzt die Rechte entsprechend.
Beispiele:
Domain Admins (S-1-5-21-...-512) -> Domain Admins Domain Users (S-1-5-21-...-513) -> Domain Users Administrators (S-1-5-21-...-544) -> Administrators Users (S-1-5-21-...-545) -> Users Guests (S-1-5-21-...-546) -> Guests Power Users (S-1-5-21-...-547) -> Power Users
Die jeweils letzte Nummer in den Klammern (512 bei den Domain Admins) ist die RID.
2. Auch das Mischen von lokalen Gruppen und Dom�nengruppen mit gleichem Namen ist i.d.R. _kein_ Problem, da sich die SID der Dom�ne von der des lokalen Windows unterscheidet. Das funktioniert genauso wie mit lokalem "Administrator" vs. "Administrator" in der Dom�ne.
cu, Uwe
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
