rjcb
Salut,
J'ai fais un controleur de domaine avec samba. (security=DOMAIN)
Les clients des xp pro.
Lorsqu'un client se connect au domaine il a les restrictions qu'il faut, sauf que celui ci peut écrire dans la machine client sous c:/Documents and Settings/son nom.
Comment faire pour interdire cela, sachant que sur ce répertoire il y a que lui qui a le droits.
Il faudrait créer un groupe de ces utilisateur et interdire l'écriture au repertoire Documents and Settings??
Mais le pb c'est que sur samba j'arrive pas a ajouter un groupe, et comment faire pour que ce groupe ai les memes droits que le groupe USERS dans fedora.
Merci de votre aide
drpixel
Le dossier C:Documents And Settings%username% correspond au profil utilisateur ... donc normal qu'il puisse écrire, si ne veux pas que le profil soit modifiable, il faut faire un profil obligatoire et il faut qu'il soit intinérant.
rjcb
Salut,
Je voudrais que le profil soit modifiable et itinérant tout en interdisant l'écriture dans le fichier C:Documents And Settings%username%.
De plus comment faire des groupe pour samba.
Merci
drpixel
Comment veux tu qu'il soit modifiable si tu interdit l'accès a C:Documents And Settings%username% !?
Même en itinerant, il y a obligatoirement copie locale du profil.
Pourquoi vouloir interdir l'écriture a C:Documents And Settings%username% ?
pitchbull
"sur samba j'arrive pas a ajouter un groupe" => en fait il s'agit pluto de synchroniser les groupes windows avec ceux de linux comme tu le dit par la suite : "comment faire pour que ce groupe ai les memes droits que le groupe USERS"
pour cela tu utilise net selon la syntaxe (ne pas mettre les < >) :
net groupmap add unixgroup=<nom du group linux> ntgroup=<le nom du group windows>
exemple tu veux que le groupe nt "utilisateurs" aient les meme droits que le groupe linux "users", revient a les synchronizer comme suit :
net groupmap add unixgroups=users ntgroup=utilisateur
pour verifier tu fait "net groupmap list"
pour suppimer tu fait "net groupmap delete ntgroup="utilisateurs" "
rjcb
Merci pour vos réponses.
En fait je veux interdire C:Documents And Settings%username% en écriture car c'est une salle d'étudiants et ils ont la'habitue de sauvegarder leurs docs la dedans alors qu'il faut le faire dans leur rep perso sur le serveur.
De plus les hdd des clients sont petits.
Merci
pitchbull
oki j'ai compris dans ce cas il faut le faire dans la station cliente Windows avec les droits windows. Applique une strategie qui supprime le droit d'ecriture sur le profil utilisateur.
mais dans ce cas autant faire un profil unique
drpixel
Fais une redirection par GPO du dossier Mes Documents sur le serveur.
Ensuite pour ne pas qu'ils ecrivent dedans, avec une GPO masque le lecteur c'est assez radical ! (on s'eloigne de Fedora ! 😉)
Sinon tu vas galerer, et puis il faut éduquer les utilisateurs !
Si tu te gares n'importe ou tu te prends une prune et finalement tu vas éviter après. Si tu ranges tes docs n'importe ou et que tu les perds, tu les mettras au bon endroit ...
Runan
Via GPO je cache le répertoire "Mes Documents" et je leur fais un raccourci du partage du serveur sur leur bureau.
drpixel
Pas vraiment, il faut faire une redirection de Mes Documents vers un dossier du serveur.
Tu masques l'accès au disque C comme cela ils ne pourront pas le browser.
Ne masques pas l'accès a mes documents vu qu'ils en auront besoin pour écrire dedans (si c'est bien ce que tu veux faire)
TuxSpirit
Salut,
Je sais pas si j'ai bien compris, mais j'utiliserais une autre strotégie.
Je crérais un Lectur U: pointant vers le répertoir ou serais stocker les profiles du group 'USERS'
Je modifie le group 'USERS' en lui indiquant le chemins des profiles
Je ferais pointer "Mes Documents" vers 'U:%username%Mes Documents'
Avec une stratégie de groupe, je cache les disques a protéger, je cahe le/les répertoir(s) 'U:/%USERNAME%'
Bon c'est a afiné bien sur, mais ca donne une idée peut etre plus simple.
A+