Roaming Profile

[Woodstock]

Hallo!

Nachdem ich nun endlich Profile lokal speichern kann, möchte Roaming Profile einrichten.

Aber es kallpt nicht wie es soll.

Mein sm.bonf sieht so aus:

[global]

domain master = yes

netbios name = server

local master = yes

wins support = true

encrypt passwords = yes

security = user

domain logons = yes

server string = Samba PDC

workgroup = home.lan

os level = 99

logon home = \\%L\%U

logon path = \\%L\%U\profiles

logon script = logon.bat

admin users = root, Administrator

[netlogon]

path = /usr/local/samba/netlogon

writeable = yes

browseable = yes

comment = Network Logon Service

[homes]

comment = Benutzer Verzeichnisse

browseable = yes

writeable = yes

[webserver]

path = /srv/www/htdocs

writeable = yes

browseable = yes

Was muss ich daran ändern, und wo muss ich die Profilinformationen des Users speichern, damit jeder User sein eigenen Profil im Homeverzeichnis liegen hat?

Bine

[Terran Marine]

Hallo,

der UNC-Pfad den du bei logon path einträgst muss eine Freigabe sein.

Ist das bei dir der Fall ?

Deine Konstruktion ist ungünstig, da du für jeden User eine Extra Freigabe einrichten musst.

Idr erstellt man eine Freigabe namens Profiles auf die alle Vollzugriff haben, die einzelnen User-Ordner werden dann beim Login automatisch erstellt und mit den entsprechenden Rechten versehen.

Gruß

Terran Marine

[Woodstock]

Hallo!

Also, ich denke das ich das nicht gemacht habe, denn das was ich gepostet habe ist meine komplette smb.conf!

Also soll ich das somachen?!?!

logon path = \\%L\profiles\%U

....

[profiles]

path = /profiles

browseable = yes

writeable = yes

comment = Profile

Dafür muss ich dann auf root das Verzeichnis profiles anlegen, und schreibrechte geben, richtig?

Bine

[Terran Marine]

Original geschrieben von Woodstock

Hallo!

Also, ich denke das ich das nicht gemacht habe, denn das was ich gepostet habe ist meine komplette smb.conf!

Also soll ich das somachen?!?!

logon path = \\%L\profiles\%U

....

[profiles]

path = /profiles

browseable = yes

writeable = yes

comment = Profile

Dafür muss ich dann auf root das Verzeichnis profiles anlegen, und schreibrechte geben, richtig?

Bine

Ja, ist richtig.

Zumindest klappt es so bei mir.

[Woodstock]

Also, meine smb.conf sieht jetzt so aus:

[global]

        domain master = yes

        netbios name = server

        local master = yes

        wins support = true

        encrypt passwords = yes

        security = user

        domain logons = yes

        server string = Samba PDC

        workgroup = home.lan

        os level = 99

        logon home = \\server\%U

        logon path = \\server\profiles\%U

        logon script = logon.bat

        admin users = root, Administrator, Sabine, OH, Michael


[netlogon]

        path = /usr/local/samba/netlogon

        writeable = yes

        browseable = yes

        comment = Network Logon Service


[homes]

        comment = Benutzer Verzeichnisse

        path = /home/%U

        browseable = yes

        writeable = yes


[alles]

        path = /

        writeable = yes

        browseable = no


[profiles]

        path = /profiles/%U

        writeable = yes

        browseable = yes[global]


[netlogon]

        path = /usr/local/samba/netlogon

        writeable = yes

        browseable = yes

        comment = Network Logon Service


[homes]

        comment = Benutzer Verzeichnisse

        path = /home/%U

        browseable = yes

        writeable = yes


[profiles]

        path = /profiles/%U

        writeable = yes

        browseable = yes

Auf der gleichen Ebene wie /home habe ich das Verzeichnis profiles angelegt, und Schreibrechte darauf gegeben. Will mich jetzt allerdings an der Domäne anmelden, wird das Profil wieder nicht gefunden. Wo ist bei Fehler?

Bine

[BrainWash]

Hm, ganz blöde Frage:

in deiner smb.conf gibt es die Freigabe "profiles" und "homes" zweimal, kann es sein, dass es dabei zu nem Konflikt kommt, auch wenn beide jeweils gleich definiert werden?

EDIT: Haben alle user Schreibzugriff auf /profiles?

bin mir nicht ganz sicher, ob es reicht in der smb.conf das Verzeichnis als writeable zu deklarieren. Guck mal in der konsole mit "la /profiles" wie die Berechtigungen vergeben sind.

[Terran Marine]

Original geschrieben von Woodstock

[profiles]

path = /profiles/%U

writeable = yes

browseable = yes[global]

Der Parameter %U kann afaik nur in der global section eingestetzt werden, nicht in den shares-section.

(Wäre auch etwas unsinnig)

Nimm mal das %U raus und den letzten / auch.

Gruß

Terran Marine

[Woodstock]

Immernoch das gleiche Problem. Kann es sein das er mit dem Parameter %L nicht klarkommt? Weil in dem Anmeldescript das ich ablaufen lasse wollte, macht er aus aus %L einfach nur L! Und der Ordner profiles muss an der gleichen Stelle liegen wie home auch - oder? Und in dem Ordner müssen weitere Ordner sein für die einzelnen User, in denen dann wirklich die Daten gespeichert sind, richtig?

Hier um sicher zu gehen nochmal die richtig smb.conf /wie sie jetzt ausschaut:

[global]

	domain master = yes

	netbios name = server

	local master = yes

	wins support = true

	encrypt passwords = yes

	security = user

	domain logons = yes

	server string = Samba PDC

	workgroup = home.lan

	os level = 99

	logon home = \\%L\%U

	logon path = \\%L\profiles\%U

	logon script = logon.bat

	admin users = root, Administrator, Sabine, OH, Michael


[netlogon]

	path = /usr/local/samba/netlogon

	writeable = yes

	browseable = yes

	comment = Network Logon Service


[homes]

	comment = Benutzer Verzeichnisse

	path = /home

	browseable = yes

	writeable = yes


[profiles]

        path = /profiles

        writeable = yes

        browseable = yes


[webserver]

	path = /srv/www/htdocs

	writeable = yes

	browseable = yes

Bine

[Terran Marine]

Original geschrieben von Woodstock

Immernoch das gleiche Problem. Kann es sein das er mit dem Parameter %L nicht klarkommt? Weil in dem Anmeldescript das ich ablaufen lasse wollte, macht er aus aus %L einfach nur L! Und der Ordner profiles muss an der gleichen Stelle liegen wie home auch - oder? Und in dem Ordner müssen weitere Ordner sein für die einzelnen User, in denen dann wirklich die Daten gespeichert sind, richtig?

Langsam,

das Anmeldeskript ist eine Microsoft Batch-Datei welche clientseitig ausgeführt wird, dein Windows Client kennt die Variable %L also garnicht, zumal unter Windows Umgebungsvariablen anders gekennzeichnet werden %L%. Schreib also in das Skript direkt den Computernamen/NETBIOS-Namen des Servers ein.

Der Ordner Profiles kann überall liegen, es muss lediglich eine Freigabe darauf erstellt sein die profiles heisst. (Theoretisch kann sie jeden Namen haben, da du ja den Freigabanamen über den Parameter Logon Path steuern kannst.)

Um zu prüfen ob die Freigabe profiles existiert, gib im Explorer auf dem Win-Client einfall mal \\Servername\profiles ein.

Die weiteren Unterordner für die User, legt Windows beim ersten einloggen automatisch an, als Grundlage dafür wird der Default User des Rechners genommen.

P.S. :

Trau dich dochmal ein bisschen mehr,

wenn du dir bei was nicht sicher bist (wie mit dem Parameter %L) probier es auch,

ich gehe ja mal nicht davon aus, das wir hier von einem Produktivsystem reden.

Gruß

Terran Marine

[Woodstock]

Nee, ist bei mir zu Hause. Ich hab das auch ausprobiert - aber bekomme immer den selben Fehler.

Die Freigabe existiert - das in der Batchdatei werde ich ändern....

Sabine

[BrainWash]

Den Samba-Service hast du aber restartet, nachdem du die Änderungen in der smb.conf durchgeführt hast?!

Ja ich weiss, blöde Frage, aber ich wollte nur ganz sicher gehen

[Woodstock]

Ja, das hab ich. Er sagt mir jetzt bei der Anmeldung das die Kopie des serverseitig gespeicherten Profils nicht geladen werden kann, weil die Rechte nicht stimmen. Entweder müsse der User der Angemeldet wird, oder die Administratorengruppe Besitzer des Verzeichnisses sein.

drwxrwxrwx    3 root     root           72 Nov 18 10:20 profiles

          drwxrwxrwx    2 root     root           48 Nov 18 10:40 sabine

Bine

[Terran Marine]

Original geschrieben von Woodstock

Ja, das hab ich. Er sagt mir jetzt bei der Anmeldung das die Kopie des serverseitig gespeicherten Profils nicht geladen werden kann, weil die Rechte nicht stimmen. Entweder müsse der User der Angemeldet wird, oder die Administratorengruppe Besitzer des Verzeichnisses sein.

drwxrwxrwx    3 root     root           72 Nov 18 10:20 profiles

          drwxrwxrwx    2 root     root           48 Nov 18 10:40 sabine

Bine

Die Rechte sind auch falsch gesetzt, überschreib den Ordner (+alles unterdrunter)sabine mal auf den user sabine.

[BrainWash]

Was für ein OS haben denn die Clients? Windows 2000 oder XP? Bei beiden musst du Windows noch mitteilen, dass die "Daten des Sicheren Kanals" nicht digital verschlüsselt werden sollen. Da kommt Linux bzw. Samba in der Version 2.x nicht klar.

Unter:

Systemsteuerung - Verwaltung - Lokale Sicherheitsrichtlinie - lokale Richtlinien - Sicherheitsoptionen

und dann gibt es dort 3 Einträge zum "sicheren Kanal", die müssen deaktiviert werden.

[BrainWash]

Original geschrieben von Terran Marine

Die Rechte sind auch falsch gesetzt, überschreib den Ordner (+alles unterdrunter)sabine mal auf den user sabine.

Oh, reicht es nicht aus, wenn "der Rest der Welt" (die letzten 3 rwx) in das Verzeichnis schreiben dürfen? Wieder was gelernt

[Woodstock]

Original geschrieben von BrainWash

Systemsteuerung - Verwaltung - Lokale Sicherheitsrichtlinie - lokale Richtlinien - Sicherheitsoptionen

und dann gibt es dort 3 Einträge zum "sicheren Kanal", die müssen deaktiviert werden.

Habe WinXP - das hab ich aber bereits getan, da ich mich sonst gar nicht der Domäne anschließen kann. Habe jetzt

drwxrwxrwx    2 sabine   users          48 Nov 18 10:58 sabine

&

drwxrwxrwx    2 sabine   root           48 Nov 18 10:58 sabine

probiert - aber es klappt immer noch nicht.

Bine

[Terran Marine]

Original geschrieben von BrainWash

Oh, reicht es nicht aus, wenn "der Rest der Welt" (die letzten 3 rwx) in das Verzeichnis schreiben dürfen? Wieder was gelernt

Freu dich nicht so früh

das war nur eine Vermutung von mir, man sollte alles mal probieren, um zu Lösung zu kommen.

[Woodstock]

Original geschrieben von BrainWash

Oh, reicht es nicht aus, wenn "der Rest der Welt" (die letzten 3 rwx) in das Verzeichnis schreiben dürfen? Wieder was gelernt

Von mir aus soll erstmal jeder schreiben, lesen und ausführen dürfen - hauptsache es funktioniert - dann kann ich immer noch einschränken....

Bine

[BrainWash]

Sind die User denn auch Samba bekannt?

Samba-User fügt man mit

smbpasswd -a -e benutzername

hinzu.

-a steht für "add" und mit -e wird der User "enabled" also aktiviert.

[Woodstock]

Ja, sind sie. Ich kann auch auf die shares zugreifen. Werde da zwar nach Username und Passwort gefragt - aber wenn ich das eingeben - dann geht es.

Bine

[BrainWash]

Also hier im Forum link wurde das Thema ja schonmal behandelt. Ich zitiere mal ava2k, damit du dich danicht durchwuseln musst:

Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)


Zu finden ist dieser Eintrag unter Systemsteurung/Verwaltung/Lokale Sicherheitsrichtlinie/Lokale Richtlinien/Sicherheitsoptionen.

Zusätzlich deaktivierte ich auch


Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)

Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)


Nach dem Neustart versuchte ich wieder die Domänenanmelung als Benutzer "root", auch diesmal ohne Erfolg.

Abhilfe schuf erst der Austritt aus der Domäne, Neustart, Wieder-Eintritt in die Domäne.

Jetzt konnte ich auch die Domänenanmeldung mit allen Benutzern durchführen.

Mehr fällt mir im Moment echt nich ein

[Woodstock]

Ich glaube wir reden an einander vorbei. Ich kann mich an der Domain anmelden. Nur bei den Profilen hakts. Die Anmeldung klappt ansonsten gut. Nur das er mich eben mit nem temporären lokalen Profil anleget, anstatt das vom Server zu nehmen.

Bine

[BrainWash]

Original geschrieben von Woodstock

Ich glaube wir reden an einander vorbei. Ich kann mich an der Domain anmelden. Nur bei den Profilen hakts. Die Anmeldung klappt ansonsten gut. Nur das er mich eben mit nem temporären lokalen Profil anleget, anstatt das vom Server zu nehmen.

Bine

Ich glaube nicht, dass wir aneinander vorbeireden.

Fakt ist: Dein Profil wird nicht geladen.

Problem könnte sein: Deine Benutzerdaten werden nicht korrekt übermittelt. Also dachte ich, dass mein obiges Posting helfen könnte. Zu dieser Annahme komme ich unter anderem, wegen Sätzen wie:

Jetzt konnte ich auch die Domänenanmeldung mit allen Benutzern durchführen

Wenn du es versucht hast und das trotzdem nicht klappt, okay, war halt ein Versuch

[Woodstock]

Ich hab es versucht - weil ich genau so gedacht habe. Ich weiß nur einfach nicht mehr weiter. Wenn kein Ordner im Ordner profiles liegt und ich mich anmelden will, dann legt er den Ordner ja auch an - allerdings nur den Ordner mit dem Namen, mehr nicht...

Bine

[BrainWash]

Versuch mal dich auf dem Windows-Rechner als lokaler Administrator anzumelden, dann dein Benutzerprofil per Hand in das entsprechende Profil-Verzeichnis kopieren und dich dann nochmal an der Domäne anzumelden. Vorher sichergehen, dass die Berechtigungen im kopierten Profil-Verzeichnis ncht überschrieben wurden.

Eine weitere Möglichkeit kann sein, dass Domain-User nicht auf "C:\Dokumente und Einstellungen" schreiben dürfen.