Jp : Page créée avec « == But == Permet d'administrer un domaine NetBIOS à travers des commandes Linux et DOS. == Étape préliminaire == Avant de commencer, il est impératif de disposer d'un... »

2016-04-07T18:51:47Z

Page créée avec « == But == Permet d'administrer un domaine NetBIOS à travers des commandes Linux et DOS. == Étape préliminaire == Avant de commencer, il est impératif de disposer d'un... »

Nouvelle page

== But ==
Permet d'administrer un domaine NetBIOS à travers des commandes Linux et DOS.

== Étape préliminaire ==
Avant de commencer, il est impératif de disposer d'un [[Linux:Configuration de Samba comme contrôleur principal d'un domaine NetBIOS|serveur Samba en contrôleur principal de domaine (PDC)]].

== Changement de mot de passe ==
'''ATTENTION:''' Ne pas utiliser la commande linux '''passwd'''. Cela aura pour effet de modifier le mot de passe de tous les accès, excepté du domaine NetBIOS.

Pour modifier son mot de passe de tous les accès à travers Windows XP:
* Ouvrir sa session dans le domaine NetBIOS.
* Appuyer sur les touches '''Ctrl''' + '''Alt''' + '''Suppr''': le panneau "Sécurité de Windows" s'ouvre.
* Cliquer sur le bouton '''Modifier le mot de passe...''': le panneau "Modifier le mot de passe" s'ouvre.
* Saisir son ancien mot de passe.
* Saisir son nouveau mot de passe.
* Confirmer son nouveau mot de passe.
* Cliquer sur le bouton '''OK'''.

== Création d'un nouvel utilisateur ==
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur '''MINETTI/admin''').
* Pour créer un nouvel utilisateur, taper l'une des commandes suivantes:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net rpc user ADD toto myPassword -Samon -Uadmin</pre>
|<pre style="margin:0;">net user toto myPassword /add /domain</pre>
|}
* Une fois le compte créé, à l'aide de phpLDAPadmin:
** remplacer '''NOM''' et '''Prénom''' avec le nom et le prénom de l'utilisateur (propriétés '''cn''', '''givenName''' et '''sn'''),
** copier le contenu de la propriété '''cn''' dans les propriétés '''displayName''' et '''gecos''',
** ajouter l'adresse e-mail de l'utilisateur (propriété '''Email'''),
** donner l'accès à l'authentification RADIUS en ajoutant les propriétés suivantes:
objectClass: radiusprofile
dialupAccess: yes
* Rendre le mot de passe de l'utilisateur non expirable:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net sam set pwnoexp toto yes -Samon -Uadmin</pre>
|<pre style="margin:0;">net user toto /expires:never /domain</pre>
|}
* Obliger l'utilisateur à changer de mot de passe lors de la prochaine ouverture de session:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net sam set pwdmustchangenow toto yes -Samon -Uadmin</pre>
|
|}
* Ne pas oublier d'indiquer le script d'ouverture de session s'il est différent de '''\\amon\netlogon\startup.bat''':
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net sam set logonscript toto startup-admins.bat -Samon -Uadmin</pre>
|<pre style="margin:0;">net user toto /scriptpath:startup-admins.bat /domain</pre>
|}
Indiquer toujours uniquement le nom du fichier BAT (comme par exemple: startup-admins.bat) sans le chemin \\amon\netlogon\.

== Gestion des membres des groupes d'utilisateurs ==
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur '''MINETTI/admin''').
* Pour ajouter un utilisateur à un groupe:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net rpc group ADDMEM Développeurs toto -Samon -Uadmin</pre>
|<pre style="margin:0;">net group Développeurs toto /add /domain</pre>
|}
* Pour retirer un utilisateur d'un groupe:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net rpc group DELMEM Développeurs toto -Samon -Uadmin</pre>
|<pre style="margin:0;">net group Développeurs toto /delete /domain</pre>
|}
* Pour lister les groupes du domaine auxquels appartient un utilisateur:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net user info toto -Samon -Uadmin</pre>
|<pre style="margin:0;">net user toto /domain</pre>
|}

== Suppression ou désactivation d'un utilisateur ==
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur '''MINETTI/admin''').

'''REMARQUE:''' Il faudra être prudent lors de la suppression d'un utilisateur. Après la suppression et s'il est propriétaire de fichiers, ces derniers seront rattachés à un utilisateur qui n'existe plus (on ne verra plus son nom, mais son UID). Ainsi, si un utilisateur est propriétaire de fichiers ou de répertoires, on préférera le désactiver au lieu de le supprimer.
* Pour '''supprimer''' définitivement un utilisateur, taper l'une des commandes suivantes:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net rpc user DELETE toto -Samon -Uadmin</pre>
|<pre style="margin:0;">net user toto /delete /domain</pre>
|}
* Pour '''désactiver''' un utilisateur du domaine NetBIOS:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net sam set disabled toto yes -Samon -Uadmin</pre>
|<pre style="margin:0;">net user toto /active:no /domain</pre>
|}
Les commandes précédentes ne font que désactiver l'utilisateur du domaine NetBIOS: ce dernier ne pourra plus se connecter à son poste Windows, mais pourra toujours se connecter sur les serveurs Linux et aux intranets. Pour le désactiver complètement, il faudra à l'aide de phpLDAPadmin, affecter '''/bin/false''' à la propriété '''loginShell''' (pour désactiver l'accès aux serveurs Linux, aux intranets et au VPN).

== Initialisation du mot de passe d'un utilisateur ==
A l'aide de phpLDAPadmin:
* modifier la propriété '''userPassword''' (mot de passe Linux avec chiffrement '''md5crypt''') du compte de l'utilisateur,
* modifier la propriété '''sambaNTPassword''' (mot de passe NetBIOS) du compte de l'utilisateur.

== Création d'un nouveau groupe d'utilisateurs ==
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
* Pour créer un nouveau groupe, taper l'une des commandes suivantes:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net rpc group ADD "Mon groupe" -C "Mon commentaire" -Samon -Uadmin</pre>
|<pre style="margin:0;">net group "Mon groupe" /add /comment:"Mon commentaire" /domain</pre>
|}
* Par convention, sous '''Linux''' les noms des groupes d'utilisateurs sont tout en minuscules, tout attachés, et non accentués: pour corriger le nom qui apparaîtra sous Linux il faut modifier la propriété '''cn''' à l'aide de phpLDAPadmin.
* Par convention, sous '''Windows''' les noms des groupes d'utilisateurs commencent toujours par une majuscule et peuvent comporter des espaces et des accents: pour corriger le nom qui apparaîtra sous Windows il faut modifier la propriété '''displayName''' à l'aide de phpLDAPadmin.

== Suppression d'un groupe d'utilisateurs ==
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
* Pour supprimer un groupe, taper l'une des commandes suivantes:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net rpc group DELETE "Mon groupe" -Samon -Uadmin</pre>
|<pre style="margin:0;">net group "Mon groupe" /delete /domain</pre>
|}

== Affichage de la liste des groupes d'utilisateurs du domaine NetBIOS ==
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
* Pour lister tous les groupes du domaine NetBIOS, taper l'une des commandes suivantes:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net rpc group LIST global -Samon -Uadmin</pre>
|<pre style="margin:0;">net group /domain</pre>
|}

== Affichage de la liste des membres d'un groupes d'utilisateurs ==
Les commandes suivantes peuvent être exécutées sur n'importe quelle machine Linux ou Windows (si cette dernière appartient au domaine sur une session de l'utilisateur MINETTI/admin).
* Pour lister tous les membres d'un groupe, taper l'une des commandes suivantes:
{|style="color:black;background-color:white;" cellpadding="0" cellspacing="5" border="0" width="100%"
!width="50%"|Linux
!width="50%"|Windows
|- style="background-color:white;" cellpadding="0" cellspacing="0"
|<pre style="margin:0;">net rpc group MEMBERS "Mon groupe" -Samon -Uadmin</pre>
|<pre style="margin:0;">net group "Mon groupe" /domain</pre>
|}

== Commandes de gestion des règles des comptes ==
Il est possible de gérer certains paramètres relatif aux règles auxquels sont soumis les comptes des utilisateurs comme par exemple:
* la longueur minimale des mots de passe,
* l'historique des mots de passe,
* la durée minimale et maximale des mots de passe,
* etc...

Pour connaître la liste des règles des comptes:
net sam policy list -Samon -Uadmin

Pour afficher une règle:
net sam policy show "min password length" -Samon -Uadmin

Pour modifier une règle:
net sam policy set "min password length" 3 -Samon -Uadmin

== Quelques commandes pour tester le bon fonctionnament de Samba ==
* Pour lister tous les utilisateurs du domaine:
net sam list users
* Pour lister tous les utilisateurs du domaine via WINBIND:
wbinfo -u
* Pour lister tous les groupes d'utilisateurs du domaine:
net sam list groups
* Pour lister tous les groupes d'utilisateurs du domaine via WINBIND:
wbinfo -g
* Pour lister tous les groupes d'utilisateurs locaux:
net sam list localgroups
* Pour lister tous les groupes d'utilisateurs builtin:
net sam list builtin
* Pour lister tous les ordinateurs ayant rejoint le domaine:
net sam list workstations
* Pour vérifier la résolution IP d'une machine:
wbinfo -N cheops
* Pour vérifier la résolution inverse d'une machine:
wbinfo -I 192.168.0.229
* Pour tester l'authentification:
wbinfo -a admin
* Pour afficher la map Windows/Unix des identifiants des groupes:
net groupmap list

== Groupes systèmes ==
{|style="color:black;background-color:#ffffcc;" cellpadding="2" cellspacing="0" border="1" width="100%"
!width=180|Nom
!width=55|Type
!width=325|sambaSID
!GID
!Explication
|- style="background-color:white;"
|colspan=5|'''Groupes avec une portée globale'''
|- style="background-color:white;"
|Administrateurs du domaine
|align=center|domaine
|S-1-5-21-1594600318-3893234564-2187586626-512
|align=right|512
|Membres autorisés à administrer le domaine NetBIOS. La principale particularitée de ce groupe est qu'il devient un membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les contrôleurs de domaine: il a le pouvoir absolu sur tous les ordinateurs du domaine NetBIOS. Seul l'utilisateur '''admin''' doit être l'unique membre de ce groupe.
|- style="background-color:white;"
|Utilisateurs du domaine
|align=center|domaine
|S-1-5-21-1594600318-3893234564-2187586626-513
|align=right|513
|Membres utilisateurs du domaine NetBIOS. Ce groupe devient un membre du groupe '''Utilisateurs''' sur tous les ordinateurs qui ont rejoint un domaine. Tous les utilisateurs non système doivent impérativement être membre de ce groupe. Il est automatiquement le groupe principal de tous les utilisateurs.
|- style="background-color:white;"
|Invités du domaine
|align=center|domaine
|S-1-5-21-1594600318-3893234564-2187586626-514
|align=right|514
|Membres invités du domaine NetBIOS.
|- style="background-color:white;"
|Ordinateurs du domaine
|align=center|domaine
|S-1-5-21-1594600318-3893234564-2187586626-515
|align=right|515
|Groupes exclusivement réservés aux comptes machines incluant tous les clients et serveurs qui ont rejoint le domaine NetBIOS. '''Ne pas ajouter d'utilisateurs à ce groupe'''.
|- style="background-color:white;"
|colspan=5|'''Groupes avec une portée limitée aux serveurs'''
|- style="background-color:white;"
|Administrateurs
|align=center|builtin
|S-1-5-32-544
|align=right|544
|Membres administrateurs de la machine locale. Il serait intéressant d''''utiliser ce groupe pour l'accès à certaines applications web d'administration''' (comme par exemple [[Linux:Configuration de Nagios|Nagios]]).
|- style="background-color:white;"
|Utilisateurs
|align=center|builtin
|S-1-5-32-545
|align=right|545
|Membres utilisateurs authentifiés de la machine locale. Il serait intéressant d''''utiliser ce groupe pour l'accès à certaines applications web réservés aux utilisateurs du domaine'''.
|- style="background-color:white;"
|Invités
|align=center|builtin
|S-1-5-32-546
|align=right|546
|Membres occasionnels autorisés d'ouvrir une session avec des privilèges limités sur le compte Invité intégré à la machine locale.
|- style="background-color:white;"
|Opérateurs de compte
|align=center|builtin
|S-1-5-32-548
|align=right|548
|Membres opérateurs de compte autorisés à gérer les comptes des utilisateurs, groupes et ordinateurs du contrôleur de domaine.
|- style="background-color:white;"
|Opérateurs d'impression
|align=center|builtin
|S-1-5-32-550
|align=right|550
|Membres opérateurs d'impression autorisés à gérer les imprimantes et les files d'attente des documents sur le contrôleur de domaine.
|- style="background-color:white;"
|Opérateurs de sauvegarde
|align=center|builtin
|S-1-5-32-551
|align=right|551
|Membres opérateurs de sauvegarde autorisés à sauvegarder et restaurer tous les fichiers sur la machine locale, quelles que soient les autorisations qui protègent ces fichiers.
|- style="background-color:white;"
|Réplicateurs
|align=center|builtin
|S-1-5-32-552
|align=right|552
|Groupe utilisé par le service de réplication de fichiers sur les contrôleurs de domaine NetBIOS. '''Ne pas ajouter d'utilisateurs à ce groupe'''.
|}

== Utilisateurs systèmes ==
{|style="color:black;background-color:#ffffcc;" cellpadding="2" cellspacing="0" border="1" width="100%"
!width=180|Nom
!width=55|Type
!width=325|sambaSID
!UID
!Groupe principal
!Autres groupes
!Explication
|- style="background-color:white;"
|colspan=7|'''Groupes avec une portée globale'''
|- style="background-color:white;"
|admin
|align=center|domaine
|S-1-5-21-1594600318-3893234564-2187586626-500
|align=right|0
|align=center|Administrateurs du domaine
|align=center|Utilisateurs du domaine
|Administrateur pour l'accès aux postes Windows.
|- style="background-color:white;"
|nobody
|align=center|domaine
|S-1-5-21-1594600318-3893234564-2187586626-2998
|align=right|999
|align=center|Invités du domaine
|align=center|-
|Compte invité pour l'accès aux postes Windows.
|}

== Problèmes rencontrés ==
* Si un utilisateur qui accède pour la première fois à son répertoire HOME d'un serveur, n'arrive pas à ajouter ou modifier des fichiers et répertoires, il faut exécuter la commande suivante pour restaurer les contextes SELinux sur les nouveaux répertoires:
restorecon -R -v /home
* Si lors d'une connexion à un serveur linux le message "'''Could not chdir to home directory /home/toto: No such file or directory'''" cela veut dire que le répertoire HOME de l'utilisateur n'existe pas. Pour le créer exécuter la commande suivante:
su - toto

Linux:Administration d'un domaine NetBIOS - Historique des versions

Jp : Page créée avec « == But == Permet d'administrer un domaine NetBIOS à travers des commandes Linux et DOS. == Étape préliminaire == Avant de commencer, il est impératif de disposer d'un... »