Введение
Зачастую возникает необходимость ввести Linux-машину в существующий домен Windows. Например, чтобы сделать файловый сервер с помощью Samba. Сделать это очень просто, для этого вам понадобятся клиент Kerberos, Samba и Winbind.
Перед установкой желательно обновиться:
sudo aptitude update sudo aptitude upgrade
Установить всё это добро можно командой:
sudo aptitude install krb5-user samba winbind
Также может понадобиться установить следующие библиотеки:
sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind
Либо, если вы используете Ubuntu Desktop, те же пакеты можно поставить через менеджер пакетов Synaptic.
Далее вам потребуется настроить все вышеперечисленные инструменты для работы с вашим доменом. Допустим, вы хотите войти в домен DOMAIN.COM, доменконтроллером которого является сервер dc.domain.com с IP адресом 192.168.0.1. Этот же сервер является и первичным DNS сервером домена. Кроме того допустим у вас есть второй доменконтроллер, он же DNS — dc2.domain.com с IP 192.168.0.2. Ваш же компьютер будет называться smbsrv01.
Вопросы безопасности
Эта политика имеет следующие соображения для обеспечения безопасности:
Уязвимость
Права на Добавление рабочих станций в домен отображаются с умеренной уязвимостью. Пользователи с этим правом могут добавить устройство в домен, настроенный таким образом, чтобы нарушались политики безопасности Организации. Например, если ваша организация не должна иметь права администратора на своих устройствах, пользователи могут установить Windows на своем компьютере, а затем добавить компьютеры в домен. Пользователь знает пароль учетной записи локального администратора, может войти в систему с помощью этой учетной записи, а затем добавить учетную запись личного домена в локальную группу администраторов.
Противодействие
Настройте этот параметр таким образом, чтобы только авторизованные пользователи отдела ИТ могли добавлять компьютеры в домен.
Возможное влияние
Для организаций, которые не разрешили пользователям настраивать собственные компьютеры и добавлять их в домен, этот контрмер не будет оказывать влияния. Для тех, у которых есть возможность настроить собственные устройства для некоторых или всех пользователей, этот контрмер заставляет Организацию установить формальный процесс, пересылаемый на передний план. Она не влияет на существующие компьютеры, если они не были удалены, а затем добавлены в домен.
Практика подключения Windows 10 к домену
Ввод через новый интерфейс
Данный метод можно разделить на два, объясню почему. Текущая политика компании Microsoft, заключается в том, что она хочет привести внешний вид операционной системы Windows 10 к общему виду на всех устройствах, чтобы все действия, где бы их пользователь не совершал, выполнялись одинаково. С одной стороны это хорошо и наверное правильно, но с другой стороны, это влечет к постоянному и глобальному изменению интерфейса с каждым новым релизом и выпиливание классических оснасток, в виде панели управления.
Подключаем к домену Windows 10 до 1511
Для десятки с релизом Threshold 1 и 2 (1507 и 1511) процедура добавления компьютера в Active Directory имеет такой алгоритм. Вы нажимаете сочетание клавиш Win и I одновременно (Это одна из многих горячих комбинаций в Windows), в результате у вас откроется меню «Параметры». В параметрах вы находите пункт
Далее вы находите раздел «О системе», тут вы увидите сводную информацию, видно, что в моем примере у меня Windows 10 1511, и обратите внимание, что есть две удобные кнопки:
- Присоединение к домену предприятия
- Присоединиться к Azure AD
для подключения к домену вам необходимо указать его полное имя, в моем случае это root.pyatilistnik.org и нажимаем далее.
Следующим шагом у вас будет форма авторизации, где вам предстоит представится от чьего имени вы будите производить подключение к домену Active Directory вашей Windows 10, обычно, это учетная запись администратора домена или пользователя, кому делегированы права.
напоминаю, что обычный рядовой пользователь может вводить до 10 компьютеров в домен
Следующим шагов, вас спросят чтобы вы указали сведения, о учетной записи, которая будет использовать данный компьютер, я этот этап пропускаю.
и последним этапом нужно выполнить перезагрузку рабочей станции, после этого ввод в домен Windows 10, можно считать успешным.
Подключаем к домену Windows 10 выше 1607
В параметрах Windows найдите и перейдите в пункт «Учетные записи»
Находите пункт «Доступ к учетной записи места работы иди учебного заведения» и нажимаем кнопку «Подключиться»
Про образовательные учреждения можно почитать на MS https://docs.microsoft.com/ru-ru/education/windows/change-to-pro-education
Про присоединение к Azure AD можно почитать вот это https://docs.microsoft.com/ru-ru/previous-versions//mt629472(v=vs.85)
У вас откроется окно «Настройка рабочей или учебной записи». В самом низу нас будет интересовать два пункта:
- Присоединить это устройство к Azure Active Directory
- Присоединить это устройство к локальному домену Active Directory, наш вариант
У вас откроется окно с вводом FQDN имени вашего домена Active Directory.
Далее вас попросят указать учетные данные для присоединения рабочей станции к AD.
Пропускаем шаг с добавлением учетной записи.
Когда все готово, то делаем обязательную перезагрузку, и ваша Windows 10, теперь является членом Active Directory.
После перезагрузки мы видим префикс домена.
Присоединение устройстваJoining a device
Чтобы присоединить к Azure AD устройство Windows 10 во время его первого запуска, выполните следующее.To join a Windows 10 device to Azure AD during FRX:
-
При включении нового устройства и запуске установки появляется сообщение Подготовка.When you turn on your new device and start the setup process, you should see the Getting Ready message. Настройте устройство согласно инструкциям на экране.Follow the prompts to set up your device.
-
Для начала выберите свой регион и язык.Start by customizing your region and language. Примите условия лицензионного соглашения об использовании программного обеспечения Майкрософт.Then accept the Microsoft Software License Terms.
-
Выберите сеть для подключения к Интернету.Select the network you want to use for connecting to the Internet.
-
Щелкните This device belongs to my organization (Это устройство принадлежит моей организации).Click This device belongs to my organization.
-
Введите учетные данные, предоставленные вашей организацией. Затем щелкните Вход.Enter the credentials that were provided to you by your organization, and then click Sign in.
-
Устройство найдет соответствующий клиент в Azure AD.Your device locates a matching tenant in Azure AD. Если ваше устройство находится в федеративном домене, то вы будете перенаправлены на локальный сервер службы токенов безопасности, например в службы федерации Active Directory (AD FS).If you are in a federated domain, you are redirected to your on-premises Secure Token Service (STS) server, for example, Active Directory Federation Services (AD FS).
-
В доменах, отличных от федеративных, необходимо ввести учетные данные непосредственно на размещенной в Azure AD странице.If you are a user in a non-federated domain, enter your credentials directly on the Azure AD-hosted page.
-
Появится запрос защиты Многофакторной идентификации.You are prompted for a multi-factor authentication challenge.
-
Azure AD проверит, требуется ли регистрация в рамках политики управления мобильными устройствами.Azure AD checks whether an enrollment in mobile device management is required.
-
Windows регистрирует устройство в каталоге организации в Azure AD и в службе управления мобильными устройствами, если это уместно.Windows registers the device in the organization’s directory in Azure AD and enrolls it in mobile device management, if applicable.
-
Если вы:If you are:
- являетесь управляемым пользователем, то Windows осуществляет переход на рабочий стол с помощью автоматического входа.A managed user, Windows takes you to the desktop through the automatic sign-in process.
- являетесь федеративным пользователем, то появится экран входа в Windows, где нужно будет ввести учетные данные.A federated user, you are directed to the Windows sign-in screen to enter your credentials.
Добавление компьютера в домен.
Начало процедуры подключения к домену семейства операционных систем Windows начинается с настройки сетевого соединения и проверки связи между сервером и ПК.
1. Нажимаем комбинацию клавиш Win+R и в открывшемся окне набираем ncpa.cpl.
2. В открывшемся окне выбираем нужный сетевой контроллер (на обычном комьютере он как правило один) и нажимаем правой клавишей мышки на этом интерфейсе. Далее в появившемся меню выбираем «Свойства».
3. Затем в новом окне выделяем «Протокол Интернета версии 4 (TCP/IPv4 IP)». Далее «Свойства».
4. В открывшемся окне появится возможность настройки сетевого интерфейса. Если в домене имеется DHCP сервер и клиентам не надо настраивать статические адреса, то проверяем, что чекбоксы стоят напротив «Получить IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически». Нажимаем «ОК» и можно закрывать все открытые окна.
5. Если в домене не используется DHCP сервер или для клиентов настраивают статические адреса, то надо прописать необходимые сетевые настройки (например как на рисунке).
После того, как прописали IP-адрес, Маска подсети, Основной шлюз (если есть), Предпочитаемый DNS-сервер, Альтернативный DNS-сервер (если есть), нажимаем «ОК» и закрываем все окна.
6. После того, как настроили сеть, появится окно «Настройка сетевого размещения». Выбираем «Сеть предприятия».
7. Появится подтверждение сети о том, что «Расположение сети изменилось на «Предприятия».
8. Снова нажимаем комбинацию клавиш Win+R и набираем cmd для того, чтобы открылась командная строка.
9. В командной строке проверяем связь с сервером. Для этого набираем ping и IP-адрес сервера (например ping 192.168.56.10). Получаем ответ от сервера.
10. На клиентском компьютере правой клавишей мыши нажимаем на «Компьютер», далее «Свойства».
11. В открывшемся окне выбираем «Изменить параметры».
12. Затем нажимаем «Изменить».
13. Выбираем «Является членом домена:» и вписываем имя домена (например syst.local), нажимаем «ОК».
14. Для изменения имени компьютера или домена необходимо ввести логин и пароль (доменный пользователь должен иметь права для добавления компьютера в домен), далее «ОК».
15. После успешного добавления компьютера в домен, появится соответствующее уведомление — «Добро пожаловать в домен syst.local» (вместо syst.local будет имя домена).
16. Если открыть контроллер домена, то в остнастке «Пользователи и компьютеры Active Directory» в контейнере Computers появится ПК, который был введен в домен.
На этом процедура подключения ПК к домену закончена.
Можно также посмотреть видеоролик о подключении ПК к домену здесь:
https://youtube.com/watch?v=3dOhteRjG48
Также читайте:
Добавление Winbind в качестве источника пользователей и групп
Для того, чтобы ваша Ubuntu прозрачно работала с пользователями домена, в частности, чтобы вы могли назначать пользователей домена владельцами папок и файлов, необходимо указать Ubuntu использовать Winbind как дополнительный источник информации о пользователях и группах.
Для этого измените две строчки в файле :
passwd: compat group: compat
добавив к ним в конец :
passwd: compat winbind group: compat winbind
также рекомендую привести строку files в файле к виду:
files: dns mdns4_minimal mdns4
ubuntu server 14.04, файл не содержал строку
«files: dns mdns4_minimal mdns4»
вместо неё было:
«hosts: files mdns4_minimal dns wins»
Которую я преобразовал в:
«hosts: dns mdns4_minimal mdns4 files»
после чего всё заработало
Теперь проверьте, что Ubuntu запрашивает у Winbind информацию о пользователях и группах, выполнив
getent passwd getent group
Первая команда должна вам вернуть всё содержимое вашего файла , то есть ваших локальных пользователей, плюс пользователей домена с ID из заданного вами в диапазона. Вторая должна сделать тоже самое для групп.
Теперь вы можете взять любого пользователя домена и сделать его, например, владельцем какого-нибудь файла.
Исключение из домена Windows 10 и Windows Server 2016
Данный метод, будет подходить исключительно для последних версий систем Windows 10 и Windows Server 2016, на момент написания статьи. В случае с десяткой, где интерфейс кардинально меняется от версии к версии, последовательность действий будет разниться.
Метод вывода для Windows 10 версий 1503-1511
Данный метод для Windows 10 Threshold и Threshold 2. Если не знаете, какая у вас версия, то вот вам статья, как определить версию Windows. Вам необходимо открыть параметры системы, делается, это либо через кнопку «Пуск» или же сочетанием клавиш WIN и I одновременно. Находим там пункт «Система».
В самом низу находим пункт «О Системе» и видим кнопку «Отключиться от организации», нажимаем ее.
В окне «Отключение от организации» просто нажмите продолжить.
У вас просто появится окно с предложением о перезагрузке, соглашаемся.
В оснастке ADUC данный компьютер так же был отключен.
Метод вывода для Windows 10 версий 1607 и выше
Данный метод будет рассмотрен для версии Windows 10 1803, так как я писал, что концепция изменилась, функционал перенесли в другое место. Вы все так же открываете «Параметры Windows 10», но уже переходите в пункт «Учетные записи»
Далее находите пункт «Доступ к учетной записи места работы или учебного заведения» и нажимаете отключиться.
У вас выскочит окно с уведомлением:
Вы действительно хотите удалить эту четную запись? Ваш доступ к ресурсам, таким как электронная почта, приложения, сеть и всему связанному содержимому также будет удалены. Ваша организация может также удалить некоторые данные, хранящиеся на этом устройстве.
После подтверждения, у вас появится еще одно окно, в котором вас еще раз уведомят и захотят удостовериться в ваших действиях.
После отключения вы не сможете войти в систему этого компьютера с помощью учетной записи организации. Если установлен и запущен Bitlocker, обязательно сохраните копию ключа восстановления Bitlocker где-нибудь не на этом компьютере
Нажимаем кнопку «Отключить»
Перезагружаем систему.
Открыв оснастку ADUC, я обратил внимание, что учетная запись компьютера, которого я вывел из домена, не отключилась, что очень странно, поэтому сделайте это в ручную
Ответы знатоков
Adik Schicklgruber:
Подключение к домену, это подключение к «главному» компьютеру в Сети, на котором создан Сервер. А уже через него дальше, к Интернет, или к другим компьютерам в Сети. Дома это в принципе применимо, если у Вас огромный дом и в нём 100500 компов, то даже очень удобно. А если комп, 2 бука и смартфон, то не имеет никакого смысла городить сервер. Достаточно поставить маршрутизатор…
Мухомор:
Зачем повторять вопросы? Про подключение к домену тебе ответили. Применимо это к любому набору компьютеров, домашние или где-то еще. Просто до 5 компьютеров это не имеет смысла
MaXX1020:
Тупо говоря домен это главный комп, который все остальные в сети контролирует. Но дома у тебя обычно один комп на котором ты царь и бог. Поэтому на домашних осях и нет подключения к домену.
Иннах:
У меня корпоративная — и стоит она именно потому что там всё работает в отличии от других редакций
давай рассказывай что у тебя не работает.
Nemo:
Гэ на Гэ менять))
#GoodVlogger Еоитт:
Серьезно?! Кто то ещё сидит на 10ке? Все знакомые уже успели ощутить всю прелесть рекламы и постоянных ошибок этой версии винды, и быстренько вернулись снова на 7ку, 10ка вышла конечно хорошей но эта слежка и тормоза не дают нормально работать (((
Льюис Кэрролл:
Неправильный вопрос. Как перейти с 10 на 7 вот что нужно спрашивать)
Василий Ерохин:
Ну чтож вы все так с ума посходили по 10-ке? Чем вам 7-ка не катит? Хотя.. ИМХО..)
Хорхе:
Если вам привлекателен интерфейс 10-ки, то могу посоветовать скачать пиратскую версию Вин 10 Про. Это бесплатно. Но не безопастно для биснеса. Говорят пиратские версии не рекомендуется часто обновлять. Может быть заблокированна корпорацией после обновления. Так же часто пишут в интернете, что очередной вирус который поражает виндовс 10. Хакеры активно нападают на вин 10 так как большинство пк работают на новой системе. Я присоединяюсь к тем кто предпочитает Вин 7
Обратите внимание поддерживает ли ваш процессор Вин 7. Если поддерживает то можете смело вернуться к хорошо знакомой и понятной Вин 7
Можно купить лицензию. Обновления выходят часто.
Dr.leftbehind:
dugtor /programmy/os/windows-10/18981-microsoft-windows-10-home-single-language-10010586-version-1511-updated-feb-2016-originalnye-obrazy-ru чистая, обновляется
Stepeecoyote:
Ты хоть погугли отличия редакций для приличия….
Дов Машле:
Что вы понимаете под корпоративной версией? Точнее, какой ключ у того, что у вас имеется? Если имеется VL-ключ, то поиски куда бы его впихнуть чтоб не пропал стоит начать с эмякания на все кнопки в программе AAct входящей в пакет KMS Tools от Ratiborus. В любом случае утилитам сего пакета ключи потребны, там в пакете даже есть автоматический сборщик всего похожего на ключи майкрософта со страниц разного рода форумов и т. п.Ежели вас волнует скорее вопрос «как получить активированную винду версии, отличной от той что есть сейчас», то путь такой же, как в случае отсутствия вообще какой либо лицензии, и начинается он с добычи наиболее свежих все тех же KMS Tools от Ratiborus. Скорее всего вам хватит kmsauto_lite, но рекомендую все же скачать весь пакет, там много интересных непонятных настроечек:)
☆Нога Кремля☆:
снеси и установи по новой и лучше вин7 .- стабильней работает
:
лично сам звонил в горячую службу виндоус и мне всё поэтапно рассказали !»!но перешёл на 10 а вновь на 7
Milaya:
Я тоже давно мечтаю винду 10. У меня в компе всё ещё седьмая стоит.На телефоне вот 10. Хорошо прям.Как перейти Вам на Домашнюю, не подскажу. Незнаю потому что. Ждите подскажут люди. Счастливо Вам !!!
_Лапа _:
Что значит этот смайл
Артём Тасаков:
Сходить с ноутом в магазин, где ремонтируют технику (токо не стиральные, а телефоны, ноуты и тд)) и попросить установить вместо винды корпоративной винду домашнюю. Правд денег будет стоить.
Юра Позитивчик романтишный)):
Нет ничего проще! Снеси прошку и поставь домашку.А по серьёзному — зайди в службы, отключи не нужные.Зайди в политики — запрети всякий хлам. И начни нахратить реестр. Короче: «Учится, учиться и учиться!» (Ци Ленин)
DiEgo:
та одно и то же будет)
Crowley:
про поставь
Хозяйка тихого омута!:
Вызовите мастера, он вам её переустановит!
В гостях у крутого DedpoolN•1:
Скачать windows 10 профессионал 64бит через торрент .потом скачай ультро ИСО запеши Винду на флешку через ИСО урок в ютубе смотри.
Vlad Kravchenko:
Лол, чисто переустанови винду, и выбери виндовс 10 про, ну а потом домашнюю версию
Скачать RSAT для Windows 10
Выберите язык своей Windows 10 и нажмите кнопку Download button. В зависимости от разрядности вашей системы, вам нужно скачать один из файлов:
- Для Windows 10 x86 – файл WindowsTH-RSAT_TP5_Update-x86.msu (68.5 Мб)
- Для Windows 10 x64 – файл WindowsTH-RSAT_TP5_Update-x64.msu (91.0 Мб)
Начиная с Windows 10 1809 (October Update), инструменты администрирования RSAT теперь не нужно качать с сайта загрузок Microsoft. Теперь они встроены в Windows 10 и устанавливаются в виде отдельной функции по требованию из приложения Параметры. Подробности в статье: https://winitpro.ru/index.php/2018/10/04/ustanovka-rsat-v-windows-10-iz-powershell/.
Как изменить имя компьютера через реестр Windows
Если вы хотите экзотики и легкого мазохизма, то можете попробовать выполнить изменение имени вашей системы через реестр Windows. Для этого вам придется воспользоваться утилитами поиска по нему, о которых я уже рассказывал. Я буду использовать Registry Finder, нас будут интересовать две ветки:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \ComputerName\ComputerName
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ ComputerName\ActiveComputerName
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\Hostname и NV Hostname
Вообще ключей содержащих имя вашего компьютера очень много, но менять нужно исключительно те два, что я описал выше, после манипуляций обязательная перезагрузка системы.
Проверяю результат и вижу, то что нужно W10-CL0177.
Нужно ли менять имя компьютера?
Когда вы устанавливаете Windows 10, то у вас после всех дополнительных настроек будет автоматически сформировано имя вашего ПК. Оно будет иметь кракозяброподобный вид, что-то вроде этого DESCTOP-193QATJ
Вроде бы ничего страшного, и для большинства людей это ни на что не влияет, так как они и не вспоминают об этом. Но так как компьютеры все больше и больше завязываются с всевозможными внешними сервисами, количество устройств в рядовой семье и доме становится все больше и больше, что ставит вопрос более удобного обнаружения, запоминания имени компьютера более остро. Простая ситуация вы хотите постримить видео с компьютера на телевизор, естественно по локальной сети, или хотите расшарить папку с файлами в вашей домашней или локальной сети, вариантов много, и логично, что использование красивого и легко запоминаемого имени лучше, нежели DESCTOP-193QATJ.
Если мы говорим про доменную сеть на предприятии, то там вообще более жесткие правила и есть специальные стандарты по именованию серверов, рабочих станций, точек доступа. У каждой компании это своя система, и призвана она для упрощения администрирования, со стороны инженеров, которые легко могут понимать, место расположение рабочей станции, принадлежность ее к отделу и многое другое, так же и с серверами.
Ввод ПК в домен Server 2012:
Осуществим вход на наш сервер и откроем оснастку «Пользователи и компьютеры Active Directory» которая расположена в средствах диспетчера серверов
Зайдем в папку «Computers» и убедимся в том что пока что ни один компьютер пока что не подключен к домену
Давайте перейдем к настройкам:
Первой настройкой нам необходимо что бы на рабочих станциях был прописан IP адрес DNS сервера, в нашем случае DNS установлен на контроллере домена и если мы откроем в диспетчере сервером оснастку «DNS» то увидим, что ip адрес совпадает с адресом контроллера домена
Теперь создадим первого пользователя, и назовем его Тест. Для этого вновь откройте вкладку «Пользователи и компьютеры Active Directory» далее перейдите в парку «Uzers – Создать – Пользователь»
В появившимся окне заполняем необходимые параметры для новой учетной записи информация расположена ниже на картинке и жмем «Далее»
После чего заполняем поля с паролем. Пароль должен отвечать требованиям сложности (содержать латинские буквы с верхним регистром, символы и т.д) Для того что бы каждый раз вам не вводить сложные пароли необходимо отключить данную политику, как это сделать можете узнать их этой статьи.
После ввода паролей нажмите поставьте чекбоксы как указано на рисунке и жмите «Далее»
Кликаем «Готово» непосредственно для завершения создания нового пользователя
После чего в оснастке AD появится Тест Тестович!
Лучшие ответы
ξένος:
Нужно добавить файл в папку Sourсes Сам файл s yadi.sk/d/28GpXLgb3UFcr3И будет выбор редакции. Сам так ставлю PRO ибо у ноута тоже SL подхватывает.
Александр Пушной:
отформатируй логический диск на ноуте
Oleg Х:
Ну так сделай флешку только с про
Юрий:
Я сделал, как рекомендовали на сайте Майкрософт:Проблема в следующем. При установке стороннего экземпляра Windows серийный номер система всегда будет брать из BIOS компьютераРешение:Создаём в папке Sources файл PID.txt c содержимым:
Value=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Где XXXXX-XXXXX-XXXXX-XXXXX-XXXXX — это ваш серийный номер.
Теперь, при установке будет использоваться этот номер, а не прошитый в BIOSе.Так же, файл pid.txt можно разместить на флешке в корневой директории.
У меня получилось.
Оригинал статьи s answers.microsoft m/ru-ru/windows/forum/windows8_1-windows_install/как/e8d7342e-8ada-47b0-8c01-adeb31023182
Настройка DNS
Для начала необходимо изменить настройки DNS на вашей машине, прописав в качестве DNS сервера доменконтроллер и в качестве домена поиска — нужный домен.
Если у вас статический IP-адрес, то в Ubuntu Desktop это можно сделать через Network Manager, в Ubuntu Server необходимо изменить содержимое файла на примерно такое:
domain domain.com search domain.com nameserver 192.168.0.1 nameserver 192.168.0.2
В современных дистрибутивах файл resolv.conf создается автоматически и править вручную его не нужно.
Для получение нужного результата нужно добавить необходимые изменения в файл:
Данные которые будут добавлены в него, будут автоматически вставлены в файл
Если IP-адрес динамический и присваивается DHCP сервером то после перезагрузки resolv.conf может формироваться «неправильный» resolv.conf’ , например присутствует только один nameserver 192.168.0.1 и не указаны domain и search. Нужно отредактировать . Чтобы появились записи domain и search нужно убрать комментарий перед строкой supersede domain-name, и вписать свой домен:
supersede domain-name "domain.com";
Чтобы добавить еще один nameserver нужно убрать комментарий перед prepend domain-name-servers и указать ip сервера:
prepend domain-name-servers 192.168.0.2;
Для применения изменений остается перезапустить службу:
/etc/init.d/networking restart
Теперь убедитесь, что вы задали нужное имя компьютера в файле :
smbsrv01
Кроме того необходимо отредактировать файл так, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP:
# Имена этого компьютера 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01
Сразу нужно проверить что нормально пингуется наш контроллер домена, по короткому и полному имени, чтобы в будушем не получать ошибки что контроллер домена не найден:
ping dc ping dc.domain.com
Не обязательно, но если вы что-то поменяете — перезагрузите компьютер для применения изменений.
Авторизация в Ubuntu через пользователей домена
Несмотря на то, что все пользователи домена фактически стали полноценными пользователями системы (в чём можно убедиться, выполнив последние две команды из предыдущего раздела), зайти ни под кем из них в систему всё ещё нельзя. Для включения возможности авторизации пользователей домена на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.
Он-лайн авторизация
Для Ubuntu 10.04 и выше добавьте всего одну строку в файле , т.к. PAM и так неплохо справляется с авторизацией:
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077
Для Ubuntu 13.10 чтобы появилось поле ручного ввода логина необходимо в любой файл из папки снизу добавить строку:
greeter-show-manual-login=true
Для Ubuntu 9.10 и ниже придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 — он тоже работает):
Последовательность строк в файлах имеет значение!
auth required pam_env.so auth sufficient pam_unix.so likeauth nullok try_first_pass auth sufficient pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE auth required pam_deny.so
account sufficient pam_winbind.so account required pam_unix.so
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077 session optional pam_ck_connector.so nox11 session required pam_limits.so session required pam_env.so session required pam_unix.so
password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow password sufficient pam_winbind.so password required pam_deny.so
И, наконец, необходимо перенести запуск Winbind при загрузке системы после всех остальных служб (по умолчанию он запускается с индексом 20). Для этого в терминале выполните следующую команду:
sudo bash -c "for i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; done"
Что эквивалентно запуску для каждого уровня (в примере — 4) команды:
mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind
В некоторых случаях winbind может иметь иной уровень запуска (например, S02winbind). Поэтому сначала проверьте имена файлов, вполнив команду «ls /etc/rc{2,3,4,5}.d/ | grep winbind» (без кавычек).
Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена.
Офф-лайн авторизация
Часто возникает ситуация, когда домен-контроллер недоступен по различным причинам — профилактика, отключение света или вы принесли ноутбук домой и хотите поработать. В этом случае для Winbind можно настроить кэширование учетных записей пользователей домена. Для этого необходимо сделать следующее.
Добавьте в секцию файла следующие строки:
# Возможность оффлайн-авторизации при недоступности доменконтроллера winbind offline logon = yes # Период кэширования учетных записей, по умолчанию равен 300 секунд winbind cache time = 300 # Необязательная настройка, но избавляет от нудных пауз, указываем контроллер домена dc, # можно указать и ip, но это является плохим тоном password server = dc
Обычно этого достаточно. Если же возникают ошибки, то необходимо создать файл со следующим содержанием:
Внимание! При использовании советов ниже может возникать совершенно случайная ошибка «Сбой аутентификации»! Поэтому все что Вы делаете, Вы делаете на свой страх и риск!
# # pam_winbind configuration file # # /etc/security/pam_winbind.conf # # turn on debugging debug = no # request a cached login if possible # (needs "winbind offline logon = yes" in smb.conf) cached_login = yes # authenticate using kerberos krb5_auth = yes # when using kerberos, request a "FILE" krb5 credential cache type # (leave empty to just do krb5 authentication but not have a ticket # afterwards) krb5_ccache_type = FILE # make successful authentication dependend on membership of one SID # (can also take a name) ;require_membership_of = silent = yes
Файл в таком случае принимает вид:
auth sufficient pam_unix.so nullok_secure auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so
А также изменяется файл :
auth optional pam_group.so auth sufficient pam_unix.so nullok_secure use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so