Script di logon per Samba4 AD

Gli script di logon per utente vanno salvati dentro al path che viene esportato da Samba come [netlogon]. Gli scritp di logon definiti per policy di gruppo (GPO) vanno salvati dentro al path della policy stessa, che viene creato sotto [sysvol] quando si crea la policy.

Di default pero` le ACL assegnate allo share [netlogon] consentono agli utenti di leggere ma non di eseguire gli script, il che e` sbagliato, quindi vanno corrette. Possiamo per esempio dare i permessi di lettura ed esecuzione ad Everyone.

Impostazione di uno script di logon per ogni utente

Nel dominio AD non esiste un default per il logon script, ergo occorre definire, se lo si vuole, un logon script per ogni utente, anche se usano tutti lo stesso e non abbiamo esigenza di darne uno diverso ad ognuno.

Per farlo e` possibile usare l'editor di utenti interno di Samba o quello di Windows.

• Da samba: pdbedit  -r -u <username> --script=logon.bat

• Da Windows: Aprendo "Utenti e Computer di Active Directory" trovare l'utente interessato, e inserire il nome del logon script (senza percorso) nella apposita voce "scritp di accesso" sotto il tab "profilo".

Impostazione di uno script di logon per un gruppo o per tutti gli utenti del dominio

Usando le Group Policy possiamo impostare uno script per un gruppo di utenti.

Per farlo, usiamo il Group Policy Editor (in italiano Gestione Criteri di Gruppo).

Se vogliamo creare una policy per tutto il dominio, dobbiamo:

• Cliccare destro sul nome del dominio (sotto Foresta, Domini, il nome del dominio che ci interessa)
• Eseguire la voce "Crea un oggetto criteri di gruppo in questo dominio e crea qui un collegamento"
• Dare un nome sensato all'oggetto che stiamo creando (tipo "policy per lo script di logon"). Quando diamo OK, il nostro oggetto appena creato apparira` sotto la voce "Oggetti criteri di gruppo".
• Cliccare destro sul nostro oggetto "policy per lo script di logon" e selezionare la voce "modifica". Si aprira` l'editor delle policy.
• Ora, sotto "configurazione utente / criteri / impostazioni di windows / Script(Accesso/fine sessione)" troviamo quello che volevamo modificare.
• Modifichiamo quindi la proprieta` che si chiama "accesso" e inseriamo qui il nome del nostro script di logon, con eventuali parametri.
• Vale la pena di notare che il pulsante "visualizza file" ci apre una finestra che mostra il percorso (sul server) dove il client si aspetta di trovare lo script. Utile per andare a inserire o modificare rapidamente il file che ci interessa senza dover inseguire il percorso della policy dentro allo share [sysvol].

Se vogliamo creare una policy solo per un gruppo di utenti, dobbiamo:

• Prima di tutto, a meno che non l'abbiamo gia`, occorre creare una OU (Organization Unit, u "Unita` organizzativa" in italiano) dentro all' editor degli utenti, quindi:
  • Aprire "Utenti e computer di Active Directory"

  • Cliccare destro sul nome del dominio e selezionare "Nuovo -> Unita` organizzativa"

  • Dare un nome alla nuova OU.
  • Mettere qualche utente nella nuova OU (possiamo anche farlo dopo, ovviamente)
• Ora possiamo aprire il Gestore Criteri di Gruppo, e in esso troveremo fra i vari oggetti la nostra OU che abbiamo appena creato.
• Eseguire gli stessi passi di prima, solo che per iniziare non si clicca destro sul nome del dominio ma sul nome della OU che abbiamo creato.