====== Preparazione per gestire il dominio che abbiamo appena creato ======

Occorre fare una serie di cose per essere in grado di gestire correttamente il dominio appena creato. Alcune di queste cose vanno fatte sul domain controller, altre su un client connesso al dominio


===== Impostare il default per le policy delle password =====

Possiamo vedere il default delle policy delle password con
<code>
samba-tool domain passwordsettings show
</code>

Possiamo aggiustarlo con questi comandi (per esempio qui sblocchiamo tutto):
<code>
samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length=0
</code>



===== Dare il privilegio di modificare le ACL =====

Se vogliamo gestire gli share e le ACL da Windows (cosa che il wiki di Samba consiglia in ogni caso, e che permette la massima fedeltà rispetto al comportamento di un server Windows vero) a questo punto dobbiamo assicurarci che un utente o un gruppo abbia il diritto di manipolare i permessi dei files, mediante il privilegio apposito ''SeDiskOperatorPrivilege''.

**In Samba moderno (4.10 e rotti e avanti) non occorre fare nulla perché il privilegio è già assegnato al gruppo dei Domain Admins**

  * Verifichiamo quali utenti o gruppi possono modificare le ACL:
<code>
net rpc rights list privileges SeDiskOperatorPrivilege -U "DOMINIO\administrator"
</code>
  * Diamo al gruppo "Domain Admins" il diritto di modificare le ACL: (Possiamo dare il diritto al gruppo che vogliamo, ovviamente, ma io lo darei a Domain Admins)
<code>
net rpc rights grant "DOMINIO\Domain Admins" SeDiskOperatorPrivilege -U "DOMINIO\administrator"
</code>

Vale la pena di notare che è opportuno NON DARE agli utenti normali il diritto in questione, altrimenti possiamo stare sicuri che riusciranno a fare un casino assurdo sui permessi. Ci riusciranno comunque, a dire il vero, anche senza questo diritto.


===== Preparare un PC Windows 10 per gestire il dominio =====

Occorre joinare un PC Windows al dominio per poter fare il resto delle operazioni. Io di solito installo un windows 10 pro in virtuale per fare queste cose.
  * Installare win10 pro
  * Joinare il dominio (il che è anche un modo per vedere se tutto funziona)
  * Fare login come administrator del dominio

A questo punto, installiamo qualche componente aggiuntivo utile:

  * Cercare "impostazioni" e poi "App e funzionalità" (usate la ricerca, altrimenti non saprei dove trovarlo)
  * cliccare su "funzionalità facoltative"
  * cliccare su "aggiungi una funzionalità" (il simbolo +)
  * Installare alcuni dei componenti che una volta erano parte del pacchetto RSAT, che sono:
    * strumenti di amministrazione remota del server - strumenti di active directory domain services e lightweight directory services
    * strumenti di amministrazione remota del server - Strumenti di gestione criteri di gruppo
    * strumenti di amministrazione remota del server - Strumenti per server DNS

Notare che ce ne sono molti altri, non so quali possano essere applicabili a Samba o possano realmente essere utili. Questi che ho indicato sono applicabili e utili.

Lo strumento che useremo di più sarà "Utenti e computer di Active Directory", quindi mettiamolo sul desktop. 

Per gestire il DNS a bordo di Samba, useremo "DNS". 

Lo strumento "Centro di amministrazione di Active Directory" non funziona con Samba.


===== Preparare un PC windows 11 per gestire il dominio =====

Ovviamnte la procedura per windows 11 è diversa in quanto hanno modificato i vari menù per arrivare a installare le cose che ci servono.

  * Installare win11 pro
  * Joinare il dominio (il che è anche un modo per vedere se tutto funziona)
  * Fare login come administrator del dominio

A questo punto, installiamo qualche componente aggiuntivo utile:

  * Cercare "Funzionalità facoltative" (usate la ricerca, altrimenti credo che sia sotto impostazioni / sistema / funzionalità facoltative)
  * La prima voce in alto dovrebbe essere "aggiungi una funzionalità facoltativa" con di fianco un bottone "Visualizza le funzionalità"
  * Cliccando detto bottone, si apre un elenco. Da questo elenco potete cercare (c'e` una ricerca in cima all'elenco) e installare i seguenti componenti. Per fare prima a trovare questa roba potete cercare "active directory" e poi "criteri" e poi "DNS". Assicuratevi di installare i componenti che hanno i nomi sotto elencati
    * Strumenti di amministrazione remota del server: strumenti di active directory domain services e lightweight directory services
    * Strumenti di amministrazione remota del server: Strumenti di gestione criteri di gruppo
    * Strumenti di amministrazione remota del server: Strumenti per server DNS

Per non impazzire con il menù idiota di windows 11 e la completa inutilità della ricerca, questi sono i comandi da lanciare per avviare i tre programmi che abbiamo installato:

  * Gestione utenti e gruppi: **dsa.msc**
  * Gestione computer: **compmgmt.msc**
  * Gestione policy per il dominio: **gpmc.msc**
  * Gestione dns: **dnsmgmt.msc**