Preparazione per gestire il dominio che abbiamo appena creato

Preparazione per gestire il dominio che abbiamo appena creato

Occorre fare una serie di cose per essere in grado di gestire correttamente il dominio appena creato. Alcune di queste cose vanno fatte sul domain controller, altre su un client connesso al dominio

Impostare il default per le policy delle password

Possiamo vedere il default delle policy delle password con

samba-tool domain passwordsettings show

Possiamo aggiustarlo con questi comandi (per esempio qui sblocchiamo tutto):

samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length=0

Dare il privilegio di modificare le ACL

Se vogliamo gestire gli share e le ACL da Windows (cosa che il wiki di Samba consiglia in ogni caso, e che permette la massima fedeltà rispetto al comportamento di un server Windows vero) a questo punto dobbiamo assicurarci che un utente o un gruppo abbia il diritto di manipolare i permessi dei files, mediante il privilegio apposito SeDiskOperatorPrivilege.

In Samba moderno (4.10 e rotti e avanti) non occorre fare nulla perché il privilegio è già assegnato al gruppo dei Domain Admins

Verifichiamo quali utenti o gruppi possono modificare le ACL:

net rpc rights list privileges SeDiskOperatorPrivilege -U "DOMINIO\administrator"

Diamo al gruppo "Domain Admins" il diritto di modificare le ACL: (Possiamo dare il diritto al gruppo che vogliamo, ovviamente, ma io lo darei a Domain Admins)

net rpc rights grant "DOMINIO\Domain Admins" SeDiskOperatorPrivilege -U "DOMINIO\administrator"

Vale la pena di notare che è opportuno NON DARE agli utenti normali il diritto in questione, altrimenti possiamo stare sicuri che riusciranno a fare un casino assurdo sui permessi. Ci riusciranno comunque, a dire il vero, anche senza questo diritto.

Preparare un PC Windows 10 per gestire il dominio

Occorre joinare un PC Windows al dominio per poter fare il resto delle operazioni. Io di solito installo un windows 10 pro in virtuale per fare queste cose.

Installare win10 pro
Joinare il dominio (il che è anche un modo per vedere se tutto funziona)
Fare login come administrator del dominio

A questo punto, installiamo qualche componente aggiuntivo utile:

Cercare "impostazioni" e poi "App e funzionalità" (usate la ricerca, altrimenti non saprei dove trovarlo)
cliccare su "funzionalità facoltative"
cliccare su "aggiungi una funzionalità" (il simbolo +)
Installare alcuni dei componenti che una volta erano parte del pacchetto RSAT, che sono:
- strumenti di amministrazione remota del server - strumenti di active directory domain services e lightweight directory services
- strumenti di amministrazione remota del server - Strumenti di gestione criteri di gruppo
- strumenti di amministrazione remota del server - Strumenti per server DNS

Notare che ce ne sono molti altri, non so quali possano essere applicabili a Samba o possano realmente essere utili. Questi che ho indicato sono applicabili e utili.

Lo strumento che useremo di più sarà "Utenti e computer di Active Directory", quindi mettiamolo sul desktop.

Per gestire il DNS a bordo di Samba, useremo "DNS".

Lo strumento "Centro di amministrazione di Active Directory" non funziona con Samba.

Preparare un PC windows 11 per gestire il dominio

Ovviamnte la procedura per windows 11 è diversa in quanto hanno modificato i vari menù per arrivare a installare le cose che ci servono.

Installare win11 pro
Joinare il dominio (il che è anche un modo per vedere se tutto funziona)
Fare login come administrator del dominio