Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows AD - Debian Samba DC - Domain Trust - Probleme mit SMB Berechtigungen

Mitglied: joe2017

joe2017 (Level 2) - Jetzt verbinden

29.07.2020 um 12:21 Uhr, 174 Aufrufe, 9 Kommentare

Hallo zusammen,

ich habe ein kleines Problem und weiß aktuell nicht mehr wo ich suchen könnte.
Ich habe einen Domain Trust zwischen einem Windows Active Directory und einem Debian Samba DC hergestellt.

Jetzt habe ich in beiden Domains einen Fileserver und möchte beide Domains auf beide Fileserver zugreifen lassen.
Hierzu müssen einige Anpassungen an den Grupper durchgeführt werden.

In beiden Domains existieren Gruppen im Gruppenbereich Local und Global.
In den Global Gruppen sind meine Benutzer als Mitglieder gelistet.
In den Local Gruppen sind meine gleichnamigen Global Gruppen aus beiden Domains als Mitglieder gelistet.

Beispiel:
Windows=DomainA
Debian=DomainB

Global_Group_DomainA: User1_DomainA, User2_DomainA
Local_Group_DomainA: Global_Group_DomainA, Global_Group_DomainB

Global_Group_DomainB: User3_DomainB, User4_DomainB
Local_Group_DomainB: Global_Group_DomainA, Global_Group_DomainB


Auf meinem Debian SMB Share habe ich die Local_Group_DomainB für Berechtigungen eingetragen. Hier funktionieren die eingestellten Berechtigungen (rwx) wie geünscht. Beide Benutzer aus beiden Domains haben die richtigen Berechtigungen und können mit (r) nur lesen und mit (rw) lesen und schreiben.

Wenn ich das Ganze jetzt unter Windows teste, und in meiner Freigabe und Berechtigung die Gruppe Local_Group_DomainA eintrage, erhält mein Windows Benutzer die gewünschten Berechtigungen. Jedoch kann mein Debian Benutzer nicht einmal auf die Freigabe zugreifen. Dies ist erst möglich, wenn ich in der Freigabe und Berechtigung die Gruppe Local_Group_DomainB eintrage. Das ist jedoch nicht Sinn und Zweck der Sache und ich müsste bei meinem vorhandenen Fileserver alle Berechtigungen neu setzten. Das ist aktuell unmöglich.

Ich könnte mir Vorstellen, dass dies nicht nur bei SMB Freigaben auftritt.

Hat jemand eine Idee weshalb das für die Debian Freigabe funktioniert, und für meine Windows Freigabe nicht?
Mitglied: emeriks
29.07.2020, aktualisiert um 13:47 Uhr
Hi,
Zitat von joe2017:
... Dies ist erst möglich, wenn ich in der Freigabe und Berechtigung die Gruppe Local_Group_DomainB eintrage.
Wenn das geht, dann ist da was grundsätzliches faul.
Domänenlokale Gruppen kann man nicht an Ressourcen von Mitgliedern anderer Domänen berechtigen. Selbst wenn man das irgendwie über die API und SID in die ACL eintragen kann, wird das nicht funktionieren.
Wenn das also bei Dir angeblich funktioniert, dann schau mal genau hin, ob Du Dich nicht selbst täuschst. Ob nicht irgendwas tatsächlich ganz anders ist, als Du annimmst.

E.

Edit:
Könnte es sein, dass Du tatsächlich die Gruppe Global_Group_DomainB eingetragen hast?
Bitte warten ..
Mitglied: joe2017
29.07.2020, aktualisiert um 17:18 Uhr
Also meine Ordnerberechtigung habe ich mit Local_Group versehen.

In der Local_Group habe ich als Mitglieder die Global_Group von beiden Domains eingetragen.
Da in den Global_Groups die Benutzer eingetragen sind, sollte doch dementsprechend von beiden Domains die jeweiligen Benutzer der Global_Group durch die Freigabe der Local_Group Berechtigungen erhalten.

Leider ist das etwas kompliziert zu beschreiben und ich hoffe man versteht wie ich das meine.
Bitte warten ..
Mitglied: joe2017
29.07.2020 um 17:39 Uhr
Also ich habe noch mal alles geprüft. Genau so habe ich das konfiguriert.
Ich verwende auf beiden Seiten ein Windows Client.

Mir ist jedoch noch etwas aufgefallen.
Wenn ich auf meinem Windows AD die Local_Group öffne, sehe ich unter Mitglieder die Global_Group Namen beider Domains.
Wenn ich auf meinem Debian DC die Local_Group öffne, sehe ich unter Mitglieder den Global_Group Namen von meinem Samba DC. Den Global_Group Namen meines Windows AD bekomme ich nicht aufgelöst, sondern nur als SID angezeigt.

Vielleicht ist hier das Problem zu suchen.
Bitte warten ..
Mitglied: emeriks
29.07.2020 um 18:04 Uhr
Zitat von joe2017:
Wenn ich auf meinem Debian DC die Local_Group öffne, sehe ich unter Mitglieder den Global_Group Namen von meinem Samba DC. Den Global_Group Namen meines Windows AD bekomme ich nicht aufgelöst, sondern nur als SID angezeigt.
Vielleicht ist hier das Problem zu suchen.
Ja, mit Sicherheit.
Bitte warten ..
Mitglied: emeriks
29.07.2020, aktualisiert um 18:06 Uhr
Zitat von joe2017:
Also meine Ordnerberechtigung habe ich mit Local_Group versehen.
....
Du hast meinen Hinweis nicht verstanden.
Wie Du das mit der Gruppenverschachtelung meinst und den Berechtigungen über die domänenlokalen Gruppen - das ist klar. Das ist ja nichts besonderes.

Ich wollte Dich darauf hinweisen, dass das, was Du in Deiner Eingangsfrage geschrieben hast, technisch nicht möglich ist. Also kannst Du das so auch nicht gemacht haben. Lies einfach nochmal genau, was ich geschrieben habe.
Bitte warten ..
Mitglied: joe2017
30.07.2020 um 10:18 Uhr
Hallo emeriks,

Hast du eine Idee weshalb die SID nicht richtig aufgelöst wird? Wenn ich die Gruppe suche, wird diese richtig angezeigt. Auch nach dem hinzufügen wird sie richtig angezeigt. Wenn ich das Fenster schließe und wieder öffne, ist nur noch die SID zu lesen.

Deinen Hinweis habe ich gelesen, Ich glaube, dass wir entweder aneinander vorbei gesprochen haben, oder ich mich dumm ausgedrückt habe.
Eine Local Group kann ich natürlich nicht zu anderen Domain Groups hinzufügen. Deshalb der Umstand mit den Global Groups.

Ich habe die Local Group nur in meinem Ordner als Freigabe Berechtigung eingetragen. Und die Global Groups beider Domains als Mitglied der Local Group gemacht.

RICHTIG
Local Group Mitglieder
- Global Group Domain A
- Global Group Domain B


FALSCH (funktioniert nicht)
Local Group Mitglieder
- Local Groups
Bitte warten ..
Mitglied: joe2017
30.07.2020, aktualisiert um 17:13 Uhr
Ich glaube ich muss ausflippen!!!

Ich suche die Ganze Zeit nach dem Problem weshalb ich nicht auf meine Freigabe zugreifen kann. Jetzt ging ich die ganze Zeit davona aus, dass es noch ein Problem mit den Berechtigungen und den Gruppen gibt.

Die ganze Zeit habe ich versucht auf meine Freigabe mit der IP zuzugreifen.
Also:
Anschließend auf die Freigabe klicken... FEHLER!

Jetzt dachte ich mir, vielleicht liegt es an dem DNS Server, weshalb auch meine Gruppen Namen nicht aufgelöst werden und meine SID anstatt des Namens angezeigt wird. Ok, einfacher Test. Versuch ich es einfach mit dem Server Namen.
Also:
Hier bekomme ich direkt ein FEHLER angezeigt! Server nicht gefunden!

Das ist natürlich auch klar, denn mein Server befindet sich ja nicht in dieser Domain.
Also:
Tada... Server gefunden. Und Tada... Ich kann jetzt auf die Freigabe wie gewünscht zugreifen.

Jetzt bin ich aktuell am überlegen, weshalb die Freigabe über den FQDN verwendet werden kann, und über die IP nicht?
Mein Debian File Server unter dem Debian Samba DC wird von der anderen Domäne über IP und FQDN gefunden und kann über beide Wege verwendet werden!?

Somit funktioniert alles wie gewünscht. Ich würde aber gerne noch den Schönheitsfehler mit den SID´s lösen.
Hat jemand eine Idee weshalb diese auf der Debian Samba DC Seite nicht aufgelöst werden?
Auf der Windows AD Seite wird alles wie gewünscht angezeigt.
Bitte warten ..
Mitglied: emeriks
31.07.2020 um 08:20 Uhr
Defacto ist es so, dass der Betrachter die SID's auflöst.
Wenn Du Dir also von einem Client aus mit dem Windows Explorer die ACL eines Objekts auf einem Server anschaust, dann muss der Client die SID's übersetzen können, nicht der Server.
Wenn Du direkt auf dem Samba Server die ACLs anschaust oder die Gruppenmitgliedschaft, dann muss der Samba Server die SID's übersetzen können.
Bitte warten ..
Mitglied: joe2017
03.08.2020 um 11:50 Uhr
Super emeriks! Da hätte ich natürlich selbst drauf kommen können. Das schaue ich mir gleich mal an.
Bitte warten ..
Ähnliche Inhalte
Linux

Debian - OpenSSL und Autoenrollment (Samba DC)

Frage von joe2017Linux

Hallo zusammen, gibt es eine Möglichkeit mit einer OpsenSSL CA ein Autoenrollment von Zertifikaten durchzuführen. Im Hintergrund würde ein ...

Samba

Join Samba 3.6 (member) in Samba 4.11 (AD DC)

Frage von JudgeDreddSamba3 Kommentare

Hallo und einen schönen guten Abend Zusammen, ich habe die Tage mal meinen Domain Controller auf den neusten Stand ...

Samba

Debian Samba (AD Member) mit share für Windows und Debain

Frage von joe2017Samba3 Kommentare

Hallo zusammen, ich möchte einen Debian Samba Server in mein Windows AD als Member hizufügen und die shares für ...

Samba

Debian Samba DC function level von 2008R2 zu 2012R2

Frage von joe2017Samba22 Kommentare

Hallo zusammen, ich habe einen Debian Samba DC Standardinstallation. Samba Version = 4.9.5-Debian Forest Function Level = 2008 R2 ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 8 StundenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 10 StundenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 2 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 5 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Heiß diskutierte Inhalte
Windows 10
Windows "Home" Version im Unternehmen legal?
gelöst Frage von BosnigelWindows 1024 Kommentare

Hallo, ich habe hier einen Kleinstunternehmer der überall sparen muss. Die Frage: Ist Windows 10 (also nicht Pro) für ...

Hyper-V
Hardware Empfehlung Hyper-V Host
Frage von TraxxTecHyper-V20 Kommentare

Hi, ich habe keine Ahnung was aktuell an Hardware unterwegs ist, deshalb bräuchte ich eine grobe Empfehlung für einen ...

Batch & Shell
Doppelte If Anweisung - check if file exist
Frage von chkdskBatch & Shell12 Kommentare

Hello Again :-) Ich habe hier ein Skript, welches zu zu Beginn überprüft ob eine Datei vorhanden ist. Falls ...

Windows 10
Gruppenrichtlinenen Anzeigen lassen ohne Administrator rechte ?
gelöst Frage von DavidHergWindows 1011 Kommentare

Guten Abend zusammen, kann ich mir die Gruppenrichtlinien ohne Administrator Rechte anzeigen lassen ? MFG DavidHerg

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...