[Samba-it] Samba e Power Users

Simo Sorce simo.sorce at xsec.it
Wed Feb 19 11:00:01 MST 2003 

On Wed, 2003-02-19 at 01:43, Marco De Vitis wrote:
> Salve a tutti,
> mi sono appena iscritto a questa mailing list per cercare soluzione a
> un problema per me importante.
> 
> Sto organizzando una rete con un PDC Linux + Samba e tutti client
> Win2000Pro. Mi sono documentato, ho letto varie guide, e tutto sembra
> funzionare a dovere.
> Però mi sono accorto che, quando un utente accede al suo account del
> dominio tramite un client, dal punto di vista del client quell'utente
> ha dei permessi equivalenti pressappoco a quelli del gruppo Users su
> Win2000 (non so a quale gruppo venga considerato appartenere,
> esattamente). Questo è veramente un grosso problema, perché sui client
> devono girare programmi che, per un motivo o per l'altro, funzionano
> solo se vengono avviati da utenti dei gruppi Power Users o
> Administrators.

Non voglio aprire una polemica, ma il problema sta in queste
applicazioni fatte veramente male (per non essere offensivo).

Il 99.99% delle applicazioni desktop non dovrebbe mai aver bisogno di
tali privilegi.

> Non poter risolvere questo problema potrebbe voler dire dover
> rinunciare a Linux e arrendersi a Win2000 Server.
> 
> Le soluzioni che ho trovato finora su Internet sono essenzialmente due
> (che ancora non ho verificato): aggiungere tutti gli utenti al gruppo
> di amministratori del dominio su Samba, oppure aggiungerli al gruppo
> Administrators sui client. Entrambe le soluzioni mi sembrano piuttosto
> irresponsabili...

su samba lo sarebbe certamente ... se esistesse un gruppo administrator
:-)

> inoltre la seconda mi costringerebbe a creare tutti
> gli account su tutti i client, ma uno dei motivi principali dell'uso
> di un PDC era proprio la gestione centralizzata degli account.

Invece la seconda è proprio il modo corretto di fare le cose.

Non ha senso dare accesso Power Users, tanto meno Administrator a
livello di dominio, quello si sarebbe irresposnsabile (i Power Users
hanno comuqnue troppi poteri).

Inoltre aggiungere un utente di dominio ad un gruppo locale è
possibilissimo e non richiede assolutamente di creare un utente locale.

In questo modo si da accesso privilegiato solo agli utenti che ne hanno
bisogno e solo sulle macchine con installato il programma fatto male.

La cosa non è particolarmente difficile, visto che comunque chi installa
l'applicazione deve avere permessi di amministraore _locali_ può
contestualmente lanciare lo user manager e aggiungere al gruppo
Administrator/Power User gli utenti di dominio che dovranno usare
l'applicazione fatta male al gruppo suddetto.


Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l.
via Durando 10 Ed. G - 20158 - Milano
tel. +39 02 2399 7130 - fax: +39 02 700 442 399
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 232 bytes
Desc: This is a digitally signed message part
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20030219/7f4d999e/attachment.pgp>

More information about the samba-it mailing list