[Samba-it] Samba e Power Users
Simo Sorce
simo.sorce at xsec.it
Wed Feb 19 11:00:01 MST 2003
On Wed, 2003-02-19 at 01:43, Marco De Vitis wrote:
> Salve a tutti,
> mi sono appena iscritto a questa mailing list per cercare soluzione a
> un problema per me importante.
>
> Sto organizzando una rete con un PDC Linux + Samba e tutti client
> Win2000Pro. Mi sono documentato, ho letto varie guide, e tutto sembra
> funzionare a dovere.
> Però mi sono accorto che, quando un utente accede al suo account del
> dominio tramite un client, dal punto di vista del client quell'utente
> ha dei permessi equivalenti pressappoco a quelli del gruppo Users su
> Win2000 (non so a quale gruppo venga considerato appartenere,
> esattamente). Questo è veramente un grosso problema, perché sui client
> devono girare programmi che, per un motivo o per l'altro, funzionano
> solo se vengono avviati da utenti dei gruppi Power Users o
> Administrators.
Non voglio aprire una polemica, ma il problema sta in queste
applicazioni fatte veramente male (per non essere offensivo).
Il 99.99% delle applicazioni desktop non dovrebbe mai aver bisogno di
tali privilegi.
> Non poter risolvere questo problema potrebbe voler dire dover
> rinunciare a Linux e arrendersi a Win2000 Server.
>
> Le soluzioni che ho trovato finora su Internet sono essenzialmente due
> (che ancora non ho verificato): aggiungere tutti gli utenti al gruppo
> di amministratori del dominio su Samba, oppure aggiungerli al gruppo
> Administrators sui client. Entrambe le soluzioni mi sembrano piuttosto
> irresponsabili...
su samba lo sarebbe certamente ... se esistesse un gruppo administrator
:-)
> inoltre la seconda mi costringerebbe a creare tutti
> gli account su tutti i client, ma uno dei motivi principali dell'uso
> di un PDC era proprio la gestione centralizzata degli account.
Invece la seconda è proprio il modo corretto di fare le cose.
Non ha senso dare accesso Power Users, tanto meno Administrator a
livello di dominio, quello si sarebbe irresposnsabile (i Power Users
hanno comuqnue troppi poteri).
Inoltre aggiungere un utente di dominio ad un gruppo locale è
possibilissimo e non richiede assolutamente di creare un utente locale.
In questo modo si da accesso privilegiato solo agli utenti che ne hanno
bisogno e solo sulle macchine con installato il programma fatto male.
La cosa non è particolarmente difficile, visto che comunque chi installa
l'applicazione deve avere permessi di amministraore _locali_ può
contestualmente lanciare lo user manager e aggiungere al gruppo
Administrator/Power User gli utenti di dominio che dovranno usare
l'applicazione fatta male al gruppo suddetto.
Simo.
--
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l.
via Durando 10 Ed. G - 20158 - Milano
tel. +39 02 2399 7130 - fax: +39 02 700 442 399
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 232 bytes
Desc: This is a digitally signed message part
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20030219/7f4d999e/attachment.pgp>
More information about the samba-it
mailing list