[Samba-it] gruppo Everyone e Samba 3

[Luigi Iotti]

> From: samba-it-admin at xsec.it [mailto:samba-it-admin at xsec.it]On Behalf Of
> Marco Gaiarin
> Sent: Tuesday, December 20, 2005 11:01 AM

> > non sono riuscito a trovare in rete (e soprattutto nell'howto ufficiale)
> > informazioni circa il gruppo everyone di windows NT e Samba. Esiste un
> > gruppo con le stesse caratteristiche in samba?
>
> Domain Guests, sid -514 se non ricordo male, ma ad ogni modo è scritto
> chiaramente nella documentazione.

Qui sconfino nell'OT perchè parlerò anche di roba MS, ma...

Everyone e Domain Guests sono 2 cose distinte.

Intanto Everyone esiste su ogni macchina NT (e discendenti) ed è chiamato in
casa MS un "gruppo speciale" in quanto esiste sempre e i suoi membri non
vengono assegnati esplicitamente dall'amministratore, ma sono tutti i membri
di altri gruppi speciali (network, interactive, dialup e authenticated users
se non erro, ma la memoria è scarsa per questi dettagli e le cose possono
essere state estese da quando ho letto questi dettagli). Interactive, ad
esempio, è un buon esempio IMO di un altro gruppo speciale: tutti e soli gli
utenti che hanno fatto logon interattivo.

Domain Guests, invece, è un gruppo definito solo sui domain controllers
(finchè non abbiamo un dominio ma solo un workgroup, di Domain Admins,
Domain Users e Domain Guests non se ne vedono); è un gruppo globale e serve
a fare sì che l'utente guest _del dominio_ (che peraltro di default è
disabilitato, mi pare) faccia automaticamente parte dei Guests (come gruppo
locale) su ogni macchina che ha fatto il join al dominio, esattamente come
l'Administrator (e gli altri amministratori) del dominio è automaticamente
anche amministratore di ogni PC che fa parte del dominio e un utente del
dominio lo è dei PC, secondo le relazioni:
Guest (del dominio) fa parte di Domain Guests (gruppo globale, quindi di
dominio)
Domain Guests su OGNI membro del dominio fa parte di Guests (gruppo locale)

un utente qualsiasi (del dominio) fa parte di Domain Users (gruppo globale,
quindi di dominio)
Domain Users su OGNI membro del dominio fa parte di Users (gruppo locale)

Administrator (del dominio, così come un altro amministratore) fa parte di
Domain Admins (gruppo globale, quindi di dominio)
Domain Admins su OGNI membro del dominio fa parte di Administrators (gruppo
locale)

Naturalmente il tutto vale finchè qualcuno non va a togliere quelle
inclusioni appena descritte, che NON sono obbligatorie, anche se stabilite
di default all'atto dell'inclusione del PC nel dominio.

Concludendo, i Domain Guests sono altra cosa rispetto a Everyone: infatti,
di default il gruppo Domain Guests è vuoto (o meglio, c'è dentro il Guest
del dominio che però è disabilitato di default) e su Samba vale l'analogo:
le workstation Windows vogliono "vedere" il gruppo Domain Guests nel dominio
per poterlo includere in Guests locale (e l'analogo vale x Administrators e
Users) ma poi non è detto che certi utenti ne facciano parte: ne fanno parte
gli utenti che l'amministratore vi ha assegnato, come x un altro gruppo. I
quali poi diventano Guests dei membri del dominio.
Venendo a Samba, tanto x rientrare in topic, se come da doc faccio
net groupmap modify ntgroup="Domain Guests"  unixgroup=nobody
e poi non caccio nessun utente in nobody, il mio gruppo Domain Guests rimane
vuoto. E gli utenti Unix non fanno parte di nobody, se non ce li metto
esplicitamente. Chiaramente, la scelta di nobody come gruppo da mappare in
Domain Guests è puramente arbitraria.

Luigi