Droit admin du domaine ?

Support Debian
#1

Bonjour,

ma question est toute simple, j’ai un serveur debian + samba (pour gérer les comptes utilisateurs et le domaine ), j’ai des client sous XP.

Pour utiliser un soft de prise de main à distance ( gencontrol ) j’ai besoin d’avoir les droits admin du domain. Comment faire ? sachant que je suis dans le groupe root… dans quel autre groupe je dois être ?
actuellement quand j’essaye de me connecter sur un client, il me répond : “accès refusé, droits insuffisants”

Merci d’avance
Cédric

#2

[quote=“cedric31”]Bonjour,

ma question est toute simple, j’ai un serveur debian + samba (pour gérer les comptes utilisateurs et le domaine ), j’ai des client sous XP.

Pour utiliser un soft de prise de main à distance ( gencontrol ) j’ai besoin d’avoir les droits admin du domain. Comment faire ? sachant que je suis dans le groupe root… dans quel autre groupe je dois être ?
actuellement quand j’essaye de me connecter sur un client, il me répond : “accès refusé, droits insuffisants”

Merci d’avance
Cédric[/quote]en tant qu’user ? :cry:

#3

J’ai un peu de mal à comprendre ce que tu dis, mais si je débrouille ça donne ça :

Un domaine NT de machine en XP géré par un controleur linux avec samba
et toi d’un poste XP tu veux prendre la main sur un autre poste XP via gencontrol.

(Il n’y a pas de version linux de ce soft je crois, ou alors c’est avec wine mais comme tu n’a rien précisé)

D’après ce que je vois gencontrol demande uniquement un nom de machine et un domain pas de nom d’utilisateur et mot de passe.

Donc, il doit utiliser les droits du compte dont la session est ouverte en local, pour se connecter sur l’autre poste.

Il faut donc uniquement que le nom d’utilisateur sur ta machine de controle soit dans le groupe administrateur de ta machine à controler.

Sinon, peut être que tu peux t’en sortir avec la commande runas pour lancer gencontrol avec d’autre droit que ceux de ta session en cours… a voir.

Enfin dans tous les cas je ne vois pas pourquoi tu devrais utiliser le compte admin du domain, n’importe quel compte simplement dans le group admin de la machine cible suffit.

Pour info tout de même, les comptes de types admin sont indiqués via une ligne admin users de la section Global dans le fichier /etc/samba/smb.conf rien avoir avec le group root local de la machine linux

[quote]
admin users (S)
This is a list of users who will be granted administrative privileges on the share. This means that they will do all file operations as the super-user (root).
You should use this option very carefully, as any user in this list will be able to do anything they like on the share, irrespective of file permissions.
This parameter will not work with the security = share in Samba 3.0. This is by design.
Default: admin users =
Example: admin users = jason [/quote]

#4

[quote=“swiip81”]Un domaine NT de machine en XP géré par un controleur linux avec samba
et toi d’un poste XP tu veux prendre la main sur un autre poste XP via gencontrol.[/quote]

oui c’est bien ça

[quote=“swiip81”]
Il n’y a pas de version linux de ce soft je crois, ou alors c’est avec wine mais comme tu n’a rien précisé[/quote]

pourquoi faire une version linux ?
je veux me connecter sur un PC XP à partir de mon PX ( sous XP ) comme tu le dis au dessus :wink:

[quote=“swiip81”]Il faut donc uniquement que le nom d’utilisateur sur ta machine de controle soit dans le groupe administrateur de ta machine à controler.

Enfin dans tous les cas je ne vois pas pourquoi tu devrais utiliser le compte admin du domain, n’importe quel compte simplement dans le group admin de la machine cible suffit[/quote]

exact sauf que je vais pas m’amuser à me passer sur tous les PC pour me rajouter comme admin du poste :wink:
et dans ce cas il n’y a qu’un seul groupe qui a le droit de tout faire, c’est le groupe admin du domaine qui est par défaut administrateur de tous les PC du domaine !
ca n’existe pas sous linux ? :frowning:

je ne connais pas la commande runas, je vais jeter un oeil…

#5

quote="cedric31"
exact sauf que je vais pas m’amuser à me passer sur tous les PC pour me rajouter comme admin du poste :wink:
et dans ce cas il n’y a qu’un seul groupe qui a le droit de tout faire, c’est le groupe admin du domaine qui est par défaut administrateur de tous les PC du domaine !
ca n’existe pas sous linux ? :frowning:
(…)[/quote]Si, c’est ce qu’il te dit: dans ton smb.conf, il te faut une ligne admin users dans la section [global] qui définit la liste des admins du domaine. Il faut que tu définisse l’user que tu utilises pour te connecter comme appartenant aux administrateurs du domaine.

#6

[quote=“mattotop”]quote="cedric31"
exact sauf que je vais pas m’amuser à me passer sur tous les PC pour me rajouter comme admin du poste :wink:
et dans ce cas il n’y a qu’un seul groupe qui a le droit de tout faire, c’est le groupe admin du domaine qui est par défaut administrateur de tous les PC du domaine !
ca n’existe pas sous linux ? :frowning:
(…)[/quote]Si, c’est ce qu’il te dit: dans ton smb.conf, il te faut une ligne admin users dans la section [global] qui définit la liste des admins du domaine. Il faut que tu définisse l’user que tu utilises pour te connecter comme appartenant aux administrateurs du domaine.[/quote]

j’ai rajouté mon compte dans cette liste, j’ai arrêté/relancé samba, j’ai fermé ma session XP… toujours pareil… accès refusé ! :confused:

#7

ta machine source et ta machine cible appartiennent bien toutes les deux au domaine ?
et quand tu essayes d’accèder à C$ sur la machine cible, il t’accepte, en tant qu’administrateur du domaine ?
Sur ta machine cible, le groupe des admins du domaine devrait normalement avoir été rajouté au groupe des administrateurs locaux, mais peut être que la procedure d’ajout au domaine que tu as utilisée ne le fait pas toute seule, il faudrait vérifier.
Et aussi, as tu fermé et réouvert ta session sur la machine source, et peut être aussi redémarré carrément la machine cible ?

#8

[quote=“mattotop”]ta machine source et ta machine cible appartiennent bien toutes les deux au domaine ?
[/quote]

oui elles sont dans le même domaine

[quote=“mattotop”]
et quand tu essayes d’accèder à C$ sur la machine cible, il t’accepte, en tant qu’administrateur du domaine ?[/quote]

non ça marche pas !
ca marche qu’avec l’utilisateur déclaré sur la machine…

c’est quoi le groupe des admins du domaine sur linux ?
sur mes PC cible, il n’y a que l’utilisateur et le groupe administrateurs…

[quote=“mattotop”]
Et aussi, as tu fermé et réouvert ta session sur la machine source, et peut être aussi redémarré carrément la machine cible ?[/quote]

oui j’ai redémarré…idem…

#9

[quote=“cedric31”][quote=“mattotop”]ta machine source et ta machine cible appartiennent bien toutes les deux au domaine ?
[/quote]oui elles sont dans le même domaine[/quote]Bon. (si l’on peut dire).[quote=“cedric31”][quote=“mattotop”]
et quand tu essayes d’accèder à C$ sur la machine cible, il t’accepte, en tant qu’administrateur du domaine ?[/quote]non ça marche pas !
ca marche qu’avec l’utilisateur déclaré sur la machine…[/quote]
Ca veut dire que ton utilisateur de la source n’est toujours pas reconnu comme admin sur la cible.[quote=“cedric31”][quote=“mattotop”]Sur ta machine cible, le groupe des admins du domaine devrait normalement avoir été rajouté au groupe des administrateurs locaux, mais peut être que la procedure d’ajout au domaine que tu as utilisée ne le fait pas toute seule, il faudrait vérifier.[/quote]c’est quoi le groupe des admins du domaine sur linux ?[/quote]Ce que tu as déclaré comme admin users sur ton samba. Mais ce que je disais, c’est en verifiant sur la cible ce qui existe comme membre du groupe administrateur, et au besoin, tu rajoutes le groupe des administrateurs du domaine, sur ta cible windows, et avec l’interface standard d’ajout de membre à un groupe.[quote=“cedric31”]sur mes PC cible, il n’y a que l’utilisateur et le groupe administrateurs…[/quote]Oui, et ton utilisateur local fait normalement bien partie du groupe administrateur local, mais est ce que c’est tout ce qu’il y a dans le groupe administrateur local ? C’est ça ma question. Il devrait aussi s’y trouver le groupe “admins du domaine”[quote=“cedric31”][quote=“mattotop”]Et aussi, as tu fermé et réouvert ta session sur la machine source, et peut être aussi redémarré carrément la machine cible ?[/quote]oui j’ai redémarré…idem…[/quote]grmlll…

#10

[quote=“mattotop”]

Ce que tu as déclaré comme admin users sur ton samba. Mais ce que je disais, c’est en verifiant sur la cible ce qui existe comme membre du groupe administrateur, et au besoin, tu rajoutes le groupe des administrateurs du domaine, sur ta cible windows, et avec l’interface standard d’ajout de membre à un groupe.[/quote]
sur le samba, dans admin user y’avait root, j’ai rajouté mon compte, c’est tout…
le problème c’est que j’ai 300 PC, donc si je dois passer sur chaque PC pour rajouter un groupe, autant que j’installe VNC… puisque gencontrol me permet d’éviter de passer installer VNC sur les clients… :wink:

[quote=“mattotop”]

dans le groupe administrateur local, y’a que l’utilisateur local mais par défaut sur windows, le groupe admins du domaine est administrateur local…
mais est ce le cas avec les groupes linux ?
comment faire si on ne connait pas le compte et le mot de passe de chaque client ??
je suis pas le seul à avoir ce type de problème ou de demande ? :question: :wink:

merci

#11

sur le samba, dans admin user y’avait root, j’ai rajouté mon compte, c’est tout…
le problème c’est que j’ai 300 PC, donc si je dois passer sur chaque PC pour rajouter un groupe, autant que j’installe VNC… puisque gencontrol me permet d’éviter de passer installer VNC sur les clients… :wink: [/quote] Bah tu es bien obligé de toutes les manières d’ajouter la machine au domaine ? Ben il doit bien y avoir moyen de faire ça en un clic sur un script au moment de l’adhesion au domaine (voire même d’automatiser l’ajout à ce moment là). Déjà trouver ce qu’il y a à faire pour une machine, et ensuite l’automatiser pour toutes.
Sinon, si ce sont des XP, tu as le rdp (bureau à distance de windows) aussi, mais pareil, ça nécessite que tu connaisse un compte administrtateur sur chaque machine ou tu veux intervenir. [quote=“cedric31”][quote=“mattotop”][quote=“cedric31”]sur mes PC cible, il n’y a que l’utilisateur et le groupe administrateurs…[/quote]Oui, et ton utilisateur local fait normalement bien partie du groupe administrateur local, mais est ce que c’est tout ce qu’il y a dans le groupe administrateur local ? C’est ça ma question. Il devrait aussi s’y trouver le groupe "admins du domaine [/quote] dans le groupe administrateur local, y’a que l’utilisateur local mais par défaut sur windows, le groupe admins du domaine est administrateur local…
mais est ce le cas avec les groupes linux ? [/quote]C’est ce que je te dis: windows “englobe” la procedure d’ajout au domaine et comme d’hab, ne precise pas qu’il y ajoute des actions comme l’ajout du sid du groupe “admin du domaine” au gpe “admin local de la machine”. Mais si un serveur windows peut le faire, alors un serveur samba doit aussi pouvoir le faire avec la commande “net” et un script par exemple accroché à “add machine script” dans smb.conf.[quote=“cedric31”]comment faire si on ne connait pas le compte et le mot de passe de chaque client ??[/quote]Ben comment tu fais pour joindre la machine au domaine si tu n’as pas de compte accessible ?
C’est quand même toi qui les installes et qui les configure, tes machines, non ?[quote=“cedric31”]je suis pas le seul à avoir ce type de problème ou de demande ? :question: :wink:
merci[/quote]Je ne sais pas, il faudrait que tu passes sur un forum plus spécifique à samba.

#12

[quote=“mattotop”] Bah tu es bien obligé de toutes les manières d’ajouter la machine au domaine ? Ben il doit bien y avoir moyen de faire ça en un clic sur un script au moment de l’adhesion au domaine (voire même d’automatiser l’ajout à ce moment là). Déjà trouver ce qu’il y a à faire pour une machine, et ensuite l’automatiser pour toutes.
Sinon, si ce sont des XP, tu as le rdp (bureau à distance de windows) aussi, mais pareil, ça nécessite que tu connaisse un compte administrtateur sur chaque machine ou tu veux intervenir. [/quote]

ben non je vais pas passer sur toutes les machines, elles sont déjà sur le domaine !
le rdp c’est pas interessant car ca ferme la session du client, il ne voit plus rien, sinon y’a l’assistance à distance qui est bien mais il faut que le client fasse une manip pour autoriser l’accés, ce qui implique qu’il soit devant la machine :wink:

[quote=“mattotop”]
C’est ce que je te dis: windows “englobe” la procedure d’ajout au domaine et comme d’hab, ne precise pas qu’il y ajoute des actions comme l’ajout du sid du groupe “admin du domaine” au gpe “admin local de la machine”. Mais si un serveur windows peut le faire, alors un serveur samba doit aussi pouvoir le faire avec la commande “net” et un script par exemple accroché à “add machine script” dans smb.conf.[/quote]

je comprends pas ce que vient faire le “net” et le script ?

[quote=“mattotop”]
Ben comment tu fais pour joindre la machine au domaine si tu n’as pas de compte accessible ?
C’est quand même toi qui les installes et qui les configure, tes machines, non ?[/quote]

elles sont déjà toutes sur le domaine…

[quote=“mattotop”]
Je ne sais pas, il faudrait que tu passes sur un forum plus spécifique à samba.[/quote]

je vais voir…
merci

#13

[quote=“cedric31”][quote=“mattotop”] Bah tu es bien obligé de toutes les manières d’ajouter la machine au domaine ? Ben il doit bien y avoir moyen de faire ça en un clic sur un script au moment de l’adhesion au domaine (voire même d’automatiser l’ajout à ce moment là). Déjà trouver ce qu’il y a à faire pour une machine, et ensuite l’automatiser pour toutes.
Sinon, si ce sont des XP, tu as le rdp (bureau à distance de windows) aussi, mais pareil, ça nécessite que tu connaisse un compte administrtateur sur chaque machine ou tu veux intervenir. [/quote]ben non je vais pas passer sur toutes les machines, elles sont déjà sur le domaine ![/quote]Bah les utilisateurs se loguent avec un compte ou ils sont administrateurs ? Envoies leur par mail un script à cliquer qui fait le boulot d’ajout ?[quote=“cedric31”]
le rdp c’est pas interessant car ca ferme la session du client, il ne voit plus rien, sinon y’a l’assistance à distance qui est bien mais il faut que le client fasse une manip pour autoriser l’accés, ce qui implique qu’il soit devant la machine :wink: [/quote]Faut être cohérent: soit ils sont devant leur machine et ils peuvent utiliser l’assistance à distance, soit ils n’y sont pas et tu peux alors utiliser le Bureau à distance.
Ils ne peuvent pas, à moins d’être particulaires et quantiques être et ne pas être devant leur machine. :laughing: [quote=“cedric31”][quote=“mattotop”]C’est ce que je te dis: windows “englobe” la procedure d’ajout au domaine et comme d’hab, ne precise pas qu’il y ajoute des actions comme l’ajout du sid du groupe “admin du domaine” au gpe “admin local de la machine”. Mais si un serveur windows peut le faire, alors un serveur samba doit aussi pouvoir le faire avec la commande “net” et un script par exemple accroché à “add machine script” dans smb.conf.[/quote] je comprends pas ce que vient faire le “net” et le script ?[/quote]Quand tu fais l’adhesion au domaine, samba execute le script que tu as défini dans add machine script. Je n’ai pas vérifié tous les usages de la commande “net” (dispo sous linux et windows), mais elle doit bien permettre >à ce moment là< d’executer à distance l’ajout d’utilisateur à un gpe local (à vérifier) sinon, comment ferait un serveur windows pour envoyer le sid du groupe admin à la machine qui fait son adhesion au domaine? Il faut peut être “juste” trouver comment faire, et le mettre dans le script précité.[quote=“cedric31”][quote=“mattotop”]Ben comment tu fais pour joindre la machine au domaine si tu n’as pas de compte accessible ?
C’est quand même toi qui les installes et qui les configure, tes machines, non ?[/quote] elles sont déjà toutes sur le domaine…[/quote]Mais tu les a juste ajouté coté samba ? Il a bien fallu faire une manip sur chaque poste, non ?
Par ailleurs, les comptes utilisés par tes utilisateurs sont bien des comptes définis sur le domaine, non ? et défini comme administrateurs ? Tu peux donc peut être les faire faire tes manips de config dans le script de logon ?[quote=“cedric31”][quote=“mattotop”]Je ne sais pas, il faudrait que tu passes sur un forum plus spécifique à samba.[/quote] je vais voir…
merci[/quote]Désolé de ne pouvoir t’être plus utile.

#14

ils se loguent avec leur compte mais ne sont pas administrateur :wink:

[quote=“mattotop”]
lFaut être cohérent: soit ils sont devant leur machine et ils peuvent utiliser l’assistance à distance, soit ils n’y sont pas et tu peux alors utiliser le Bureau à distance.
Ils ne peuvent pas, à moins d’être particulaires et quantiques être et ne pas être devant leur machine. :laughing: [/quote]

c’est exact mais l’assistance à distance c’est trop contraignant pour des utilisateurs refractaires à l’informatique :wink:

[quote=“mattotop”]
Quand tu fais l’adhesion au domaine, samba execute le script que tu as défini dans add machine script. Je n’ai pas vérifié tous les usages de la commande “net” (dispo sous linux et windows), mais elle doit bien permettre >à ce moment là< d’executer à distance l’ajout d’utilisateur à un gpe local (à vérifier) sinon, comment ferait un serveur windows pour envoyer le sid du groupe admin à la machine qui fait son adhesion au domaine? Il faut peut être “juste” trouver comment faire, et le mettre dans le script précité. [/quote]

je vais regarder

[quote=“mattotop”]
Mais tu les a juste ajouté coté samba ? Il a bien fallu faire une manip sur chaque poste, non ?
Par ailleurs, les comptes utilisés par tes utilisateurs sont bien des comptes définis sur le domaine, non ? et défini comme administrateurs ? Tu peux donc peut être les faire faire tes manips de config dans le script de logon ? [/quote]

non je ne les ai pas ajouté, au moment ou je fais l’inscription sur le domaine à partir du client, ils s’inscrivent tout seul dans samba
les comptes sont bien définis sur domaine oui mais pas administrateurs…

[quote=“mattotop”]
Désolé de ne pouvoir t’être plus utile.[/quote]

tu m’as donné des pistes :wink:
merci

#15

[quote=“cedric31”][quote=“mattotop”]Bah les utilisateurs se loguent avec un compte ou ils sont administrateurs ? Envoies leur par mail un script à cliquer qui fait le boulot d’ajout ?[/quote]ils se loguent avec leur compte mais ne sont pas administrateur :wink:[/quote]Ok, c’est sain.
Mais toi au moins, tu connais le mot de passe et un compte d’admin, faut pas exagèrer.
Qu’est ce qui t’empêche d’utiliser ce compte pour ajouter à distance le groupe admin du domaine dans le groupe des administrateurs du domaine. Ca doit se scripter, ça, si tu as les mots de passe locaux de l’admin de chaque machine, même si je ne connais pas assez windows pour te dire comment. Et même à la main, en utilisant la console de gestion pour te connecter, 300 machines, c’est pas la mort à faire.[quote=“cedric31”][quote=“mattotop”]Faut être cohérent: soit ils sont devant leur machine et ils peuvent utiliser l’assistance à distance, soit ils n’y sont pas et tu peux alors utiliser le Bureau à distance.
Ils ne peuvent pas, à moins d’être particulaires et quantiques être et ne pas être devant leur machine. :laughing: [/quote]c’est exact mais l’assistance à distance c’est trop contraignant pour des utilisateurs refractaires à l’informatique :wink: [/quote]S’ils sont refractaires, ils se moquent peut être aussi de voir ce que tu fais quand tu te connectes en rdp ?quote=“cedric31”[quote=“mattotop”]Désolé de ne pouvoir t’être plus utile.[/quote]
tu m’as donné des pistes :wink:
merci[/quote]D’autres pistes:
msmvps.com/blogs/systmprog/archi … hines.aspx
support.microsoft.com/kb/324639/fr
redmondmag.com/forums/forum_post … =1766&pn=3
episteme.arstechnica.com/eve/for … 1008181831
msfn.org/board/lofiversion/i … 72395.html

et je te laisse en chercher d’autres:
google.fr/search?hl=fr&q=vbs … cher&meta=

#16

Et au fait, déjà, quand tu ajoutes le groupe admins du domaine au groupe admin local d’une machine, ça marche ?

#17

mon soucis c’est qu’il n’existe pas justement le groupe admins du domaine sous linux… ou alors je le trouve pas ! :wink:

#18

Mais quand tu ouvres la fenètre d’ajout d’utilisateurs au groupe “administrateurs de la machine”, et que tu selectionne le domaine pour choisir, tu as quoi comme choix ?

#19

je n’ai que la liste des utilisateurs … pas de groupes… :confused:

#20

je me demande si on est pas passé à coté de quelquechose.
En regardant ici:
forum.hardware.fr/hfr/OSAlternat … 9164_1.htm
et ici:
daniel.fiser.cz/?go=samba#admins

je m’aperçois que ce n’est pas admin users qui correspond à ce que nous cherchons, mais domain admin users

Tu vas y arriver :wink: