Назад | Перейти на главную страницу

Samba с активными группами каталогов со специальным символом

У меня проблемы с группами Samba и Active Directory, которые содержат специальный символ, например '@' '' (пробел).

Например, у меня есть группа, имя которой: 'имя.фамилия city_allusers@domain.com', Делюсь в Samba:

[share_city]
    path = /data/share_city
    create mask = 0660
    directory mask = 2771
    force create mode = 0660
    create mode = 0660
    browseable = Yes
    browsable = Yes
    recycle:repository = .RecycleBin$/%U
    vfs object = recycle:repository recycle:keeptree
    write list = @"name.surname city_allusers@domain.com"
    recycle:keeptree = yes
    recycle:versions = yes
    recycle:touch = no
    recycle:exclude = *.tmp|*.temp|*.obj|~$*
    recycle:exclude_dir = /tmp|/temp|/cache
    recycle:maxsize = 1073741824
    recycle:noversions = *.mdb
    admin users = adminad

С smbclient я могу подключиться, чтобы поделиться: => ls в порядке 

smb: \> ls
.                                   D        0  Fri Nov 25 18:55:31 2011
..                                  D        0  Fri Nov 25 17:34:39 2011
test3                               D        0  Fri Nov 25 18:55:31 2011
    56569 blocks of size 8388608. 52263 blocks available

=> mkdir не работает

smb: \> mkdir test4
NT_STATUS_MEDIA_WRITE_PROTECTED making remote directory \test4

Итак, если я тестирую с доступом к системе, все, что работает, и наследование acl также работает

И с группами в том же активном каталоге, который не содержит символов, все работает хорошо.

Возможно ли то, что я пытаюсь сделать?

С точки зрения AD существует очень мало символов, которые нельзя использовать в именах групп / участников безопасности. В частности, допускается использование символа @. К запрещенным символам относятся:

ведущее пространство; конечное пространство; и любой из следующих символов: 

# , + " \ < > ;

Однако, если вы хотите, чтобы имя «Pre-Windows 2000» совпадало с CN, вы не можете использовать: 

/ \ [ ] : ; | = , + * ? < > "

Обратите внимание, что на практике AD позволяет создавать группы с помощью символа решетки (#). Также обратите внимание, что атрибут «samAccountName» - это имя «Pre-Windows 2000», поэтому большинство людей будут придерживаться этого списка запрещенных символов.

Больше информации:

Имена объектов Active Directory
http://technet.microsoft.com/en-us/library/cc776019%28WS.10%29.aspx