Попытка ограничить папку в каталоге, созданном в файловой системе Linux. Я изменил разрешения на: root rwx, специальную группу активных каталогов rwx и все остальные r. После этого люди, не входящие в специальную группу AD, могут получить доступ к каталогу и изменить файлы. После этого группа меняется на «Пользователи домена», когда пользователь изменяет документы в каталоге. Мне нужно вручную изменить группу документов по умолчанию обратно на мою группу AD. Я попытался создать еще одну группу AD и изменить разрешения, чтобы запретить доступ на запись. Когда это делается через проводник Windows, настройки, похоже, вступают в силу, пока я не вернусь к просмотру разрешений для ограниченной группы. При просмотре во второй раз разрешения не отображаются. Пожалуйста помогите.
Общие свойства Samba
[MyShare]
comment = "blah blah blah"
browseable = yes
guest ok = no
read only = no
path = /xxx/xxxxx/
create mask = 0640
directory mask = 0750
admin users = @"domain\Domain Admins", @"domain\group A", @"domain\group B"
valid users = @"domain\Domain Admins", @"domain\group A", @"domain\group B"
nt acl support = Yes
inherit acls = yes
inherit owner = yes
inherit permissions = yes
У меня давно была похожая проблема. Для меня решение было в самих разрешениях файловой системы Linux. Мне пришлось изменить разрешения, используя chmod 2770 ./foo для правильной работы прав пользователей и групп. См. Мой (отредактированный) ls ниже:
[root@server1 home]# ls -lAF
total 92
drwxrws---. 2 al al 4096 2009-05-27 00:25 al/
drwxrws--- 6 root shares 4096 2010-06-11 16:19 images/
drwxrws---. 61 jesse jesse 4096 2010-06-13 16:21 jesse/
drwxrws---. 28 mary mary 4096 2009-08-26 15:52 mary/
drwxrws---. 14 root work 4096 2010-05-24 08:16 work/
drwxrws---. 12 root shares 4096 2010-06-18 14:15 share/
[root@server1 home]#
Я не использую admin users = записи. Я просто полагаюсь на структуру пользователей и групп, встроенную в сам Linux. Конечно, вы используете AD, но должна применяться аналогичная концепция. Для справки, вот соответствующие части моего smb.conf (отредактировано снова):
[global]
server string = Samba Server
security = share
unix password sync = Yes
create mask = 0660
directory mask = 0770
[jesse]
path = /home/jesse
valid users = jesse
read only = No
[share]
path = /home/share
valid users = al, jesse, mary
read only = No
[work]
path = /home/work
valid users = al, jesse
read only = No
Надеюсь, это поможет!
Это может не ответить на ваш вопрос, но когда вы действительно присоединяете свой хост к домену Windows с помощью winbind и pam, становится проще управлять разрешениями с помощью setfacl и getfacl, которые похожи на команды cacls / xcacls в Windows.
в объявлении общего ресурса samba используйте директиву force group, чтобы гарантировать создание новых файлов с этой группой владения.
force group = @"domain\special_AD_Group"