Администрирование групп

Для администрирования групп в домене Эллес с помощью утилиты samba-tool используется группа подкоманд group.

При выполнении операций с помощью группы подкоманд group рекомендуется указывать набор ключей -H (URI LDAP-сервера) и --use-kerberos=required.

В этом случае для успешного выполнения подкоманды:

либо пользователь должен работать на сервере под доменной учетной записью;
либо предварительно требуется запросить билет Kerberos с помощью стандартной команды kinit.

Добавление группы

Для создания новой группы в домене Эллес используется следующий формат вызова:

samba-tool group add <groupname> [options]

Переданное в команде значение <groupname> интерпретируется как имя учетной записи SAM (значение атрибута sAMaccountName). Оно должно быть уникальным.

В группу могут входить учетные записи пользователей и компьютеров, а также другие группы. Такое объединение объектов в рамках одной сущности упрощает работу с ними, включая выполнение задач по управлению безопасностью и системному администрированию.

Также группы могут использоваться для создания списков рассылки (группы рассылки). Для этого при вызове команды должна быть передана опция --group-type=Distribution.

В доменах группы располагаются в подразделениях (OU). Область действия (scope) группы определяет место группы в дереве доменов или лесу.

При создании группы с помощью команды samba-tool group add могут быть заданы ее расположение (OU), тип (группа безопасности или группа рассылки) и область действия.

Поддерживается работа с группой безопасности «Защищенные пользователи». Для ее создания необходимо добавить группу с именем Protected Users с указанием опции --special.

Группа «Защищенные пользователи» доступна только при функциональном уровне домена Windows Server 2012 R2.

В данную группу должны включаться только учетные записи пользователей.

После добавления в группу в отношении учетной записи начинают действовать следующие ограничения:

недоступна аутентификация по протоколу NTLM;
пользователю не выдаются и от пользователя не принимаются TGT-билеты Kerberos с использованием алгоритма шифрования RC4 (используется алгоритм AES);
максимальный период действия TGT-билета — 4 часа;
недоступно неограниченное и ограниченное делегирование Kerberos.

Для обеспечения обратной совместимости также поддерживается команда samba-tool group create <groupname> [<password>] [options], которая является синонимом команды samba-tool group add.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--groupou=GROUPOU — альтернативное расположение (без domainDN) по умолчанию для CN=Users; будет использоваться по умолчанию при создании новых учетных записей пользователей;
--group-scope=GROUP_SCOPE — область действия; возможные значения: Domain | Global | Universal;
--group-type=GROUP_TYPE — тип группы; возможные значения: Security |Distribution;
--description=DESCRIPTION — описание группы;
--mail-address=MAIL_ADDRESS — адрес электронной почты группы;
--notes=NOTES — дополнительная информация о группе;
--gid-number=GID_NUMBER — числовой идентификатор группы Unix/RFC 2307;
--nis-domain=NIS_DOMAIN — домен NIS;
--special — параметр может использоваться для создания группы безопасности с именем Protected Users.

Примеры

Пример добавления новой группы в контейнер Users с указанием удаленного LDAP-сервера:

samba-tool group add Group1 -H ldap://samba.samdom.example.com --description='Simple group'

Пример добавления новой группы рассылки на локальном сервере:

samba-tool group add Group2 --group-type=Distribution

Пример добавления новой группы в соответствии с RFC 2307 в домен NIS samdom с GID 12345:

samba-tool group add Group3 --nis-domain=samdom --gid-number=12345

Пример добавления группы безопасности «Защищенные пользователи» с указанием удаленного LDAP-сервера:

samba-tool group add 'Protected Users' --special -H ldap://samba.samdom.example.com -U administrator

Пример добавления группы безопасности «Защищенные пользователи» на локальном сервере:

samba-tool group add 'Protected Users' --special

Добавление атрибутов Unix/RFC 2307 для группы

Для добавления для группы в домене Эллес атрибутов в соответствии с RFC 2307 используется следующий формат вызова:

samba-tool group addunixattrs <groupname> <gidnumber> [options]

Переданное в команде значение <groupname> интерпретируется как имя учетной записи SAM (значение атрибута sAMaccountName).

Для использования этих атрибутов для сопоставления UID/GID в конфигурации (smb.conf) должен быть задан параметр idmap_ldp:use rfc2307 = Yes.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример добавления атрибута GID для группы:

samba-tool group addunixattrs Group1 10000

В результате выполнения команды группе Group1 будет присвоен Unix ID 10000 при условии, что он не занят.

Изменение атрибутов группы

Для изменения состава и значений атрибутов группы в домене Эллес используется следующий формат вызова:

samba-tool group edit <groupname> [options]

В результате выполнения команды в системном текстовом редакторе или текстовом редакторе, переданном в качестве значения параметра --editor, открывается список атрибутов группы. Редактирование и сохранение внесенных изменений выполняется средствами текстового редактора.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--editor=EDITOR — текстовый редактор, который следует использовать вместо редактора, заданного в системе по умолчанию, либо вместо vi, если в системе не задан редактор по умолчанию.

Примеры

Пример запуска редактирования атрибутов группы в домене с указанием удаленного LDAP-сервера:

samba-tool group edit Group1 -H ldap://samba.samdom.example.com -U administrator

Пример запуска редактирования атрибутов группы в домене на локальном сервере:

samba-tool group edit Group2

Пример запуска редактирования атрибутов группы в домене с использованием редактора nano:

samba-tool group edit Group3 --editor=nano

Удаление группы

Для удаления существующей группы в домене Эллес используется следующий формат вызова:

samba-tool group delete <groupname> [options]

Операция удаления является необратимой.

При удалении группы также удаляются все связанные с нею разрешения и права, а также унаследованные от нее разрешения и права участников.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример удаления в домене группы с указанием удаленного LDAP-сервера:

samba-tool group delete Group1 -H ldap://samba.samdom.example.com -U administrator

Пример удаления в домене группы на локальном сервере:

samba-tool group delete Group2

Перемещение группы

Для перемещения группы в подразделение (OU) или контейнер в домене Эллес используется следующий формат вызова:

group move <groupname> <new_parent_dn> [options]

Имя подразделения (OU) или контейнера может указываться в формате полного уникального имени (DN) либо без части domainDN.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример перемещения группы в подразделение OrgUnit с указанием удаленного LDAP-сервера:

samba-tool group move Group1 'OU=OrgUnit,DC=samdom,DC=example,DC=com` -H ldap://samba.samdom.example.com -U administrator

Пример перемещения группы назад в контейнер CN=Users на локальном сервере:

samba-tool group move Group1 CN=Users

Изменение имени группы и связанных атрибутов

Для изменения имени группы в домене Эллес и связанных с нею атрибутов (mail-address, samaccountname) используется следующий формат вызова:

samba-tool group rename <groupname> [options]

В результате выполнения операции будет автоматически изменено общее имя группы (CN). Используйте опцию --force-new-cn для задания нового значения CN вручную и опцию --reset-cn для отмены этого изменения.

Для удаления указанного атрибута задайте в нем пустое значение.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--mail-address=MAIL_ADDRESS — новое значение адреса электронной почты;
--samaccountname=SAMACCOUNTNAME — новое значение имени (значение атрибута sAMAccountName / имя, используемое для входа);
--force-new-cn=NEW_CN — новое значение CN (RND) для использования вместо sAMAccountName;
--reset-cn — использовать в качестве значения CN имя sAMAccountName; используйте данную опцию для сброса изменений, внесенных с помощью опции --force-new-cn.

Примеры

Пример изменения имени группы:

samba-tool group rename employees --samaccountname=staff

В результате выполнения операции значения sAMAccountName и CN (если текущее значение CN также равно значению sAMAccountName) группы будут заменены значением staff.

Пример изменения адреса электронной почты группы с указанием удаленного LDAP-сервера:

samba-tool group rename employees --mail-address='staff@company.com' -H ldap://samba.samdom.example.com -U administrator

Получение списка всех групп

Для получения полного списка групп в домене Эллес используется следующий формат вызова:

samba-tool group list [options]

По умолчанию выводится список имен учетных записей SAM (sAMAccountName).

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--full-dn — выводить в списке вместо имен учетных записей SAM (sAMAccountName) уникальные имена (Distinguished Name, DN);
-b BASE_DN|--base-dn=BASE_DN — выводить в списке только группы с указанным базовым уникальным именем (DN).

Примеры

Пример получения списка имен учетных записей SAM (sAMAccountName):

samba-tool group list

Пример получения списка уникальных составных имен групп (DN):

samba-tool group list --full-dn

Получение списка участников группы

Для получения списка участников группы в домене Эллес используется следующий формат вызова:

samba-tool group listmembers <groupname> [options]

При вызове команды может указываться только одна группа.

По умолчанию в результате выполнения команды выводится список имен учетных записей SAM (sAMAccountNames). При отсутствии sAMAccountName выводятся общие имена (CN).

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--full-dn — выводить в списке вместо имен учетных записей SAM (sAMAccountName) уникальные имена (Distinguished Name, DN);
--hide-expired — не выводить в списке учетные записи с истекшим периодом действия;
--hide-disabled — не выводить в списке отключенные учетные записи.

Примеры

Пример вывода списка участников группы с указанием удаленного LDAP-сервера:

samba-tool group listmembers "Domain Users" -H ldap://samba.samdom.example.com -U administrator

Добавление в группу участников

Для добавления участников в существующую группу в домене Эллес используется следующий формат вызова:

samba-tool group addmembers <groupname> (<listofmembers>|--member-dn=<member-dn>) [options]

Команда позволяет добавить в группу одного или нескольких участников (через запятую). В качестве участника группы может выступать учетная запись пользователя, учетная запись компьютера или другая группа, существующая в домене.

При добавлении в группу участник может наследовать имеющиеся у группы разрешения и права. В этом случае любые изменения в составе и объеме разрешений и прав группы будут автоматически отражаться на разрешениях и правах участника через механизм наследования.

В качестве имен участников должны указываться имена учетных записей SAM (sAMAaccountName).

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--member-dn=MEMBER_DN — уникальное составное имя (DN) добавляемого в группу нового участника; значение опции --object-types игнорируется;
--object-types=OBJECT_TYPES — список типов объектов (через запятую); указанные типы используются в качестве фильтра при выполнении поиска для указанных в команде участников; возможные значения: user, group, computer, serviceaccount, contact, all; значение по умолчанию — user,group,computer;
--member-base=MEMBER_BASE_DN — базовое уникальное имя (DN) для поиска участников группы; значение по умолчанию — уникальное имя (DN) домена.

Примеры

Пример добавления в группу двух других групп и учетной записи пользователя с указанием удаленного LDAP-сервера:

samba-tool group addmembers supergroup Group1,Group2,User1 -H ldap://samba.samdom.example.com -U administrator

Пример добавление в группу одной учетной записи пользователя на локальном сервере:

samba-tool group addmembers supergroup User2

Удаление участников из группы

Для удаления участников из группы в домене Эллес используется следующий формат вызова:

samba-tool group removemembers <groupname> (<listofmembers>|--member-dn=<member-dn>) [options]

Команда позволяет удалить из группы одного или нескольких участников (через запятую). В качестве участника группы может выступать учетная запись пользователя, учетная запись компьютера или другая группа, существующая в домене.

При удалении из группы участник теряет все унаследованные от нее разрешения и права.

В качестве имен участников должны указываться имена учетных записей SAM (sAMAaccountName).

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--member-dn=MEMBER_DN — уникальное составное имя (DN) удаляемого из группы участника; значение опции --object-types игнорируется;
--object-types=OBJECT_TYPES — список типов объектов (через запятую); указанные типы используются в качестве фильтра при выполнении поиска для указанных в команде участников; возможные значения: user, group, computer, serviceaccount, contact, all; значение по умолчанию — user,group,computer;
--member-base=MEMBER_BASE_DN — базовое уникальное имя (DN) для поиска участников группы; значение по умолчанию — уникальное имя (DN) домена.

Примеры

Пример удаления из группы входящей в ее состав другой группы с указанием удаленного LDAP-сервера:

samba-tool group removemembers supergroup Group1 -H ldap://samba.samdom.example.com -U administrator

Пример удаления из группы одной учетной записи пользователя на локальном сервере:

samba-tool group removemembers supergroup User1

Получение атрибутов группы

Для получения атрибутов группы в домене Эллес используется следующий формат вызова:

samba-tool group show <groupname> [options]

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;
--attributes=GROUP_ATTRS — список атрибутов (через запятую), которые требуется вывести.

Примеры

Пример получения атрибутов группы с указанием удаленного LDAP-сервера:

samba-tool group show Group1 -H ldap://samba.samdom.example.com -U administrator

Пример получения определенных атрибутов группы на локальном сервере:

samba-tool group show Group2 --attributes=member,objectGUID

Получение статистики по группам и участникам групп

Для получения общей статистика по группам и их участникам в домене Эллес используется следующий формат вызова:

samba-tool group stats [options]

В результате выполнения команды выводятся следующие сведения:

общее количество групп;
общее количество участников (без учета вложенности);
среднее количество участников в группе;
максимальное количество участников в группе;
медианное количество участников в группе;
распределение участников по группам с точки зрения количественного состава.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример получения общей статистики по группам и их участникам в домене:

samba-tool group stats