Администрирование групп

Для администрирования групп в домене Эллес с помощью утилиты samba-tool используется группа подкоманд group.

Общие сведения

Группа — способ объединения объектов каталога, таких как пользователи, компьютеры и другие группы, для целей администрирования.

Группы делятся на следующие типы:

  • группы безопасности (security group);

  • группы рассылки (distribution group).

Группы безопасности

Группы безопасности предназначены для выдачи участникам:

  • прав на выполнение определенных действий в домене или лесе;

  • разрешений на доступ к ресурсам.

Также они могут использоваться для рассылки участникам сообщений.

Группы рассылки

Группы рассылки предназначены для отправки сообщений участникам.

Группы этого типа не могут использоваться для предоставления доступа к ресурсам.

Область действия

У группы каждого типа может быть три области действия:

  • локальная доменная группа (Domain local);

    Используется для управления разрешениями на доступ к ресурсам (файлам, папкам и т. д.) только того домена, в котором была создана группа.
    Локальную группу нельзя использовать в других доменах. При этом в локальную группу могут входить пользователи и группы другого домена.
    Локальная группа может входить в другую локальную группу, но не может входить в глобальную или универсальную группу.

  • глобальная группа (Global);

    Может использоваться для предоставления доступа к ресурсам другого домена.
    В глобальную группу могут добавляться только субъекты безопасности из того же домена, в котором она была создана.
    Глобальная группа может входить в универсальные, другие глобальные и локальные доменные группы.

  • универсальная группа (Universal).

    Может использоваться для определения ролей и управления доступом к ресурсам в тех случаях, когда они распределены по нескольким доменам.

В Табл. 1 описываются особенности каждой области действия.

Табл. 1. Области действия групп
Область действия Возможные участники Возможные преобразования Область выдачи разрешений Возможные членства

Универсальная (Universal)

  • учетные записи из любого домена в том же лесу;

  • глобальные группы из любого домена в том же лесу;

  • другие универсальные группы из любого домена в том же лесу

→ локальная в домене, если группа не является участником другой универсальной группы;

→ глобальная, если группа не включает другие универсальные группы

В любом домене в том же лесу и доверяющих лесах

  • другие универсальные группы в том же лесу;

  • локальные доменные группы в том же лесу и доверяющих лесах;

  • локальные группы компьютеров в том же лесу и доверяющих лесах

Глобальная (Global)

  • учетные записи в том же домене;

  • другие глобальные группы в том же домене

→ универсальная, если группа не является участником другой глобальной группы

В любом домене в том же лесу, доверяющих доменах и доверяющих лесах

  • универсальные группы из любого домена в том же лесу;

  • другие глобальные группы в том же домене;

  • локальные доменные группы в любом домене в том же лесу и любом доверяющем домене

Локальная в домене

  • учетные записи из любого домена или любого доверенного домена;

  • глобальные группы из любого домена и любого доверенного домена;

  • универсальные группы из любого домена в том же лесу

  • другие локальные группы в том же домене;

  • учетные записи, глобальные группы и универсальные группы из других лесов и внешних доменов

→ универсальная, если группа не содержит другие локальные доменные группы

В том же домене

  • другие локальные группы в том же домене;

  • локальные группы компьютеров в том же домене, исключая встроенные группы с известными идентификаторами безопасности (SID)

Добавление группы

Для создания новой группы в домене Эллес используется следующий формат вызова:

samba-tool group add <groupname> [options]

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName. Оно должно быть уникальным.

В группу могут входить учетные записи пользователей и компьютеров, а также другие группы. Такое объединение объектов в рамках одной сущности упрощает работу с ними, включая выполнение задач по управлению безопасностью и системному администрированию.

Также группы могут использоваться для создания списков рассылки (группы рассылки). Для этого при вызове команды должна быть передана опция --group-type=Distribution.

В доменах группы располагаются в подразделениях (OU). Область действия (scope) группы определяет место группы в дереве доменов или лесу.

При создании группы с помощью команды samba-tool group add могут быть заданы ее расположение (OU), тип (группа безопасности или группа рассылки) и область действия.

Поддерживается работа с группой безопасности «Защищенные пользователи». Для ее создания необходимо добавить группу с именем Protected Users с указанием опции --special.

Группа «Защищенные пользователи» доступна только при функциональном уровне домена Windows Server 2012 R2.

В данную группу должны включаться только учетные записи пользователей.

После добавления в группу в отношении учетной записи начинают действовать следующие ограничения:

  • недоступна аутентификация по протоколу NTLM;

  • пользователю не выдаются и от пользователя не принимаются TGT-билеты Kerberos с использованием алгоритма шифрования RC4 (используется алгоритм AES);

  • максимальный период действия TGT-билета — 4 часа;

  • недоступно неограниченное и ограниченное делегирование Kerberos.

Для обеспечения обратной совместимости также поддерживается команда samba-tool group create <groupname> [options], которая является синонимом команды samba-tool group add.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --groupou=GROUPOU — альтернативное расположение (без domainDN) по умолчанию для CN=Users; будет использоваться по умолчанию при создании новых учетных записей пользователей;

  • --group-scope=GROUP_SCOPE — область действия; возможные значения: Domain | Global | Universal;

  • --group-type=GROUP_TYPE — тип группы; возможные значения: Security |Distribution;

  • --description=DESCRIPTION — описание группы;

  • --mail-address=MAIL_ADDRESS — адрес электронной почты группы;

  • --notes=NOTES — дополнительная информация о группе;

  • --gid-number=GID_NUMBER — числовой идентификатор группы Unix/RFC 2307;

  • --nis-domain=NIS_DOMAIN — домен NIS;

  • --special — параметр может использоваться для создания группы безопасности с именем Protected Users.

Примеры

Пример добавления новой группы в контейнер Users с указанием удаленного LDAP-сервера:

samba-tool group add Group1 -H ldap://samba.samdom.example.com --description='Simple group'

Пример добавления новой группы рассылки на локальном сервере:

samba-tool group add Group2 --group-type=Distribution

Пример добавления новой группы в соответствии с RFC 2307 в домен NIS samdom с GID 12345:

samba-tool group add Group3 --nis-domain=samdom --gid-number=12345

Пример добавления группы безопасности «Защищенные пользователи» с указанием удаленного LDAP-сервера:

samba-tool group add 'Protected Users' --special -H ldap://samba.samdom.example.com -U Administrator

Пример добавления группы безопасности «Защищенные пользователи» на локальном сервере:

samba-tool group add 'Protected Users' --special

Добавление атрибутов Unix/RFC 2307 для группы

Для добавления для группы в домене Эллес атрибутов в соответствии с RFC 2307 используется следующий формат вызова:

samba-tool group addunixattrs <groupname> <gidnumber> [options]

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName.

Для использования этих атрибутов для сопоставления UID/GID в конфигурации (smb.conf) должен быть задан параметр idmap_ldp:use rfc2307 = Yes.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример добавления атрибута GID для группы:

samba-tool group addunixattrs Group1 10000

В результате выполнения команды группе Group1 будет присвоен Unix ID 10000 при условии, что он не занят.

Изменение атрибутов группы

Для изменения состава и значений атрибутов группы в домене Эллес используется следующий формат вызова:

samba-tool group edit <groupname> [options]

В результате выполнения команды в системном текстовом редакторе или текстовом редакторе, переданном в качестве значения параметра --editor, открывается список атрибутов группы. Редактирование и сохранение внесенных изменений выполняется средствами текстового редактора.

Для изменения значения атрибута managedBy используйте подкоманду samba-tool group setmanagedBy (см. «Просмотр/удаление/смена владельца группы)».

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --editor=EDITOR — текстовый редактор, который следует использовать вместо редактора, заданного в операционной системе по умолчанию, либо вместо vi, если в операционной системе не задан редактор по умолчанию.

Примеры

Пример запуска редактирования атрибутов группы в домене с указанием удаленного LDAP-сервера:

samba-tool group edit Group1 -H ldap://samba.samdom.example.com -U Administrator

Пример запуска редактирования атрибутов группы в домене на локальном сервере:

samba-tool group edit Group2

Пример запуска редактирования атрибутов группы в домене с использованием редактора nano:

samba-tool group edit Group3 --editor=nano

Удаление группы

Для удаления существующей группы в домене Эллес используется следующий формат вызова:

samba-tool group delete <groupname> [options]

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName.

Операция удаления является необратимой.

При удалении группы также удаляются все связанные с нею разрешения и права, а также унаследованные от нее разрешения и права участников.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример удаления в домене группы с указанием удаленного LDAP-сервера:

samba-tool group delete Group1 -H ldap://samba.samdom.example.com -U Administrator

Пример удаления в домене группы на локальном сервере:

samba-tool group delete Group2

Перемещение группы

Для перемещения группы в подразделение (OU) или контейнер в домене Эллес используется следующий формат вызова:

group move <groupname> <new_parent_dn> [options]

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName.

Имя подразделения (OU) или контейнера может указываться в формате полного уникального имени (DN) либо без части domainDN.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример перемещения группы в подразделение OrgUnit с указанием удаленного LDAP-сервера:

samba-tool group move Group1 'OU=OrgUnit,DC=samdom,DC=example,DC=com` -H ldap://samba.samdom.example.com -U Administrator

Пример перемещения группы назад в контейнер CN=Users на локальном сервере:

samba-tool group move Group1 CN=Users

Изменение имени группы и связанных атрибутов

Для изменения имени группы в домене Эллес и связанных с нею атрибутов (mail-address, samaccountname) используется следующий формат вызова:

samba-tool group rename <groupname> [options]

В результате выполнения операции будет автоматически изменено общее имя группы (CN). Используйте опцию --force-new-cn для задания нового значения CN вручную и опцию --reset-cn для отмены этого изменения.

Для удаления указанного атрибута задайте в нем пустое значение.

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --mail-address=MAIL_ADDRESS — новое значение адреса электронной почты;

  • --samaccountname=SAMACCOUNTNAME — новое значение имени (значение атрибута sAMAccountName / имя, используемое для входа);

  • --force-new-cn=NEW_CN — новое значение CN (RND) для использования вместо sAMAccountName;

  • --reset-cn — использовать в качестве значения CN имя sAMAccountName; используйте данную опцию для сброса изменений, внесенных с помощью опции --force-new-cn.

Примеры

Пример изменения имени группы:

samba-tool group rename employees --samaccountname=staff

В результате выполнения операции значения sAMAccountName и CN (если текущее значение CN также равно значению sAMAccountName) группы будут заменены значением staff.

Пример изменения адреса электронной почты группы с указанием удаленного LDAP-сервера:

samba-tool group rename employees --mail-address='staff@company.com' -H ldap://samba.samdom.example.com -U Administrator

Получение списка всех групп

Для получения полного списка групп в домене Эллес используется следующий формат вызова:

samba-tool group list [options]

По умолчанию выводится список имен учетных записей SAM (sAMAccountName).

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --full-dn — выводить в списке вместо имен учетных записей SAM (sAMAccountName) уникальные имена (Distinguished Name, DN);

  • -b BASE_DN|--base-dn=BASE_DN — выводить в списке только группы с указанным базовым уникальным именем (DN).

Примеры

Пример получения списка имен учетных записей SAM (sAMAccountName):

samba-tool group list

Пример получения списка уникальных составных имен групп (DN):

samba-tool group list --full-dn

Получение списка участников группы

Для получения списка участников группы в домене Эллес используется следующий формат вызова:

samba-tool group listmembers <groupname> [options]

При вызове команды может указываться только одна группа.

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName.

По умолчанию в результате выполнения команды выводится список имен учетных записей SAM (sAMAccountNames). При отсутствии sAMAccountName выводятся общие имена (CN).

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --full-dn — выводить в списке вместо имен учетных записей SAM (sAMAccountName) уникальные имена (Distinguished Name, DN);

  • --hide-expired — не выводить в списке учетные записи с истекшим периодом действия;

  • --hide-disabled — не выводить в списке отключенные учетные записи.

Примеры

Пример вывода списка участников группы с указанием удаленного LDAP-сервера:

samba-tool group listmembers "Domain Users" -H ldap://samba.samdom.example.com -U Administrator

Добавление в группу участников

Для добавления участников в существующую группу в домене Эллес используется следующий формат вызова:

samba-tool group addmembers <groupname> (<listofmembers>|--member-dn=<member-dn>) [options]

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName.

Команда позволяет добавить в группу одного или нескольких участников (через запятую). В качестве участника группы может выступать учетная запись пользователя, учетная запись компьютера или другая группа, существующая в домене.

При добавлении в группу участник может наследовать имеющиеся у группы разрешения и права. В этом случае любые изменения в составе и объеме разрешений и прав группы будут автоматически отражаться на разрешениях и правах участника через механизм наследования.

В Табл. 2 перечисляются допустимые форматы указания имен объектов для добавления в группу в зависимости от места их размещения — тот же домен, другой домен в том же лесу, доверенные домены.

Табл. 2. Форматы указания имен объектов при добавлении в группу
Формат имени Объекты того же домена Объекты из других доменов того же леса Объекты из доверенных доменов (доверие типа Forest или External)

sAMAcountName

+

NETBIOS_DOMAIN_NAME\object_name
(при использовании без кавычек символ \ должен экранироваться: NETBIOS_DOMAIN_NAME\\object_name)

+

+

+

object_name@dns_domain_name

+

+

+

Distinguished Name (DN) в опции --member-dn
(не рекомендуется)

+

В таблице используются следующие обозначения:

  • + — формат имени допустим;

  •  — формат имени недопустим;

  • sAMAccountName — имя учетной записи объекта для входа в домен, используемое для поддержки клиентов и серверов на ранних версиях ОС Windows; значение атрибута sAMAccountName объекта;

  • NETBIOS_DOMAIN_NAME — NetBIOS-имя домена;

  • object_name — значение атрибута sAMAccountName объекта;

  • dns_domain_name — DNS-имя домена.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --member-dn=MEMBER_DN — уникальное имя (DN) добавляемого в группу нового участника; значение опции --object-types игнорируется;

    В текущей версии Эллес добавление объектов в группу с указанием их DN поддерживается только в рамках того же домена, в котором размещаются объекты. Использовать данную опцию не рекомендуется.

  • --object-types=OBJECT_TYPES — список типов объектов (через запятую); указанные типы используются в качестве фильтра при выполнении поиска в своем домене по sAMAcountName указанных в команде участников; возможные значения: user, group, computer, serviceaccount, contact, all; значение по умолчанию — user,group,computer;

  • --member-base=MEMBER_BASE_DN — базовое уникальное имя (DN) для поиска участников группы; значение по умолчанию — уникальное имя (DN) домена группы.

Примеры

В примерах команд используется следующая конфигурация доменов и объектов:

  • example.com — корневой домен леса:

    • RootUser1, RootUser2, RootUser3 — пользователи корневого домена;

    • RootDomainLocalGroup — локальная группа корневого домена;

    • RootUniversalGroup — универсальная группа корневого домена;

  • child.example.com — дочерний домен в том же лесу;

    • ChildUser1, ChildUser2, ChildUser3 — пользователи дочернего домена;

    • ChildDomainLocalGroup — локальная группа дочернего домена;

    • ChildUniversalGroup — универсальная группа дочернего домена;

  • trusted.com — доверенный домен, для которого установлено двустороннее доверительное отношение типа Forest с лесом, в котором находятся корневой и дочерний домены;

    • TrustedUser1, TrustedUser2, TrustedUser3 — пользователи доверенного домена;

    • TurstedDomainLocalGroup — локальная группа доверенного домена;

    • TrustedUniversalGroup — универсальная группа доверенного домена.

Примеры добавления участников в группу корневого домена леса

Примеры добавления в группу в корневом домене леса участников из того же домена:

  • с указанием имен в формате sAMAccountName:

    samba-tool group addmembers RootDomainLocalGroup RootUser1,RootUser2,RootUser3,RootUniversalGroup

  • с указанием имен в различных поддерживаемых форматах (см. Табл. 2):

    samba-tool group addmembers RootDomainLocalGroup "EXAMPLE\RootUser1",EXAMPLE\\RootUser2,"RootUser3@example.com",RootUniversalGroup

Пример добавления в группу в корневом домене леса участников из другого (дочернего) домена того же леса с указанием имен в различных поддерживаемых форматах (см. Табл. 2):

samba-tool group addmembers RootDomainLocalGroup "CHILD\ChildUser1",CHILD\\ChildUser2,"ChildUser3@child.example.com","CHILD\ChildUniversalGroup"

Пример добавления в группу в корневом домене леса участников из доверенного домена, связанного с корневым доменом доверительным отношением типа Forest, с указанием имен в различных поддерживаемых форматах (см. Табл. 2):

samba-tool group addmembers RootDomainLocalGroup "TRUSTED\TrustedUser1",TRUSTED\\TrustedUser2,"TrustedUser3@trusted.com","TRUSTED\TrustedUniversalGroup"

Примеры добавления участников в группу дочернего домена леса

Примеры добавления в группу в дочернем домене леса участников из того же домена:

  • с указанием имен в формате sAMAccountName:

    samba-tool group addmembers ChildDomainLocalGroup ChildUser1,ChildUser2,ChildUser3,ChildUniversalGroup

  • с указанием имен в различных поддерживаемых форматах (см. Табл. 2):

    samba-tool group addmembers ChildDomainLocalGroup "CHILD\ChildUser1",CHILD\\ChildUser2,"ChildUser3@child.example.com",ChildUniversalGroup

Пример добавления в группу в дочернем домене леса участников из другого (корневого) домена того же леса с указанием имен в различных поддерживаемых форматах (см. Табл. 2):

samba-tool group addmembers ChildDomainLocalGroup "EXAMPLE\RootUser1",EXAMPLE\\RootUser2,"RootUser3@example.com","EXAMPLE\RootUniversalGroup"

Пример добавления в группу в дочернем домене леса участников из доверенного домена, связанного с дочерним доменом доверительным отношением типа Forest, с указанием имен в различных поддерживаемых форматах (см. Табл. 2):

samba-tool group addmembers ChildDomainLocalGroup "TRUSTED\TrustedUser1",TRUSTED\\TrustedUser2,"TrustedUser3@trusted.com","TRUSTED\TrustedUniversalGroup"

Удаление участников из группы

Для удаления участников из группы в домене Эллес используется следующий формат вызова:

samba-tool group removemembers <groupname> (<listofmembers>|--member-dn=<member-dn>) [options]

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName.

Команда позволяет удалить из группы одного или нескольких участников (через запятую). В качестве участника группы может выступать учетная запись пользователя, учетная запись компьютера или другая группа, существующая в домене.

При удалении из группы участник теряет все унаследованные от нее разрешения и права.

В Табл. 3 перечисляются допустимые форматы указания имен объектов для удаления из группы в зависимости от места их размещения — тот же домен, другой домен в том же лесу, доверенные домены.

Табл. 3. Форматы указания имен объектов при удалении из группы
Формат имени Объекты того же домена Объекты из других доменов того же леса Объекты из доверенных доменов (доверие типа Forest или External)

sAMAcountName

+

NETBIOS_DOMAIN_NAME\object_name
(при использовании без кавычек символ \ должен экранироваться: NETBIOS_DOMAIN_NAME\\object_name)

+

+

+

object_name@dns_domain_name

+

+

+

Distinguished Name (DN) в опции --member-dn
(не рекомендуется)

+

В таблице используются следующие обозначения:

  • + — формат имени допустим;

  •  — формат имени недопустим;

  • sAMAccountName — имя учетной записи объекта для входа в домен, используемое для поддержки клиентов и серверов на ранних версиях ОС Windows; значение атрибута sAMAccountName объекта;

  • NETBIOS_DOMAIN_NAME — NetBIOS-имя домена;

  • object_name — значение атрибута sAMAccountName объекта;

  • dns_domain_name — DNS-имя домена.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --member-dn=MEMBER_DN — уникальное имя (DN) удаляемого из группы участника; значение опции --object-types игнорируется;

    В текущей версии Эллес удаление объектов из группы с указанием их DN поддерживается только в рамках того же домена, в котором размещаются объекты. Использовать данную опцию не рекомендуется.

  • --object-types=OBJECT_TYPES — список типов объектов (через запятую); указанные типы используются в качестве фильтра при выполнении поиска в своем домене по sAMAcountName указанных в команде участников; возможные значения: user, group, computer, serviceaccount, contact, all; значение по умолчанию — user,group,computer;

  • --member-base=MEMBER_BASE_DN — базовое уникальное имя (DN) для поиска участников группы; значение по умолчанию — уникальное имя (DN) домена группы.

Примеры

В примерах команд используется следующая конфигурация доменов и объектов:

  • example.com — корневой домен леса:

    • RootUser1, RootUser2, RootUser3 — пользователи корневого домена;

    • RootDomainLocalGroup — локальная группа корневого домена;

    • RootUniversalGroup — универсальная группа корневого домена;

  • child.example.com — дочерний домен в том же лесу;

    • ChildUser1, ChildUser2, ChildUser3 — пользователи дочернего домена;

    • ChildDomainLocalGroup — локальная группа дочернего домена;

    • ChildUniversalGroup — универсальная группа дочернего домена;

  • trusted.com — доверенный домен, для которого установлено двустороннее доверительное отношение типа Forest с лесом, в котором находятся корневой и дочерний домены;

    • TrustedUser1, TrustedUser2, TrustedUser3 — пользователи доверенного домена;

    • TurstedDomainLocalGroup — локальная группа доверенного домена;

    • TrustedUniversalGroup — универсальная группа доверенного домена.

Примеры удаления участников из группы корневого домена леса

Примеры удаления из группы в корневом домене леса участников из того же домена:

  • с указанием имен в формате sAMAccountName:

    samba-tool group removemembers RootDomainLocalGroup RootUser1,RootUser2,RootUser3,RootUniversalGroup

  • с указанием имен в различных поддерживаемых форматах (см. Табл. 3):

    samba-tool group removemembers RootDomainLocalGroup "EXAMPLE\RootUser1",EXAMPLE\\RootUser2,"RootUser3@example.com",RootUniversalGroup

Пример удаления из группы в корневом домене леса участников из другого (дочернего) домена того же леса с указанием имен в различных поддерживаемых форматах (см. Табл. 3):

samba-tool group removemembers RootDomainLocalGroup "CHILD\ChildUser1",CHILD\\ChildUser2,"ChildUser3@child.example.com","CHILD\ChildUniversalGroup"

Пример удаления из группы в корневом домене леса участников из доверенного домена, связанного с корневым доменом доверительным отношением типа Forest, с указанием имен в различных поддерживаемых форматах (см. Табл. 3):

samba-tool group removemembers RootDomainLocalGroup "TRUSTED\TrustedUser1",TRUSTED\\TrustedUser2,"TrustedUser3@trusted.com","TRUSTED\TrustedUniversalGroup"

Примеры удаления участников из группы дочернего домена леса

Примеры удаления из группы в дочернем домене леса участников из того же домена:

  • с указанием имен в формате sAMAccountName:

    samba-tool group removemembers ChildDomainLocalGroup ChildUser1,ChildUser2,ChildUser3,ChildUniversalGroup

  • с указанием имен в различных поддерживаемых форматах (см. Табл. 3):

    samba-tool group removemembers ChildDomainLocalGroup "CHILD\ChildUser1",CHILD\\ChildUser2,ChildUser3@child.example.com",ChildUniversalGroup

Пример удаления из группы в дочернем домене леса участников из другого (корневого) домена того же леса с указанием имен в различных поддерживаемых форматах (см. Табл. 3):

samba-tool group removemembers ChildDomainLocalGroup "EXAMPLE\RootUser1",EXAMPLE\\RootUser2,"RootUser3@example.com","EXAMPLE\RootUniversalGroup"

Пример удаления из группы в дочернем домене леса участников из доверенного домена, связанного с дочерним доменом доверительным отношением типа Forest, с указанием имен в различных поддерживаемых форматах (см. Табл. 3):

samba-tool group removemembers ChildDomainLocalGroup "TRUSTED\TrustedUser1",TRUSTED\\TrustedUser2,"TrustedUser3@trusted.com","TRUSTED\TrustedUniversalGroup"

Получение атрибутов группы

Для получения атрибутов группы в домене Эллес используется следующий формат вызова:

samba-tool group show <groupname> [options]

Переданное в команде имя группы (groupname) интерпретируется как sAMaccountName.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --attributes=GROUP_ATTRS — список атрибутов (через запятую), которые требуется вывести.

Примеры

Пример получения атрибутов группы с указанием удаленного LDAP-сервера:

samba-tool group show Group1 -H ldap://samba.samdom.example.com -U Administrator

Пример получения определенных атрибутов группы на локальном сервере:

samba-tool group show Group2 --attributes=member,objectGUID

Получение статистики по группам и участникам групп

Для получения общей статистика по группам и их участникам в домене Эллес используется следующий формат вызова:

samba-tool group stats [options]

В результате выполнения команды выводятся следующие сведения:

  • общее количество групп;

  • общее количество участников (без учета вложенности);

  • среднее количество участников в группе;

  • максимальное количество участников в группе;

  • медианное количество участников в группе;

  • распределение участников по группам с точки зрения количественного состава.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример получения общей статистики по группам и их участникам в домене:

samba-tool group stats

Изменение типа группы

Формат вызова:

samba-tool group settype <groupname> (Security|Distribution) [options]

Подкоманда изменяет тип группы (значение атрибута groupType) с именем, указанным в качестве значения аргумента groupname, в соответствии с переданным значением следующего аргумента:

  • Security — группа безопасности;

  • Distribution — группа рассылки.

Переданное имя группы интерпретируется как sAMAccountName.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример изменения типа группы (группа рассылки → группа безопасности):

samba-tool group settype Group1 Security -H ldap://samba.samdom.example.com -U Administrator

Изменение области действия группы

Формат вызова:

samba-tool group setscope <groupname> (Domain|Global|Universal) [options]

Подкоманда изменяет область действия группы (значение атрибута groupType) с именем, указанным в качестве значения аргумента groupname, в соответствии с переданным значением следующего аргумента:

  • Domain — локальная группа в домене;

  • Global — глобальная группа;

  • Universal — универсальная группа.

См. описание особенностей каждой области действия и возможные варианты преобразования в Табл. 1.

Переданное имя группы интерпретируется как sAMAccountName.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример изменения области действия группы (глобальная группа → универсальная группа):

samba-tool group setscope Group1 Universal -H ldap://samba.samdom.example.com -U Administrator

Просмотр/удаление/смена владельца группы

Форматы вызова:

samba-tool group setmanagedby <groupname> [<managedby>|--delete] [options]

Результат работы подкоманды зависит от переданных аргументов:

  • если передано только имя группы, подкоманда выводит имя текущего владельца (значение атрибута managedBy) и текущее состояние флага, разрешающего владельцу изменять состав группы (флажок Manager can update membership list, Менеджер может изменять членов группы на вкладке Managed By, Управляется в свойствах группы в оснастке ADUC);

  • если вместе с именем группы передан параметр --delete, подкоманда удаляет текущее значение атрибута managedBy и сбрасывает флаг, разрешающий владельцу изменять состав группы (при наличии);

  • если вместе с именем группы передано имя нового владельца, подкоманда устанавливает его в качестве текущего значения атрибута managedBy для группы и сбрасывает флаг, разрешающий владельцу изменять состав группы (при наличии).

Переданные имена группы и владельца интерпретируются как sAMAccountName.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --delete — удаление текущего значения атрибута managedBy и сброс флага, разрешающего владельцу изменять состав группы (при наличии).

Примеры

Пример просмотра имени текущего владельца группы и текущего состояния флага, разрешающего владельцу изменять состав группы:

samba-tool group setmanagedby Group1 -H ldap://samba.samdom.example.com -U Administrator

Пример удаления текущего владельца группы и сброса флага, разрешающего ему изменять состав группы:

samba-tool group setmanagedby Group1 --delete -H ldap://samba.samdom.example.com -U Administrator

Пример назначения нового владельца группе и сброса флага, разрешающего прежнему владельцу изменять состав группы:

samba-tool group setmanagedby Group1 NewGroupManager -H ldap://samba.samdom.example.com -U Administrator

Просмотр/снятие/установка флага, разрешающего владельцу группы изменять ее состав

Формат вызова:

samba-tool group membersflag <groupname> [on | off] [options]

Результат работы подкоманды зависит от переданных аргументов:

  • если передано только имя группы, подкоманда выводит текущее состояние флага, разрешающего владельцу изменять состав группы (флажок Manager can update membership list, Менеджер может изменять членов группы на вкладке Managed By, Управляется в свойствах группы в оснастке ADUC);

  • если вместе с именем группы в качестве второго аргумента передается:

    • off — подкоманда сбрасывает флаг, разрешающий текущему владельцу изменять состав группы;

    • on — подкоманда устанавливает флаг, разрешающий текущему владельцу изменять состав группы.

Переданное имя группы интерпретируется как sAMAccountName.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример просмотра имени текущего владельца группы и текущего состояния флага, разрешающего владельцу изменять состав группы:

samba-tool group membersflag Group1 -H ldap://samba.samdom.example.com -U Administrator

Пример сброса флага, разрешающего текущему владельцу изменять состав группы:

samba-tool group membersflag Group1 off -H ldap://samba.samdom.example.com -U Administrator

Пример установки флага, разрешающего текущему владельцу изменять состав группы:

samba-tool group membersflag Group1 on -H ldap://samba.samdom.example.com -U Administrator