Администрирование компьютеров

Для администрирования компьютеров в домене Samba AD с помощью утилиты samba-tool используется группа подкоманд computer.

При выполнении операций с помощью группы подкоманд computer всегда указывается набор ключей -H (URI LDAP-сервера) и --use-kerberos=required. По умолчанию в качестве значения ключа -H передается текущий хост в формате ldap://<имя хоста>.

Добавление компьютера

Для добавления компьютера в домене Samba AD используется следующий формат вызова:

с помощью подкоманды add:

samba-tool computer add <computername> [options]

с помощью подкоманды create:

samba-tool computer create <computername> [options]

Переданное в команде значение <computername> интерпретируется как имя учетной записи SAM (значение атрибута sAMaccountName).

Компьютеры служат представлением физических объектов, подключенных к сети (например, рабочих станций). Они являются субъектами безопасности, которым присваиваются соответствующие идентификаторы (SID).

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; по умолчанию передается URI текущего хоста в формате ldap://<имя хоста>;
--computerou=COMPUTEROU — имя (DN) альтернативного расположения (без или с domainDN), в котором будет создан компьютер (вместо используемого по умолчанию CN=Computers);
--description=DESCRIPTION — информация о компьютере;
--prepare-oldjoin — опция указывает, что компьютер создается с целью его последующего ввода в домен;
--ip-address=IP_ADDRESS_LIST — IPv4-адрес для A-записи компьютера либо IPv6-адрес для AAAA-записи компьютера;
---service-principal-name=SERVICE_PRINCIPAL_NAME_LIST — значение атрибута Service Principal Name (SPN) для компьютера.

Примеры

Пример добавления в домен нового компьютера с указанием удаленного LDAP-сервера:

samba-tool computer add Computer1 -H ldap://samba.samdom.example.com -U administrator

Пример добавления в домен нового компьютера на локальном сервере:

sudo samba-tool computer add Computer2

Пример добавления нового компьютера в подразделение OrgUnit:

samba-tool computer add Computer3 --computerou='OU=OrgUnit'

Изменение атрибутов компьютера

Для изменения состава и значений атрибутов компьютера в домене Samba AD используется следующий формат вызова:

samba-tool computer edit <computername> [options]

В результате выполнения команды в системном текстовом редакторе или текстовом редакторе, переданном в качестве значения параметра --editor, открывается список атрибутов компьютера. Редактирование и сохранение внесенных изменений выполняется средствами текстового редактора.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; по умолчанию передается URI текущего хоста в формате ldap://<имя хоста>;
--editor=EDITOR — текстовый редактор, который следует использовать вместо редактора, заданного в системе по умолчанию, либо вместо vi, если в системе не задан редактор по умолчанию.

Примеры

Пример запуска редактирования атрибутов компьютера в домене с указанием удаленного LDAP-сервера:

samba-tool computer edit Computer1 -H ldap://samba.samdom.example.com -U administrator

Пример запуска редактирования атрибутов компьютера в домене на локальном сервере:

samba-tool computer edit Computer2

Пример запуска редактирования атрибутов компьютера в домене с использованием редактора nano:

samba-tool computer edit Computer3 --editor=nano

Удаление компьютера

Для удаления существующего компьютера в домене Samba AD используется следующий формат вызова:

samba-tool computer delete <computername> [options]

При удалении компьютера также удаляются все связанные с ним разрешения, права и членства в группах. Если в последствии в домен будет добавлен компьютер с тем же именем, он не получит разрешения, права или членства удаленной записи, так как ему будет присвоен новый идентификатор безопасности (SID).

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; по умолчанию передается URI текущего хоста в формате ldap://<имя хоста>.

Примеры

Пример удаления в домене компьютера с указанием удаленного LDAP-сервера (значение параметра -H):

samba-tool computer delete Computer1 -H ldap://samba.samdom.example.com -U administrator

Пример удаления в домене компьютера на локальном сервере:

sudo samba-tool computer delete Computer2

Получение списка компьютеров

Для получения полного списка компьютеров в домене Samba AD используется следующий формат вызова:

samba-tool computer list [options]

По умолчанию выводится список имен учетных записей SAM (sAMAccountName).

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; по умолчанию передается URI текущего хоста в формате ldap://<имя хоста>;
--full-dn — выводить в списке вместо имен учетных записей SAM (sAMAccountName) уникальные составные имена (DN);
-b BASE_DN|--base-dn=BASE_DN — выводить в списке только компьютеры с указанным базовым уникальным именем (DN).

Примеры

Пример получения списка имен (SAM) компьютеров:

samba-tool computer list

Пример получения списка уникальных составных имен компьютеров (DN):

samba-tool computer list --full-dn

Перемещение компьютера в подразделение/контейнер

Для перемещения компьютера в домене Samba AD в указанное подразделение (OU) или контейнер используется следующий формат вызова:

samba-tool computer move <computername> <new_parent_dn> [options]

Имя подразделения или контейнера может указываться в формате полного уникального составного имени (DN) или без компонента domainDN.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; по умолчанию передается URI текущего хоста в формате ldap://<имя хоста>.

Примеры

Пример перемещения компьютера в подразделение OrgUnit с указанием удаленного LDAP-сервера:

samba-tool computer move Computer1 'OU=OrgUnit,DC=samdom,DC=example,DC=com' -H ldap://samba.samdom.example.com -U administrator

Пример перемещения компьютера обратно в контейнер CN=Computers на локальном сервере:

samba-tool computer move Computer1 CN=Computers

Получение атрибутов компьютера

Для получения атрибутов компьютера в домене Samba AD используется следующий формат вызова:

samba-tool computer show <computername> [options]

В параметре --attributes может передаваться список атрибутов (через запятую), значения которых требуется отобразить. Если параметр --attributes не задан или задан в формате --attributes=*, выводятся все доступные атрибуты.

В дополнение к доступным атрибутам могут выводиться скрытые атрибуты. Для этого достаточно явно указать их имя в параметре --attributes наряду с *.

Если запрошенный в параметре --attributes атрибут отсутствует у указанного компьютера, он опускается в выводе.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; по умолчанию передается URI текущего хоста в формате ldap://<имя хоста>;
--attributes=COMPUTER_ATTRS — список атрибутов (через запятую), которые требуется вывести.

Примеры

Пример получения атрибутов компьютера в домене с указанием удаленного LDAP-сервера:

samba-tool computer show Computer1 -H ldap://samba.samdom.example.com -U administrator

Пример получения атрибутов компьютера в домене на локальном сервере:

samba-tool computer show Computer2

Пример получения значений атрибутов objectSid и operatingSystem компьютера:

samba-tool computer show Computer3 --attributes=objectSid,operatingSystem