Администрирование леса
Для администрирования леса с помощью утилиты samba-tool (/app/inno-samba/bin/samba-tool) используется группа подкоманд forest.
При выполнении операций с помощью группы подкоманд forest всегда указывается набор ключей -H (URI LDAP-сервера) и --use-kerberos=required. По умолчанию в качестве значения ключа -H передается текущий хост в формате ldap://<имя хоста>.
|
Получение информации о настройках леса Active Directory
Для получения информации о настройках леса AD используется следующий формат вызова:
samba-tool forest directory_service show [options]
Подкоманда выводит значение атрибута dSHeuristics объекта с DN CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<ForestRootDN> в виде строки Unicode, каждый символ в которой соответствует определенному параметру, определяющему поведение контроллеров домена в лесу Active Directory.
Изменение настроек леса Active Directory
Для изменения настроек леса AD используется следующий формат вызова:
samba-tool forest directory_service dsheuristics <value> [options]
Подкоманда изменяет значение атрибута dSHeuristics объекта с DN CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<ForestRootDN>. Новое значение (value) задается в виде строки Unicode, каждый символ в которой соответствует определенному параметру, определяющему поведение контроллеров домена в лесу Active Directory.
Формат строки:
|<1>|<2>|<3>|<4>|<5>|<6>|<7>|<8>|<9>|<10>|<11>|<12>|<13>|<14>|<15>|<16>|<17>|<18>|<19>|<20>|<21>|<22>|<23>|<24>|<25>|
Если символ не задан, используется значение 0.
Для изменения значения определенного параметра не требуется задавать все символы. Например, если требуется изменить символ 7 (параметр fLDAPBlockAnonOps, контролирующий возможность анонимного доступа к каталогу AD: 0 (true)— анонимный доступ запрещен, 2 (false)— анонимный доступ разрешен), то при вызове подкоманды допустимо передать в качестве значения строку 0000002.