i Unix

Quando si crea una rete con dominio Microsoft tutti gli utenti che utilizzano i client hanno i diritti del Gruppo Domain Users che è analogo al gruppo Users su Workgroup. Tale gruppo non può installare programmi e fare modifiche hardware, tipo installare una stampante o aggiornare il driver video.

In questo caso solo l’amministratore del dominio può effettuare modifiche rilevanti rendendo l’utilizzo del pc quasi impossibile per un utente comune.

Ma se vogliamo concedere all’utente il “pieno controllo” del proprio computer senza scollegarlo dal dominio che si fa?

Dare i diritti di Domain Admin ad un’utente può essere eccessivo perchè avrebbe la facoltà di cambiare le policy del server.

Andiamo sul computer dell’utente finale e avviamo un prompt dei comandi coi privilegi di amministratore del dominio:

Start -> Tutti i Programmi -> Accessori -> Prompt dei Comandi -> Tasto Destro
  -> su XP fai Esegui Come -> Utente Seguente – poi su Nome utente metti NOMEDOMINIO\Administrator e su Password la password poi OK
  -> su Windows Vista/7 Esegui come amministratore e scrivi semplicemente nome utente e password

A questo punto digitiamo i seguenti comandi:

net localgroup Administrators /add dominio\utente
gpupdate

dove su dominio va il nome del vostro dominio e su utente il nome utente loggato localmente sulla macchina che state usando. Al riavvio successivo del computer sarete in grado senza chiedere niente a nessuno di installare programmi e altro.

Per connettere un server samba (basato su debian, ovviamente) ad un dominio Active Directory possiamo utilizzare i tool di LikeWise:

scarichiamo i tool dal sito BeyondTrust oppure da qui nelle versioni per i386, amd64 (e anche per OsX)

rendiamo eseguibile lo script

# chmod a+x LikewiseOpen-6.0.0.8388-linux-amd64-deb.sh

e lo eseguiamo:

# ./LikewiseOpen-6.0.0.8388-linux-amd64-deb.sh

e seguiamo tutte le istruzioni.
al termine della procedura connettiamo il server al dominio Active Directory (qui il dominio si chiama ”dominio” ed il suo fqdn è ”dominio.fqdn.com”):

# domainjoin-cli join dominio.fqdn.com administrator

riavviamo.

possiamo connetterci al server con un utente di dominio utilizzando la sintassi:

# ssh dominio\nomeutente@ip.del.server

a questo punto, dopo essere diventati root con ”su” possiamo controllare lo stato del sistema:

# /opt/likewise/bin/lwsm list
lwreg       running (standalone: 1185)
dcerpc      running (standalone: 1718)
eventlog    running (standalone: 1730)
lsass       running (standalone: 1493)
lwio        running (standalone: 1344)
netlogon    running (standalone: 1285)
rdr         running (io: 1344)

e

# /opt/likewise/bin/domainjoin-cli query
Name = nomeserver
Domain = DOMINIO.FQDN.COM
Distinguished Name = CN=NAS,CN=Computers,DC=dominio,DC=fqdn,DC=com

e con:

# /opt/likewise/bin/lw-get-status
[cut]

per avere informazioni su un utente di dominio possiamo:

# id dominio\nomeutente
uid=278922328(DOMINIOnomeutente) gid=278921729(DOMINIOdomain^users) gruppi=278921729(DOMINIOdomain^users)

per controllare ulteriormente la presenza di un utente:

# /opt/likewise/bin/lw-find-user-by-name DOMINIO\nomeutente
User info (Level-0):
====================
Name:              DOMINIOnomeutente
SID:               S-1-5-21-2525912273-188867155-4035306855-1112
Uid:               278922328
Gid:               278921729
Gecos:             Nome Utente
Shell:             /bin/sh
Home dir:          /home/local/DOMINIO/nomeutente
Logon restriction: NO

e

# wbinfo -i DOMINIO\nomeutente
DOMINIOnomeutente:x:278922328:278921729:Nome Utente:/home/local/DOMINIO/nomeutente:/bin/sh

e testiamo la connessione con password:

 wbinfo -a DOMINIO\nomeutente%PASSWORD
plaintext password authentication succeeded

adesso che l’autenticazione funziona perfettamente passiamo a modificare la configurazione di samba, con l’aggiunta di una condivisione di esempio:

/etc/samba/smb.conf:
# Global Settings
[global]
   workgroup = DOMINIO
   server string = %h server
# Authentication #
   security = ADS
   realm = DOMINIO.FQDN.COM
   machine password timeout = 0
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   pam password change = yes
# condivisione
[Condivisione]
   comment = Condivisione
   path = /raid/condivisione
   browseable = yes
   read only = no
   create mask = 0660
   directory mask = 0770
   valid users = @DOMINIOdomain^users

modifichiamo i permessi ed il proprietario della condivisione:

# chmod 0770 /raid/condivisione
# chown DOMINIO\nomeutente:DOMINIO\domain^users /raid/condivisione

controlliamo se la versione è corretta:

# /opt/likewise/bin/samba-interop-install --check-version
Found smbd version 3.5.6
Samba version supported

adesso dobbiamo usare il comando magico:

# /opt/likewise/bin/samba-interop-install --install
# service samba restart
# service winbind restart

testiamo la connessione con il dominio:

# net ads testjoin
Join is OK

tutto ok?

🙂

L’ultima versione di Acrobat Reader X (10.0.0) introduce diverse novità, tra cui la Modalità protetta che consente di aprire i file PDF in una istanza “sandbox” isolata dall’applicazione stessa, proteggendo così il computer e i dati dal codice dannoso che potrebbe essere contenuto in un file PDF. Questa modalità è attiva di default.

Quando si tenta di aprire un file da una condivisione di rete però si ottiene questo errore:

mentre non c’è nessun problema ad apri i file locali.

Per eliminare l’errore e aprire tranquillamente i file bisogna disabilitare la Modalità protetta tramite il menù Modifica –> Preferenze –> Generali e togliere la spunta sull’opzione Attiva modalità protetta all’avvio.

Se invece siamo in un Dominio Active Directory possiamo sfruttare uno script di logon per disabilitare la modalità protetta automaticamente su tutti i client, basta usare il comando reg per modificare il valore della chiave di registro bProtectedMode.

Il comando da inserire è:

reg add "HKCUSoftwareAdobeAcrobat Reader10.0Privileged" /v bProtectedMode /t REG_DWORD /d 0 /f

Per modificare i criteri delle password in un controllore di dominio Windows 2008R2:

Strumenti di amministrazione -> Gestione criteri di gruppo

espandere la foresta, il dominio e selezionare “Default Domain Policy”, bottone destro del mouse, “Modifica…”

Adesso siamo nell’editor della gestione dei criteri di gruppo.

Espandere “Configurazione del computer” -> “Criteri” -> “Impostazioni di Windows” -> “Impostazioni sicurezza” -> “Criteri account” -> “Criteri password”