Đây là cách tôi luôn làm nó, không chắc là tôi đã đọc nó ở đâu.
Để có hầu hết các tùy chọn ACL của windows trên các chia sẻ Samba của bạn được kết nối với AD, bạn cần kích hoạt cả POSIX ACL và XATTRS:
/dev/sda2 /samba ext3 user_xattr,acl 1 2
Và trong smb.conf của bạn, bạn cần kích hoạt idmapping, nt acls và ánh xạ thuộc tính như thế này:
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
idmap backend = idmap_rid:<domain_netbios_name>=16777216-33554431
nt acl support = yes
inherit acls = yes
map acl inherit = yes
map archive = no
map hidden = no
map read only = no
map system = no
store dos attributes = yes
inherit permissions = yes
Sau đó, tất cả những gì bạn cần làm là xác định người dùng quản trị viên để chia sẻ và với người dùng đó chỉnh sửa cài đặt bảo mật từ Windows.
[public]
path = /share/Public
public = yes
writable = yes
printable = no
admin users = "DOMAIN\user"
Các vấn đề duy nhất có thể liên quan đến các ACL hiện tại (bạn "không thích" root và chuyển quyền sở hữu cho người dùng Windows của bạn) và các nhóm người dùng chưa được xử lý.
Để ánh xạ các nhóm theo cách thủ công, bạn cần phải làm một cái gì đó như thế này:
net groupmap delete ntgroup="Domain Admins"
net groupmap delete ntgroup="Domain Users"
net groupmap delete ntgroup="Domain Guests"
net groupmap add ntgroup="Domain Admins" rid=512 unixgroup=root
net groupmap add ntgroup="Domain Users" rid=513 unixgroup=users
net groupmap add ntgroup="Domain Guests" rid=514 unixgroup=nobody
cho các nhóm bảo mật dựng sẵn.
Và sau đó cho tất cả các nhóm của bạn:
groupadd mygroup
net groupmap delete ntgroup="mygroup"
net groupmap add ntgroup="DOMAIN\mygroup" rid=1000 unixgroup=mygroup type=d
admin users
đểacl group control
và thiết lậpforce group = +DOMAIN\Admin-group
, bằng cách này bạn có thể có nhiều với quyền admin.