У меня есть Windows 2012 R2 AD. Пользователи все - члены группы "пользователи домена" и затем каждый пользователь, являются также членом другой группы, в зависимости от отдела. У всех пользователей есть "пользователи домена" как их "основная группа" в AD. Таким образом, это смотрит что-то как это:
uid=40001(user1) gid=123456(domain users) groups=123456(domain users),50001(dep1),301(BUILTIN\users)
uid=40002(user2) gid=123456(domain users) groups=123456(domain users),50002(dep2),301(BUILTIN\users)
uid=40003(user3) gid=123456(domain users) groups=123456(domain users),50002(dep2),301(BUILTIN\users)
Теперь, на доле Samba, их корневые каталоги должны принадлежать user:dep. Я создаю каталоги, показанные соответствующей группе, и устанавливаю гуид для палки:
drwxrws---+ 4 user1 dep2 41 Jan 13 17:30 user1
drwxrws---+ 3 user2 dep2 22 Jan 13 17:30 user2
drwxrws---+ 3 user3 dep2 22 Jan 13 17:30 user3
в/etc/samba/smb.conf я настроил корневые каталоги следующим образом:
[homes]
comment = Home Directories
browseable = no
writable = yes
directory mask=2770
force directory mode=2770
create mask=2770
force create mode=2770
force security mode=2770
force directory security mode=2770
Но каждый раз, когда я монтирую долю в окнах и создаю файл или каталог внутри, она будет принадлежать группе по умолчанию:
-rwxrwx---+ 1 user1 domain users 0 Jan 14 13:16 Test.txt
Как я могу заставить самбу использовать depX группы для новых файлов и каталогов?
IRL не имеет значения, какой группе принадлежат файлы в личной папке пользователя: ни у кого не должно быть способа смонтировать их, кроме пользователя-владельца. Вот моя конфигурация для общего ресурса "home":
[homes]
comment = %S: personal folder
valid users = @MYDOMAIN\my-subdomain-users
read only = No
browseable = No
browsable = No
# root preexec = /usr/local/sbin/mkhomedir.sh %D %S
volume = %U-%S
vfs objects = recycle:keeptree=yes
create mask = 700
directory mask = 700
path = /home/%D/%U
Обратите внимание на маски: я запрещаю любой доступ к файлам и папкам для всех пользователей и групп, кроме владельца (700) . Вы наоборот РАЗРЕШАЕТЕ полный доступ для группы. Вам это действительно нужно в личных папках?
PS. Что касается прокомментированного "root preexec": старые SAMBA (до 4) не могли автоматически создавать домашние каталоги и нуждались в таком "медицинском костыле". Также обратите внимание на путь: я создал символическую ссылку для своего поддомена (я не позволю использовать этот общий ресурс для пользователей из других поддоменов): / home / MYDOMAIN -> / var / samba / homes / MYDOMAIN, а самба создает подкаталоги пользователей внутри пути указано:% D заменено на MYDOMAIN, а% U - на имя пользователя для входа.