Gestion des utilisateurs dans son domaine AD Samba
Pour faire suite à mon article sur la création d’un contrôleur de domaine AD avec Samba, Voyons maintenant comment administrer ce domaine.
Samba-tool
Samba-tool est l’outil à tout faire fourni par Samba4.
Chaque sous option de samba-tool possède son aide, donc pour obtenir de l’aide il suffit de passer un -h dans la sous-option qui vous intéresse :
samba-tool -h ... Available subcommands: dbcheck - Check local AD database for errors. delegation - Delegation management. dns - Domain Name Service (DNS) management. domain - Domain management. drs - Directory Replication Services (DRS) management. dsacl - DS ACLs manipulation. fsmo - Flexible Single Master Operations (FSMO) roles management. gpo - Group Policy Object (GPO) management. group - Group management. ldapcmp - Compare two ldap databases. ntacl - NT ACLs manipulation. processes - List processes (to aid debugging on systems without setproctitle). rodc - Read-Only Domain Controller (RODC) management. sites - Sites management. spn - Service Principal Name (SPN) management. testparm - Syntax check the configuration file. time - Retrieve the time on a server. user - User management. ...
Pour commencer à jouer avec les comptes utilisateurs :
samba-tool user -h ... Available subcommands: add - Create a new user. create - Create a new user. delete - Delete a user. disable - Disable an user. enable - Enable an user. getpassword - Get the password fields of a user/computer account. list - List all users. password - Change password for a user account (the one provided in authentication). setexpiry - Set the expiration of a user account. setpassword - Set or reset the password of a user account. syncpasswords - Sync the password of user accounts. ...
Commençons par une création de compte avec un petit panel d’options :
samba-tool user create mami 'M0nM#tD3Pàssss3' --given-name="Manu" --surname="Militari" \
--script-path="logon.bat" \
--home-drive="U:" \
--home-directory="\\\\MONSERVEURDEFICHIERS\mami" \
--mail-address="manu.militari@maboite.fr" \
--unix-home="/home/mami" \
--login-shell="/bin/bash" \
--uid-number=35215 \
--gid-number=513 \
--gecos="Manu Militari"\
--uid=mami
Cet utilisateur sera administrateur (d’ailleurs, il ne faut JAMAIS utiliser le compte administrator, il faut créer des comptes nominatifs qui soient administrateurs) :
samba-tool group addmembers "Domain Admins" mami samba-tool group create "Mecs importants" samba-tool group addmembers "Mecs importants" mami
RSAT pour les gens qui ont un mulot :
Si vous avez une souris et Windows 7 (ce n’est pas aussi complet sous Windows 10), vous pouvez installer les outils RSAT fournis par Microsoft.
Une fois installés, dans l’ajout/suppression de programmes, vous pouvez ajouter des fonctionnalités Windows.
Il faut cocher : Outils d’administration de serveur distant > DNS et Outils AD DS et LDS.
Enfin vous pouvez vous créer une console avec les outils DNS et AD en tapant « mmc » dans le menu démarrer.
Fichier > Ajouter … Allez chercher les outils DNS et Utilisateurs et ordinateurs active Directory.
Vous aurez alors accès à la création suppression des utilisateurs, groupes, U.O., et enregistrements DNS.
Apache Directory Studio
Apache Directory Studio est un Eclipse dédié au LDAP.
Cet outil n’est pas spécifique à Samba4 mais il permet de travailler sur n’importe quel LDAP (AD ou autre).
On peut alors modifier n’importe quelle attribut/valeur dans l’annuaire de manière assez directe. Avec RSAT on peut aussi faire ça mais c’est plus tordu, bref, c’est un bon complément.
Encore une fois, merci à TranquilIT pour leur travail et pour m’avoir appris tout ce que je sais sur Samba4.