Het werken met policies onder samba3 Steve Weemaels 01-03-2005
1. Poledit: Poledit is een tool die we gaan gebruiken om policies te specifiëren. Zaken zoals: toegang tot opties in het control panel, uitzicht van de desktop, netwerkmogelijkheden en andere, kunnen ingesteld worden. Alles wat ingesteld wordt in de policies, wordt toegepast op de registry. De tool zelf wordt geleverd bij windows NT4 of kan gratis gedownload worden van het internet. De werking: Als een gebruiker aanlogt op het domain, of als een userprofile wordt geladen, wordt uit de NETLOGON share het NTConfig.POL bestand gehaald. Aangezien de NETLOGON share zowel op Windows NT als op Samba bestaat, kan Samba ook met de policies om. In dit bestand kunnen 4 soorten policies voorkomen. 1. Policies op USER -> de instellingen worden opgeslaan in de registry in: HKEY_CURRENT_USER 2. Policies op GROUP -> de instellingen worden net als in de USER policies opgeslaan in de registry in: HKEY_CURRENT_USER 3. Policies op COMPUTER -> de instellingen worden opgeslaan in de registry in: HKEY_CURRENT_MACHINE 4. Default policies -> deze instellingen worden pas geladen als er geen andere policies gedefiniëerd zijn en werken op dezelfde manier als de USER en GROUP policies.
MODES: Er zijn 2 modes: de registry mode en de policy mode. Met de registry mode, kan je op de computer waarop poledit draait, rechtstreeks de registry gaan aanpassen. De policy mode dient om een NTConfig.POL bestand aan te maken. Dit is hetgene dat we zullen gebruiken. ADM bestanden: De ADM bestanden vallen te vergelijken met LDAP of XML schema's die bepalen welke elementen er mogen voorkomen in de policy. Wij gebruiken er 3: – Winnt.adm: deze bevat settings voor Win NT en varianten (niet voor Win 95 – 98 – ME) – Common.adm: deze bevat settings zowel voor Win NT als voor Win95 – 98 – cpanel.adm: deze werd na lang zoeken gevonden op het internet en bevat opties die het control panel restricteren.
Het gebruik van Poledit:
In de Policy Template Options kunnen de .ADM bestanden ingevoegd worden.
Als we een nieuwe policy aanmaken krijgen we standaard de Default Computer en Default User te zien.
Met poledit kunnen we de LDAP databank die gekoppeld is aan Samba doorzoeken om users, groups en computers toe te voegen en policies op deze te plaatsen
Zoals we hier kunnen zien krijgen we per user, group of computer een scala aan opties te zien die we kunnen toepassen. Uiteindelijk kiezen we: 'opslaan als' en slaan we het bestand op als 'NTConfig.POL'. Deze file zetten we in de NETLOGON share op de samba server en voeren chmod 644 uit.
Conclusies: Als test werden 2 nieuwe groepen aangemaakt. Eén groep die geen rechten had tot het control panel, geen 'run' tool had en geen rechten had tot 'regedit'. De andere groep had geen rechten om in het lokale netwerk te browsen.
Simpel gezegd kan de gebruiker Jeff alles doen met zijn computer, behalve browsen in het netwerk. De gebruiker Patrick kan daarentegen wel browsen in het netwerk, maar heeft geen rechten tot het control panel, de 'run' tool en 'regedit'. De gebruiker Jane, heeft geen rechten tot netwerkbrowsing en geen rechten tot het control panel, de 'run' tool en 'regedit'. We hebben ondervonden dat de policies meestal goed werden toegepast, maar niet altijd. Bij één clientcomputer leken de policies niet te werken, bij de twee andere wel. Ook werd opgemerkt dat een werkende configuratie die getest werd op pc A soms na een tijdje niet meer bleek te werken. Toen pc B aangesloten werd als client, bleek de configuratie wel te werken. Toen opnieuw pc A aangesloten werd, bleek de configuratie wel terug te werken. We hebben niet kunnen verklaren hoe dit kwam. In de poging om specifieke windows XP policies te kunnen instellen, werden de .adm bestanden die in windows XP gevonden werden geladen. Poledit crashte echter aangezien deze bestanden vanaf windows ME uit een ander formaat bestaan. Het algemeen besluit is dat als policies toegepast moeten worden, deze best eerst grondig getest worden alvorens ze grootschalig te gaan toepassen.
2. Nitrobit Group Policy De Nitrobit group policy is een alternatief voor het Microsoft Group Policy systeem die gebruikt wordt in Microsoft Active Directory. Het heeft echter als voordeel dat het gebruikt kan worden in combinatie met Samba domeinen. Nitrobit raadt ook aan om Samba te combineren met LDAP, maar in principe hoeft het niet. Het is wel noodzakelijk om extra software te installeren op de windows clients in het netwerk. Het systeem kan ongeveer hetzelfde doen als de Microsoft group policies. Het heeft ook nog enkele extra tools die dienen om de connectie met LDAP makkelijker te maken.
Zoals we op deze screenshots kunnen zien: de mogelijkheden van Nitrobit Group Policy zijn ongeveer dezelfde als van de Microsoft Group Policy.
Instellingen voor ldap Kostprijs: We hebben een mail gestuurd naar Nitrobit met de vraag naar de prijzen. Dit kregen we terug: quantity: 1 25 50 100 500 1000 over 1500
price per client License $16 $14 $12 $10 $9 $8 on request
Per Upgrade moet er nog een extra kost van 20 tot 40 % betaald worden Om dit even toe te passen voor een netwerk van 200 computers: 200 x $10 = $2000, dit komt neer op een goeie €1500.
Conclusies: We hebben met de trial versie wat geëxperimenteerd en zijn tot de conclusie gekomen dat dit Nitrobit Group Policy zeer degelijke software is. Het grote probleem is echter dat deze software betalend is. Dit is tevens de
grootste reden waarom we niet met deze software verderwerken in ons eindwerk. Als men de prijs bekijkt die men betaalt voor 200 clients, kan men ervan uitgaan dat het beter is om een echte Microsoft Domain controller aan te kopen bij een groter netwerk, aangezien deze behalve de group policies nog vele andere features heeft.
