«前の日記(2011年01月31日) 最新 次の日記(2011年02月04日)» 編集

だめだめ日記

ツッコミの内容は検索サイトからの検索やサイトのレーティングに影響します。そのため問題があるキーワードを含むと思われるツッコミについては、当方の判断で削除することがあります。予めご了承ください。 なお、コメントspamと判断されたツッコミは自動的に消去されます。ご容赦ください。
2002|12|
2003|01|02|03|04|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|05|06|09|10|11|12|
2013|01|02|02|03|08|09|
2014|01|
2015|09|10|11|
2016|01|04|

執筆、翻訳などに関わった書籍類


【改訂新版】Samba [実践]入門

Linux教科書
LPICレベル3 300試験

マスタリング Nginx

実践 パケット解析 第2版

改訂版 Sambaのすべて

アンドキュメンテッド
Microsoftネットワーク

その他の書籍は だめだめ日記のおみせ@本店でどうぞ。



2011年02月03日 [長年日記]

[Samba]Domain Adminsグローバルグループの能力

不勉強で知らなかったのですが、understanding users mapping のスレッドで

I tryed to lower dmnadmins privileges by revoking
semachineaccountprivilege privilege, but didnt worked,
and it user managed to add a machine to the domain correctly.

とか

Domain Admins has privileges because that group already had
privileges in windows, and samba understand that

といわれて、あれっと思って試してみました。

確かに、RID=512 (DOMAIN_GROUP_RID_ADMINS)のグループにはデフォルトで管理者権限が付与されてましたです。

ソースを確認すると

        /* Add Full Access for Domain Admins if we are a DC */

        if ( IS_DC ) {
                sid_copy( &domadmin_sid, get_global_sam_sid() );
                sid_append_rid( &domadmin_sid, DOMAIN_GROUP_RID_ADMINS );
                init_sec_ace(&ace[i++], &domadmin_sid,
                        SEC_ACE_TYPE_ACCESS_ALLOWED, map->generic_all, 0);
        }

みたいな感じ(rpc_server/srv_samr_nt.c)でした。

すみませんです。


Copyright (C) 2003-2017 TAKAHASHI, Motonobu
webmaster@monyo.com