私は、Windows Server 2019 AD に参加した AlmaLinux と Samba Winbind を実行しています。ドメイン ユーザーには、ホーム ディレクトリと pccommon ディレクトリ (共有フォルダー) があります。
アクティブ ディレクトリに新しいドメイン ユーザーを作成する場合、Linux マシンの /home に新しいフォルダーを作成し、その所有者をそのユーザーの名前に変更する必要があります。
mkdir -p /home/newaccount
chown IIT\\newaccount: /home/newaccount
smb.conf は、
idmap config * : rangesize = 1000000
idmap config * : range = 100000-19999999
idmap config * : backend = autorid
template homedir = /home/%U
template shell = /sbin/nologin
; winbind use default domain = yes
; winbind enum users = yes
; winbind enum groups = yes
winbind max domain connections = 10
winbind expand groups = 5
ntlm auth = yes
# workaround za https://bugzilla.samba.org/show_bug.cgi?id=11081 ?
#client schannel = no
[homes]
writable = yes
create mask = 0711
directory mask = 0711
map hidden = yes
map system = yes
invalid users = root nobody
csc policy = disable
root preexec = /usr/local/bin/netlogonpr %U
veto files = /autorun.inf/*.zepto/*.ZEPTO/*.scr/*.SCR/*.wsf/*.WSF/*.docm/*.DOCM/
delete veto files = yes
[pccommon]
path = /home/pccommon
read only = no
acl_xattr:ignore system acls = yes
問題
問題は、ドメイン ユーザーが互いのホーム ディレクトリを見ることができることです。そこに書き込むことはできないにもかかわらず、それでも問題は残ります。各ドメイン ユーザーが自分のホーム ディレクトリだけを見られるようにし、他のユーザーのホーム ディレクトリを見ないようにするにはどうすればよいでしょうか。
答え1
ユーザーのホーム ディレクトリが存在するかどうかを確認し、存在しない場合は作成するように、「root preexec」スクリプトを変更することをお勧めします。
無効なユーザーの行を削除し、「有効なユーザー = %S」に置き換えます。
これにより、ユーザーのホーム ディレクトリがユーザーのみに表示されるようになり、存在しない場合は自動的に作成されます。