Если делаешь только то, что умеешь, то никогда не сможешь превзойти самого себя
https://de.hardprivate.com/

Контроллер домена на debian 12

https://de.hardprivate.com/viewtopic.php?f=4&t=1491

Страница 1 из 1

Контроллер домена на debian 12

Добавлено: 22 ноя 2025, 19:42
ya
Контроллер домена на debian 12

Обновим все пакеты

Код: Выделить всё

apt update
Присвоим ип-адрес сетевому интерфейсу, если таковой не был явно прописан в файле конфигурации сети

Код: Выделить всё

ip addr add адрес/префикс dev интерфейс
установим самбу и необходимые к ней пакеты

Код: Выделить всё

apt install samba winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user krb5-kdc bind9
Указываем домен в котором у нас будет находится samba и адрес сервера (в данном случае этот ip a)

Замаскируем ненужные установки и удалим лишние файлы

Код: Выделить всё

systemctl stop winbind smbd nmbd krb5-kdc
systemctl mask winbind smbd nmbd krb5-kdc
Удалим конфигурационный файл настройки самбы

Код: Выделить всё

rm /etc/samba/smb.conf


Настройка домен-контроллера (данная команда инициализирует нижеследующие запросы)

Код: Выделить всё

samba-tool domain provision

Realm: имя.домена.полностью
Domain [имя]: <Enter>
Server Role (dc, member, standalone) [dc]: <Enter>
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: <Enter>
DNS forwarder Ip address (write 'none' to disable forwarding) [ип_адрес_днс]: 1.0.0.2
Administrator password: пароль администратора домена
Retype password: повторить пароль администратора домена
INFO Установка контроллера домена
dc - основной сервер (самый главный сервер контроллера домена)
member - сервер в составе контроллера домена
standalone - самостоятельный сервер

DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) выбрать какой днс-сервер использовать: встроенный в самбу или внешний
DNS forwarder Ip address (write 'none' to disable forwarding) [ип_адрес_днс] на какой днс-адрес пересылать запросы, если самба не справится с ними

Подключаем конфиг самбы-днс к днс-серверу

Код: Выделить всё

echo 'include "/var/lib/samba/bind-dns/named.conf";' | tee -a /etc/bind/named.conf
Выставляем владельца и группу для каталога (если не выставлена)

Код: Выделить всё

chown -R root:bind /var/lib/samba/bind-dns
Перезапускаем днс-сервер, затем перезапускаем контроллер домена

Код: Выделить всё

systemctl restart bind9 samba-ad-dc
Проверяем статус контроллера домена

Код: Выделить всё

systemctl status samba-ad-dc


Создание пользователя для контроллера домена

Код: Выделить всё

samba-tool user add пользователь1
New Password:
Retype Password:
Выдадим этому пользователю права администратора домена

Код: Выделить всё

samba-tool group addmembers 'Domain Admins' пользователь1
Заберём права администратора домена

Код: Выделить всё

samba-tool group removemembers 'Domain Admins' пользователь1


Далее переходим на винду и добавляем виндовый комп в контроллер домена
Параметры -> Переименовать ПК (для опытных пользователей) -> Является членом домена ->имя.домена.полностью

или добавляем на сервере

Код: Выделить всё

samba-tool computer add <имя_компьютера> --user=<имя_администратора> --password=<пароль>
или

Код: Выделить всё

samba-tool computer create <имя_компьютера> --user=<имя_администратора> --password=<пароль>

Список групп контроллера домена

Код: Выделить всё

samba-tool group list
В винде есть стандартные группы:
Администраторы домена
Администраторы предприятия
Администраторы системы
Администраторы политики
Администраторы днс
Компьютеры домена
Пользователи
Гости домена
Защищённые пользователи


Создание пользователя для контроллера домена с дополнительными параметрами для красивости отображения при входе пользователя в ситему (если пароль создавать не нужно, то в конец добавить два тире --)

Код: Выделить всё

samba-tool user add ivan --given-name=Ivan --surname=Ivanov
New Password:
Retype Password:
Добавление пароля пользователю

Код: Выделить всё

smbpasswd ivan
New SMB password:
Retype SMB password:

Посмотреть список всех зарегистрированных пользователей в домене

Код: Выделить всё

samba-tool user list
Очистка кеша домена для исключения конфликтов с самбой

Код: Выделить всё

control krb5-conf-ccache default

Список компьютеров, подключенных к домену

Код: Выделить всё

samba-tool computer list
Если нужно управлять пользователями и группами, используйте

Код: Выделить всё

samba-tool user create username password

Re: Контроллер домена на debian 12

Добавлено: 22 ноя 2025, 23:22
ya
Подключение линукс-клиента к контроллеру домена

/etc/samba/smb.conf

Код: Выделить всё

[global]
workgroup = TESTDOMAIN
realm = TESTDOMAIN.NET

security = ADS
encrypt passwords = true
dns proxy = no
socket options = TCP_NODELAY

domain master = no
local master = no
prefferred master = no
domain logons = no

load printers = no
show add printers wizard = no
printcap name = /dev/null
disable spoolss = yes

Код: Выделить всё

net ads join -U пользователь1 -D имя.домена.полностью
Passowd for [имя\пользователь1]:
после этого запросит пароль пользователя для подключения к домену

Re: Контроллер домена на debian 12

Добавлено: 22 ноя 2025, 23:45
ya
Управление Active Directory

Для ввода в домен необходимы пакеты:

Код: Выделить всё

apt install sssd-krb5 sssd-ldap
Подключение от администратора к контроллеру домена на сервере, где установлен контроллер домена. Эту команду вводить из-под пользователя, под которым авторизовались, с тем, чтобы именно ему дать доступ на управление контроллером домена

Код: Выделить всё

kinit Administator
Для управления в графическом интерфейсе контроллером домена, установить пакет admc и alterator

Код: Выделить всё

apt install admc alterator
Редактор групповых политик через графический интерфейс

Код: Выделить всё

apt install gpui

Re: Контроллер домена на debian 12

Добавлено: 23 ноя 2025, 00:10
ya
Настройка Windows Server 2012 в качестве контроллера домена
https://www.youtube.com/watch?v=YEc7iq4NIRs

Создание новых пользователей и групп в ActiveDirectory
https://www.youtube.com/watch?v=Zn_-tNF8ecc

Re: Контроллер домена на debian 12

Добавлено: 23 ноя 2025, 00:15
ya
Требования к паролю на контроллере домена Active Directory

Минимальная длина пароля в 1 символ

Код: Выделить всё

samba-tool domain passwordsettings set --min-pwd-length=1
Отключить сложность пароля

Код: Выделить всё

samba-tool domain passwordsettings set --complexity=disabled
Для сброса срока действия пароля (например, чтобы он не истекал

Код: Выделить всё

samba-tool domain passwordsettings set --max-pwd-age=0
Чтобы проверить текущие настройки политики паролей

Код: Выделить всё

samba-tool domain passwordsettings show

Re: Контроллер домена на debian 12

Добавлено: 23 ноя 2025, 00:42
ya
Расшарить каталог

mkdir -p /path/to/shared_folder
chown -R youruser:yourgroup /path/to/shared_folder
chmod -R 770 /path/to/shared_folder

/etc/samba/smb.conf

Код: Выделить всё

[SharedFolder]
   path = /path/to/shared_folder
   browsable = yes
   writable = yes
   valid users = youruser
   read only = no
systemctl restart smbd
Часовой пояс: UTC+05:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB