linux如何成为win2000的PDC?请教高手？

linux如何成为win2000的PDC?请教高手？
根据如下文章设置还是不能成为win2000的PDC？如何做？问题在那里？

Samba PDC 配置摘要

发布者：georgehu 阅读次数：308
鉴于网络上已有大量文章描述了SAMBA的方方面面,
本文不是一个SAMBA的完全使用指南. 作者假设您已了解了该组件的许多
基本内容. 本文只是从实践的角度给出了一个SAMBA PDC配置的各重要事项.

本文参考了SAMBA 的安装文档以及MAN PAGE


作为PDC的角色,Samba 2.2.x 提供了以下新特性:
Windows NT 4.0/2000/XP 客户的DOMIAN登录
Windows 9x 客户的用户级安全
从SAMBA PDC上提取用户和组信息给 Windows 9x/NT/2000 clients
用户profile文件的漫游
Windows NT 4.0 风格的系统策略

而以下是SAMBA PDC现在还不能提供的功能:
Windows NT 4 域信任
与 NT4.0 域控制器之间的SAM复制
通过域用户管理器加入用户
不是Windows 2000 域控制器.(注:这是由于SAMBA PDC 在AD和Kerberos功能上的缺失. 但WIN2000的客户可以把SAMBA PDC作为一个NT4.0域控制器.)

1. smb.conf 配置要素:
[global]
[global]
security = user
status = yes
workgroup = { Your domain name here }
wins server = { ip of a wins server if you have one }
encrypt passwords = yes
domain logons =yes
logon script = scripts%U.bat
domain admin group = @adm
add user script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %m$
guest account = ftp
share modes=no
os level=65
[homes]
guest ok = no
read only = no
create mask = 0700
directory mask = 0700
oplocks = false
locking = no
[netlogon]
path = /usr/local/samba/netlogon
writeable = no
guest ok = no

要点讲解: add user script: 这里是用来加入一个机器!, 不是用户

domain admin group = @adm: 指定了一个 unix group, 当它的成员从一个 NT workstation 登录后, 将被赋予管理权限.
您可以用LINUX的用户管理界面来查看这个adm组.

2. 将机器加入Domain

Windows NT (手工)

在LINUX上执行以下指令:
/usr/sbin/adduser -n -g machines -c MachineName -d /dev/null -s /bin/false %m$
注:-g是unix的group名称. 最好用machines来表示这个特殊的机器组.
-c是您要加入的windows机器的netbios名称.
如果您够仔细的话会发现这和SMB.CONF文件中的一行是一样的

接着要让SAMBA知道这个机器:smbpasswd -a -m {machine} 注:MACHINE的名字与上面相同

在 NT WORKSTATION上进入 Control Panel, Network Identification

点Change, 在DOMAIN 字段中输入Domain 名字(在 smb.conf 中的Workgroup 参数 )

点OK.等会儿出现Welcome to Whatever Domain. 重启动

Windows 2000 (自动)

以Administrator本地登入WIN2K的机器.
按标准的WIN2000加入域方法加入.这里不再提示
重要:当加入域时会提示您输入域管理员的名称和密码.这里必须使用LINUX端的root帐号!!.
也就是说,当前的samba pdc必须是root为超级用户.

3.系统策略和Profiles
最好在NT WORKSTATION上使用NT SERVER的POLEDIT.EXE来管理. 在NT SP3(或更新)的CD上 运行以下命令
servicepackname /x 来单独的解开poledit.exe和 模板文件*.adm.


4.Windows NT Access Control Lists (NT 存取控制列表)
在实现SAMBA PDC的过程中,最有意思也是最有挑战性的问题就是SAMBA的nt acl支持了(nt_acl_support).
简单的说,就是您可以在win2000pro和nt workstation上直接地进行samba pdc上的文件共享的权限控制!
而且这是彻底的NT方式!

本人在这个问题上遇到了困难,经过多方查证,终于知道在linux上实现这个功能必需使用xfs文件系统!
传统的Linux 文件系统需要重新打补丁编译内核以及升级所有的ext2下的工具.. 所以,如果您有这样的
需求,请安装一个xfs文件系统. (本人在Mandrake 8.1下已实现).

请参阅这篇位于ibm develop network上的文章:www-106.ibm.com/developerworks/linux/library/l-samba/?dwzone=linux

5.进一步阅读:
Samba的连机文档上提供您所有问题答案的最佳选择.请仔细阅读并实践之.

6.最后: 现在最新的samba 2.2.2已经发布. 没有增加什么新功能,但在现有的功能上作了最好的补丁.应该说是相当稳定了.
如果您要实现一个上述水平的PDC,请安装之.
　　　　　　

Samba 2.2之前的版本已实现了少量的Windows NT 4.0主域控制器功能。而2.2版还完成了下面这些功能：

Windows NT 4.0/2000客户进行域登录

在用户安全级中加入Windows 9x客户

从Samba主域控制器中接收Windows客户的用户及组列表

漫游用户设置

Windows NT 4.0风格的系统策略

但还有这些功能没有实现：

Windows NT 4域信任

Windows NT 4.0域控制器的安全账号数据库复制(如，Samba主域控制器与NT备份域控制器进行复制，或反之)

通过用户管理器向域中添加用户账号

实现Windows 2000域控制器功能(如Kerberos和活动目录)

请注意，在本文所描述的Windows 9x客户并不是域中的真正成员。因此，支持Windows 9x域登录风格的协议与NT4域登录是完全不同的，而且这个功能早就被正式支持了。

从Samba 2.2.0开始，正式支持了NT4风格的域登录，适用于Windows NT 4.0和Windows 2000 (包括SP1)客户。本文描述了把Samba配置成PDC所必须的步骤。开始之前请先确保它正常工作，否则请参考UNIX_INSTALL.html以及smb.conf(5)的手册页。

具体实现基本上分为两步：

配置Samba作为PDC


建立机器信任账号并把客户加入到域中来

另外还有一些次要的东西如用户配置、系统策略等。但这些并不是必须的，而且，这和Windows NT的网络概念是差不多的，这里只简单地提一下了。


--------------------------------------------------------------------------------　　　　　　

samba需要安装的吗？在那里找她的安装程序，谢谢！！！