Mobile-Menu

Domänen-Netze, Active Directory und Gruppenrichtlinien mit Linux Domänencontroller auf Basis von Samba

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Wer auf Samba als Active-Directory-Domänencontroller setzt, kann dort auch Gruppenrichtlinien verwalten und diese auf Windows-Clients umsetzen. Der Artikel zeigt wie das geht, und wie auch mit Linux-Domänencontrollern Gruppenrichtlinien genutzt werden können.

Firma zum Thema

Domänennetzwerke müssen nicht ausschließlich auf Windows basieren. Auch mit Linux und Samba lassen sich Domänencontroller betreiben und Gruppenrichtlinien umsetzen.
Domänennetzwerke müssen nicht ausschließlich auf Windows basieren. Auch mit Linux und Samba lassen sich Domänencontroller betreiben und Gruppenrichtlinien umsetzen.
(Bild: CoxinhaFotos auf Pixabay - gemeinfrei / Pixabay )

Im Beitrag „Ubuntu 20.04 als Active-Directory-Domänencontroller betreiben“ haben wir beschrieben, wie ein Server mit Ubuntu 20.04 als Domänencontroller für Active Directory genutzt werden kann. Zusätzlich zeigen wir in diesem Beitrag auch, wie mit den Remote Server Administration Tools von Windows 10 und anderen Windows-Servern aus das Active Directory mit Microsoft-Bordmitteln verwaltet werden kann.

Bevor mit Gruppenrichtlinien erfolgreich gearbeitet werden kann, muss sichergestellt sein, dass der Linux-Domänencontroller auf Basis von Samba stabil funktioniert und keine Fehler meldet. Auch die Namensauflösung muss funktionieren.

Bildergalerie
Bildergalerie mit 5 Bildern

Namensauflösung beachten

Auch der interne DNS-Server beim Einsatz von Samba als Active-Directory-Domänencontroller kann mit den DNS-Verwaltungstools aus den Remote Server Administration Tools verwaltet werden. Zur Verwaltung von Einträgen kann in Windows 10 der DNS-Manager genutzt werden, sobald dieser über die optionalen Features in der Einstellungs-App von Windows 10 hinzugefügt wurde. Das gilt natürlich nicht, wenn bei der Installation auf Bind9 gesetzt wird.

Active Directory ist von DNS abhängig. Vor der Aktivierung der Gruppenrichtlinien sollte daher überprüft werden, ob die Namensauflösung zwischen Clients und dem Linux-Domänencontroller funktionieren. Dazu kann „nslookup“ genutzt werden.

In den Dateien „/etc/hostname“ und „etc/hosts“ sollte der FQDN des Domänencontrollers auf den Samba-Servern hinterlegt sein, zum Beispiel „ubuntu.joos.intern“ (/etc/hostname) und „192.168.1.34 ubuntu.joos.intern ubuntu“ (/etc/hosts). Bei Änderungen des Namens sollte der Server immer mit „sudo reboot“ neu gestartet werden.

Die Konfigurationsdateien können zum Beispiel mit den Editoren „vim“ oder „nano“ bearbeitet werden. Nach der Konfiguration kann es sinnvoll sein die DNS-Namensdateien zu erstellen, zum Beispiel mit „sudo rm -f /etc/resolv.conf && sudo vim /etc/resolv.conf“.

Gruppenrichtlinien mit Samba für Linux-Clients

Mit Samba ist es generell auch möglich, Gruppenrichtlinien über Linux zu steuern. Allerdings bedeutet das nicht, dass Gruppenrichtlinien mit Linux-Clients eingesetzt werden können. Hier sind Automatisierungstools wie Ansible, Puppet oder Chef besser geeignet. Samba kann aber Gruppenrichtlinien für Windows-Clients bereitstellen, sodass im Netzwerk zwar Windows-Clients zum Einsatz kommen, aber keine Windows-Domänencontroller. Natürlich können Samba-Domänencontroller auch parallel zu Windows-Domänencontrollern eingesetzt werden. Gruppenrichtlinien für Domänencontroller kann ein Samba-Server jedoch nicht umsetzen. Der Server kann aber Gruppenrichtlinien für Windows-Clients zur Verfügung stellen.

Gruppenrichtlinien in Samba für Windows-Clients

Wenn in einem Active Directory auf Basis eines Samba-Servers Windows-Clients aufgenommen wurden, können auf diesen Gruppenrichtlinien umgesetzt werden, wie bei Windows-Domänencontrollern auch. Damit das funktioniert, muss von einem Rechner mit Windows 10 aus die Gruppenrichtlinienverwaltung installiert werden.

Der Client muss Mitglied des Samba-Active-Directories sein. Die Verbindung erfolgt auch hier mit „winbind“. Um Gruppenrichtlinien zu nutzen, wird in den globalen Optionen der Datei „etc/samba/smb.conf“ die Zeile „apply group policies = yes“ gesetzt. Nicht immer funktioniert die Umsetzung fehlerfrei, da Berechtigungen, Namensauflösung und die Active-Directory-Konfiguration eine große Rolle spielen. Grundsätzlich können Gruppenrichtlinien für Windows aber auch auf dem Samba-Server konfiguriert werden, allerdings ist die Verwendung der Windows-basierten Gruppenrichtlinienverwaltung wesentlich einfacher.

Zur Installation der Gruppenrichtlinienverwaltung wird in Windows 10 die Einstellungs-App geöffnet. Über „Apps“ und dann den Link „Optionale Features“ können mit „Feature hinzufügen“ weitere Verwaltungs-Programme zu Windows 10 hinzugefügt werden. Zur Verwaltung von Active Directory auf Basis von Samba sollten die folgenden Features installiert werden:

  • RSAT: Tools für Active Directory Domain Services und Lightweight Directory Services
  • RSAT: Tools zur Gruppenrichtlinienverwaltung
  • RSAT: DNS-Servertools

Nach der Installation der Tools stehen diese im Startmenü bei „Windows-Verwaltungprogramme“ zur Verfügung. Zur Verwaltung von Gruppenrichtlinien wird das Tool „Gruppenrichtlinienverwaltung“ verwendet. Hier gibt es zunächst keine Unterschiede im Vergleich zu Windows-Domänencontrollern.

Die wichtigste Gruppenrichtlinie ist „Default Domain Policy“. Diese ist mit der Active-Directory-Domäne verknüpft, die Samba zur Verfügung stellt. Die Richtlinie ist bei „Gruppenrichtlinienobjekte“ gespeichert. Hier können die Einstellungen für die Windows-Clients bearbeitet werden. Die Einstellungen setzen die Clients automatisch beim Neustart und auch im laufenden Betrieb um. Auf den Windows-Rechnern können neue Einstellungen mit „gpupdate /force“ vom Samba-Domänencontroller abgerufen werden.

Das Ergebnis der Richtlinie kann mit „gpresult /H results.html /f“ angezeigt werden. Auf dem Samba-Server kann mit der Gruppenrichtlinienverwaltung ebenfalls überprüft werden, ob die Richtlinien umgesetzt werden: „samba-tool gpo list <Computername>“.

Auf dem Linux-Server kann die Umsetzung der Gruppenrichtlinien auch mit „sudo samba-gpupate --force“ überprüft werden. Die Richtlinien, die auf Computern angewendet werden, lassen sich im Terminal auf dem Samba-Server wiederum mit „samba-gpupdate --rsop“ anzeigen. Mehr zu den Möglichkeiten von Richtlinien auf Samba-Servern ist in der Samba-Wiki zu finden.

Active Directory im Fokus
Bildergalerie mit 43 Bildern

(ID:47377898)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist