Samba 系列（七）：在 Samba AD DC 伺服器上建立共享目錄並對映到 Windows/Linux 客戶

這篇文章將指導你如何在 Samba AD DC 伺服器上建立共享目錄，然後透過 GPO 把共享目錄掛載到域中的其它 Windows 成員機，並且從 Windows 域控的角度來管理共享許可權。

這篇文章也包括在加入域的 Linux 機器上如何使用 Samba4 域帳號來訪問及掛載共享檔案。

需求：

1、在 Ubuntu 系統上使用 Samba4 來建立活動目錄架構

2、在 Linux 命令列下管理 Samba4 AD 架構

3、使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構

4、在 Windows 下管理 Samba4 AD 域管制器 DNS 和組策略

5、將另一臺 Ubuntu DC 伺服器加入到 Samba4 AD DC 實現雙域控主機模式

6、使用 Rsync 命令同步兩個 Samba4 AD DC 之間的 SysVol 目錄

第一步：建立 Samba 檔案共享

1、在 Samba AD DC 伺服器上建立共享非常簡單。首先建立一個你想透過 SMB 協議來分享檔案的目錄，然後新增下面的檔案系統許可權，這是為了讓 Windows AD DC 管理員給 Windows 客戶端分配相應的共享許可權。

假設在 AD DC 伺服器上有一個新的共享目錄 '/nas' ，執行下面的命令來授予必要的許可權。

# mkdir /nas
# chmod -R 775 /nas
# chown -R root:"domain users" /nas
# ls -alh | grep nas

建立 Samba 共享目錄

2、當你在 Samba4 AD DC 伺服器上建立完成共享目錄之後，你還得修改 samba 配置檔案，新增下面的引數以允許透過 SMB 協議來共享檔案。

# nano /etc/samba/smb.conf

在配置檔案末尾新增以下內容：

[nas]
path = /nas
read only = no

配置 Samba 共享目錄

3、最後，你需要透過下面的命令重啟 Samba AD DC 服務，以讓修改的配置生效：

# systemctl restart samba-ad-dc.service

第二步：管理 Samba 共享許可權

4、我們準備使用在 Samba AD DC 伺服器上建立的域帳號（包括使用者和組）來訪問這個共享目錄（禁止 Linux 系統使用者訪問共享目錄）。

可以直接透過 Windows 資源管理器來完成 Samba 共享許可權的管理，就跟你在 Windows 資源管理器中設定其它資料夾許可權的方法一樣。

首先，使用具有管理員許可權的 Samba4 AD 域帳號登入到 Windows 機器。然而在 Windows 機器上的資源管理器中輸入雙斜槓和 Samba AD DC 伺服器的 IP 地址或主機名或者是 FQDN 來訪問共享檔案和設定許可權。

\\adc1
或
\\192.168.1.254
或
\\adc1.tecmint.lan

從 Windows 機器訪問 Samba 共享目錄

5、右鍵單擊共享檔案，選擇屬性來設定許可權。開啟安全選項卡，依次修改域賬號和組許可權。使用高階選項來調整許可權。

配置 Samba 共享目錄許可權

可參考下面的截圖來為指定 Samba AD DC 認證使用者設定許可權。

設定 Samba 共享目錄使用者許可權

6、你也可以使用其它方法來設定共享許可權，開啟計算機管理-->連線到另外一臺計算機。

找到共享目錄，右鍵單擊你想修改許可權的目錄，選擇屬性，開啟安全選項卡。你可以在這裡修改任何許可權，就跟上圖的修改共享資料夾許可權的方法一樣。

連線到 Samba 共享目錄伺服器

管理 Samba 共享目錄屬性

為域使用者授予共享目錄許可權

第三步：透過 GPO 來對映 Samba 檔案共享

7、要想透過域組策略來掛載 Samba 共享的目錄，你得先到一臺已安裝了 RSAT 工具 的伺服器上，開啟 AD DC 工具，右鍵單擊域名，選擇新建-->共享資料夾。

對映 Samba 共享資料夾

8、為共享資料夾新增一個名字，然後輸入共享資料夾的網路路徑，如下圖所示。完成後單擊 OK 按鈕，你就可以在右側看到資料夾了。

設定 Samba 共享資料夾名稱及路徑

9、下一步，開啟組策略管理控制檯，找到當前域的預設域策略指令碼，然後開啟並編輯該檔案。

在 GPM 編輯器介面，開啟 GPM 編輯器，找到使用者配置 --> 首選項 --> Windows 設定，然而右鍵單擊驅動器對映，選擇新建 --> 對映驅動。

在 Windows 機器上對映 Samba 共享資料夾

10、透過單擊右邊的三個小點，在新視窗中查詢並新增共享目錄的網路位置，勾選重新連線核取方塊，為該目錄新增一個標籤，選擇驅動磁碟機代號，然後單擊 OK 按鈕來儲存和應用配置。

配置 Samba 共享目錄的網路位置

11、最後，為了在本地機器上強制應用 GPO 更改而不重啟系統，開啟命令列提示符，然而執行下面的命令。

gpupdate /force

應用 GPO 更改

12、當你在本地機器上成功應用策略後，開啟 Windows 資源管理器，你就可以看到並訪問共享的網路資料夾了，能否正常訪問共享目錄取決於你在前一步的授權操作。

如果沒有在命令列下強制應用組策略，你網路中的其它客戶機需要重啟或重新登入系統才可以看到共享目錄。

Windows 機器上掛載的 Samba 網路磁碟

第四步：從 Linux 客戶端訪問 Samba 共享目錄

13、已加入 Samba AD DC 中的 Linux 成員機上的系統使用者也可以可以使用 Samba 帳號訪問或在本地掛載共享目錄。

首先，你得透過下面的命令來確保 Samba 客戶端和工具已經安裝完成。

$ sudo apt-get install smbclient cifs-utils

14、為了列出域環境中的共享目錄，你可以透過下面的命令加入指定的域控伺服器主機名來查詢：

$ smbclient –L your_domain_controller –U%
或
$ smbclient –L \\adc1 –U%

在 Linux 機器上列出 Samba 共享目錄

15、在命令列下使用域帳號以互動試方式連線到 Samba 共享目錄：

$ sudo smbclient //adc/share_name -U domain_user

在命令列下，你可以列出共享目錄內容，下載或上傳檔案到共享目錄，或者執行其它操作。使用 ? 來查詢所有可用的 smbclient 命令。

在 Linux 機器上連線 Samba 共享目錄

16、在 Linux 機器上使用下面的命令來掛載 samba 共享目錄。

$ sudo mount //adc/share_name /mnt -o username=domain_user

在 Linux 機器上掛載 samba 共享目錄

根據實際情況，依次替換主機名、共享目錄名、掛載點和域帳號。使用 mount 命令加上管道符和 grep 命令來過濾出 cifs 型別的檔案系統。

透過上面的測試，我們可以看出，在 Samba4 AD DC 伺服器上配置共享目錄僅使用 Windows 訪問控制列表（ ACL ），而不是 POSIX ACL 。

透過檔案共享把 Samba 配置為域成員以使用其它網路共享功能。同時，在另一個域控制器上配置 Windbindd 服務 ——在你開始發起網路共享檔案之前。

---

作者簡介：

我是一個電腦迷，開源 Linux 系統和軟體愛好者，有 4 年多的 Linux 桌面、伺服器系統使用和 Base 程式設計經驗。

譯者簡介：

春城初春/春水初生/春林初盛/春風十裡不如妳 rusking

---

via: http://www.tecmint.com/create-shared-directory-on-samba-ad-dc-and-map-to-windows-linux/

作者：Matei Cezar 譯者：rusking 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出