En mi dominio con samba4, los usuarios no ven el sysvol

Para uno de mis clientes debí generar un dominio con samba4, la instalación fue rápida y sin problemas. Se podía crear los usuarios mediante la interfaz de Windows o mediante línea de comandos.

Los PC de los usuarios se unían al dominio en forma fácil y segura. Al crear carpetas compartidas, era posible asignar los usuarios y privilegios sin problemas.

Pero cuando se comenzó a configurar las políticas de grupo para el dominio, están no se podían aplicar, indicando como error que no se tenía acceso al sysvol. (carpeta compartida donde se almacenan las “group policy”).

El error solo aparecía cuando se trata de conectar al recurso de red \\dominio\, si en vez del nombre de dominio se usaba la ip el el nombre del contralador de dominio, el error no ocurría.

Pero las “group policy” solo usaba el nombre del dominio, lo cual no se puede cambiar.

Al buscar solución siempre llegaba a que en el servidor samba se debía ejecutar:

samba-tool ntacl sysvolreset

Pero esto no resolvía el problema, al analizar en mayor detalle como se usa el sysvol, esta es una carpeta especial que usa dfs para distribuir la información en ella, debido a esto se debe agregar el soporte de dfs y los acl de seguridad en el smb.conf, en mi caso quedo de la forma:

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No
        msdfs root = Yes
        nt acl support = No
        directory mask = 0750

en la sección global debi agregar 

        host msdfs = yes

Luego de eso ya pude distribuir las políticas del dominio.

No olvides dejar tu comentario, duda o sugerencia.

Deshabilitar los pendrive en un windows

Debido a los continuos problemas de seguridad que los pendrive (usb) ocasionaban a un cliente, me solicito deshabilitar los pendrive (usb) de los pc windows de los usuarios.

Luego de una búsqueda en Microsoft encontré lo siguiente: https://support.microsoft.com/en-us/kb/823732

Una opción es cambiar los permisos de los archivos:

• %SystemRoot%\Inf\Usbstor.pnf
• %SystemRoot%\Inf\Usbstor.inf 

 A que sea de solo lectura, lo cual previene que se puedan modificar y por lo tanto no se pueden instalar los controladores para el pendrive usb.

La segunda opcion ( que considero mas inteligente) es modificar un registro de windows, para que no se inicie el servicio que monta los discos o pendrive usb, bajo la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
Se modifica el registro start de 3 a 4 para deshabilitar.

Si se desea configurar este registro desde una política de dominio, pueden generar un txt (con extensión .adm) con el siguiente contenido:

CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"

Y agregarlo como una nueva política. Y esta nueva política aplicarlo al grupo de equipos a ser configurados (se debe cambia a Enabled).