Schlagwort-Archive: samba-tool drs

Samba als Active Directory Domain Controller

Seid 1996 lässt bei mir die Begeisterung für Samba nicht nach. Es wird Zeit eine aktuelle Anleitung zur “Einrichtung eines Samba basierten Domain Controllers” zu veröffentlichen.

Zielstellung:

  1. Samba basierten Active-Directory Domain Controller einrichten, als Alternative zum Microsoft DC
  2. Authentifizierung von Clients / Usern über das Active-Directory
    • bei der Unterstützung liegt der Fokus auf folgende Betriebssysteme:
      • Microsoft Windows 10
      • Microsoft Windows 2016 Server
      • Microsoft Windows 2019 Server (1809)
      • Apple MacOS
      • iXsystems FreeNAS
        • Storage Server als Domain Member mit NFSv4 ACLs on ZFS
  3. Unterstützung für Gruppenrichtlinien Management
  4. Unterstützung für Kerberos Tickets
  5. Unterstützung für dynamische DNS Updates
  6. Management des Active-Directory mittels GUI Tools (RSAT)
    • Active Directory-Benutzer und -Computer
    • Gruppenrichtlinienverwaltung
    • DNS
  7. keine Drucker Spool Unterstützung, da in meinen Setups nicht relevant

Alle darauffolgend genannten Settings sind meine “Best Practice” Empfehlungen (Kompatibilität & Sicherheit).

Voraussetzungen:

  1. eine aktuelle Debian (Testing/Bullseye) VM mit mindestens:
    • 4 GB RAM
    • 32 GB HDD
    • BTRFS Filesystem (user_xattr wird standardmäßig verwendet)
  2. Samba Version >=4.13 (aus dem Debian Testing Repository)
  3. statische IPv4 Adresse
  4. statische IPv6 Adresse (optional)
  5. Synchronisierung der Systemzeit über einen “ntp”-Dienst
  6. Clients die Mitglied in der Domain werden sollen müssen den DNS-Service des Samba verwenden

Empfehlung:

  1. Minimale Debian Installation mit SSH Server
  2. Beispiel der Partitionierung: https://www.youtube.com/watch?v=uRvd0H_m7pY
  3. Der lokale NTP Client “systemd-timesyncd.service” wird durch den vollwertigen NTP Serverdienst “chrony” ersetzt!

Überblick über die verwendeten Konfigurationen:

Realm: PLITC.INTERN
Domain: PLITC
IP-Adresse 10.10.10.16 (internal) und 10.102.1.16 (external)
externer DNS-Resolver 1.1.1.1 und 1.0.0.1
Samba-Administrator: Administrator

Vorbedingungen prüfen, ggf. umsetzen:

  1. Temporär (zunächst für die Software Installation) einen externen DNS Resolver verwenden:
#
root@plitc0-dc1:~# cat /etc/resolv.conf
### ### ### PLITC ### ### ###

nameserver 1.1.1.1   # Cloudflare

### ### ### PLITC ### ### ###
# EOF
root@plitc0-dc1:~#
#

2. FQDN Hostname konfigurieren:

#
root@plitc0-dc1:~# cat /etc/hostname
plitc0-dc1.plitc.intern
root@plitc0-dc1:~#
#

3. HOSTS Datei anpassen:

#
root@plitc0-dc1:~# cat /etc/hosts
### ### ### PLITC // ### ### ###

127.0.0.1       localhost.localdomain    localhost

::1             localhost                ip6-localhost   ip6-loopback
ff02::1         ip6-allnodes
ff02::2         ip6-allrouters

10.10.10.16     PLITC0-DC1.plitc.intern   PLITC0-DC1

### ### ### // PLITC ### ### ###
# EOF
root@plitc0-dc1:~#
#

4. Debian Repositories überprüfen:

#
root@plitc0-dc1:~# cat /etc/apt/sources.list
### ### ### PLITC // ### ### ###

deb http://ftp.de.debian.org/debian/ bullseye main contrib non-free
deb-src http://ftp.de.debian.org/debian/ bullseye main contrib non-free

deb http://security.debian.org/debian-security bullseye-security main contrib
deb-src http://security.debian.org/debian-security bullseye-security main contrib

### ### ### // PLITC ### ### ###
# EOF
root@plitc0-dc1:~#
#

5. Das System auf den neusten Stand bringen:

#
apt-get autoclean; apt-get clean; apt-get update; apt-get upgrade; apt-get dist-upgrade; apt-get autoremove
#

6. “chrony” installieren:

#
apt-get install chrony
#

7. “chrony” als Serverdienst aktivieren (allows hinzufügen):

#
root@plitc0-dc1:/etc/chrony# tail -n 7 chrony.conf 

# Allow NTP client access from local network.
allow 192.168.0.0/16
allow 172.16.0.0/12
allow 10.0.0.0/8

# EOF
root@plitc0-dc1:/etc/chrony#
#
#
systemctl daemon-reload
systemctl restart chrony
systemctl status chrony
#
#
root@plitc0-dc1:/etc/chrony# sockstat | grep 123
root     chronyd        3804   udp4   *:123   *:*   CLOSED
root@plitc0-dc1:/etc/chrony#
#

#
root@plitc0-dc1:/etc/chrony# chronyc tracking
Reference ID    : 4F852C8D (79.133.44.141)
Stratum         : 2
Ref time (UTC)  : Sun Jan 03 13:21:07 2021
System time     : 0.000000901 seconds fast of NTP time
Last offset     : -0.000904302 seconds
RMS offset      : 0.000904302 seconds
Frequency       : 775.168 ppm fast
Residual freq   : -0.623 ppm
Skew            : 21.665 ppm
Root delay      : 0.005037510 seconds
Root dispersion : 0.001290298 seconds
Update interval : 64.8 seconds
Leap status     : Normal
root@plitc0-dc1:/etc/chrony#
#

Installation:

  1. Samba SERVER und weitere relevante Pakete installieren:
#
apt-get install samba winbind acl smbclient cifs-utils krb5-user dnsutils
#

OPTIONAL: Auf Linux basierten CLIENT-Systemen sind folgende Pakete sinnvoll:

#
apt-get install acl smbclient cifs-utils krb5-user libpam-krb5 dnsutils
#

2. Alle Samba relevante Kernkomponenten deaktivieren:

#
systemctl stop samba-ad-dc.service
systemctl stop smbd.service
systemctl stop nmbd.service

systemctl disable samba-ad-dc.service
systemctl disable smbd.service
systemctl disable nmbd.service
#

3. Alle vordefinierte Samba Systemdateien löschen!

#
rm /etc/samba/smb.conf
rm -rfv /var/lib/samba
rm -rfv /var/cache/samba

mkdir -p /var/lib/samba
mkdir -p /var/lib/samba/private
mkdir -p /var/cache/samba
#

Konfiguration:

  1. Samba Provisionierung als Active Directory Domain Controller!
# 
/usr/bin/samba-tool domain provision --use-rfc2307 --function-level=2008_R2 --realm=PLITC.INTERN --domain=PLITC --adminpass='GEHEIM' --server-role='dc' --dns-backend=SAMBA_INTERNAL
#

Beispieloutput des Provisionierungsvorgangs:

#
INFO 2020-12-31 13:02:24,197 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2122: Looking up IPv4 addresses
WARNING 2020-12-31 13:02:24,198 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2127: More than one IPv4 address found. Using 10.10.10.16
INFO 2020-12-31 13:02:24,198 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2139: Looking up IPv6 addresses
WARNING 2020-12-31 13:02:24,198 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2146: No IPv6 address will be assigned
INFO 2020-12-31 13:02:24,557 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2290: Setting up share.ldb
INFO 2020-12-31 13:02:24,692 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2294: Setting up secrets.ldb
INFO 2020-12-31 13:02:24,782 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2299: Setting up the registry
INFO 2020-12-31 13:02:25,220 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2302: Setting up the privileges database
INFO 2020-12-31 13:02:25,418 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2305: Setting up idmap db
INFO 2020-12-31 13:02:25,539 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2312: Setting up SAM db
INFO 2020-12-31 13:02:25,631 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #897: Setting up sam.ldb partitions and settings
INFO 2020-12-31 13:02:25,633 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #909: Setting up sam.ldb rootDSE
INFO 2020-12-31 13:02:25,654 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1322: Pre-loading the Samba 4 and AD schema
Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs

INFO 2020-12-31 13:02:25,831 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1400: Adding DomainDN: DC=plitc,DC=intern
INFO 2020-12-31 13:02:25,864 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1432: Adding configuration container
INFO 2020-12-31 13:02:25,900 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1447: Setting up sam.ldb schema
INFO 2020-12-31 13:02:28,499 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1465: Setting up sam.ldb configuration data
INFO 2020-12-31 13:02:28,658 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1506: Setting up display specifiers
INFO 2020-12-31 13:02:30,432 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1514: Modifying display specifiers and extended rights
INFO 2020-12-31 13:02:30,466 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1521: Adding users container
INFO 2020-12-31 13:02:30,467 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1527: Modifying users container
INFO 2020-12-31 13:02:30,468 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1530: Adding computers container
INFO 2020-12-31 13:02:30,469 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1536: Modifying computers container
INFO 2020-12-31 13:02:30,470 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1540: Setting up sam.ldb data
INFO 2020-12-31 13:02:30,594 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1570: Setting up well known security principals
INFO 2020-12-31 13:02:30,635 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1584: Setting up sam.ldb users and groups
INFO 2020-12-31 13:02:30,740 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #1592: Setting up self join
Repacking database from v1 to v2 format (first record CN=ms-DS-Az-LDAP-Query,CN=Schema,CN=Configuration,DC=plitc,DC=intern)
Repack: re-packed 10000 records so far
Repacking database from v1 to v2 format (first record CN=msCOM-PartitionSet-Display,CN=40D,CN=DisplaySpecifiers,CN=Configuration,DC=plitc,DC=intern)
Repacking database from v1 to v2 format (first record CN=ipsecNFA{6A1F5C6F-72B7-11D2-ACF0-XXXXXXXXXXXX},CN=IP Security,CN=System,DC=plitc,DC=intern)
INFO 2020-12-31 13:02:35,008 pid:588 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1143: Adding DNS accounts
INFO 2020-12-31 13:02:35,132 pid:588 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1177: Creating CN=MicrosoftDNS,CN=System,DC=plitc,DC=intern
INFO 2020-12-31 13:02:35,153 pid:588 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1190: Creating DomainDnsZones and ForestDnsZones partitions
INFO 2020-12-31 13:02:35,256 pid:588 /usr/lib/python3/dist-packages/samba/provision/sambadns.py #1195: Populating DomainDnsZones and ForestDnsZones partitions
Repacking database from v1 to v2 format (first record DC=m.root-servers.net,DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=plitc,DC=intern)
Repacking database from v1 to v2 format (first record DC=ForestDnsZones,DC=plitc,DC=intern)
INFO 2020-12-31 13:02:36,300 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2026: Setting up sam.ldb rootDSE marking as synchronized
INFO 2020-12-31 13:02:36,424 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2031: Fixing provision GUIDs
INFO 2020-12-31 13:02:37,891 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2364: A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
INFO 2020-12-31 13:02:37,892 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2366: Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!
INFO 2020-12-31 13:02:38,011 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #2096: Setting up fake yp server settings
INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #489: Once the above files are installed, your Samba AD server will be ready to use
INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #494: Server Role:           active directory domain controller
INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #495: Hostname:              plitc0-dc1
INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #496: NetBIOS Domain:        PLITC
INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #497: DNS Domain:            plitc.intern
INFO 2020-12-31 13:02:38,148 pid:588 /usr/lib/python3/dist-packages/samba/provision/__init__.py #498: DOMAIN SID:            S-1-5-21-XXXXXXXXX-XXXXXXXXXX-XXXXXXXXXXX
#

2. Ab jetzt den lokalen Samba Service als primären (System) DNS Resolver verwenden!

#
root@plitc0-dc1:~# cat /etc/resolv.conf
### ### ### PLITC ### ### ###

search plitc.intern

nameserver 10.10.10.16      # plitc0-dc1 (first)

### ### ### PLITC ### ### ###
# EOF
root@plitc0-dc1:~#
#

3. Samba Kerberos Konfigurationsdatei anpassen:

#
root@plitc0-dc1:~# cat /var/lib/samba/private/krb5.conf
[libdefaults]
   default_realm = PLITC.INTERN
   dns_lookup_realm = true
   dns_lookup_kdc = true

   forwardable = true
   proxiable = true

[realms]
PLITC.INTERN = {
   default_domain = plitc.intern
}

[domain_realm]
   plitc0-dc1 = PLITC.INTERN

[logging]
   default = FILE:/var/log/samba/krb5libs.log
   kdc = FILE:/var/log/samba/krb5kdc.log
   admin_server = FILE:/var/log/samba/kadmind.log

root@plitc0-dc1:~#
#

4. System Kerberos Datei durch die neue Samba Kerberos Konfiguration überschreiben:

#
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
#

5. Globale Samba Konfigurationsdatei anpassen:

#
root@plitc0-dc1:~# cat /etc/samba/smb.conf
### ### ### PLITC ### ### ###

[global]
        workgroup = PLITC
        realm = PLITC.INTERN
        netbios name = PLITC0-DC1
        interfaces = lo enp0s6f0 enp0s6f1
        bind interfaces only = Yes
        server role = active directory domain controller
        idmap_ldb:use rfc2307 = yes

        allow dns updates = nonsecure
        dns forwarder = 1.1.1.1

        server string = %h - Samba Server
        disable spoolss = Yes

        server min protocol = SMB2_10
        server max protocol = SMB3_11
        disable netbios = No
        server signing = auto
        smb encrypt = auto

        client min protocol = SMB2_10
        client max protocol = SMB3_11
        client ldap sasl wrapping = seal
        ldap server require strong auth = no
        client signing = auto
        client schannel = auto
        #// CVE-2020-1472
        server schannel = yes
        #/server require schannel:oldworkstationname$ = no

        vfs objects = dfs_samba4 acl_xattr btrfs

        dsdb:schema update allowed = true

        machine password timeout = 0

        kdc:service ticket lifetime = 24
        kdc:user ticket lifetime = 24
        kdc:renewal lifetime = 120

        #// TLS
        tls enabled  = yes
        tls keyfile  = tls/key.pem
        tls certfile = tls/cert.pem
        tls cafile   =

[netlogon]
        path = /var/lib/samba/sysvol/plitc.intern/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[data]
        path = /samba-data
        read only = No
        browseable = Yes

### ### ### PLITC ### ### ###
# EOF
root@plitc0-dc1:~#
#

6. Samba Freigabeordner erstellen:

#
mkdir -p /samba-data
#

Mit diesem Verzeichnis lässt sich die Bedienbarkeit von ACLs trainieren:

#
root@plitc0-dc1:~# getfacl /var/lib/samba/sysvol
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: var/lib/samba/sysvol
# owner: root
# group: 3000000
user::rwx
user:root:rwx
user:3000000:rwx
group::rwx
group:3000000:rwx
group:3000001:r-x
group:3000002:rwx
group:3000003:r-x
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:3000000:rwx
default:group::---
default:group:3000000:rwx
default:group:3000001:r-x
default:group:3000002:rwx
default:group:3000003:r-x
default:mask::rwx
default:other::---

root@plitc0-dc1:~#
#
#
root@plitc0-dc1:~# getfacl /samba-data
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: samba-data
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

root@plitc0-dc1:~#
#

Es ist hilfreich die Funktionsweise von getfacl und setfacl zu verstehen und diese auch anwenden zu können. (Sowie die Unterschiede zwischen BTRFS und NFSv4ACLs on ZFS zu berücksichtigen)

7. Samba TLS Zertifikat erstellen:

#
cd /var/lib/samba/private/tls
openssl req -newkey rsa:4096 -keyout key.pem -nodes -x509 -days 3650 -out cert.pem
#

Beispieloutput:

#
root@plitc0-dc1:/var/lib/samba/private/tls# openssl req -newkey rsa:4096 -keyout key.pem -nodes -x509 -days 3650 -out cert.pem
 Generating a RSA private key
 ……..++++
 ..++++
 writing new private key to 'key.pem'
 You are about to be asked to enter information that will be incorporated
 into your certificate request.
 What you are about to enter is what is called a Distinguished Name or a DN.
 There are quite a few fields but you can leave some blank
 For some fields there will be a default value,
 If you enter '.', the field will be left blank.
 Country Name (2 letter code) [AU]:DE
 State or Province Name (full name) [Some-State]:Bayern
 Locality Name (eg, city) []:Stockheim
 Organization Name (eg, company) [Internet Widgits Pty Ltd]:PLITC
 Organizational Unit Name (eg, section) []:IT Department
 Common Name (e.g. server FQDN or YOUR name) []:PLITC0-DC1.plitc.intern
 Email Address []:service@plitc.eu
 root@plitc0-dc1:/var/lib/samba/private/tls# ls -all
 insgesamt 8
 drwxr-xr-x 1 root root   30 31. Dez 13:37 .
 drwxr-xr-x 1 root root  376 31. Dez 13:29 ..
 -rw-r--r-- 1 root root 2179 31. Dez 13:38 cert.pem
 -rw------- 1 root root 3272 31. Dez 13:37 key.pem
 root@plitc0-dc1:/var/lib/samba/private/tls#
#

8. System Reboot

#
sync; reboot
#

9. Samba AD Dienst aktivieren und starten:

#
systemctl unmask samba-ad-dc.service
systemctl enable samba-ad-dc.service
systemctl start samba-ad-dc.service
systemctl status --no-pager samba-ad-dc.service
#

10. Immunitätsflag auf die resolv.conf setzen:

#
chattr +i /etc/resolv.conf
#

11. Samba Logdateien ansehen und Active-Directory Status prüfen:

#
cat /var/log/samba/log.samba
samba-tool dbcheck
samba-tool fsmo show
samba-tool drs showrepl
#

Beispieloutput:

#
root@plitc0-dc1:~#
 root@plitc0-dc1:~# samba-tool dbcheck
 Checking 267 objects
 Checked 267 objects (0 errors)
 root@plitc0-dc1:~#
 root@plitc0-dc1:~# samba-tool fsmo show
 SchemaMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern
 InfrastructureMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern
 RidAllocationMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern
 PdcEmulationMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern
 DomainNamingMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern
 DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern
 ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=PLITC0-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=plitc,DC=intern
root@plitc0-dc1:~#
root@plitc0-dc1:~# samba-tool drs showrepl
 Default-First-Site-Name\PLITC0-DC1
 DSA Options: 0x00000001
 DSA object GUID: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
 DSA invocationId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
 ==== INBOUND NEIGHBORS ====
 ==== OUTBOUND NEIGHBORS ====
 ==== KCC CONNECTION OBJECTS ====
 root@plitc0-dc1:~#
#

Quellen:

Ergänzung: Installation der AD DS-Tools & DNS-Servertools:

Ergänzung: Freigabeordner Berechtigungen unter Windows setzen:

  1. Zunächst muss der direkte Zugriff temporär auf /samba-data ermöglicht werden
#
chmod 0777 /samba-data
#

2. Jetzt kann unter Windows ein neuer Ordner erstellt werden:

3. Zum Schluss werden passende Active-Directory Berechtigungen gesetzt:

4. Übersicht der Berechtigungen auf Systemebene:

#
root@plitc0-dc1:/samba-data# getfacl Neuer\ Ordner/
# file: Neuer Ordner/
# owner: 3000000
# group: users
user::rwx
user:root:rwx
user:3000000:rwx
user:3000004:rwx
group::r-x
group:users:r-x
group:3000004:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:3000000:rwx
default:user:3000004:rwx
default:group::---
default:group:users:r-x
default:group:3000004:rwx
default:mask::rwx
default:other::---

root@plitc0-dc1:/samba-data#
#

Ergänzung: GruppenrichtlinieBenutzerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Sicherheitsseite/Liste der Site zu Zonenzuweisungen

Aus kompatibilitätsgründen sollten alle UNC Pfade von SMB basierten unixoiden Fileservern in der Active-Directory Domäne explizit erlaubt werden.

Dies umgeht diverse Zugriffsprobleme wie der SAP GUI auf Dateiablagen auf einem FreeNAS Share.

Ergänzung: Windows VMs auf SmartOS:

Für einen korrekten Domain Join und Betrieb in der Domäne, in UTC Zeit, sollte folgender Windows Registry Key eingespielt werden:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation]
"RealTimeIsUniversal"=dword:00000001