這篇文章將指導(dǎo)你如何在 Samba AD DC 服務(wù)器上創(chuàng)建共享目錄，然后通過(guò) GPO 把共享目錄掛載到域中的其它 Windows 成員機(jī)择同，并且從 Windows 域控的角度來(lái)管理共享權(quán)限。

這篇文章也包括在加入域的 Linux 機(jī)器上如何使用 Samba4 域帳號(hào)來(lái)訪問(wèn)及掛載共享文件。

需求：

1、在 Ubuntu 系統(tǒng)上使用 Samba4 來(lái)創(chuàng)建活動(dòng)目錄架構(gòu)

2齿诉、在 Linux 命令行下管理 Samba4 AD 架構(gòu)

3、使用 Windows 10 的 RSAT 工具來(lái)管理 Samba4 活動(dòng)目錄架構(gòu)

4、在 Windows 下管理 Samba4 AD 域管制器 DNS 和組策略

5粤剧、將另一臺(tái) Ubuntu DC 服務(wù)器加入到 Samba4 AD DC 實(shí)現(xiàn)雙域控主機(jī)模式

6歇竟、使用 Rsync 命令同步兩個(gè) Samba4 AD DC 之間的 SysVol 目錄

第一步：創(chuàng)建 Samba 文件共享

1、在 Samba AD DC 服務(wù)器上創(chuàng)建共享非常簡(jiǎn)單抵恋。首先創(chuàng)建一個(gè)你想通過(guò) SMB 協(xié)議來(lái)分享文件的目錄焕议，然后添加下面的文件系統(tǒng)權(quán)限，這是為了讓 Windows AD DC 管理員給 Windows 客戶端分配相應(yīng)的共享權(quán)限弧关。

假設(shè)在 AD DC 服務(wù)器上有一個(gè)新的共享目錄 '/nas' 盅安，執(zhí)行下面的命令來(lái)授予必要的權(quán)限。

# mkdir /nas

# chmod -R 775 /nas

# chown -R root:"domain users" /nas

# ls -alh | grep nas

創(chuàng)建 Samba 共享目錄

2世囊、當(dāng)你在 Samba4 AD DC 服務(wù)器上創(chuàng)建完成共享目錄之后别瞭，你還得修改 samba 配置文件，添加下面的參數(shù)以允許通過(guò) SMB 協(xié)議來(lái)共享文件株憾。

# nano /etc/samba/smb.conf

在配置文件末尾添加以下內(nèi)容：

[nas]

path = /nas

read only = no

配置 Samba 共享目錄

3蝙寨、最后，你需要通過(guò)下面的命令重啟 Samba AD DC 服務(wù)嗤瞎，以讓修改的配置生效：

# systemctl restart samba-ad-dc.service

第二步：管理 Samba 共享權(quán)限

4墙歪、我們準(zhǔn)備使用在 Samba AD DC 服務(wù)器上創(chuàng)建的域帳號(hào)（包括用戶和組）來(lái)訪問(wèn)這個(gè)共享目錄（禁止 Linux 系統(tǒng)用戶訪問(wèn)共享目錄）。

可以直接通過(guò) Windows 資源管理器來(lái)完成 Samba 共享權(quán)限的管理贝奇，就跟你在 Windows 資源管理器中設(shè)置其它文件夾權(quán)限的方法一樣虹菲。

首先，使用具有管理員權(quán)限的 Samba4 AD 域帳號(hào)登錄到 Windows 機(jī)器弃秆。然而在 Windows 機(jī)器上的資源管理器中輸入雙斜杠和 Samba AD DC 服務(wù)器的 IP 地址或主機(jī)名或者是 FQDN 來(lái)訪問(wèn)共享文件和設(shè)置權(quán)限。

\\adc1

或

\\192.168.1.254

或

\\adc1.tecmint.lan

從 Windows 機(jī)器訪問(wèn) Samba 共享目錄

5髓帽、右鍵單擊共享文件菠赚，選擇屬性來(lái)設(shè)置權(quán)限。打開(kāi)安全選項(xiàng)卡郑藏，依次修改域賬號(hào)和組權(quán)限衡查。使用高級(jí)選項(xiàng)來(lái)調(diào)整權(quán)限。

配置 Samba 共享目錄權(quán)限

可參考下面的截圖來(lái)為指定 Samba AD DC 認(rèn)證用戶設(shè)置權(quán)限必盖。

設(shè)置 Samba 共享目錄用戶權(quán)限

6拌牲、你也可以使用其它方法來(lái)設(shè)置共享權(quán)限，打開(kāi)計(jì)算機(jī)管理-->連接到另外一臺(tái)計(jì)算機(jī)歌粥。

找到共享目錄塌忽，右鍵單擊你想修改權(quán)限的目錄，選擇屬性失驶，打開(kāi)安全選項(xiàng)卡土居。你可以在這里修改任何權(quán)限，就跟上圖的修改共享文件夾權(quán)限的方法一樣。

連接到 Samba 共享目錄服務(wù)器

管理 Samba 共享目錄屬性

為域用戶授予共享目錄權(quán)限

第三步：通過(guò) GPO 來(lái)映射 Samba 文件共享

7擦耀、要想通過(guò)域組策略來(lái)掛載 Samba 共享的目錄棉圈，你得先到一臺(tái)已安裝了 RSAT 工具的服務(wù)器上，打開(kāi) AD DC 工具眷蜓，右鍵單擊域名分瘾，選擇新建-->共享文件夾。

映射 Samba 共享文件夾

8吁系、為共享文件夾添加一個(gè)名字德召，然后輸入共享文件夾的網(wǎng)絡(luò)路徑，如下圖所示垮抗。完成后單擊 OK 按鈕氏捞，你就可以在右側(cè)看到文件夾了。

設(shè)置 Samba 共享文件夾名稱及路徑

9冒版、下一步液茎，打開(kāi)組策略管理控制臺(tái)，找到當(dāng)前域的默認(rèn)域策略腳本辞嗡，然后打開(kāi)并編輯該文件捆等。

在 GPM 編輯器界面，打開(kāi) GPM 編輯器续室，找到用戶配置 --> 首選項(xiàng) --> Windows 設(shè)置栋烤，然而右鍵單擊驅(qū)動(dòng)器映射，選擇新建 --> 映射驅(qū)動(dòng)挺狰。

在 Windows 機(jī)器上映射 Samba 共享文件夾

10明郭、通過(guò)單擊右邊的三個(gè)小點(diǎn)，在新窗口中查詢并添加共享目錄的網(wǎng)絡(luò)位置丰泊，勾選重新連接復(fù)選框薯定，為該目錄添加一個(gè)標(biāo)簽，選擇驅(qū)動(dòng)盤符瞳购，然后單擊 OK 按鈕來(lái)保存和應(yīng)用配置话侄。

配置 Samba 共享目錄的網(wǎng)絡(luò)位置

11、最后学赛，為了在本地機(jī)器上強(qiáng)制應(yīng)用 GPO 更改而不重啟系統(tǒng)年堆，打開(kāi)命令行提示符，然而執(zhí)行下面的命令盏浇。

gpupdate /force

應(yīng)用 GPO 更改

12变丧、當(dāng)你在本地機(jī)器上成功應(yīng)用策略后，打開(kāi) Windows 資源管理器绢掰，你就可以看到并訪問(wèn)共享的網(wǎng)絡(luò)文件夾了锄贷，能否正常訪問(wèn)共享目錄取決于你在前一步的授權(quán)操作译蒂。

如果沒(méi)有在命令行下強(qiáng)制應(yīng)用組策略，你網(wǎng)絡(luò)中的其它客戶機(jī)需要重啟或重新登錄系統(tǒng)才可以看到共享目錄谊却。

Windows 機(jī)器上掛載的 Samba 網(wǎng)絡(luò)磁盤

第四步：從 Linux 客戶端訪問(wèn) Samba 共享目錄

13柔昼、已加入 Samba AD DC 中的 Linux 成員機(jī)上的系統(tǒng)用戶也可以可以使用 Samba 帳號(hào)訪問(wèn)或在本地掛載共享目錄。

首先炎辨，你得通過(guò)下面的命令來(lái)確保 Samba 客戶端和工具已經(jīng)安裝完成捕透。

$ sudo apt-get install smbclient cifs-utils

14、為了列出域環(huán)境中的共享目錄碴萧，你可以通過(guò)下面的命令加入指定的域控服務(wù)器主機(jī)名來(lái)查詢：

$ smbclient –L your_domain_controller –U%

或

$ smbclient –L \\adc1 –U%

在 Linux 機(jī)器上列出 Samba 共享目錄

15乙嘀、在命令行下使用域帳號(hào)以交互試方式連接到 Samba 共享目錄：

$ sudo smbclient //adc/share_name -U domain_user

在命令行下，你可以列出共享目錄內(nèi)容破喻，下載或上傳文件到共享目錄虎谢，或者執(zhí)行其它操作。使用?來(lái)查詢所有可用的 smbclient 命令曹质。

在 Linux 機(jī)器上連接 Samba 共享目錄

16婴噩、在 Linux 機(jī)器上使用下面的命令來(lái)掛載 samba 共享目錄。

$ sudo mount //adc/share_name /mnt -o username=domain_user

在 Linux 機(jī)器上掛載 samba 共享目錄

根據(jù)實(shí)際情況羽德，依次替換主機(jī)名几莽、共享目錄名、掛載點(diǎn)和域帳號(hào)宅静。使用mount命令加上管道符和grep命令來(lái)過(guò)濾出 cifs 類型的文件系統(tǒng)章蚣。

通過(guò)上面的測(cè)試，我們可以看出姨夹，在?Samba4 AD DC 服務(wù)器上配置共享目錄僅使用 Windows 訪問(wèn)控制列表（ ACL ）纤垂，而不是 POSIX ACL 。

通過(guò)文件共享把 Samba 配置為域成員以使用其它網(wǎng)絡(luò)共享功能磷账。同時(shí)峭沦，在另一個(gè)域控制器上配置 Windbindd 服務(wù)——在你開(kāi)始發(fā)起網(wǎng)絡(luò)共享文件之前。

作者簡(jiǎn)介：

我是一個(gè)電腦迷够颠，開(kāi)源 Linux 系統(tǒng)和軟件愛(ài)好者熙侍，有 4 年多的 Linux 桌面榄鉴、服務(wù)器系統(tǒng)使用和 Base 編程經(jīng)驗(yàn)履磨。

譯者簡(jiǎn)介：

春城初春/春水初生/春林初盛/春風(fēng)十裏不如妳rusking

via:http://www.tecmint.com/create-shared-directory-on-samba-ad-dc-and-map-to-windows-linux/

作者：Matei Cezar譯者：rusking校對(duì)：wxy

本文由LCTT原創(chuàng)編譯，Linux中國(guó)榮譽(yù)推出