Проблема: необходимо добавить Windows машину в домен на стороне виндовой машины. Т.е. не средствами LDAP на стороне Linux. По умолчанию это можно сделать только с правами пользователя root. Но заводить root в LDAP — это чертовски неправильно.
Задача: дать возможность другому, не root, пользователю заводить машины в домен.
Решение.
В конфигурационном файле smb.conf в глобальной секции добавляем параметр:
enable privileges = yes
Перечитываем конфигурационный файл:
smbcontrol smbd reload-config
Смотрим какие привилегии доступны. Пользователь admin — это пользователь в LDAP с правами администратора.
ows:~ # net -U admin rpc rights list
Password:
SeMachineAccountPrivilege Add machines to domain
SeTakeOwnershipPrivilege Take ownership of files or other objects
SeBackupPrivilege Back up files and directories
SeRestorePrivilege Restore files and directories
SeRemoteShutdownPrivilege Force shutdown from a remote system
SePrintOperatorPrivilege Manage printers
SeAddUsersPrivilege Add users and groups to the domain
SeDiskOperatorPrivilege Manage disk shares
ows:~ #
Смотрим чего может пользователь admin:
ows:~ # net -U admin rpc rights list admin
Password:
ows:~ #
Как видите — ничего не может :(. Разрешим ему добавлять машины в домен.
ows:~ # net -U admin rpc rights grant admin SeMachineAccountPrivilege
Password:
Successfully granted rights.
ows:~ #
И снова глянем, что ему разрешено:
ows:~ # net -U admin rpc rights list admin
Password:
SeMachineAccountPrivilege
ows:~ #
Все, при добавлении машины в домен можно использовать пользователя admin.
Источник информации: Re: [Samba] PDC + LDAP, cannot access LDAP when not root (SOLVED)