[Eisfair] E1: Samba als PDC und Windows 10

Thomas Bork tom at eisfair.org
Mi Mär 16 23:04:58 CET 2016 

Am 11.03.2016 um 10:48 schrieb Jürgen Witt:

> Gern geschehen. Ich hoffe, es hilft denen, die auch W10 einsetzen müssen
> oder wollen. Vielleicht kannst Du ja auch einiges in Deine
> Samba-Dokumentation mit aufnehmen (nachdem Du es verifiziert hast).

Das hier reicht nach meinen Tests für Join, Anmeldung und Login-Scripte:

############################################################################
Windows Registry Editor Version 5.00

;
; windows10_join_enable.reg
;
; This registry keys are needed for a Windows 10 Client to join
; and logon to a Samba 4.3.x domain.
;
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
; Enable NT-Domain compatibility mode
; Default:
; [value not present]
; "DomainCompatibilityMode"=-
"DomainCompatibilityMode"=dword:00000001

; Disable required DNS name resolution
; Default:
; [value not present]
; "DNSNameResolutionRequired"=-
"DNSNameResolutionRequired"=dword:00000000

; Disable Mutual authentication, no Kerberos, can fall back to NTLMv2
; Disable Integrity, SMB signing is not required
; Disable Privacy, no SMBv3 must be used
; Default:
; [value not present]
; "\\\\*\\netlogon"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"

############################################################################

Und das hier, um den Ausgangszustand wieder herzustellen:

############################################################################
Windows Registry Editor Version 5.00

;
; windows10_join_disable.reg
;
; Reset registry keys needed for a Windows 10 Client to join
; and logon to a Samba 4.3.x domain to defaults.
;
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
; Disable NT-Domain compatibility mode
; Was "DomainCompatibilityMode"=dword:00000001
"DomainCompatibilityMode"=-

; Enable required DNS name resolution
; Was "DNSNameResolutionRequired"=dword:00000000
"DNSNameResolutionRequired"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
; Enable Mutual authentication, only Kerberos, no fall back to NTLMv2
; Enable Integrity, SMB signing is required
; Enable Privacy, SMBv3 must be used
; Was 
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"
"\\\\*\\netlogon"=-

############################################################################

-- 
der tom
[eisfair-team]

Mehr Informationen über die Mailingliste Eisfair