Configurando servidor DHCP no Debian

Autor: Leonardo Damasceno <damasceno.lnx@gmail.com>

Data: 22/10/2009

Configurando servidor DHCP no Debian

Vamos aprender a configurar o servidor DHCP. É ele quem cuida para que cada
máquina que tenha acesso a rede, receba um IP na sua LAN, assim todos serão
identificados.

Baixe e instale o pacote dhcp3-server:

# apt-get -y install dhcp3-server

Após o download completo do software, vá ao diretório /etc/dhcp3:

# cd /etc/dhcp3

Vamos fazer uma "cópia" de segurança do arquivo dhcpd.conf renomeando-o e criando

o nosso:

# mv dhcpd.conf dhcpd.conf.old

Foi renomeado o arquivo de configuração para que possamos criar o nosso!

# vim dhcpd.conf

E coloque o seguinte:

ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;

subnet 192.168.100.0 netmask 255.255.255.0 {

range 192.168.100.10 192.168.100.200;
option routers 192.168.100.1;
option domain-name-servers 200.235.120.200,200.235.120.220;
option broadcast-address 192.168.100.255;
}

Agora vamos entender o porque de cada linha:

default-lease-time 600;

Esta linha controla o tempo de renovação do IP. Este 600 indica que o servidor irá
verificar a cada 10 minutos se o IP está sendo usado para passar para outro computador
na rede, caso ele não esteja sendo usado.

max-lease-time 7200;
Esta linha determina o tempo que cada máquina pode usar um determinado IP.

authoritative;

Se um cliente requisitar um endereço que o servidor não conheça, ou seja, o endereço é

incorreto para aquele segmento, o servidor não enviará um DHCPNAK, o qual diz para
ao cliente para parar de usar aquele endereço.

subnet 192.168.100.0 netmask 255.255.255.0 {

Define sua "sub-rede" 192.168.100.0 com a máscara 255.255.255.0, e abre o bloco com
{.

range 192.168.100.10 192.168.100.200;

Define o range, ou seja, define qual a faixa de IPs que os clientes podem usar.

option routers 192.168.100.1;

Este é o gateway padrão.

option domain-name-servers 200.235.120.200,200.235.120.220;

Aqui você irá especificar os servidores DNS, você pode verificar eles em
/etc/resolv.conf.

option broadcast-address 192.168.100.255; }

Aqui, você está definindo o endereço do broadcast e fechando o bloco com }.

Agora vamos definir para qual placa de rede o nosso dhcp3-server irá trabalhar:

# vim /etc/default/dhcp3-server

Onde tiver INTERFACES="", coloque sua placa de rede (no meu caso, utilizei a eth1):

INTERFACES="eth1"

Salve e saia usando :x (se estiver utilizando o editor de texto VIM).

Agora reinicie o serviço:

# /etc/init.d/dhcp3-server restart

Caso você tenha necessidade de "amarrar" um IP para um determinado computador,

basta adicionar o MAC dessa máquina (para conseguir o MAC da máquina localize a
linha primeira linha onde tem HWaddr no comando ifconfig) no nosso dhcpd.conf,
dessa maneira:
host teste {
hardware ethernet 00:0C:29:5C:98:2C;
fixed-address 192.168.100.16;
option host-name "teste";
}

Em "host" coloque o hostname da máquina ou algum nome de identificação.

Em "hardware ethernet" coloque o endereço MAC obtido na máquina com o "ifconfig".

Em "fixed-address" escolha o endereço que ficará amarrado a essa máquina.

Em "option host-name" repita o hostname.

Configurando Servidor de Nomes - DNS (Debian)

Autor: Geraldo José Ferreira Chagas Júnior <gjr_rj at msn.com>
Data: 06/03/2008

Introdução

Referir-se aos hosts pelo seu endereço IP é bastante conveniente para

computadores, porém para as pessoas o ideal é referir-se pelo seu nome.
Para isso precisamos de uma tabela que converta o IP em nome e nome em
IP.

Porém com o crescimento, já com milhares de computadores e outros

milhares entrando, na internet fica impossível para qualquer um manter
uma tabela desse tipo sempre atualizada. É ai que entra o servidor DNS, ou
servidor de Nomes. O Servidor de nomes é uma base de dados, pública,
mantida pelos sites que proporcionam a tradução já citada.

O arquivo hosts.txt
A velhos tempos, quando haviam poucos computadores conectados a
ARPAnet (antiga rede predecessora da internet), cada computador tinha um
arquivo hosts.txt, que depois foi alterado para o /etc/hosts no UNIX. Esse
arquivo continha informações sobre todos os hosts da rede. Com tão poucos
computadores, o arquivo era pequeno e fácil de mantê-lo atualizado.
A manutenção do arquivo hosts.txt era mantido pela SRI-NIC. Quando os
administradores queriam fazer uma alteração no arquivo, enviavam a
solicitação por e-mail. Quando uma alteração era feita, os administradores
baixavam o arquivo via FTP.
A medida que a internet crescia, a idéia da administração centralizar os
nomes dos hosts e a atualização do arquivo hosts.txt tornaram-se um
grande problema, então a SRI-NIC projetou, no início dos anos 80, um banco
de dados distribuído para substituir o hosts.txt. Esse novo sistema ficou
conhecido como Domain Name System (DNS).
O DNS

O DNS é um banco de dados distribuído criado sob uma estrutura de

domínio hierárquica. Cada computador que se conecta a internet o faz a
partir de um domínio Internet. Cada domínio internet tem um nome de
servidor com um banco de dados dos hosts em seu domínio. Quando um
domínio se torna muito grande, a tarefa pode ser delegada a subdomínios, a
fim de reduzir a carga administrativa.

O arquivo /etc/hosts
Ainda que o DNS se constitua no principal meio de resolução de nomes,
ainda é encontrado na maioria das máquinas o arquivo /etc/hosts. Esse
arquivo pode acelerar na resolução de nomes solicitados com freqüência,
como o IP local. Além disso alguns nomes tem que ser resolvidos, no boot,
antes que um DNS seja utilizado, como exemplo o caso de servidores NIS.
Esse mapeamento é definido no arquivo /etc/hosts.

Exemplo de arquivo /etc/hosts:

#IP Endereço Alias

127.0.0.1 localhost
192.168.1.1 servidor www
72.51.46.57 www.vivaolinux.com.br vivaolinux

A coluna a esquerda é o IP a ser resolvido. A coluna seguinte é o nome do

host correspondente àquele IP. Qualquer coluna seguinte será alias para o
host.

Instalando o servidor DNS

No Debian a instalação do servidor de nomes é muito fácil, basta, como

root, digitar o seguinte comando em um terminal:

# apt-get install bind

Com esse comando iremos instalar o bind, que é o padrão da distribuição

Debian. Poderia ser instalado também o named, que pode ser a melhor
opção para outras distribuições, porém, não entraremos nesse caso.

Obs.: O servidor DNS e o cliente DNS são diferentes.

Todo computador Linux habilitado para comunicar-se entre rede possui um

software chamado de cliente DNS, também conhecido como resolver. O
resolver simplesmente consulta um servidor DNS atribuído no arquivo
/etc/resolv.conf. A consulta segue a ordem do arquivo.
Servidores DNS retornam os valores consultados após consultarem o
arquivo /etc/bind/named.conf e as referências para as quais ele aponta. Os
clientes perguntam e os servidores respondem, muitas vezes após
consultarem outros servidores.

A confusão muitas vezes surge quando temos o cliente e o servidor em uma

mesma máquina, principalmente quando o cliente consulta o servidor da
mesma máquina. Por isso, sempre devemos lembrar de que o cliente ou
resolver utiliza o /etc/resolv.conf. Todos os outros como o
/etc/bind/named.conf e os arquivos apontados por ele pertencem ao
servidor.

Terminologia DNS

Cliente DNS - Componentes de software em todos os computadores da rede

que transformam o endereço IP em nome e nome em endereço IP. Em
máquinas Linux Debian, o cliente busca informações no arquivo
/etc/resolv.conf.

Resolvedor - Para propósitos práticos, um sinônimo para Cliente DNS.

Servidor DNS - Componente de software que retorna a tradução de

endereço IP em nome e de nome em endereço IP ao cliente DNS que
solicitou. Em máquinas Linux Debian, o servidor DNS busca suas
configurações no arquivo /etc/bind/named.conf.

Resolver - Converte endereço IP em um nome e um nome em endereço IP.

Isso é feito pelo DNS e às vezes por outro software.

Zona - Um subdomínio ou sub-rede sobre os quais um servidor DNS possui

autoridade.

Mestre - Um servidor DNS com autoridade sobre uma zona cujos dados são
derivados dos arquivos de dados local. Assim um servidor de nomes pode
ser mestre para algumas zonas e escravo para outras.

Primário - Sinônimo para mestre.

Escravo - Um servidor de nomes cuja autoridade sobre uma zona depende

de dados derivados de outro servidor de nomes em uma zona de
transferência. O outro servidor de nomes tanto pode ser um mestre como
um outro escravo. Observe que um servidor de nomes pode ser mestre para
algumas zonas e escravo para outras.

Secundário - Sinônimo para escravo.

Zona de Transferência - Uma transferência feita entre um servidor DNS

mestre ou escravo e um servidor DNS escravo. O escravo inicia a zona de
transferência após um tempo de refresh ou após ser notificado de que os
dados no servidor remetente foram alterados.

Configurando um servidor DNS

O servidor DNS é um sistema potencialmente complexo, configurado por

uma série de arquivos surpreendentemente confiáveis. Esses arquivos são
formados por um arquivo de boot e vários arquivos de dados de zona, onde
cada arquivo de zona é apontado por um registro de zona no arquivo de
boot.

Com os exemplos essa explicação ficará mais clara.

No Debian, com o bind instalado, o arquivo de boot DNS é o

/etc/bind/named.conf.

Comentários neste arquivo podem ser feitos de três formas:

/* estilo c */
// estilo c++
# estilo shell

Outras declarações seguem o formato:

Keyword {statement; statement; ...; statement;};

Tudo neste arquivo é delimitado por chaves, espaço e ponto-e-vírgula. Logo,

espaçamento múltiplos, tab, quebra de linha não afetam a configuração.

Inclua no arquivo o apontamento da zona que corresponde ao seu domínio,

informando em qual arquivo ele deve procurar a configuração de zona
quando o seu domínio for digitado.

zone "dominio.casa" { # domínio da rede que deseja incluir no DNS

type master;
file "/etc/bind/dominio.casa.zone"; # arquivo que conterá as informações
para tradução do nome
};

Agora inclua o apontamento para o IP reverso. Neste caso, qualquer

endereço ip na sub-rede especificada será tratada pelo arquivo apontado
por ele.

zone "1.168.192.in-addr.arpa" { # endereço da sub-rede

type master;
file "/etc/bind/named.198.168.1"; # arquivo de configuração que
tratará o IP
};

Os arquivos de zona, no nosso caso estarão na diretório /etc/bind/. Os

arquivos de zona são apontados pela declaração zone do arquivo de boot.

A primeira coisa a entender sobre os arquivos de zona é que sua sintaxe é

totalmente diferente do arquivo de boot named.conf.

Há 10 registros possíveis:

• SOA - inicialização de autoridade

• NS - nome do servidor
• A - registro de endereço
• PTR - registro de ponteiro
• MX - intercâmbio de carreio
• CNAME - nome canônico
• RP e TXT - as entradas de documento
• HINFO - informações sobre os host
• NULL - registro de recurso nulo sem formato de dados

Supondo que o endereço de sua sub-rede seja 192.168.1 e que o servidor é

192.168.1.1, o computador 1 é 192.168.1.2 e o computador 3 192.168.1.3.

Crie o primeiro arquivo o /etc/bind/dominio.casa.zone e adicione o seguinte

código:

$TTL 604800
@ IN SOA dominio.casa. root.dominio.casa. ( # indica para qual
domínio o SOA é obrigatório
200007201 ; serial (d. adams) # Serial que mostra aso DNS
secundários como realizar transferência de zona
28800 ; refresh # indica o tempo em segundos de
intervalo para o servidor DNS secundário consultar o primário para saber se
houve alteração
14400 ; retry # tempo em segundo para conexão com o
servidor primário caso a tentativa no tempo de refresh falhe
3600000 ; expiry # tempo de descarte das informações no
cache
84400 ) ; minimum # indica quanto tempo os dados devem
ser guardados no cache antes que expire a validade
;

www IN A 192.168.1.1
www2 IN A 192.168.1.1
www3 IN A 192.168.1.1
serv IN A 192.168.1.1
comp1 IN A 192.168.1.2
comp2 IN A 192.168.1.3

@ IN MX 10 dominio.casa.c
@ IN NS dominio.casa.
@ IN A 192.168.1.1

Neste caso o endereço www.dominio.casa, www2.dominio.casa,

www3.dominio.casa e serv.dominio.casa se referem ao mesmo IP ao
192.168.1.1.

O host comp1.dominio.casa se refere ao IP 192.168.1.2 e

comp2.dominio.casa te levará ao micro com IP 192.168.1.3.

No caso do IP reverso, crie o arquivo /etc/bind/named.198.168.1 com as

seguintes linhas:

$TTL 604800
@ IN SOA dominio.casa. root.dominio.casa. (
2000072001 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum

@ IN NS dominio.casa.
10 IN PTR dominio.casa.

Os dados no arquivo de IP reverso tem o mesmo significado do arquivo

anterior.

Instalação e Configuração do Samba

Já que o artigo é dedicado ao Debian, vamos utilizar os próprios repositórios

da distribuição para instalar o servidor samba.

# apt-get install samba

O mesmo comando serve para distribuições derivadas como o Conectiva e

Ubuntu. Se ainda preferir, baixe o código fonte no site oficial
(www.samba.org) e compile, mas isso não será tratado aqui. Ao término, o
samba já estará instalado. Agora vamos configurá-lo.
Os arquivos de configuração do samba estão no diretório /etc/samba,
podendo variar de acordo com a distro. O principal arquivo é o smb.conf.
Como base, abaixo segue o meu smb.conf comentado para que você o
adapte a sua rede.
No decorrer do arquivo você encontrará referências a usuários e grupos. A
manipulação desses usuários será tratado mais adiante.

Segue o arquivo /etc/samba/smb.conf:

# SERVIDOR SAMBA PDC - DEBIAN GNU/LINUX

# POR TIAGO ANDRÉ GERALDI

[global]
# Na sessão Global está definido a forma como o servidor samba irá
funcionar.
# Acompanhe com atenção cada campo.

# No workgroup vai o nome do grupo de trabalho ou Domínio,

# No nosso caso, sendo um PDC, é o nome de Domínio.
workgroup = empresa

# netbios name, o nome do servidor na rede

netbios name = SERVER

# A descrição do servidor para a rede

server string = PDC SERVER LINUX

# Usuário Administrador de Domínio.

# Esses usuários serão administradores do domínio.
# São eles que adicionaram os hosts windows no domínio
# entre outras funções administrativas.
# Pode ser informado vários usuários
# separados por espaços e /ou grupos. No exemplo, usuários
# tiago, darci e o grupo cpd serão os administradores
admin users = tiago darci @cpd

# O PDC é um servidor de data e hora?

# habilitamos essa função e posteriormente faremos os
# computadores da rede sincronizar seu relógio com o servidor
time server = yes

# No caso de haver mais de um PDC na rede, como, por exemplo, um

# servidor Windows NT, as próximas linhas
# dizem se este servidor é o principal PDC e qual é seu OS LEVEL
# (o valor de concorrências com os outros).
# Deixe assim como está se só houver um PDC na rede.
preferred master = yes
domain master = yes
os level = 100

# O Servidor aceitará Logon dos usuários nas estações

domain logons = yes
local master = yes

# As próximas duas linhas referem-se aos diretórios

# onde seriam armazenados os profiles dos usuários.
# No nosso caso, o servidor não guardará essas informações,
# elas ficaram salvas localmente em cada estação, por isso
# as tags ficam vazias.
logon path =
logon home =

logon script = todos.bat

# Script a ser executado pelos usuários quando fizerem logon.
# Os scripts deverão estar dentro da pasta NETLOGON que
# veremos adiante o seu compartilhando, também devem ser .bat
# para que o windows possa executá-lo.
# Neste caso temos um único script para todos os usuários,
# Você pode definir scripts individuais com o nome do usuário
# ex: tiago.bat. Aqui na configuração coloque:
# logon script = %u.bat
# ou ainda conforme o grupo do usuário
# logon script = %g.bat

security = user
# Security: nível de acesso, pode ser user ou share.
# User, temos um controle de autenticação por usuário, cada
# usuário tem suas permissões de acesso. Já como share,
# temos um compartilhamento simples onde todos acessam
# tudo sem nenhum controle.

# O servidor aceitará usuários sem senha?

# Eu prefiro deixar No
null passwords = no

# Habilita senhas criptografadas, é importante a habilitação

# para compatibilidade com windows 2000 e XP
encrypt passwords = true

# Corrige acentuação dos arquivos compartilhados

unix charset = iso8859-1
display charset = cp850

# IPs ou hostnames dos micros da rede

# importante para a segurança, evita conexões indesejadas.
# A classe de IPs da minha rede é 10.1.0.0 talvez a sua
# seja 192.168.0.0, mude de acordo. 127. diz respeito
# ao localhost, o próprio servidor.
hosts allow = 10.1.0. 127.

# arquivo de log do samba

log file = /mnt/sda7/logs/samba/log.%m

# tamanho máximo do arquivo de log em KBs

max log size = 10000

# Nível de detalhes do arquivo log

# altere de 1 a 5 e verifique as diferenças
log level = 2
debug level = 2

# Aqui finda a seção homes. Agora em diante vem os

# compartilhamentos e suas configurações:

# O compartilhamento netlogon é obrigatório

# nele ficará os scripts de logon dos usuários.
# Defina o path, especificando onde está a pasta netlogon
# não esqueça de criá-la também depois.
# Estamos definindo abaixo que o compartilhamento não
# será navegável e que será somente leitura.
[NETLOGON]
comment = Servico de logon
path = /mnt/sda7/netlogon
browseable = no
read only = yes

# Criamos abaixo um compartilhamento público para todos

# acessarem livremente e trocarem arquivos. Ele é
# navegável (browseable=yes), arquivos somente leitura
# podem ser apagados (delete readonly=yes), gravável
# (writable), publico (usuários anônimos também acessaram) e
# disponível (available). Em veto files, defini extensões
# de arquivos que não poderão gravadas, afim de evitar
# abusos. Em create mode, está definido que os arquivos
# criados poderão ser alterados por qualquer um, não
# somente pelo dono, exemplo diferente você verá mais abaixo
[publico]
browseable = yes
delete readonly = yes
writable = yes
path = /mnt/sda7/publico
create mode = 0777
available = yes
public = yes
veto files = /*.mp3/*.wma/*.wmv/*.avi/*.mpg/*.wav/
# O compartilhamento abaixo segue a mesma estrutura,
# a diferença é que só os usuários do grupo adm
# poderão acessá-lo.
[administracao]
path = /mnt/sda6/adm
available = yes
browseable = yes
create mode = 0777
writable = yes
valid users = @adm

# Abaixo temos um compartilhamento com force file mode=700,

# desta maneira os arquivos criados só poderão ser lidos ou
# alterados pelo usuário que os criou.
[bkps]
path = /mnt/sda7/bkps
available = yes
browseable = yes
writeable = yes
force file mode = 700
veto files = /*.mp3/*.wma/*.wmv/*.avi/*.mpg/

# Agora é só ir criando os compartilhamentos que você precisa

# da mesma maneira. Repare que não temos a seção Homes
# comumente vista nos exemplos de smb.conf porque realmente
# não vamos precisar dela.

# smb.conf por Tiago André Geraldi

Criando Grupos e Usuários

Agora já temos um servidor samba configurado. Precisamos ainda adicionar

os grupos e os usuários que especificamos no smb.conf. Falta também criar
os scripts dos usuários e, por fim, adicionar as máquinas windows no
domínio.

Criando grupos:

# addgroup cpd
# addgroup adm
# addgroup maquinas

Neste exemplo, criei assim os dois grupos de usuários que utilizei no meu
smb.conf. Faça de acordo com a sua rede. Também foi adicionado o grupo
maquinas onde posteriormente cadastraremos os nomes dos hosts da rede.
Criando usuários:
É interessante que os usuários do samba não sejam usuários normais do
sistema. Caso contrário, eles poderão efetuar logon no shell no servidor ou
mesmo iniciar uma conexão por ssh, o que aumentaria as brechas de
segurança no servidor e que ainda nem tenham diretório home.

Para isso, criamos os usuários usando os seguintes comandos:

# useradd -g cpd -s /bin/false -d /dev/null tiago

# smbpasswd -a tiago

Assim criamos o usuário tiago que é do grupo cpd e não tem acesso shell
nem diretório home e, em seguida, o cadastramos no samba.

Para alterar a senha de um usuário, use:

# smbpasswd nome_do_usuario

Para excluir um usuário, primeiro o apague do samba, depois do próprio

sistema:

# smbpasswd -x nome
# userdel nome

Além dos usuários precisamos também cadastrar os nomes de todas as

máquinas. Se um nome de máquina não estiver cadastrado, ela não poderá
ser incluída no domínio. Neste exemplo, a máquina a ser incluída será a
adm01:

# useradd -g maquinas -s /bin/false -d /dev/null adm01$

# passwd -l adm01$
# smbpasswd -a -m adm01
# smbpasswd -a tiago
Baixando e Instalando o Clamwin nas Estações

O Clamwin está disponível no http://www.clamwin.com. Baixe a versão mais

recente na seção downloads e instale normalmente, como é feito com
qualquer executável do Windows. Não é necessário realizar nada diferente
durante a instalação. Faça isso em todas as estações.

Primeiramente vamos configurar uma estação apenas, colocar seu arquivo

de configuração no diretório Netlogon do servidor e configurar os scripts
para que sincronizem a configuração nas estações.
Em uma das estações, abra o Clamwin, clique no menu Tools e abra
Preferences. Em General selecione a opção "Remove (Use Carefully)" para
que os virus sejam removidos automaticamente quando encontrados. Em
Shedule Scans, clique em Add. (recomendo usar a opção Daily, para exames
diários). Escolha uma hora, a pasta a ser verificada (coloque c: para verificar
todo o disco) e a descrição.
Na seção Internet Updates, habilite a caixa Update Virus Database on
Logon. Em E-mail Alerts, habilite Send Email On Virus Detection, em seguida
defina:
Mail Server: servidor de envio. smtp.bol.com.br, por exemplo. A porta a ser
usada pelo servidor, 25 é a padrão. Nome de usuário do e-mail que
mandará a notificação e senha. Você poderá estar enviando o e-mail de
alerta de você para você mesmo, então defina From e To com o mesmo
endereço. Clique em Send Test Email para ver se deu tudo certo.

Terminamos a configuração. Vá agora ao diretório "Documents and

Settings/nome_do_seu_usuario/Dados de Aplicativos/.clamwin/" e copie os
dois arquivos para a pasta netlogon do seu servidor. Tendo em vista que o
servidor samba ainda não está em execução, faça isso usando um pendrive
ou disquete.

O próximo paço é escrever os scripts de logon.

Escrevendo Scripts de Logon

No arquivo smb.conf ao invés de definirmos o script logon como sendo

%u.bat para que seja executado um script com o nome do usuário, por
exemplo tiago.bat, colocamos todos.bat. A idéia é a seguinte: em todos.bat
colocamos o que todos os usuário irão fazer, por exemplo, sincronizar o
Clamwin e data e mapear o publico como P:, no final do arquivo fazemos
uma chamada a um arquivo individual com o nome do usuário, assim você
terá aquilo que todos executam e aquilo que só um usuário executa. Se não
entendeu, entenderá mais abaixo.

Vamos criar o todos.bat. No servidor como root digite:

# vi .../netlogon/todos.bat

Adicione as duas linhas abaixo dentro do arquivo:

net use p: \serverpublico /yes

net time \server /set /yes

Obs: "server" é o nome do servidor, mude se necessário. Uma linha mapeia

o público como p: outra sincroniza a data e hora.

Agora vamos sincronizar o antivírus. Adicione ao arquivo:

c:
cd %userprofile%Dados de Aplicativos.clamwin
del Clamwin.conf
del ScheduledScans
copy \servernetlogonClamwin.conf /y
copy \servernetlogonScheduledScans /y
\servernetlogon%username%.bat

O script abre a pasta de configuração do clamwin, deleta supostos arquivos

de configuração atuais e copia do compartilhamento netlogon os dois novos
arquivos de configuração. Portanto, toda vez que um usuário logar em uma
máquina o antivirus é automaticamente configurado. Na última linha, o
script chama um arquivo com o nome do usuário.bat dentro de netlogon.
Por exemplo, você pode criar um arquivo chamado tiago.bat e colocar
dentro dele o mapeamento de um compartilhamento específico, assim,
somente esse usuário mapeará essa unidade.

Executando o Samba e adicionando as estações

Depois de toda a configuração estar pronta, vamos executar o samba:

# /etc/init.d/samba start

Agora podemos começar a incluir as estações Windows no Domínio do

Samba. Na estação, acesse a opção: Propriedades de Meu Computador ->
Identificação de Rede.

Selecione Domínio e digite o nome, no caso EMPRESA, de acordo com o

especificado no smb.conf. Será solicitado nome e senha de administrador de
domínio.

Após reiniciar o computador é interessante que você defina a senha de

administrador local da máquina e exclua todas as outras contas locais. No
Painel de Controle, Ferramentas Administrativas, Gerenciamento do
Computador, você controla isso, inclusive pode definir quais usuários do
domínio ou grupo terão acesso de administrador na máquina (poderão
instalar ou remover programas, modificar configurações, etc.) os demais,
apenas poderão trabalhar na máquina sem fazer nada de significativo.
Pronto, daí em diante, nada de você ficar se incomodando em formatar
máquinas porque os usuários fazem mais do que deviam. Associando o
Samba com um servidor proxy, é tiro e queda.