ACL

●ファイル保護機能（セキュリティ）
各共有に対するファイル保護機能（セキュリティ）は、SambaとWindowsNTで、ほぼ同等でホスト（クライアント）名に対する制限がかけられる分Sambaの方が有用でなのだが、ファイル単位の保護機能ではACL（アクセス・コントロール・リスト）をサポートするWindows NT/2000の方が細かく設定できる。（ただし、NTFSを使用した場合のみ）

Samba上のファイルもWindowsのエクスプローラで各ファイルのプロパティを使ってセキュリティ・タブが利用できるが、「所有者(owner)」「グループ(group)」「それ以外(other)」の３種類でしか制限できない。

現在ACLをサポートしたUnix/Linux OSの上でSambaもACLが利用できるようになったが、Linuxの場合OSがまだ標準でACLをサポートしていないため、まだ制限が残っている。

ということで、ACLを利用するための算段を探してみよう。

win2kをPDCに追加する。

NT クライアントに信頼関係アカウント(trust account)を作成する必要がある。

http://www.samba.gr.jp/project/translation/using_samba/using_samba/ch06_05.html

ううっ、なんてことだ
http://www.samba.gr.jp/project/translation/2.2.4/howto/samba-pdc-howto.html
によると

Windows 2000

 AdministratorでW2kマシンにログオンし、コントロールパネルから 「ネットワークとダイヤルアップ接続」をダブルクリックする。 (訳注:)日本語W2Kでは、コントロールパネルの「システム」をダブルクリックする 
 プルダウンメニューから、ネットワーク識別を選択し、プロパティを押す。 (訳注:)日本語W2Kでは、「ネットワークID」タブを選択し、プロパティを押す。 
 Choose Domain and enter the domain name. Press 'OK'.
 ドメインを選択し、ドメイン名を入力する。「OK」を押す。 
 ドメイン管理者(リリース前バージョンのバグが取れるまでこれはrootでなければならない) 用のユーザ名とパスワードを入力し、「OK」を押す。 
 認証が終わるまで待ち、再起動する。 
 ドメインからW2kマシンを削除するには、はじめの２ステップを行った後、 ワークグループを選択し、ワークグループ名(もしくは単に"WORKGROUP") を入力し、後は指示に従う。

ということでrootがドメイン管理者だったのね…しらなかった。

ま、とりあえず、出来た。

winXPをPDCに追加する。

基本的にwin2kと同じだが、
http://www.tac.tsukuba.ac.jp/~yamato/samba/11000/msg00304.html

にあるように

 >docs/Registry以下にある、WinXP_SignOrSeal.regファイルにあるように
 >HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
 >以下に、 RequireSignOrSeal DWORD:0x0 という値を追加することで、
 >ログオンできるようになると思います。

とのこと、やられた…ということで出来ました。