path: root/libgpo/admx/ru-RU/samba.adml

<?xml version="1.0" ?>
<policyDefinitionResources revision="1.0" schemaVersion="1.0">
  <displayName>
  </displayName>
  <description>
  </description>
  <resources>
    <stringTable>
      <string id="CAT_3338C1DD_8A00_4273_8547_158D8B8C19E9">Samba</string>
      <string id="CAT_7D8D7DC8_5A9D_4BE1_8227_F09CDD5AFFC6">Настройки Unix</string>
      <string id="CAT_2B6D622C_5721_4C23_A2D6_5C70D6E059BA">Скрипты</string>
      <string id="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061">Ежедневно</string>
      <string id="POL_825D441F_905E_4C7E_9E4B_03013697C6C1">Ежечасно</string>
      <string id="POL_D298F3BD_44D9_426D_AF11_3163D31582F6">Ежемесячно</string>
      <string id="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674">Еженедельно</string>
      <string id="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3">Управление разрешениями Sudo</string>
      <string id="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061_Help">Этот параметр политики позволяет выполнять команды, локальные или удаленные, ежедневно.</string>
      <string id="POL_825D441F_905E_4C7E_9E4B_03013697C6C1_Help">Этот параметр политики позволяет выполнять команды, локальные или удаленные, ежечасно.</string>
      <string id="POL_D298F3BD_44D9_426D_AF11_3163D31582F6_Help">Этот параметр политики позволяет выполнять команды, локальные или удаленные, ежемесячно.</string>
      <string id="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674_Help">Этот параметр политики позволяет выполнять команды, локальные или удаленные, еженедельно.</string>
      <string id="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3_Help">Эта политика настраивает файл sudoers со специальными строками.</string>
      <string id="CAT_10827749_64ED_5052_87F7_E81AD421856A">smb.conf</string>
      <string id="POL_33AAE399_07A8_5CC8_882A_393E4B96B259">additional dns hostnames</string>
      <string id="POL_33AAE399_07A8_5CC8_882A_393E4B96B259_Help">Список дополнительных DNS-имен, по которым можно идентифицировать этот хост.

Значение по умолчанию:
пустая строка (нет дополнительных DNS-имен)

Пример:
host2.example.com host3.other.com</string>
      <string id="POL_3CD2A970_826E_518E_B5F0_5E6725FF354D">bind interfaces only</string>
      <string id="POL_3CD2A970_826E_518E_B5F0_5E6725FF354D_Help">Этот глобальный параметр позволяет администратору Samba ограничивать интерфейсы на машине, обслуживающие запросы SMB. Это по-разному затрагивает файловую службу smbd(8) и службу имён nmbd(8).

Если установить этот параметр, то служба имён nmbd связывается по портам 137 и 138 на интерфейсах, перечисленных в параметре 'interfaces'. А также c интерфейсом «все адреса» (0.0.0.0) на портах 137 и 138 для чтения широковещательных сообщений. Если этот параметр не установлен, то служба nmbd будет обслуживать запросы имён на всех этих сокетах. Если параметр установлен, то nmbd проверит исходный адрес любых входящих пакетов на широковещательных сокетах и откажется от любого, который не соответствует широковещательным адресам интерфейсов в списке параметра 'interfaces'. Поскольку одноадресные пакеты принимаются другими сокетами, это позволяет nmbd отказывать в обслуживании имен машинам, которые посылают пакеты с интерфейсов, не перечисленных в списке параметра 'interfaces'. Однако подделка IP-адреса источника обходит эту простую проверку защиты nmbd, поэтому этот параметр не следует серьезно использовать в качестве средства безопасности для nmbd.

Для службы файлов эта опция заставляет smbd(8) связываться только с теми интерфейсами, которые перечисленны в параметре 'interfaces'. Таким образом, ограничиваются сети, которые будет обслуживать smbd, до пакетов, поступающих через эти интерфейсы. Обратите внимание, что нельзя использовать этот параметр для машин, которые обслуживаются через PPP или другие непостоянные или нешироковещательные сетевые интерфейсы, поскольку эта опция не справится с непостоянными интерфейсами.

Если установлена эта опция и в список интерфейсов не добавлен адрес 127.0.0.1 (параметр 'interfaces'), то smbpasswd(8) не будет работать, как ожидалось, т.к. для изменения пользователем SMB пароля, smbpasswd по умолчанию подключается к адресу localhost 127.0.0.1 в качестве SMB клиента для отправки запроса на изменение пароля. Нужно либо добавить адрес 127.0.0.1 в параметре 'interfaces', либо заставить smbpasswd использовать IP-адрес основного интерфейса локального хоста с помощью параметра smbpasswd(8): -r remote machine (при этом, в качестве remote machine указывается IP-адрес основного интерфейса локального хоста).

Значение по умолчанию:
bind interfaces only = no</string>
      <string id="POL_109FA3A4_0F92_5052_A7D9_D4BBCA75F765">config backend</string>
      <string id="POL_109FA3A4_0F92_5052_A7D9_D4BBCA75F765_Help">Этот параметр определяет бэкэнд для хранения конфигурации. Возможные значения: file (по умолчанию) или registry (реестр). Когда при загрузке smb.conf обнаруживается значение 'config backend = registry', то прочитанная конфигурация отбрасывается, и вместо этого читаются глобальные параметры из реестра. Таким образом, считывается только конфигурация реестра. Параметры общих ресурсов не читаются сразу, но устанавливается параметр 'registry shares = yes'.

Примечание. Этот параметр нельзя установить в самой конфигурации реестра.

Значение по умолчанию:
file

Пример:
registry</string>
      <string id="POL_08734B25_7265_5D0B_B857_B2E831B624F1">dos charset</string>
      <string id="POL_08734B25_7265_5D0B_B857_B2E831B624F1_Help">DOS SMB клиенты предполагают, что сервер имеет ту же кодировку, что и они. Эта опция определяет кодировку Samba для работы с DOS клиентами.

Значение по умолчанию зависит от того, какие кодировки были установлены. Samba попробует использовать кодировку 850, но снизит скорость передачи данных до ASCII, если кодировка 850 не доступна. Выполните testparm(1), чтобы проверить значение по умолчанию в вашей системе.

Значения по умолчанию нет</string>
      <string id="POL_4CCDFFB7_07DF_58F9_904E_13A024A3F54A">enable core files</string>
      <string id="POL_4CCDFFB7_07DF_58F9_904E_13A024A3F54A_Help">Этот параметр указывает, должны ли дампы ядра записываться во внутренние выходы. Обычно этот параметр установлен (enable core files = yes). Никогда не нужно менять значение этого параметра.

Значение по умолчанию:
enable core files = yes</string>
      <string id="POL_5B751E57_31A9_5EC2_A3CD_A8511D74FCFB">mdns name</string>
      <string id="POL_5B751E57_31A9_5EC2_A3CD_A8511D74FCFB_Help">Этот параметр управляет именем, которое multicast DNS поддерживает как свой hostname.

У этого параметра есть два специальных значения: netbios и mdns.

По умолчанию используется имя NetBIOS, которое обычно представляет собой имя хоста, написанное заглавными буквами.

Если параметр имеет значение mdns, будут использованы настройки имени хоста из используемой библиотеки MDNS.

Значение по умолчанию:
netbios
</string>
      <string id="POL_461A8AAF_F51E_5FF5_9433_A8D25BBCF783">multicast dns register</string>
      <string id="POL_461A8AAF_F51E_5FF5_9433_A8D25BBCF783_Help">Если Samba скомпилирована с соответствующей поддержкой и если эта опция включена, Samba станет анонсировать сведения о себе с помощью служб multicast DNS, например, предоставляемых демоном Avahi.

Значение по умолчанию:
multicast dns register = yes</string>
      <string id="POL_04F98D09_4223_5390_B66F_A6DA05F97FCC">netbios aliases</string>
      <string id="POL_04F98D09_4223_5390_B66F_A6DA05F97FCC_Help">Это список имен NetBIOS, которые объявит демон nmbd как дополнительные имена, которые известны серверу Samba. Это позволяет одному компьютеру, на котором запущен сервер Samba, быть объявленным под несколькими именами. Если машина выполняет роль сервера просмотра (browse server) или сервера входа в систему (logon server), ни одно из этих имен не будет объявлено ни как сервер просмотра, ни как сервер входа в систему, только основное имя машины будет объявлено с этими возможностями.

Значение по умолчанию:
пустая строка (без дополнительных имен)

Пример:
TEST TEST1 TEST2</string>
      <string id="POL_90CE7832_31B7_51D8_9EF2_92FEF396F49B">netbios name</string>
      <string id="POL_90CE7832_31B7_51D8_9EF2_92FEF396F49B_Help">Эта опция устанавливает имя NetBIOS, по которому будет доступен сервер Samba. По умолчанию используется первая часть доменного имени хоста. Если машина является сервером просмотра (browse server) или сервером входа в систему (logon server), это имя (или первая часть доменного имени) будет использоваться в качестве имени и этих сервисов.

Обратите внимание, что максимальная длина имени NetBIOS составляет 15 символов.

В Samba имеется ошибка, из-за которой нарушается процедура просмотра и доступа к общим ресурсам, если NetBIOS-имя имеет значение "PIPE".

Значение по умолчанию:
netbios name = #DNS-имя хоста

Пример:
MYNAME</string>
      <string id="POL_3B93FDE1_6461_572C_AD2E_6AEEAE4EA949">netbios scope</string>
      <string id="POL_3B93FDE1_6461_572C_AD2E_6AEEAE4EA949_Help">Эта опция устанавливает диапазон NetBIOS, в котором будет работать Samba. Значение этого параметра не следует изменять, если только на каждом компьютере в локальной сети также не установлено такое же значение.

Значение по умолчанию:
пустая строка</string>
      <string id="POL_E633B0BE_9CF3_5D79_A9F1_CB782C82A19C">prefork backoff increment</string>
      <string id="POL_E633B0BE_9CF3_5D79_A9F1_CB782C82A19C_Help">Эта опция указывает количество секунд, добавленных к задержке перед перезапуском мастера prefork или рабочего процесса. Первоначальная задержка при перезапуске равна нулю, значение параметра 'prefork backoff increment' добавляется к задержке при каждом перезапуске, до значения указанного в параметре 'prefork maximum backoff'.

Кроме того, можно задать отсрочку для отдельного сервиса, используя параметр 'prefork backoff increment: service name'. Например, если 'prefork backoff increment:ldap = 2', то отсрочка каждый раз увеличивается на 2.

Если 'prefork backoff increment = 2' и prefork 'maximum backoff = 5', то первый перезапуск будет с нулевой задержкой, второй перезапуск будет с задержкой в 2 секунды, а третий и последующие перезапуски будут с задержкой в 4 секунды.

Значение по умолчанию:
10
</string>
      <string id="POL_B4E848BD_E606_552C_8C9F_3F8CC1AEF191">prefork children</string>
      <string id="POL_B4E848BD_E606_552C_8C9F_3F8CC1AEF191_Help">Эта опция контролирует количество рабочих процессов, которые запускаются для каждой службы при включенной модели процесса prefork (см. samba(8) -M). Потомки prefork запускаются только для тех служб, которые поддерживают prefork (в настоящее время это ldap, kdc и netlogon). Для процессов, которые не поддерживают предварительную загрузку, все запросы обрабатываются одним процессом для этой службы.

Значение этого параметра должно быть кратно количеству ЦП, доступных на сервере.

Кроме того, количество дочерних элементов prefork можно указать для отдельной службы с помощью параметра 'prefork children: service name', например, для установки количества рабочих процессов ldap: 'prefork children:ldap = 8'.

Значение по умолчанию:
4</string>
      <string id="POL_D721EFAF_A53D_57B7_9639_3859CF9CE31E">prefork maximum backoff</string>
      <string id="POL_D721EFAF_A53D_57B7_9639_3859CF9CE31E_Help">Эта опция контролирует максимальную задержку перед перезапуском упавшего prefork процесса.

Значение по умолчанию:
120</string>
      <string id="POL_1630255E_61BA_5686_B3E0_995F8C4DAA5E">realm</string>
      <string id="POL_1630255E_61BA_5686_B3E0_995F8C4DAA5E_Help">Эта опция определяет используемую область Kerberos. Область используется в качестве эквивалента ADS домена NT4. Обычно это DNS-имя сервера Kerberos.

Значение по умолчанию:
пустая строка

Пример:
mysambabox.mycompany.com</string>
      <string id="POL_E1D45258_0E70_5AF8_AE28_DAB6B318BB8A">server services</string>
      <string id="POL_E1D45258_0E70_5AF8_AE28_DAB6B318BB8A_Help">Этот параметр содержит службы, которые будет запускать демон Samba.

Запись в файле smb.conf может либо полностью переопределить предыдущее значение, либо можно добавить или удалить записи к предыдущему значению, путём добавления к ним префикса «+» или «-».

Значение по умолчанию:
s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns

Пример:
-s3fs, +smb</string>
      <string id="POL_351CFFDA_9DC3_54FB_BE9A_E434F0DB9955">server string</string>
      <string id="POL_351CFFDA_9DC3_54FB_BE9A_E434F0DB9955_Help">Эта опция определяет, какая строка будет отображаться в поле для комментариев к принтеру в диспетчере печати и рядом с IPC-соединением в сетевом представлении. Это может быть любая строка, которую следует показать пользователям.

Также опция устанавливает, что будет отображаться в списках просмотра рядом с именем машины.

Переменные подстановки:
  * %v будет заменен номером версии Samba.

  * %h будет заменено на имя компьютера (hostname).

Значение по умолчанию:
Samba %v

Пример:
University of GNUs Samba Server</string>
      <string id="POL_32A7428D_00FC_5203_9943_2BDCDC3D9E0D">share backend</string>
      <string id="POL_32A7428D_00FC_5203_9943_2BDCDC3D9E0D_Help">Этот параметр указывает бэкенд, который будет использоваться для доступа к конфигурации общих файловых ресурсов.

По умолчанию общие файловые ресурсы Samba настраиваются в файле smb.conf.

На данный момент других поддерживаемых бэкендов нет.

Значение по умолчанию:
classic</string>
      <string id="POL_ABDCEE90_90DE_55C2_A2DC_1C7D017F4B2B">unix charset</string>
      <string id="POL_ABDCEE90_90DE_55C2_A2DC_1C7D017F4B2B_Help">Эта опция задает кодировку, которую использует Samba на unix-машине. Samba необходимо знать кодировку, чтобы иметь возможность преобразовывать текст в кодировки, которые используют другие клиенты SMB.

Также эта кодировка будет использована в аргументах скриптов, используемых Samba.

Значение по умолчанию:
UTF-8

Пример:
ASCII</string>
      <string id="POL_D1FAAF87_1E1E_596F_A915_BE72D67A5DC5">workgroup</string>
      <string id="POL_D1FAAF87_1E1E_596F_A915_BE72D67A5DC5_Help">Эта настройка указывает, в какой рабочей группе будет находиться сервер при запросе клиентов. Обратите внимание, что этот параметр также управляет доменным именем, используемым с параметром 'security = domain'.

Значение по умолчанию:
WORKGROUP

Пример:
MYGROUP</string>
      <string id="POL_163183B9_195A_5290_927E_08FBB6C76AA0">interfaces</string>
      <string id="POL_163183B9_195A_5290_927E_08FBB6C76AA0_Help">Параметр позволяет переопределить список сетевых интерфейсов по умолчанию, которые Samba будет использовать для просмотра ресурсов сети, регистрации имён и другого трафика NetBIOS через TCP/IP (NBT). По умолчанию Samba запрашивает ядро для получения списка всех активных интерфейсов и использует любые интерфейсы, которые поддерживают широковещательную рассылку, кроме 127.0.0.1.

Параметр принимает список интерфейсов в виде строки. Каждая строка может быть в любой из следующих форм:

  * Имя сетевого интерфейса (например, eth0). Эта форма может включать подстановочные знаки, например, eth* будет соответствовать любому интерфейсу, начинающемуся с подстроки «eth».

  * IP-адрес. Маска подсети определяется из списка интерфейсов полученного у ядра.

  * пара IP-адрес/маска;

  * пара адрес сети/маска.

Параметр «маска» может быть представлен в битовой размерности (например, 24 для сети класса C) или в виде полной маски подсети с разделителями в виде десятичной точки.

Параметр «IP-адрес» может указываться либо полным десятичным IP-адресом, разделённым точками или указанием имени хоста (hostname), которое будет разрешено с помощью обычных механизмов разрешения имени хоста ОС.

По умолчанию Samba включает все активные интерфейсы, поддерживающие широковещательную передачу, за исключением адаптера обратной связи (IP-адрес 127.0.0.1).

Чтобы поддерживать многоканальные конфигурации SMB3, smbd понимает некоторые дополнительные параметры, которые могут быть добавлены после фактического интерфейса с помощью расширенного синтаксиса (обратите внимание, что кавычки важны для обработки символов «;» и «,»):

  &quot;interface[;key1=value1[,key2=value2[...]]]&quot;

Возможные ключи — speed (скорость), capability (пропускная способность) и if_index. Скорость указывается в битах в секунду. Пропускная способность — RSS и RDMA. If_index следует использовать с осторожностью: значения не должны совпадать с индексами, используемыми ядром. Обратите внимание, что эти параметры в основном предназначены для тестирования и разработки, а не для промышленного использования. По крайней мере, в системах Linux эти значения должны определяться автоматически, но настройки могут служить последним средством, когда автоопределение не работает или недоступно. Указанные значения заменяют автоматически обнаруженные значения.

Значение по умолчанию:
пустая строка

Ниже приведены примеры. В первых двух примерах настраиваются три сетевых интерфейса, соответствующие устройству eth0 и IP-адресам 192.168.2.10 и 192.168.3.10. Сетевая маска двух последних интерфейсов будет установлена на 255.255.255.0.

В остальных примерах показано, как можно указать дополнительные параметры для каждого интерфейса. Обратите внимание на возможное использование символов «;» и «,», что делает необходимым использование двойных кавычек.

Пример:
eth0 192.168.2.10/24 192.168.3.10/255.255.255.0

Пример:
eth0, 192.168.2.10/24; 192.168.3.10/255.255.255.0

Пример:
&quot;eth0;if_index=65,speed=1000000000,capability=RSS&quot;

Пример:
&quot;lo;speed=1000000000&quot; &quot;eth0;capability=RSS&quot;

Пример:
&quot;lo;speed=1000000000&quot; , &quot;eth0;capability=RSS&quot;

Пример:
&quot;eth0;capability=RSS&quot; , &quot;rdma1;capability=RDMA&quot; ; &quot;rdma2;capability=RSS,capability=RDMA&quot;</string>
      <string id="POL_25731B61_FC84_5A83_93AE_296F7D6311C4">browse list</string>
      <string id="POL_25731B61_FC84_5A83_93AE_296F7D6311C4_Help">Параметр устанавливает, обслужит ли smbd(8) список просмотра клиенту, выполняющему вызов NetServerEnum. Обычно 'browse list = yes'. Никогда не следует изменять значение этого параметра.

Значение по умолчанию:
browse list = yes</string>
      <string id="POL_3E9E3188_6F1A_54F8_8E13_265E2AD1BE71">domain master</string>
      <string id="POL_3E9E3188_6F1A_54F8_8E13_265E2AD1BE71_Help">Разрешает smbd(8) сопоставлять список просмотра WAN сети. Включение этой области заставляет nmbd требовать NetBIOS имя домена, идентифицирующее его как мастер браузер домена для данной рабочей группы. Местные мастер браузеры в изолированных подсетях передадут этому nmbd свои локальные списки просмотра и потом запросят у smbd законченную копию списка для всей глобальной сети. Клиенты локальных мастер браузеров получат от своих изолированных мастер браузеров списки всей глобальной сети, вместо списка изолированной подсети.

Обратите внимание, что Windows NT Primary Domain Controllers ожидают, что у них есть возможность требовать NetBIOS имя домена, которое идентифицирует их как мастер браузер домена по умолчанию (и нет способа заставить Windows NT PDC не требовать этого). Это означает, что если этот параметр установлен, и nmbd запрашивает специальное имя для рабочей группы раньше, чем Windows NT PDC, то перекрёстный просмотр подсети будет вести себя странно, и может потерпеть неудачу.

Если 'domain logons' включен, то по умолчанию включается параметр 'domain master'. Если 'domain logons' не включен (по умолчанию), тогда ни один 'domain master' не включен по умолчанию.

Если 'domain logons = yes' и 'domain master = yes', в результате Samba — PDC. Если 'domain master = no', Samba — BDC. Как правило, этот параметр должен быть иметь значение no только на резервном контроллере домена.

Значение по умолчанию:
auto</string>
      <string id="POL_E14519D2_9B84_5A1B_B4A4_89F6151BFCE2">enhanced browsing</string>
      <string id="POL_E14519D2_9B84_5A1B_B4A4_89F6151BFCE2_Help">Эта опция включает перекрестный обзор подсетей, добавленный в Samba, но не являющийся стандартным для Windows.

Сначала Samba просматривает WINS-сервер для всех Domain Master Browsers, сопровождаемых синхронизацией обзора с каждым из возвращенных DMBs (Domain Master Browsers). Потом синхронизируются списки просмотра со всеми известными DMBs.

Можно отключить эту опцию, если есть проблема с пустыми рабочими группами, не исчезающими из списков просмотра. Из-за ограничений протоколов обзора эти расширения могут заставить пустую рабочую группу оставаться в сетевом окружении навсегда, что может раздражать.

В основном, лучше оставить эту опцию включенной, поскольку она делает перекрестный обзор намного более надежным.

По умолчанию:
enhanced browsing = yes
 </string>
      <string id="POL_7E8FBFDB_CBDD_5CE7_B101_07AB8AA71209">lm announce</string>
      <string id="POL_7E8FBFDB_CBDD_5CE7_B101_07AB8AA71209_Help">Этот параметр отвечает за рассылку демоном nmbd широковещательных пакетов lanman, которые требуются клиентам OS/2 для того, чтобы увидеть Samba в их сетевом окружении. Этот параметр может принимать три значения yes, no, или auto. Значение по умолчанию auto. Если выставлено no, Samba никогда не будет посылать широковещательные пакеты lanman. Если выставлено yes, Samba будет посылать пакеты с интервалом, указанным в параметре 'lm interval'. Если выставлено auto, Samba не будет посылать такие пакеты, но будет слушать сеть на предмет таких пакетов. Если в сети появится такой пакет, то Samba тоже начнет рассылать такие пакеты с интервалом, указанным в параметре 'lm interval'.

По умолчанию:
auto

Пример:
yes
</string>
      <string id="POL_6D665B21_1F08_5183_B9CD_CFD712C1D4AB">lm interval</string>
      <string id="POL_6D665B21_1F08_5183_B9CD_CFD712C1D4AB_Help">Если серверу Samba указано посылать широковещательные пакеты lanman, необходимые клиентам OS/2 (см. параметр 'lm announce'), тогда параметр 'lm interval' указывает интервал в секундах, через который следует посылать такие пакеты. Если этот параметр равен 0, то такие пакеты не будут рассылаться вовсе, даже не смотря на значение параметра 'lm announce'.

Значение по умолчанию:
60

Пример:
120</string>
      <string id="POL_40EA4C73_20A7_580A_A830_0EDA7FC72B7D">local master</string>
      <string id="POL_40EA4C73_20A7_580A_A830_0EDA7FC72B7D_Help">Эта опция разрешает демону nmbd попытаться стать локальным мастер-браузером в этой подсети. Если параметр выключен (local master = no), то nmbd даже не будет пытаться стать мастер-браузером в этой подсети и будет проигрывать все выборы мастер-браузера. По умолчанию, этот параметр установлен (local master = yes), но это не значит, что Samba станет мастер-браузером в подсети. Это означает лишь, что nmbd будет участвовать в выборах мастер-браузера.

Выключение этого параметра (local master = no) приведет к тому, что nmbd никогда не станет мастер-браузером.

Значение по умолчанию:
local master = yes
</string>
      <string id="POL_95C311BC_3067_5654_A978_70326D928F48">os level</string>
      <string id="POL_95C311BC_3067_5654_A978_70326D928F48_Help">Значение этого параметра (целое число) устанавливает уровень сервера Samba, который используется в выборах обозревателя. Значение этого параметра определяет, имеет ли шансы демон nmbd(8) стать мастер-браузером (master browser) для 'workgroup' в пределах действия широковещательных запросов.

Заметьте, что по умолчанию, Samba будет выигрывать все выборы у всех операционных систем кроме контроллера домена Windows NT 4.0/2000. Это означает, что неправильно сконфигурированная Samba может эффективно изолировать подсеть для просмотра. Этот параметр, в основном, конфигурируется автоматически в Samba-3 и очень редко требуется переопределять его значение. См. раздел «Network Browsing» руководства Samba3-HOWTO для получения более детальной информации, относящейся к этому параметру. Заметьте, что максимальное значение этого параметра 255. Если поставить значение большее 255, то отсчет начнется с 0!

Значение по умолчанию:
20

Пример:
65</string>
      <string id="POL_516D10CE_AECD_50DE_B4F5_D9DBF85FA582">preferred master</string>
      <string id="POL_516D10CE_AECD_50DE_B4F5_D9DBF85FA582_Help">Этот параметр указывает на то, будет ли демон nmbd(8) предпочитаемым мастер-браузером (master browser) для его рабочей группы или нет.

Если значение этого параметра установлено в yes, то при загрузке, демон nmbd будет форсировать выборы, при этом у него будет небольшое преимущество в победе на выборах. Рекомендуется устанавливать этот параметр совместно с параметром 'domain master = yes', тогда nmbd точно станет доменным мастером (domain master).

Используйте эту опцию с осторожностью, потому что если несколько компьютеров (неважно Samba, Win 95 или NT) будут предпочитаемыми обозревателями в одной сети, они будут постоянно пытаться стать мастер браузерами (master browser). Это вызовет излишний широковещательный трафик и создаст задержки при обращении к сетевому окружению.

Значение по умолчанию:
auto</string>
      <string id="POL_E468B4EF_D43C_572D_9A57_390D5D22F485">allow dns updates</string>
      <string id="POL_E468B4EF_D43C_572D_9A57_390D5D22F485_Help">Этот параметр определяет, какие обновления DNS разрешены.

Обновления DNS можно полностью запретить, установив значение disabled, можно разрешить только для безопасных подключений, установив значение secure only (безопасное соединение), либо разрешить во всех случаях, установив значение nonsecure (небезопасный режим).

Значение по умолчанию:
secure only

Пример:
disabled</string>
      <string id="POL_7E805DF0_F3AD_55F6_AC1E_B13987AE73FC">dns forwarder</string>
      <string id="POL_7E805DF0_F3AD_55F6_AC1E_B13987AE73FC_Help">Эта опция указывает список DNS-серверов, на которые будут перенаправляться DNS-запросы, если они не могут быть обработаны самой Samba.

Сервер пересылки DNS используется только в том случае, если используется внутренний DNS-сервер в Samba.

Значение по умолчанию:
пустая строка

Пример:
192.168.0.1 192.168.0.2</string>
      <string id="POL_DE5786B0_C694_53AA_85F2_F9B4EB2F9923">dns update command</string>
      <string id="POL_DE5786B0_C694_53AA_85F2_F9B4EB2F9923_Help">Этот параметр устанавливает команду, которая вызывается при обновлении DNS. Она должна обновить DNS-имена локальных машин с помощью TSIG-GSS.

Значение по умолчанию:
/samba_dnsupdate

Пример:
/usr/local/sbin/dnsupdate</string>
      <string id="POL_C5C16F87_0017_5CC1_810B_398855115BC9">dns zone scavenging</string>
      <string id="POL_C5C16F87_0017_5CC1_810B_398855115BC9_Help">При включении (по умолчанию выключено) неиспользуемые динамические DNS-записи периодически удаляются.

Этот параметр не следует включать для установок, созданных с помощью версий Samba до 4.9, так как это приведет к потере статических записей DNS. Это связано с ошибкой в предыдущих версиях Samba (BUG 12451), которая помечала динамические записи DNS как статические, а статические записи как динамические.

Если одна запись для DNS-имени является статической (без устаревания), никакая другая запись для этого DNS-имени не будет очищена.

Значение по умолчанию:
dns zone scavenging = no</string>
      <string id="POL_23A4E426_BE59_5616_849E_94C825DDFC5B">gpo update command</string>
      <string id="POL_23A4E426_BE59_5616_849E_94C825DDFC5B_Help">Этот параметр устанавливает команду, которая вызывается для применения политик GPO. Сценарий samba-gpupdate применяет политики доступа к системе и политики Kerberos к KDC. Политики доступа к системе устанавливают следующие параметры samdb: в minPwdAge, maxPwdAge, minPwdLength и pwdProperties. Политики Kerberos устанавливают следующие параметры в smb.conf: kdc:время жизни билета службы, kdc:время жизни билета пользователя и kdc:время продления.

Значение по умолчанию:
/samba-gpupdate

Пример:
/usr/local/sbin/gpoupdate</string>
      <string id="POL_D32F3D0B_74B1_5C8F_81B4_CC9574EAB9B7">machine password timeout</string>
      <string id="POL_D32F3D0B_74B1_5C8F_81B4_CC9574EAB9B7_Help">Если Samba является членом домена Windows NT (см. параметры 'security = domain' и 'security = ads'), в таком случае процесс smbd будет пытаться через определенный интервал времени изменить значение переменной MACHINE ACCOUNT PASSWORD, хранимой в TDB файле private/secrets.tdb. Этот параметр указывает на то, как часто будет меняться пароль (значение в секундах). Значение по умолчанию — одна неделя (время, записанное в секундах), точно такое же, как у доменного сервера WinNT.

См. также: smbpasswd(8) и параметры 'security = domain' и 'security = ads'.

Значение по умолчанию:
604800
</string>
      <string id="POL_07339CF8_68F5_5B5F_9207_93D2E4526C44">nsupdate command</string>
      <string id="POL_07339CF8_68F5_5B5F_9207_93D2E4526C44_Help">Эта опция устанавливает путь к команде nsupdate, которая используется для динамических обновлений DNS GSS-TSIG.

Значение по умолчанию:
/usr/bin/nsupdate -g</string>
      <string id="POL_D0F6F805_6160_55CF_9B8B_F5AD874B1E2C">spn update command</string>
      <string id="POL_D0F6F805_6160_55CF_9B8B_F5AD874B1E2C_Help">Этот параметр устанавливает команду для обновления имен servicePrincipalName из spn_update_list.

Значение по умолчанию:
/samba_spnupdate

Пример:
/usr/local/sbin/spnupdate</string>
      <string id="POL_6FFBB02C_6B3E_5D0E_9193_15F9B38E487D">mangle prefix</string>
      <string id="POL_6FFBB02C_6B3E_5D0E_9193_15F9B38E487D_Help">Управляет количеством префиксных символов, берущимися из оригинального имени для генерации преобразованного имени. Большее значение даст более слабый хэш и будет вызывать больше коллизий. Минимальное значение — 1, а максимальное — 6.

Параметр 'mangle prefix' имеет смысл только тогда когда для параметра 'mangling method' установлено значение hash2.

Значение по умолчанию:
1

Пример:
4</string>
      <string id="POL_BE8F8AE7_99AC_582E_8105_00326D511339">mangling method</string>
      <string id="POL_BE8F8AE7_99AC_582E_8105_00326D511339_Help">Устанавливает алгоритм, используемый для генерации переопределяемых имен. Может принимать два значения «hash» и «hash2». «hash» это алгоритм, который использовался в Samba много лет и был параметром по умолчанию для Samba 2.2.х. «hash2» это новый улучшенный алгоритм (меньше вероятность ошибки). Множество Win32 программ хранят измененные имена, поэтому переключение между этими алгоритмами должно быть выполнено быстро, потому что такие приложения могут быть повреждены.

Значение по умолчанию:
hash2

Пример:
hash
</string>
      <string id="POL_62095050_5FA9_5E4F_8792_595D30BEF047">max stat cache size</string>
      <string id="POL_62095050_5FA9_5E4F_8792_595D30BEF047_Help">Этот параметр ограничивает размер статического буфера (stat cache), который используется для ускорения ресурсоемких операций преобразования имен. Указывает количество килобайт, которые может использовать статический буфер. Ноль означает «не ограничено». Не рекомендуется использовать такое значение, потому что оно влечет за собой повышенное использование памяти. Не следует изменять значение этого параметра.

Значение по умолчанию:
512

Пример:
100</string>
      <string id="POL_63F6A053_E2E9_57D0_A0F8_003024AD6470">stat cache</string>
      <string id="POL_63F6A053_E2E9_57D0_A0F8_003024AD6470_Help">Этот параметр определяет будет ли демон smbd(8) использовать буфер для увеличения скорости преобразования имен. Вам скорее всего никогда не потребуется изменять значение этого параметра.

Значение по умолчанию:
stat cache = yes</string>
      <string id="POL_FBDCB316_EDD2_526C_AE9F_32F50A97A72F">client ldap sasl wrapping</string>
      <string id="POL_FBDCB316_EDD2_526C_AE9F_32F50A97A72F_Help">Эта опция определяет, будет ли трафик ldap подписан или подписан и зашифрован (запечатан). Возможные значения: plain, sign и seal (обычная, подпись, печать).

Значения sign и seal доступны только в том случае, если Samba была скомпилирована для современной версии OpenLDAP (2.3.x или выше).

Эта опция необходима в случае, если контроллеры домена принудительно используют подписанные соединения LDAP (например, Windows 2000 SP3 или выше). Подпись и печать LDAP можно контролировать с помощью ключа реестра «HKLM\System\CurrentControlSet\Services\ NTDS\Parameters\LDAPServerIntegrity» на стороне сервера Windows.

В зависимости от используемой библиотеки KRB5 (MIT и более старые версии Heimdal) возможно, что сообщение «только целостность» («integrity only») не поддерживается. В этом случае sign — это всего лишь псевдоним для seal.

Значение по умолчанию — sign, что подразумевает синхронизацию времени с KDC в случае использования Kerberos.

Значение по умолчанию:
sign</string>
      <string id="POL_712CFB73_7887_55DD_975B_48DEDBDB9441">ldap admin dn</string>
      <string id="POL_712CFB73_7887_55DD_975B_48DEDBDB9441_Help">Параметр определяет отличительное имя (Distinguished Name (DN)) используемое Samba для подключения к LDAP-серверу при запросе информации о пользователе. 'ldap admin dn' используется совместно с admin dn паролем, сохраненным в файле private/secrets.tdb. О том, как это сделать смотрите справку по smbpasswd(8). 'ldap admin dn' включает полный DN. 'ldap suffix' не добавляется к 'ldap admin dn'.

Нет умолчания.</string>
      <string id="POL_CEAB52CA_95EB_5DE5_863B_2399BEF5C727">ldap connection timeout</string>
      <string id="POL_CEAB52CA_95EB_5DE5_863B_2399BEF5C727_Help">Этот параметр сообщает вызовам библиотеки LDAP, какой тайм-аут в секундах они должны соблюдать во время первоначального установления соединения с серверами LDAP. Это очень полезно, в частности, в сценариях аварийного переключения. Если один или несколько серверов LDAP вообще недоступны, не нужно ждать, пока истечет время ожидания TCP. Эта функция должна поддерживаться библиотекой LDAP.

Этот параметр отличается от 'ldap timeout', который влияет на операции на серверах LDAP, использующих существующее соединение и не устанавливающих начальное соединение.

Значение по умолчанию:
2</string>
      <string id="POL_4750A945_176C_5FFF_AB50_DF2BE31C3FBB">ldap delete dn</string>
      <string id="POL_4750A945_176C_5FFF_AB50_DF2BE31C3FBB_Help">Этот параметр определяет, разрешены ли операции удаления записей в ldapsam или разрешены только операции изменения конкретных атрибутов для Samba.

Значение по умолчанию:
ldap delete dn = no
 </string>
      <string id="POL_27BBF4DB_E2AE_58D3_8018_E83C4B185A3C">ldap deref</string>
      <string id="POL_27BBF4DB_E2AE_58D3_8018_E83C4B185A3C_Help">Эта опция определяет, должна ли Samba указывать библиотеке LDAP, использовать определенный метод разыменования псевдонимов. Значение по умолчанию — auto, что означает, что настройки по умолчанию клиентской библиотеки ldap будут сохранены. Другие возможные значения: never, finding, searching и always. Для получения дополнительной информации см. руководство по LDAP.

Значение по умолчанию:
auto

Пример:
searching</string>
      <string id="POL_B383A7ED_F6A4_5BD3_B85E_E6B6527D8D79">ldap follow referral</string>
      <string id="POL_B383A7ED_F6A4_5BD3_B85E_E6B6527D8D79_Help">Эта опция определяет, следует ли следовать ссылкам LDAP при поиске записей в базе данных LDAP. Возможные значения: on, чтобы включить следующие отсылки, off, чтобы отключить, и auto, чтобы использовать настройки libldap по умолчанию. Выбор libldap для следующих отсылок или нет устанавливается в /etc/openldap/ldap.conf с параметром REFERRALS, как описано в ldap.conf(5).

Значение по умолчанию:
auto

Пример:
off</string>
      <string id="POL_E31CD0A8_5A4A_5657_8ACA_123A200C6E06">ldap group suffix</string>
      <string id="POL_E31CD0A8_5A4A_5657_8ACA_123A200C6E06_Help">Параметр определяет суффикс, используемый для групп, добавляемых в каталог LDAP. Если параметр не установлен, используется значение параметра 'ldap suffix'. Этот суффикс идет перед 'ldap suffix', поэтому лучше использовать частичные DN.

Значение по умолчанию:
пустая строка

Пример:
ou=Groups</string>
      <string id="POL_FC4495FC_4C6E_50C8_9B37_08D9955A883B">ldap idmap suffix</string>
      <string id="POL_FC4495FC_4C6E_50C8_9B37_08D9955A883B_Help">Параметр определяет суффикс, используемый для хранения idmap сопоставлений. Если параметр не установлен, используется значение параметра 'ldap suffix'. Этот суффикс идет перед 'ldap suffix', поэтому лучше использовать частичные DN.

Значение по умолчанию:
пустая строка

Пример:
ou=Idmap</string>
      <string id="POL_2ED1402F_4CF6_5CED_BE40_9B112E1238DC">ldap machine suffix</string>
      <string id="POL_2ED1402F_4CF6_5CED_BE40_9B112E1238DC_Help">Параметр определяет, как компьютеры будут добавлены в дерево ldap. Если параметр не установлен, используется значение параметра 'ldap suffix'. Этот суффикс идет перед 'ldap suffix', поэтому лучше использовать частичные DN.

Значение по умолчанию:
пустая строка

Пример:
ldap machine suffix = ou=Computers</string>
      <string id="POL_12C5B04D_D734_576A_99F1_7475BC9E90D7">ldap page size</string>
      <string id="POL_12C5B04D_D734_576A_99F1_7475BC9E90D7_Help">Этот параметр указывает количество записей на странице.

Если сервер LDAP поддерживает результаты с разбивкой на страницы, клиенты могут запрашивать подмножества результатов поиска (страницы) вместо всего списка. Этот параметр определяет размер этих страниц.

Значение по умолчанию:
1000

Пример:
512</string>
      <string id="POL_DB427B53_CF02_5410_AE37_5BD4E8B968CE">ldap passwd sync</string>
      <string id="POL_DB427B53_CF02_5410_AE37_5BD4E8B968CE_Help">Параметр определяет, должна ли Samba синхронизировать LDAP пароль с хэшами NT и LM для обычных учетных записей пользователей (не для компьютеров, серверов и доверенных доменов) при смене пароля через Samba.

Параметр может быть установлен в одно из трех значений:

  * yes — попробовать обновить LDAP, NT и LM пароли и обновить время pwdLastSet (атрибут времени последнего изменения пароля).
  * no — обновить NT и LM пароли и обновить время pwdLastSet.
  * only — обновить только LDAP пароль, а все остальное сделает LDAP-сервер.

Значение по умолчанию:
no</string>
      <string id="POL_0C51A40C_E06E_5A0A_B160_5EB21289B17D">ldap replication sleep</string>
      <string id="POL_0C51A40C_E06E_5A0A_B160_5EB21289B17D_Help">Если Sabma пытается записать на LDAP сервер, сконфигурированный только для чтения, запрос перенаправляется на мастер-сервер чтения-записи. Этот сервер потом синхронизирует изменения на наш локальный сервер, однако это может занять несколько секунд, особенно на медленных соединениях. Этот параметр задает время ожидания для Samba, чтобы LDAP сервера успели синхронизироваться. Определенные действия клиентов, например, присоединение к домену, могут сбить с толку из-за «успешно выполненного действия», который не приводит к немедленному изменению данных серверной части LDAP.

Этот параметр задает время ожидания для Samba, чтобы LDAP сервера успели синхронизироваться. Если сеть с особенно высокой задержкой, то можно захотеть синхронизировать репликацию LDAP с помощью сетевого сниффера и соответственно увеличить это значение. Однако надо учитывать, что проверка фактической репликации данных не выполняется.

Значение определяется в миллисекундах, максимальная величина составляет 5000 (5 секунд).

Значение по умолчанию:
1000
</string>
      <string id="POL_763BAFE2_3FE0_5C25_B3DC_34AE48F2F569">ldapsam:editposix</string>
      <string id="POL_763BAFE2_3FE0_5C25_B3DC_34AE48F2F569_Help">Этот параметр дополняет параметр 'ldapsam:trusted' и позволяет упростить управление контроллером домена, дает возможность не создавать пользовательские скрипты по добавлению и управлению posix пользователями и группами. Этот параметр позволяет изменять ldap, создавать, удалять и изменять пользователей и группы. Необходимо, чтобы работал winbindd, так как он используется для выделения новых uids/gids при создании пользователей/групп. Следовательно, необходимо настроить диапазон распределения.

Чтобы использовать эту опцию, необходимо настроить базовое ldap дерево, параметры ldap suffix так же должны быть правильно настроены. На вновь установленных серверах, группы и пользователи по умолчанию (Administrator, Guest, Domain Users, Domain Admins, Domain Guests) могут быть вновь созданы командой net sam provision. Чтобы запустить эту команду должны быть запущены ldap-сервер и Winbindd, а так же ldap вариант файла smb.conf должен быть настроен соответствующим образом. Типовая установка ldap использует параметр 'ldapsam:trusted = yes' с параметром 'ldapsam:editposix = yes'.

Значение по умолчанию:
ldapsam:editposix = no

Пример конфигурации:
encrypt passwords = true
passdb backend = ldapsam
ldapsam:trusted=yes
ldapsam:editposix=yes
ldap admin dn = cn=admin,dc=samba,dc=org
ldap delete dn = yes
ldap group suffix = ou=groups
ldap idmap suffix = ou=idmap
ldap machine suffix = ou=computers
ldap user suffix = ou=users
ldap suffix = dc=samba,dc=org
idmap backend = ldap:&quot;ldap://localhost&quot;
idmap uid = 5000-50000
idmap gid = 5000-50000


Эта конфигурация LDAP-сервера предполагает структуру каталогов, подобную описанной в следующем ldif:
dn: dc=samba,dc=org
objectClass: top
objectClass: dcObject
objectClass: organization
o: samba.org
dc: samba
dn: cn=admin,dc=samba,dc=org
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword: secret
dn: ou=users,dc=samba,dc=org
objectClass: top
objectClass: organizationalUnit
ou: users
dn: ou=groups,dc=samba,dc=org
objectClass: top
objectClass: organizationalUnit
ou: groups
dn: ou=idmap,dc=samba,dc=org
objectClass: top
objectClass: organizationalUnit
ou: idmap
dn: ou=computers,dc=samba,dc=org
objectClass: top
objectClass: organizationalUnit
ou: computers</string>
      <string id="POL_F7979912_0010_5656_BC3A_08876A56418C">ldapsam:trusted</string>
      <string id="POL_F7979912_0010_5656_BC3A_08876A56418C_Help">По умолчанию Samba, действующая как контроллер домена Active Directory с LDAP бэкэндом, должна использовать NSS подсистему в стиле UNIX для доступа к информации о пользователях и группах. Из-за того, что Unix хранит информацию в файлах /etc/passwd и /etc/group это неэффективно. Пользователю обычно важно знать список групп, членом которых он является. UNIX имеет оптимизированные функции для определения принадлежности пользователя группе (файл /etc/group). К сожалению, другие функции, которые используются для работы с атрибутами пользователей и групп, не имеют такой оптимизации.

Чтобы Samba хорошо масштабировалась в больших средах, параметр 'ldapsam:trusted = yes' предполагает, что полная база данных пользователей и групп, имеющих отношение к Samba, хранится в LDAP со стандартными атрибутами posixAccount/posixGroup. Кроме того, предполагается, что классы вспомогательных объектов Samba хранятся вместе с данными POSIX в одном объекте LDAP. Если эти предположения соблюдены, можно активировать 'ldapsam:trusted = yes', и Samba может обойти систему NSS для запроса членства в группах пользователей. Samba будет работать быстрее с LDAP, чем с локальными файлами /etc/passwd и /etc/group. Оптимизированные запросы LDAP значительно ускоря��т вход в домен и административные задачи. В зависимости от размера базы данных LDAP легко достигается коэффициент 100 или более для общих запросов.

Значение по умолчанию:
ldapsam:trusted = no
</string>
      <string id="POL_04D79AF3_042D_5ABC_BE8F_4C6628E0F703">ldap server require strong auth</string>
      <string id="POL_04D79AF3_042D_5ABC_BE8F_4C6628E0F703_Help">Опция определяет, требует ли сервер LDAP подписанный или подписанный и зашифрованный (запечатанный) трафик ldap. Возможные значения: no, allow_sasl_over_tls и yes.

Значение no позволяет выполнять простые и sasl-привязки для всех транспортов.

Значение allow_sasl_over_tls разрешает простые и sasl-привязки (без подписи и печати) через зашифрованные TLS-соединения. Незашифрованные соединения допускают привязку sasl только подписанные или запечатанные.

Значение yes разрешает только простые привязки через зашифрованные TLS-соединения. Незашифрованные соединения допускают привязку sasl только со знаком или печатью.

Значение по умолчанию:
yes</string>
      <string id="POL_5B8B9520_4858_5C2F_AA85_F972FF86784A">ldap ssl</string>
      <string id="POL_5B8B9520_4858_5C2F_AA85_F972FF86784A_Help">Этот параметр определяет, использует ли Samba SSL при подключении к LDAP серверу. Этот параметр не связан с параметром --with-ssl команды configure. По возможности, соединения LDAP должны быть защищены. Это можно сделать, либо установив для этого параметра значение start tls, либо указав ldaps:// в аргументе URL-адреса 'passdb backend'.

Параметр может быть установлен в одно из следующих значений:

  * off — не использовать SSL при запросах к каталогу.
  * start tls — Использовать LDAPv3 StartTLS расширенные операции (RFC2830) при подключении к серверу каталога.

Обратите внимание, что этот параметр влияет только на методы rpc. Чтобы включить расширенную операцию LDAPv3 StartTLS (RFC2830) для ads, установите 'ldap ssl = start tls' и 'ldap ssl ads = yes'. См. smb.conf(5) для получения дополнительной информации о 'ldap ssl ads'.

Значение по умолчанию:
start_tls
</string>
      <string id="POL_42494B88_7254_5F5F_B738_D5D10BCFBC6C">ldap ssl ads</string>
      <string id="POL_42494B88_7254_5F5F_B738_D5D10BCFBC6C_Help">Этот параметр используется для определения, следует ли Samba использовать SSL при подключении к серверу LDAP с использованием методов ads. Этот параметр не влияет на методы RPC. Обратите внимание, что этот параметр не будет иметь никакого эффекта, если установлен в no.

См. smb.conf(5) для получения дополнительной информации.</string>
      <string id="POL_9B071174_FBD3_5CA8_82AA_3BD1EB7BCF45">ldap suffix</string>
      <string id="POL_9B071174_FBD3_5CA8_82AA_3BD1EB7BCF45_Help">Определяет базу для всех суффиксов LDAP и для хранения объекта sambaDomain. Этот параметр добавляется к значениям определенным в параметрах 'ldap user suffix', 'ldap group suffix', 'ldap machine suffix', и 'ldap idmap suffix'. Каждый из них должен быть представлен как DN к 'ldap suffix'.

Значение по умолчанию:
пустая строка

Пример:
dc=samba,dc=org
</string>
      <string id="POL_40F4D046_B9E1_53B0_9DC9_1AE4DE9B1976">ldap timeout</string>
      <string id="POL_40F4D046_B9E1_53B0_9DC9_1AE4DE9B1976_Help">Этот параметр определяет количество секунд, которые Samba ожидает для выполнения LDAP операций.

Значение по умолчанию:
15</string>
      <string id="POL_26984E46_7C64_57A4_B4BF_C2C2B13C330E">ldap user suffix</string>
      <string id="POL_26984E46_7C64_57A4_B4BF_C2C2B13C330E_Help">Параметр определяет, как пользователи будут добавлены в дерево LDAP. Если параметр не установлен, будет использоваться значение 'ldap suffix'. Строка суффикса будет предшествовать строке 'ldap suffix', так что используйте частичный DN.

Значение по умолчанию:
пустая строка

Пример:
ou=people</string>
      <string id="POL_AB95F2C5_BFBC_5955_8062_8B446AF7E84C">ldap max anonymous request size</string>
      <string id="POL_AB95F2C5_BFBC_5955_8062_8B446AF7E84C_Help">Этот параметр указывает максимально допустимый размер (в байтах) для запроса LDAP, полученного по анонимному соединению.

Если размер запроса превышает этот предел, запрос будет отклонен.

Значение по умолчанию:
256000

Пример:
500000</string>
      <string id="POL_23FFECD5_A3C4_566C_AEB3_015F25B1A978">ldap max authenticated request size</string>
      <string id="POL_23FFECD5_A3C4_566C_AEB3_015F25B1A978_Help">Этот параметр указывает максимально допустимый размер (в байтах) для запроса LDAP, полученного при аутентифицированном соединении.

Если размер запроса превышает этот предел, запрос будет отклонен.

Значение по умолчанию:
16777216

Пример:
4194304</string>
      <string id="POL_F7C651B1_70B4_5047_BC65_2E4D382CBD15">ldap max search request size</string>
      <string id="POL_F7C651B1_70B4_5047_BC65_2E4D382CBD15_Help">Этот параметр указывает максимально допустимый размер (в байтах) для поискового запроса LDAP.

Если размер запроса превышает этот предел, запрос будет отклонен.

Значение по умолчанию:
256000

Пример:
4194304</string>
      <string id="POL_B3B2B9CC_3DBC_5C45_AA31_7C1E52AFEFAF">lock spin time</string>
      <string id="POL_B3B2B9CC_3DBC_5C45_AA31_7C1E52AFEFAF_Help">Время в микросекундах, которое smbd следует ожидать для того, чтобы оценить может ли быть удовлетворен запрос на блокировку. Этот параметр изменился в Samba 3.0.23 с 10 до 200. Ассоциированный параметр 'lock spin count' начиная с Samba 3.0.24 больше не используется. Не следует изменять значение этого параметра.

Значение по умолчанию:
200</string>
      <string id="POL_4A0366F2_6815_5654_8DC2_F68E840E53F4">oplock break wait time</string>
      <string id="POL_4A0366F2_6815_5654_8DC2_F68E840E53F4_Help">Это параметр тонкой настройки добавлен из-за ошибок в Windows 9x и WinNT. Если Samba отвечает клиенту слишком быстро, в момент, когда клиент отправляет SMB запрос, который может повлечь за собой запрос прерывания блокировки, то сетевой клиент может выйти из строя и не ответить на запрос прерывания (break request). Этот параметр тонкой настройки (в миллисекундах) — количество времени, которое будет ждать Samba, прежде чем послать запрос прерывания таким (дефектным) клиентам.

Предупреждение
НЕ МЕНЯЙТЕ ДАННЫЙ ПАРАМЕТР, ЕСЛИ ВЫ НЕ ПРОЧИТАЛИ И НЕ ПОНЯЛИ КОД SAMBA OPLOCK.

Значение по умолчанию:
0</string>
      <string id="POL_B49FAE41_B4C1_5AFA_870E_9E1C35F9A96F">smb2 leases</string>
      <string id="POL_B49FAE41_B4C1_5AFA_870E_9E1C35F9A96F_Help">Этот логический параметр сообщает smbd, следует ли глобально согласовывать аренду SMB2 для запросов на открытие файлов. Аренда — это функция только для SMB2, которая позволяет клиентам агрессивно кэшировать файлы локально сверх кэширования, разрешенного блокировками SMB1.

Доступны только значения yes и no.

Обратите внимание, что кэш записи не будет использоваться для дескрипторов файлов с арендой smb2 для записи.

Значение по умолчанию:
smb2 leases = yes</string>
      <string id="POL_1E9B5BE6_8C81_5141_88CD_B5AC0E8D964B">debug class</string>
      <string id="POL_1E9B5BE6_8C81_5141_88CD_B5AC0E8D964B_Help">Если этот логический параметр включен, класс отладки (DBGC_CLASS) будет отображаться в заголовке отладки.

Дополнительные сведения о доступных в настоящее время классах отладки см. в описании параметра 'log level'.

Значение по умолчанию:
debug class = no</string>
      <string id="POL_07D2E039_C5A0_5123_BD71_0C74E2569310">debug hires timestamp</string>
      <string id="POL_07D2E039_C5A0_5123_BD71_0C74E2569310_Help">Иногда метки времени в сообщениях журнала необходимы с разрешением выше, чем секунды, этот логический параметр добавляет разрешение в микросекундах к заголовку сообщения метки времени при включении.

Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes').

Значение по умолчанию:
debug hires timestamp = yes</string>
      <string id="POL_E066DF4A_5BA1_5B35_A96F_90DE6CF27132">debug pid</string>
      <string id="POL_E066DF4A_5BA1_5B35_A96F_90DE6CF27132_Help">При использовании только одного файла журнала для более чем одного разветвленного smbd(8)-процесса может быть трудно проследить, какой процесс, какое сообщение выводит. Этот логический параметр добавляет идентификатор процесса к заголовкам сообщений с отметкой времени в файле журнала при включении.

Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes').

Значение по умолчанию:
debug pid = no</string>
      <string id="POL_4B4EF8B5_3526_5583_8174_E3E332727970">debug prefix timestamp</string>
      <string id="POL_4B4EF8B5_3526_5583_8174_E3E332727970_Help">Если этот параметр включен, заголовок сообщения с меткой времени ставится перед сообщением отладки без имени файла и информации о функциях, которые включены в параметр. Это дает временные метки сообщениям без добавления дополнительной строки.

Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes').

Значение по умолчанию:
debug prefix timestamp = no</string>
      <string id="POL_571A8B87_3CCC_5725_BA33_BDEE367BB740">debug uid</string>
      <string id="POL_571A8B87_3CCC_5725_BA33_BDEE367BB740_Help">Samba иногда запускается от имени пользователя root, а иногда от имени подключенного пользователя, этот логический параметр, если он включен, вставляет текущий euid, egid, uid и gid в заголовки сообщений с отметками времени в файлы журнала.

Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes').

Значение по умолчанию:
debug uid = no</string>
      <string id="POL_2167CEE9_B2C9_5574_8F7D_F38DA9EBBFF1">ldap debug level</string>
      <string id="POL_2167CEE9_B2C9_5574_8F7D_F38DA9EBBFF1_Help">Этот параметр управляет уровнем отладки вызовов библиотеки LDAP. В случае OpenLDAP это то же битовое поле, которое понимается сервером и задокументировано на странице руководства slapd.conf(5). Типичное полезное значение будет 1 для отслеживания вызовов функций. Выходные данные отладки из библиотек LDAP отображаются с префиксом [LDAP] в выходных данных журнала Samba. Уровень, на котором печатается журнал LDAP, контролируется параметром 'ldap debug threshold'.

Значение по умолчанию:
0

Пример:
1</string>
      <string id="POL_F324946B_9B0D_53F0_AD4F_56800DD63085">ldap debug threshold</string>
      <string id="POL_F324946B_9B0D_53F0_AD4F_56800DD63085_Help">Этот параметр управляет уровнем отладки Samba, на котором выходные данные отладки библиотеки LDAP печатаются в журналах Samba. См. подробности в описании опции 'ldap debug level'.

Значение по умолчанию:
10

Пример:
5</string>
      <string id="POL_3A601C55_A5EB_5E86_817B_38DACFD45CF9">log file</string>
      <string id="POL_3A601C55_A5EB_5E86_817B_38DACFD45CF9_Help">Эта опция позволяет переопределить имя файла журнала Samba (также известный как файл отладки).

Эта опция принимает стандартные подстановки, позволяя иметь отдельные файлы журнала для каждого пользователя или машины.

Значения по умолчанию нет.

Пример:
/usr/local/samba/var/log.%m</string>
      <string id="POL_A3E0303F_93B5_5C1F_8C01_362881F843CC">logging</string>
      <string id="POL_A3E0303F_93B5_5C1F_8C01_362881F843CC_Help">Этот параметр позволяет конфигурировать логирование серверной части. Одновременно можно указывать несколько бэкендов с разным уровнем логирования. Параметр представляет собой список бэкендов, где для каждого бэкенда заданы специфичные опции [:option][@loglevel].

Параметр 'option' может использоваться для передачи опций, специфичных для каждой серверной части.

Уровень логирования для бэкенда является опциональным. Если уровень логирования не установлен, то логироваться будут все сообщения.
Параметр 'log level' определяет общий уровень логирования, в то время как, указанные здесь уровни логирования определяют, что конкретно будет отправлено на каждый бэкенд.
Когда опция установлена, она имеет приоритет над параметрами 'syslog' и 'syslog only'.

Некоторые бэкенды доступны только тогда, когда Samba скомпилирована с дополнительными библиотеками. Общий список бэкэндов для логирования:
  * syslog
  * file
  * systemd
  * lttng
  * gpfs
  * ringbuf

Бэкэнд ringbuf поддерживает необязательный аргумент size (размер) для изменения размера используемого буфера, значение по умолчанию — 1 МБ:
  ringbuf:size=NBYTES

Значение по умолчанию:
пустая строка

Пример:
syslog@1 file</string>
      <string id="POL_E077BD91_3587_5DBA_A7CB_13044D97E451">log level</string>
      <string id="POL_E077BD91_3587_5DBA_A7CB_13044D97E451_Help">Значение параметра (строка) позволяет указать уровень отладки (уровень ведения журнала) в файле smb.conf.

Этот параметр был расширен, начиная с серии 2.2.x, теперь он позволяет указывать уровень отладки для нескольких классов отладки и отдельных файлов журнала для классов отладки. Это сделано для большей гибкости конфигурации системы. В настоящее время реализованы следующие классы отладки:

  all
  tdb
  printdrivers
  lanman
  smb
  smb2
  smb2_credits
  rpc_parse
  rpc_srv
  rpc_cli
  passdb
  sam
  auth
  winbind
  vfs
  idmap
  quota
  acls
  locking
  msdfs
  dmapi
  registry
  scavenger
  dns
  ldb
  tevent
  auth_audit
  auth_json_audit
  kerberos
  dsdb_audit
  dsdb_json_audit
  dsdb_password_audit
  dsdb_password_json_audit
  dsdb_transaction_audit
  dsdb_transaction_json_audit

Чтобы перенаправить ведение журнала для определенных классов в другой файл, можно добавить @PATH к классу, например, log level = 1 full_audit: 1@/var/log/audit.log.

Информация аудита аутентификации и авторизации регистрируется в auth_audit, и если Samba не была скомпилирована с --without-json, представление JSON регистрируется в auth_json_audit.

Поддержка является всеобъемлющей для любой аутентификации и авторизации учетных записей  пользователей в Samba Active Directory Domain Controller, а также неявной аутентификации при смене пароля. В файловом сервере предусмотрена проверка подлинности NTLM, авторизация SMB и RPC.

Уровни журнала для auth_audit и auth_audit_json:
  * 2: Authentication Failure (Ошибки Аутентификации)
  * 3: Authentication Success (Успешная Аутентификация)
  * 4: Authorization Success (Успешная Авторизация)
  * 5: Anonymous Authentication and Authorization Success (Анонимная Аутентификация и Успешная Авторизация)

Изменения в базе данных sam.ldb регистрируются в dsdb_audit, а представление JSON регистрируется в dsdb_json_audit.

Изменения пароля и сброс пароля регистрируются в dsdb_password_audit, а представление JSON регистрируется в файле dsdb_password_json_audit.

Откаты транзакций и сбои при подготовке фиксации регистрируются в dsdb_transaction_audit, а представление JSON регистрируется в файле password_json_audit. Регистрация сведений о транзакции позволяет идентифицировать операции с паролями и sam.ldb, для которых был выполнен откат.

Значение по умолчанию:
0

Пример:
3 passdb:5 auth:10 winbind:2

Пример:
1 full_audit:1@/var/log/audit.log winbind:2</string>
      <string id="POL_7E7EB779_098F_5383_A0B3_66216F434918">max log size</string>
      <string id="POL_7E7EB779_098F_5383_A0B3_66216F434918_Help">Эта опция (целое число в килобайтах) указывает максимальный размер файла журнала. Samba периодически проверяет размер и, если размер превысит указанный, то переименовывает файл, добавляя расширение .old.

Значение 0 означает отсутствие ограничений.

Значение по умолчанию:
5000

Пример:
1000</string>
      <string id="POL_57C1D731_63A4_519D_BD0B_05683B94BFDB">syslog</string>
      <string id="POL_57C1D731_63A4_519D_BD0B_05683B94BFDB_Help">Этот параметр указывает уровень отладки журналов событий, которые будут записываться в системный syslog.

Соответствие значения параметра и событий, который попадают в системный syslog:

0 — LOG_ERR,
1 — LOG_WARNING,
2 — LOG_NOTICE,
3 — LOG_INFO.
Все значения выше соответствуют LOG_DEBUG.

Этот параметр выступает в роли ограничителя для сообщений, которые будут попадать в системный syslog. Только сообщения с уровнем отладки ниже, чем значение этого параметра будут записываться в syslog. Тем не менее, некоторые отладочные файлы все же будут создаваться, это касается файлов log.[sn]mbd.

Значение по умолчанию:
syslog = 1</string>
      <string id="POL_07C28AF5_BA9B_5B55_A018_28B10E803B26">syslog only</string>
      <string id="POL_07C28AF5_BA9B_5B55_A018_28B10E803B26_Help">Если этот параметр включен (syslog only = yes), то отладочные сообщения Samba будут записываться в системный syslog, но не в отладочные файлы Samba. Но даже при такой установке, некоторые отладочные файлы все же будут создаваться, это касается файлов log.[sn]mbd.

Значение по умолчанию:
syslog only = no</string>
      <string id="POL_C2541812_F829_51FC_93D7_75BA34C1F487">timestamp logs</string>
      <string id="POL_C2541812_F829_51FC_93D7_75BA34C1F487_Help">Сообщения журнала отладки Samba по умолчанию имеют отметку времени. Если вы работаете на высоком уровне, эти временные метки могут отвлекать. Этот логический параметр позволяет отключить отметку времени.

Значение по умолчанию:
timestamp logs = yes</string>
      <string id="POL_3B7BF4ED_04E2_5466_9368_8610A5657F8F">abort shutdown script</string>
      <string id="POL_3B7BF4ED_04E2_5466_9368_8610A5657F8F_Help">В этом параметре определяется полный путь к сценарию, вызываемому демоном smbd(8), запускающему процедуру выключения сервера.

Если подключенный пользователь обладает правами SeRemoteShutdownPrivilege, то эта команда будет им запущена с правами пользователя root.

Значение по умолчанию:
""

Пример:
/sbin/shutdown -c</string>
      <string id="POL_7EEBACBA_ED90_5C68_826F_737212B364EF">add group script</string>
      <string id="POL_7EEBACBA_ED90_5C68_826F_737212B364EF_Help">В этом параметре определяется полный путь к сценарию, который будет запускать smbd(8) от имени пользователя root, при запросе создания новой группы. Аргумент %g будет заменен преданным именем группы. Этот скрипт полезен только для установки с использованием инструментов администрирования домена Windows NT. Скрипт может создать группу с произвольным именем, чтобы обойти Unix ограничения на имена групп. В этом случае скрипт должен вывести числовой идентификатор созданной группы на стандартный вывод (stdout).

Значение по умолчанию:
пустая строка

Пример:
/usr/sbin/groupadd %g</string>
      <string id="POL_96F9DA59_163C_56B8_9F66_40CAAD868F91">add machine script</string>
      <string id="POL_96F9DA59_163C_56B8_9F66_40CAAD868F91_Help">В этом параметре определяется путь к сценарию, запускаемому smbd(8) при добавлении учетной записи компьютера в домен Samba. Учетная запись Unix, соответствующая имени компьютера с добавленным в конец знаком «$» не должна существовать.

Этот параметр очень похож на сценарий по добавлению пользователя (параметр 'add user script'), и аналогично использует замену аргумента %u именем учетной записи. Не используйте аргумент %m.

Значение по умолчанию:
пустая строка

Пример:
/usr/sbin/adduser -n -g machines -c Machine -d /var/lib/nobody -s /bin/false %u
</string>
      <string id="POL_4AEC4EDA_3303_57E2_BC12_784F40DACA8F">add user script</string>
      <string id="POL_4AEC4EDA_3303_57E2_BC12_784F40DACA8F_Help">В этом параметре определяется путь к сценарию, который будет выполнен демоном smbd(8) от имени пользователя root при специальных обстоятельствах, описанных ниже.

Обычно, сервер Samba требует, чтобы пользователи UNIX были созданы для всех пользователей, обращающихся к файлам на этом сервере. Для сайтов, которые используют базы данных учетных записей Windows NT в качестве своей основной базы данных пользователей, создание этих пользователей и поддержание синхронизации списка пользователей с Windows NT PDC является тяжелой задачей. Этот параметр позволяет smbd создавать требуемых пользователей UNIX ПО ТРЕБОВАНИЮ, когда пользователь обращается к серверу Samba.

Когда пользователь Windows при входе в систему (установка сессии в SMB протоколе) пытается обратиться к серверу Samba, smbd(8) соединяется с сервером паролей и пытается подтвердить подлинность данного пользователя с данным паролем. Если аутентификация прошла успешно, smbd пытается найти пользователя UNIX в базе данных паролей UNIX, чтобы сопоставить его пользователю Windows. Если происходит сбой поиска, и параметр 'add user script' установлен, тогда smbd вызовет указанный сценарий от имени пользователя root, преобразуя аргумент %u в имя пользователя, которого нужно создать. Если этот сценарий успешно создаст пользователя, тогда smbd продолжит работу, как если бы пользователь UNIX уже существовал. Таким образом, пользователи UNIX создаются динамически, чтобы соответствовать существующим учетным записям Windows NT.

См. также параметры 'security', 'password server', 'delete user script'.

Значение по умолчанию:
пустая строка

Пример:
/usr/local/samba/bin/add_user %u</string>
      <string id="POL_5268249C_58BD_59DA_B44F_DA9109370C58">add user to group script</string>
      <string id="POL_5268249C_58BD_59DA_B44F_DA9109370C58_Help">В этом параметре определяется полный путь к сценарию, который будет вызываться, когда пользователь добавляется к группе при помощи административных средств домена Windows NT. Скрипт будет выполнен демоном smbd(8) от имени пользователя root. Аргумент %g будет заменен именем группы, а аргумент %u — именем пользователя.

Обратите внимание, что команда adduser, используемая в примере ниже, не поддерживает используемый синтаксис на всех системах.

Значение по умолчанию:
пустая строка

Пример:
/usr/sbin/adduser %u %g</string>
      <string id="POL_89206841_7524_5BFF_872C_444F45C82318">allow nt4 crypto</string>
      <string id="POL_89206841_7524_5BFF_872C_444F45C82318_Help">Эта опция определяет, будет ли netlogon server (в настоящее время только в режиме «контроллер домена AD») отклонять клиентов, которые не поддерживают NETLOGON_NEG_STRONG_KEYS или NETLOGON_NEG_SUPPORTS_AES.

Эта опция была добавлена в Samba 4.2.0. Эта опция может заблокировать клиентов, которые успешно работали с версиями Samba ниже 4.1.x., т.к. по умолчанию в старых версиях этот параметр был установлен ('allow nt4 crypto = yes'), а в новых по умолчанию не установлен ('allow nt4 crypto = no').

Если в сети есть клиенты без RequireStrongKey = 1 в реестре, то может потребоваться установить параметр 'allow nt4 crypto', пока не будут исправлены все клиенты.

Значение 'allow nt4 crypto = yes' позволяет договариваться о слабой криптографии, возможно, через понижении уровня атаки.

Опция 'reject md5 clients' имеет приоритет перед этой опцией.

Значение по умолчанию:
allow nt4 crypto = no</string>
      <string id="POL_9A41AF51_88E9_5566_B12E_36DEA5C42D49">auth event notification</string>
      <string id="POL_9A41AF51_88E9_5566_B12E_36DEA5C42D49_Help">Если этот параметр включен (auth event notification = yes), Samba (действующая как контроллер домена Active Directory) передает события аутентификации по внутренней шине сообщений. Скрипты, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы auth_event.

Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов). Кроме того, Samba должна быть скомпилирована с поддержкой jansson, чтобы эта опция была эффективной.

События аутентификации также регистрируются с помощью обычных методов ведения журнала, если установлен параметр 'log level'.

Значение по умолчанию:
auth event notification = no</string>
      <string id="POL_1CAC5DAB_3CB5_586A_AB6F_84E39DDF4796">delete group script</string>
      <string id="POL_1CAC5DAB_3CB5_586A_AB6F_84E39DDF4796_Help">В этом параметре указан полный путь к сценарию, выполняющемуся от имени пользователя root при удалении пользовательской группы. Этот сценарий полезен для инсталляций, использующих Windows NT domain administration tools.

Значение по умолчанию:
пустая строка</string>
      <string id="POL_789E0632_E8D7_5FD6_86C6_0EBD079D28C4">delete user from group script</string>
      <string id="POL_789E0632_E8D7_5FD6_86C6_0EBD079D28C4_Help">В этом параметре указан полный путь к сценарию, который будут вызываться утилитой Windows NT domain administration tools при удалении пользователя из группы. smbd(8) выполнит этот сценарий от имени пользователя root. ргумент %g будет заменен именем группы, а аргумент %u — именем пользователя.

Значение по умолчанию:
пустая строка

Пример:
/usr/sbin/deluser %u %g</string>
      <string id="POL_A399CF3E_C0C6_594B_8F31_F2AA4A18B5AC">delete user script</string>
      <string id="POL_A399CF3E_C0C6_594B_8F31_F2AA4A18B5AC_Help">В этом параметре указан полный путь к сценарию, выполняемому smbd(8) при управлении пользователями с помощью удаленных RPC (NT) утилит. Этот сценарий вызывается при удалении пользователя с сервера утилитами 'User Manager for Domains' или rpcclient. Этот сценарий должен удалить имя пользователя UNIX.

По умолчанию:
пустая строка

Пример:
/usr/local/samba/bin/del_user %u
 </string>
      <string id="POL_B35B056A_EEB8_5B89_9FCC_127565F4A6AC">domain logons</string>
      <string id="POL_B35B056A_EEB8_5B89_9FCC_127565F4A6AC_Help">Этот параметр устарел, начиная с Samba 4.13, и поддержка входа в домен в стиле NT4 (в отличие от Samba AD DC) будет удалена в следующем выпуске Samba.

То есть в будущем значение по умолчанию для 'domain logons' = no будет принудительным поведением.

Если этот параметр установлен, Samba поддерживает службу входа в сеть для Windows 9X для рабочей группы. Это также заставит Samba действовать как контроллер домена NT4. Более подробно см. раздел «Domain Control» руководства Samba-HOWTO.

Значение по умолчанию:
domain logons = no</string>
      <string id="POL_3B3E3AD6_FB80_5225_8EDA_6066E5987CE1">enable privileges</string>
      <string id="POL_3B3E3AD6_FB80_5225_8EDA_6066E5987CE1_Help">Этот параметр управляет, действительно ли smbd будет соблюдать привилегии, назначенные на определенный SIDs утилитой net rpc rights или через одну из утилит Windows user and group manager. Этот параметр включен по умолчанию. Необходимо отключить параметр, чтобы запретить членам группы Domain Admins назначать привилегии пользователям или группам, что может привести к некоторым smbd операциям, выполняющимся от имени пользователя root, которые обычно работали бы под контекстом связанным с подключенным пользователем.

Примером того, как можно использовать привилегии, является назначение права добавлять клиентов к домену Samba, не имея root доступа к серверу через smbd.

Пожалуйста, прочитайте расширенное описание в руководстве Samba-HOWTO.

Значение по умолчанию:
enable privileges = yes</string>
      <string id="POL_130E1C0E_9AED_52F5_B1AB_20FD88C999E8">init logon delay</string>
      <string id="POL_130E1C0E_9AED_52F5_B1AB_20FD88C999E8_Help">Этот параметр определяет задержку в миллисекундах, для хостов, сконфигурированных с параметром 'init logon delayed hosts' для initial samlogon.

Значение по умолчанию:
100</string>
      <string id="POL_EEBDC4C9_64BA_58DF_B7A3_C384D6972690">init logon delayed hosts</string>
      <string id="POL_EEBDC4C9_64BA_58DF_B7A3_C384D6972690_Help">Этот параметр принимает список имен хостов, адресов или сетей, для которых должен быть отложен начальный ответ на samlogon (поэтому рабочие станции XP предпочитают другие контроллеры домена, если таковые имеются).

Продолжительность задержки может быть указана с помощью параметра 'init logon delay'.

Значение по умолчанию:
пустая строка

Пример:
150.203.5. myhost.mynet.de</string>
      <string id="POL_2FCE2207_11A6_5B55_9ECC_49D171438176">logon drive</string>
      <string id="POL_2FCE2207_11A6_5B55_9ECC_49D171438176_Help">Параметр указывает путь присоединения домашнего каталога (см. параметр 'logon home') и используется только рабочими станциями Windows NT. Этот параметр имеет смысл только в том случае, если Samba настроена как сервер авторизации (logon server).

Значение по умолчанию:
пустая строка

Пример:
h:</string>
      <string id="POL_12DCA5BB_14ED_5BC6_AB9D_E6A57E943B24">logon home</string>
      <string id="POL_12DCA5BB_14ED_5BC6_AB9D_E6A57E943B24_Help">Параметр указывает домашний каталог при авторизации клиента Windows95/98/NT, что, например, позволит выполнить команду:

C:\&gt;NET USE H: /HOME

Эта опция позволяет использовать отдельный сценарий запуска для различных пользователей компьютера. Параметр может быть использован с рабочими станциями Win9X для того, чтобы профиль пользователя хранился в домашнем каталоге пользователя независимо от того, за каким компьютером работает пользователь. Это делается следующим способом:

logon home = \\%N\%U\profile

Этот параметр для Samba означает, что нужно вернуть вышеописанную строку с изменениями когда клиент запрашивает информацию, преимущественно при запросе NetUserGetInfo. Клиенты Win9X перенаправляются в каталог \servershare, в том случае когда указано net use /home, тем не менее, использует полную строку, когда оперирует профилями.

Обратите внимание на то, что в предыдущих версиях Samba возвращался 'logon path' вместо 'logon home'. Это не позволяло выполнить net use /home, но разрешало профили вне домашнего каталога. В текущей версии все нормально и вышеприведенные примеры работоспособны.

Запретить использование этой опции можно, указав: 'logon home = ""' (пустая строка).

Этот параметр имеет смысл только в том случае, если Samba настроена как сервер авторизации (logon server).

Значение по умолчанию:
\\%N\%U\

Пример:
\\remote_smb_server\%U
</string>
      <string id="POL_6C04D9F3_27E3_51A9_82B5_BEB5265E1236">logon path</string>
      <string id="POL_6C04D9F3_27E3_51A9_82B5_BEB5265E1236_Help">Параметр указывает каталог, где будут храниться пользовательские профили (Рабочий стол, NTuser.dat и т.д.). В отличие от предыдущих версий этих справочных страниц, этот параметр никак не связан с перемещаемыми профилями Win 9X. Чтобы узнать, как обрабатывать перемещаемые профили для системы Win 9X, см. параметр logon home.

Эта опция принимает подставновочные символы, что позволяет использовать отдельный сценарий запуска для различных пользователей компьютера. Она также указывает каталог, в котором хранятся «Application Data», рабочий стол, меню пуск, сетевое окружение, программы и другие папки вместе с их содержимым, отображаемым в клиентах WindowsNT.

Каталог, открытый для доступа («шара») и путь должны быть доступны пользователю для чтения. Этот каталог должен быть доступен для записи, когда пользователь заходит в систему впервые, для того чтобы клиенты WinNT могли создать NTuser.dat и другие каталоги. Впоследствии, права на каталоги вместе с их содержимым могут быть изменены на «только для чтения». Тем не менее, не рекомендуется делать файл NTuser.dat доступным только для чтения — переименуйте его в NTuser.man для достижения желаемого эффекта (принудительного профиля — MANdatory profile).

Клиенты Windows иногда могут поддерживать подключение к домашним каталогам [homes], даже если пользователь не прошел авторизацию. Т.е. очень важно чтобы путь 'logon path' НЕ включал в себя путь к домашнему каталогу (т.е. установка значения параметра \\%N\homes\profile_path вызовет проблемы).

Предупреждение:
     Не заключайте значение этой переменной в кавычки. Установка, например, такого значения “\\%N\profile\%U” нарушит работу профилей. Если используется tdbsam или ldapsam passdb, то во время создания пользовательской учетной записи, значение, установленное для этого параметра, пишется в passdb и в smb.conf. Любые ошибки в passdb должны быть исправлены, с использованием соответствующего инструментария (например, консольный pdbedit).

Эта опция имеет смысл только в том случае, когда Samba работает в режиме домен-контроллера.

Запретить использование перемещаемых профилей можно с помощью установки параметра 'logon path = ""'. Обратите внимание на то, что даже если в конфигурационном файле smb.conf установлена пустая строка, любое значение, установленное в профиле пользователя в passbd переопределит значение этого параметра. Таким образом, полный запрет перемещаемых профилей требует, чтобы в свойствах пользовательского профиля было тоже пусто.

Значение по умолчанию:
\\%N\%U\profile

Пример использования:
\\PROFILESERVER\PROFILE\%U
 </string>
      <string id="POL_D354C217_6C18_5AD8_B0A2_DDC89463D0C6">logon script</string>
      <string id="POL_D354C217_6C18_5AD8_B0A2_DDC89463D0C6_Help">Этот параметр указывает пакетный файл запуска (.bat) или файл сценария NT (.cmd), который будет скачан и выполнен на клиентском компьютере, когда пользователь войдет в систему. Файл должен содержать перевод строки в стиле DOS (CR/LF). Для написания таких файлов рекомендуется использовать редактор, поддерживающий переводы строк в стиле DOS.

Файл сценария должен иметь отношение к сервису [netlogon]. Если [netlogon] указывает на 'path' /usr/local/samba/netlogon и имя 'logon script = STARTUP.BAT', тогда файл, который будет скачан должен лежать в /usr/local/samba/netlogon/STARTUP.BAT.

Содержимое .bat файла полностью зависит от вас. Предлагается использовать команду 'NET TIME \SERVER /SET /YES' для синхронизации времени всех компьютеров с сервером времени.
Еще можно посоветовать использовать 'NET USE U: \SERVERUTILS' для утилит общего пользования или, к примеру 'NET USE Q: \SERVERISO9001_QA'

Обратите внимание на то, что в целях безопасности нужно запрещать запись в [netlogon] или снимать право записи с файла пакетного запуска, т.к. если этого не сделать, то в файл могут написать всё что угодно и безопасность всей системы будет под угрозой.

Этот параметр позволяет иметь разные сценарии запуска для разных пользователей или компьютеров.

Этот параметр полезен только в том случае, если Samba настроена как сервер авторизации (logon server) с ролью классического контроллера домена. Если Samba настроена как контроллер домена Active Directory, вместо этого используется атрибут LDAP scriptPath. Для конфигураций, в которых используется 'passdb backend = ldapsam', этот параметр определяет значение по умолчанию только в случае отсутствия атрибута LDAP sambaLogonScript.

Значение по умолчанию:
пустая строка

Пример:
scripts\%U.bat</string>
      <string id="POL_0AABECB8_5A60_50DA_973A_7EED1138DB0C">reject md5 clients</string>
      <string id="POL_0AABECB8_5A60_50DA_973A_7EED1138DB0C_Help">Этот параметр определяет, будет ли сервер netlogon (в настоящее время только в режиме «контроллер домена AD»), отклонять клиентов, которые не поддерживают NETLOGON_NEG_SUPPORTS_AES.

Можно установить этот параметр (reject md5 clientst = yes), если все члены домена поддерживают AES. Это предотвратит попытки перехода на более раннюю версию.

Эта опция имеет приоритет перед опцией 'allow nt4 crypto'.

Значение по умолчанию:
reject md5 clientst = no</string>
      <string id="POL_68A94D8F_DA35_5CEC_90E6_4FB245FF32D3">set primary group script</string>
      <string id="POL_68A94D8F_DA35_5CEC_90E6_4FB245FF32D3_Help">Благодаря использованию системы Posix в WinNT, у пользователя есть основная группа в дополнение к вспомогательным группам. Это сценарий устанавливает основную группу в базе данных пользователей UNIX, когда администратор устанавливает первичную группу пользователя Windows, в диспетчере пользователей или при получении SAM с помощью 'net rpc vampire'. Аргумент %u будет заменен пользователем, первичную группу которого нужно будет установить. Аргумент %g будет заменен группой, которую нужно установить.

Значение по умолчанию:
пустая строка

Пример:
set primary group script = /usr/sbin/usermod -g ‘%g’ ‘%u’</string>
      <string id="POL_5CDF89E1_F318_5495_BEA0_DA44F0542D49">shutdown script</string>
      <string id="POL_5CDF89E1_F318_5495_BEA0_DA44F0542D49_Help">Полный путь к сценарию, вызываемому smbd(8), который должен запустить процедуру завершения работы.

Если подключенный пользователь обладает SeRemoteShutdownPrivilege, то эта команда будет выполнена от имени пользователя root.

Переменные %z %t %r %f раскрываются следующим образом:

  * %z — сообщение, которое будет послано серверу.
  * %t — число секунд ожидания перед запуском процедуры завершения работы.
  * %r — будет заменен ключом -r, который для NT означает перезагрузку после завершения работы.
  * %f — будет заменен ключом -f, который для NT означает завершение работы, даже в том случае, если есть не отвечающие приложения.

Процесс завершения работы «не отдает» консоль, поэтому нужно запустить его в фоновом режиме.

Значение по умолчанию:
пустая строка

Пример:
/usr/local/samba/sbin/shutdown %m %t %r %f

Пример сценария:
#!/bin/bash

$time=0
let &quot;time/60&quot;
let &quot;time++&quot;

/sbin/shutdown $3 $4 +$time $1 &amp;</string>
      <string id="POL_3F1B0630_F3F0_5FDE_B66B_1A315CC059B3">add share command</string>
      <string id="POL_3F1B0630_F3F0_5FDE_B66B_1A315CC059B3_Help">В Samba 2.2.0 добавлена возможность динамически добавлять и удалять общие ресурсы через Диспетчер серверов Windows NT 4.0. Параметр 'add share command' используется, чтобы определить внешнюю программу или сценарий, который добавит определения для нового общего ресурса в smb.conf.

Для успешного выполнения команды добавления общего ресурса, smbd требует, чтобы администратор был подключен с правами root (uid == 0) или имел привилегии SeDiskOperatorPrivilege. Сценарии, определенные в параметре 'add share command', выполняются от имени пользователя root.

После запуска, smbd автоматически вызовет команду, добавляющую общий ресурс с пятью параметрами:

  * configFile — местоположение глобального файла smb.conf.

  * shareName — имя нового общего ресурса.

  * pathName — путь к существующему каталогу на диске.

  * comment — комментарий, связанный с новым общим ресурсом.

  * max connections — максимальное количество одновременных подключений к общему ресурсу.

Этот параметр используется только при создании файлового общего ресурса. Для добавления общего ресурса принтеров см. параметр 'addprinter command'.

Значение по умолчанию:
пустая строка

Пример:
/usr/local/bin/addshare</string>
      <string id="POL_66A8EC32_6235_5E7C_A085_189166239268">afs token lifetime</string>
      <string id="POL_66A8EC32_6235_5E7C_A085_189166239268_Help">Этот параметр контролирует время жизни токенов, заявленных AFS fake-kaserver. На самом деле они никогда не истекают, но это время жизни контролирует, когда клиент afs забудет токен.

Установите для этого параметра значение 0, чтобы получить NEVERDATE.

Значение по умолчанию:
604800</string>
      <string id="POL_78946CAB_73BD_507E_96D5_C643814290D0">afs username map</string>
      <string id="POL_78946CAB_73BD_507E_96D5_C643814290D0_Help">Если вы используете особенность AFS fake-kaserver, можно вручную создать имена пользователей, для которых всоздаются токены (tokens). Например, это необходимо, если у вас есть пользователи из нескольких доменов в базе данных AFS Protection. Одна из возможных схем кодирования пользователей — это DOMAIN + User, это сделано в winbind со знаком «+» в качестве разделителя.

Отображаемое имя пользователя должно содержать имя ячейки для входа, так как если не настроить этот параметр не создастся никакого маркера (token).

Значение по умолчанию:
пустая строка

Пример:
%u@afs.samba.org</string>
      <string id="POL_DEF84B6C_B415_56EB_B3E7_1ED683BFEDE5">allow insecure wide links</string>
      <string id="POL_DEF84B6C_B415_56EB_B3E7_1ED683BFEDE5_Help">При нормальной работе опция 'wide links', которая позволяет серверу следовать символическим ссылкам за пределами общего пути, автоматически отключается, если они включена опция 'unix extensions' на сервере Samba. Это сделано в целях безопасности, чтобы клиенты UNIX не создавали символические ссылки на области файловой системы сервера, которые администратор не желает экспортировать.

Установка параметра 'allow insecure wide links' отключает связь между этими двумя параметрами, снимая эту защиту и позволяя сайту настраивать сервер для следования символическим ссылкам (путем установки опции 'wide links'), даже если включена опция 'unix extensions'.

Не рекомендуется включать эту опцию, если вы полностью не понимаете последствия разрешения серверу следовать символическим ссылкам, созданным клиентами UNIX. Для большинства обычных конфигураций Samba это будет считаться дырой в безопасности, и установка этого параметра не рекомендуется.

Эта опция была добавлена по просьбе сайтов, которые намеренно настроили Samba таким образом, и которым необходимо было продолжать поддерживать эту функциональность без необходимости исправлять код Samba.

Значение по умолчанию:
allow insecure wide links = no</string>
      <string id="POL_8539DC0B_8971_5145_8173_C77681F13A94">allow unsafe cluster upgrade</string>
      <string id="POL_8539DC0B_8971_5145_8173_C77681F13A94_Help">Если этот параметр не установлен ('allow unsafe cluster upgrade = no' по умолчанию), smbd проверяет при запуске, запущены ли в кластере другие версии smbd, и отказывается запускаться, если это так. Это сделано для защиты от повреждения данных во внутренних структурах из-за несовместимых версий Samba, работающих одновременно в одном кластере. Установка этого параметра ('allow unsafe cluster upgrade = yes') отключает эту проверку безопасности.

Значение по умолчанию:
allow unsafe cluster upgrade = no</string>
      <string id="POL_A05EAA54_C6F4_567A_8DE6_7541F9B11046">async smb echo handler</string>
      <string id="POL_A05EAA54_C6F4_567A_8DE6_7541F9B11046_Help">Этот параметр определяет должна ли Samba создавать отдельный процесс обработчика smb echo. Порождение этого обработчика может быть удобно, если операционная система выполняет длительные блокирующие вызовы. В некоторых случаях это увеличивает тайм-аут, который Windows использует для определения того, разорвано ли соединение. Этот параметр подходит только для SMB1. Для SMB2 и выше вместо этого можно использовать пакеты TCP keepalives.

Значение по умолчанию:
async smb echo handler = no</string>
      <string id="POL_087EEAB6_7F83_50CF_A3D0_97B4C6F94F67">auto services</string>
      <string id="POL_087EEAB6_7F83_50CF_A3D0_97B4C6F94F67_Help">Это список служб, которые необходимо автоматически добавлять в списки просмотра. Это наиболее полезно для дома и служб принтеров, которые в противном случае были бы невидимы.

Обратите внимание: если нужно только, чтобы все принтеры из файла настройки принтеров были загружены, то проще использовать опцию 'load printers'.

Значение по умолчанию:
пустая строка

Пример:
fred lp colorlp</string>
      <string id="POL_5518624A_7DB9_51BA_A891_F00A40152354">cache directory</string>
      <string id="POL_5518624A_7DB9_51BA_A891_F00A40152354_Help">Обычно большая часть файлов TDB хранится в 'lock directory'. Начиная с Samba 3.4.0, можно различать файлы TDB с постоянными данными и файлы TDB с непостоянными данными, используя параметры 'state directory' и 'cache directory'.

Этот параметр указывает каталог для хранения файлов TDB, содержащих непостоянные данные, которые будут сохраняться при перезапусках службы. Каталог должен быть помещен в постоянное хранилище, но данные могут быть безопасно удалены администратором.

Значение по умолчанию:
пустая строка

Пример:
/var/run/samba/locks/cache</string>
      <string id="POL_3E23F826_A699_511F_9370_F79DBB4977A9">change notify</string>
      <string id="POL_3E23F826_A699_511F_9370_F79DBB4977A9_Help">Этот параметр определяет, должна ли Samba ответить запросом уведомления на изменение файла клиента. Никогда не изменяйте этот параметр.

Значение по умолчанию:
change notify = yes</string>
      <string id="POL_3EF254FF_4CC2_58A5_9A1B_4E0655610DCA">change share command</string>
      <string id="POL_3EF254FF_4CC2_58A5_9A1B_4E0655610DCA_Help">В Samba 2.2.0 была добавлена возможность динамически добавлять и удалять общие ресурсы через Windows NT 4.0 Server Manager. Опция 'change share command' используется, чтобы определить внешнюю программу или сценарий, который изменит существующие настройки сервиса в smb.conf.

Чтобы успешно выполнять команду изменения общего ресурса, smbd требует, чтобы администратор был подключен с правами root (uid == 0) или имел SeDiskOperatorPrivilege. Скрипты, определённые в параметре 'change share command', выполняются от имени пользователя root.

При выполнении smbd автоматически вызовет команду 'change share command' с шестью параметрами:

  * configFile — местоположение глобального файла smb.conf.
  * shareName — имя нового общего ресурса.
  * pathName — путь к существующему каталогу на диске.
  * comment — комментарий, связанный с новым общим ресурсом.
  * max connections — максимальное количество одновременных подключений к общему ресурсу.
  * CSC policy — политика кэширования на стороне клиента в строковой форме. Допустимые значения: manual, documents, programs, disable.

Этот параметр используется только для изменения существующих определений файлового ресурса. Чтобы изменить общие принтеры, используйте папку «Принтеры…» («Printers…»), которую видно при просмотре хоста Samba.

Значение по умолчанию:
пустая строка

Пример:
/usr/local/bin/changeshare</string>
      <string id="POL_93ADB149_A45A_56A2_9462_0BE437084E47">cluster addresses</string>
      <string id="POL_93ADB149_A45A_56A2_9462_0BE437084E47_Help">С помощью этого параметра можно добавить дополнительные адреса, которые nmbd зарегистрирует на WINS-сервере. Точно так же эти адреса будут зарегистрированы по умолчанию, когда 'net ads dns register' вызывается с установленным параметром 'clustering'.

Значение по умолчанию:
пустая строка

Пример:
10.0.0.1 10.0.0.2 10.0.0.3</string>
      <string id="POL_306A8E87_1400_5208_8ABF_B9802BFA685B">clustering</string>
      <string id="POL_306A8E87_1400_5208_8ABF_B9802BFA685B_Help">Этот параметр указывает, должна ли Samba связываться с ctdb для доступа к своим tdb-файлам и использовать ctdb в качестве серверной части для своей системы обмена сообщениями.

Установите этот параметр, только если у вас есть установка кластера с запущенным ctdb.

Значение по умолчанию:
clustering = no</string>
      <string id="POL_2D29302D_8AD7_5BC3_B681_8C54D0A61E68">config file</string>
      <string id="POL_2D29302D_8AD7_5BC3_B681_8C54D0A61E68_Help">Этот параметр позволяет переопределить используемый файл конфигурации вместо файла по умолчанию (обычно smb.conf). При этом существует проблема, как с курицей и яйцом (что раньше?), поскольку этот параметр установлен в файле конфигурации!

По этой причине, если имя файла конфигурации изменилось при загрузке параметров, он перезагрузит их из нового файла конфигурации.

Эта опция принимает обычные подстановки, которые могут быть очень полезны.

Если файл конфигурации не существует, он не будет загружен (что позволяет в особых случаях использовать файлы конфигурации только нескольких клиентов).

Значения по умолчанию нет.

Пример:
/usr/local/samba/lib/smb.conf.%m</string>
      <string id="POL_3838911B_D4E6_50BD_B168_85F113E29165">ctdbd socket</string>
      <string id="POL_3838911B_D4E6_50BD_B168_85F113E29165_Help">Если установлен параметр 'clustering', нужно указать Samba, где ctdbd прослушивает свой сокет домена Unix. Путь по умолчанию для ctdb 1.0 — /tmp/ctdb.socket, который необходимо явно указать для Samba в smb.conf.

Значение по умолчанию:
пустая строка

Пример:
/tmp/ctdb.socket</string>
      <string id="POL_57D6924C_3F94_5C29_8F63_39808A84FA0F">ctdb locktime warn threshold</string>
      <string id="POL_57D6924C_3F94_5C29_8F63_39808A84FA0F_Help">В кластерах, где используется Samba и ctdb, важно, чтобы блокировки на центральных базах данных ctdb-hosted  таких как locking.tdb не удерживались надолго. В текущей архитектуре Samba случается, что Samba принимает блокировку и, удерживая эту блокировку, выполняет вызовы файловой системы в общую файловую систему кластера. Эта опция заставляет Samba предупреждать, если обнаруживает, что она удерживала блокировки в течение указанного количества миллисекунд. Если это произойдет, smbd выдаст сообщение уровня отладки 0 в свои журналы и, возможно, в системный журнал. Наиболее вероятная причина появления такого сообщения в журнале заключается в том, что операция экспорта Samba файловой системы кластера занимает больше времени, чем ожидалось. Сообщения предназначены для помощи в отладке потенциальных проблем кластера.

Значение 0 (по умолчанию) отключает ведение этого журнала.

Значение по умолчанию:
0</string>
      <string id="POL_6392B974_5997_5E87_916F_FCDCCCCA6069">ctdb timeout</string>
      <string id="POL_6392B974_5997_5E87_916F_FCDCCCCA6069_Help">Этот параметр указывает время ожидания в миллисекундах для соединения между Samba и ctdb. Этот параметр действителен только в том случае, если Samba скомпилирована с кластеризацией и если установлен параметр 'clustering'.

Когда что-то в кластере блокируется, может случиться так, что мы будем бесконечно долго ждать ctdb, просто добавляя условие блокировки. В хорошо работающем кластере этого никогда не должно происходить, но в кластере слишком много компонентов, которые могут давать сбои. Выбор правильного баланса для этого значения очень сложен, потому что в загруженном кластере может быть допустимо длительное время обслуживания для передачи чего-либо через кластер. Установка слишком короткого значения ухудшит качество обслуживания, которое предоставляет кластер, а установка слишком большого значения может привести к тому, что сам кластер слишком долго не восстановится после того, как что-то серьезно сломалось.

Имейте в виду, что если установить этот параметр, он должен быть указан в файле smb.conf, а не в конфигурации реестра (типично для кластера), потому что для доступа к реестру требуется контакт ctdb.

Установка для 'ctdb timeout' значения n заставляет любой процесс ждать ответа от паники кластера дольше n миллисекунд. Установка его в 0 (по умолчанию) приводит к блокировке Samba навсегда, что настоятельно рекомендуется по умолчанию.

Значение по умолчанию:
0</string>
      <string id="POL_65E02D5E_EC95_5CD1_9976_6FF4E023ADDD">default service</string>
      <string id="POL_65E02D5E_EC95_5CD1_9976_6FF4E023ADDD_Help">Этот параметр определяет имя сервиса, который будет подключен в случае невозможности найти запрашиваемый сервис. Обратите внимание, что квадратные скобки не нужны в значении параметра (см. пример ниже).
Для этого параметра нет значения по умолчанию. Если параметр не установлен, попытка соединения с несуществующей службой приведет к ошибке.

Обычно службой по умолчанию будет 'guest ok', 'read-only'.

Обратите внимание на то, что имя сервиса будет заменено на требуемое. Это очень полезно, так как позволяет использовать макрос типа %S, чтобы использовать подстановку.

Обратите внимание также на то, что любой символ «_» в имени службы, используемой в заданной по умолчанию службе будет приведен к «/». Это позволяет делать интересные вещи.

Значение по умолчанию:
пустая строка

Пример:
pub
</string>
      <string id="POL_6CD86A19_3EBF_5E3B_A686_462CA044C5D8">delete share command</string>
      <string id="POL_6CD86A19_3EBF_5E3B_A686_462CA044C5D8_Help">В Samba 2.2.0 была добавлена возможность динамически добавлять и удалять общие ресурсы через Windows NT 4.0 Server Manager. Параметр 'delete share command' запускает внешнюю программу или сценарий, удаляющий существующий общий ресурс из smb.conf.

Для успешного выполнения этой программы, smbd требует, чтобы администратор был подключен с правами root (uid == 0) или с правами SeDiskOperatorPrivilege. После запуска, smbd автоматически вызовет внешнюю программу с двумя параметрами:

  * configFile — местоположение глобального smb.conf файла.
  * shareName — имя общего ресурса.

Этот параметр используется только для удаления общих файловых ресурсов. Чтобы удалять общие принтеры, см. параметр 'deleteprinter command'.

Значение по умолчанию:
пустая строка

Пример:
/usr/local/bin/delshare

</string>
      <string id="POL_EA272781_6D7D_5FD5_96BF_069193C67F65">dsdb event notification</string>
      <string id="POL_EA272781_6D7D_5FD5_96BF_069193C67F65_Help">Если этот параметр включен (dsdb event notification = yes), Samba (действующая как контроллер домена Active Directory) передает события базы данных Samba по внутренней шине сообщений. Сценарии, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы dsdb_event.

Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов).

События базы данных Samba также регистрируются с помощью обычных методов ведения журнала, если установлен соответствующий параметр 'log level'.

Значение по умолчанию:
dsdb event notification = no
</string>
      <string id="POL_560BC356_6AEC_5D1A_9859_6479FE0F97C0">dsdb group change notification</string>
      <string id="POL_560BC356_6AEC_5D1A_9859_6479FE0F97C0_Help">Если этот параметр включен, Samba (действующая как контроллер домена Active Directory) передает события изменения членства в группе по внутренней шине сообщений. Сценарии, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы dsdb_group_event.

Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов).

Групповые события также регистрируются с помощью обычных методов ведения журнала, если установлен соответствующий параметр 'log level'.

Значение по умолчанию:
dsdb group change notification = no</string>
      <string id="POL_2CF8E791_3F03_5CE3_AC93_0B8078E9667D">dsdb password event notification</string>
      <string id="POL_2CF8E791_3F03_5CE3_AC93_0B8078E9667D_Help">Если этот параметр включен, Samba (действующая как контроллер домена Active Directory) будет передавать события смены пароля и сброса по внутренней шине сообщений. Сценарии, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы password_event.

Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов).

События паролей также регистрируются с помощью обычных методов ведения журнала, если установлен соответствующий параметр 'log level'.

Значение по умолчанию:
dsdb password event notification = no</string>
      <string id="POL_C8A040D9_B798_5FE4_A736_BAD9C81CE976">elasticsearch:mappings</string>
      <string id="POL_C8A040D9_B798_5FE4_A736_BAD9C81CE976_Help">Путь к файлу, определяющий сопоставления атрибутов метаданных в формате JSON. Используется серверной частью Elasticsearch службы Spotlight RPC.

Значение по умолчанию:
/elasticsearch_mappings.json

Пример:
/usr/share/foo/mymappings.json</string>
      <string id="POL_66C9072D_C818_5DFB_AB72_5EDDD4CAE999">fss: prune stale</string>
      <string id="POL_66C9072D_C818_5DFB_AB72_5EDDD4CAE999_Help">Если этот параметр включен (fss: prune stale = yes), сервер Samba File Server Remote VSS Protocol (FSRVP) проверяет все моментальные снимки, инициированные FSRVP, при запуске и удаляет любое соответствующее состояние (включая определения общих ресурсов) для несуществующих путей к моментальным снимкам.

Значение по умолчанию:
fss: prune stale = no</string>
      <string id="POL_A7F4325A_910F_5437_B911_6D94050EF882">fss: sequence timeout</string>
      <string id="POL_A7F4325A_910F_5437_B911_6D94050EF882_Help">Сервер удаленного протокола VSS (FSRVP) файлового сервера включает таймер последовательности сообщений для обеспечения очистки при неожиданном отключении клиента. Этот параметр отменяет тайм-аут по умолчанию между операциями FSRVP. Таймауты FSRVP можно полностью отключить, установив значение 0.

Значение по умолчанию:
1

Пример:
0</string>
      <string id="POL_529A6287_1697_57CA_A6D0_811F61A441A0">homedir map</string>
      <string id="POL_529A6287_1697_57CA_A6D0_811F61A441A0_Help">Если установлен параметр 'nis homedir', и smbd(8) используется в качестве сервера входа в Win95/98, то этот параметр определяет NIS (или YP) соответствие, из которого должны быть извлечены домашние каталоги пользователей. В настоящее время принимаются только соответствия формата Sun auto.home.

Формат соответствия:
username server:/some/file/system

Программа будет извлекать servername до первого символа «:». Вероятно, следует передать разбор системе, которая лучше справляется с соответствиями разных форматов, например, с такими как AMD (еще один automounter) соответствие.

Заметьте, что в системе должен быть запущен NIS клиент.

Значение по умолчанию:
пустая строка

Пример:
amd.homedir</string>
      <string id="POL_3EE25C0A_C920_54B4_8B7B_D0A91CF3E3F1">kernel change notify</string>
      <string id="POL_3EE25C0A_C920_54B4_8B7B_D0A91CF3E3F1_Help">Параметр определяет, должен ли сервер Samba запрашивать у ядра уведомление об изменениях произошедших в каталогах, для того чтобы SMB клиент смог обновить состояние каталогов при изменении данных на сервере. Этот параметр используется, только если ядро поддерживает уведомления об изменении данных с помощью inotify интерфейса.

Значение по умолчанию:
kernel change notify = yes</string>
      <string id="POL_15EAB330_0CF4_537E_AD96_8FCECB55194F">lock directory</string>
      <string id="POL_15EAB330_0CF4_537E_AD96_8FCECB55194F_Help">Эта опция указывает каталог для хранения файлов блокировок. Файлы блокировок используются для реализации опции 'max connections'.

Примечание. Этот параметр нельзя установить в настройках реестра.

Файлы, помещенные в этот каталог, не требуются при перезапуске службы и могут быть безопасно помещены в энергозависимое хранилище (например, tmpfs в Linux).

Значение по умолчанию:
пустая строка

Пример:
/var/run/samba/locks</string>
      <string id="POL_A53007F8_7951_51F3_9753_B6FA4B38B9B7">log writeable files on exit</string>
      <string id="POL_A53007F8_7951_51F3_9753_B6FA4B38B9B7_Help">Когда сетевое соединение между клиентом CIFS и Samba прерывается, у Samba нет другого выбора, кроме как просто отключить серверную часть сетевого соединения. В этом случае существует риск повреждения данных, поскольку клиент Windows не выполнил все операции записи, запрошенные приложением Windows. Если этот параметр включен (log writeable files on exit = yes), в журнал smbd будет записано сообщение уровня 0 со списком всех файлов, которые были открыты для записи, когда сетевое соединение оборвалось. Это файлы, которые потенциально повреждены. Параметр предназначен для помощи администратору, чтобы дать ему список файлов для проверки согласованности.

Значение по умолчанию:
log writeable files on exit = no</string>
      <string id="POL_7DD9B43E_A2B8_59F8_9927_2B56698E65B6">message command</string>
      <string id="POL_7DD9B43E_A2B8_59F8_9927_2B56698E65B6_Help">Эта опция указывает какую команду следует выполнить, когда сервером будет получено сообщение WinPopup. Обычно это команда, которая каким-то образом доставляет сообщение. Как это сделать — зависит от вас и вашего воображения.

Пример:

message command = csh -c 'xedit %s;rm %s' &amp;

Эта команда доставляет сообщение используя xedit и впоследствии удаляет сообщение. ОЧЕНЬ ВАЖНО ЧТОБЫ ЭТА КОМАНДА «ОТДАВАЛА» КОНСОЛЬ МГНОВЕННО. Именно поэтому в примере используется '&amp;' в конце. Если команда сразу не «отдаст» консоль, то ПК могут зависнуть при отправке сообщений (они должны восстановиться через 30 секунд).

Все сообщения доставляются от имени гостевого пользователя. Эта команда расширяет стандартное поведение (или стандартную функциональность), хотя подстановка %u не будет работать (%U может быть и будет).

К стандартной функциональности добавлены кое-какие дополнительные параметры. В частности:

  * %s = имя файла, содержащего сообщение
  * %t = пункт назначения, куда было послано сообщение (вероятно имя сервера).
  * %f = от кого сообщение.

Можно назначить этой команде все что угодно, например, отправку письма (e-mail). Сообщите нам, если у вас будут какие-то интересные идеи.

Здесь показано как отправлять письмо пользователю root:

message command = /bin/mail -s 'message from %f on %m' root &lt; %s; rm %s

Если у параметр 'message command' не установлен, то сообщение не будет доставлено и Samba сообщит получателю об ошибке. К сожалению Windows для рабочих групп игнорирует код ошибки и в любом случае сообщает об успешной доставке.

Для удаления без уведомления, попробуйте:

message command = rm %s

Значение по умолчанию:
пустая строка

Пример:
csh -c 'xedit %s; rm %s' &amp;</string>
      <string id="POL_3BDFEE33_A965_5CA9_BC8C_7E5FDA1BB1D5">nbt client socket address</string>
      <string id="POL_3BDFEE33_A965_5CA9_BC8C_7E5FDA1BB1D5_Help">Эта опция позволяет контролировать, с какого адреса Samba будет отправлять клиентские пакеты NBT, и обрабатывать ответы с их помощью, в том числе в nmbd.

Установка этой опции никогда не должна быть обязательной на обычных серверах Samba, на которых работает только один nmbd.

По умолчанию Samba отправляет UDP-пакеты с адреса ОС по умолчанию для пункта назначения и принимает ответы на 0.0.0.0.

Этот параметр устарел. См. параметры 'bind interfaces only = yes' и 'interfaces' для предыдущего поведения по управлению обычными прослушивающими сокетами.

Значение по умолчанию:
0.0.0.0

Пример:
192.168.2.20</string>
      <string id="POL_C4D98472_F115_59FD_A3E6_A7984D662B99">ncalrpc dir</string>
      <string id="POL_C4D98472_F115_59FD_A3E6_A7984D662B99_Help">Этот каталог будет содержать серию именованных каналов, позволяющих RPC через межпроцессное взаимодействие.

Это позволит Samba и другим процессам Unix взаимодействовать через DCE/RPC без использования TCP/IP. Кроме того, подкаталог np имеет ограниченные разрешения и обеспечивает надежный канал связи между процессами Samba.

Значение по умолчанию:
пустая строка

Пример:
/var/run/samba/ncalrpc</string>
      <string id="POL_4308D035_8B4B_575A_8984_BAC33A169EBA">nis homedir</string>
      <string id="POL_4308D035_8B4B_575A_8984_BAC33A169EBA_Help">Получить домашний каталог сервера из NIS. Для систем UNIX, которые используют автомонтирование, домашний каталог пользователя часто монтируется на рабочую станцию ​​по запросу с удаленного сервера.

Когда сервер авторизации (logon server) Samba оне является фактическим сервером домашнего каталога (home directory server), но монтирует домашние каталоги через NFS, тогда выяснение домашнего каталога пользователя будет проходить в два этапа, если logon server сказал клиенту использовать себя в качестве сервера SMB для домашних каталогов (один через SMB и один через NFS). Это может быть очень медленно.

Эта опция позволяет Samba возвращать домашний общий ресурс как находящийся на другом сервере серверу входа в систему, и пока демон Samba работает на сервере домашнего каталога, он будет монтироваться на клиенте Samba непосредственно с сервера каталогов. Когда Samba возвращает клиенту домашний ресурс, он обращается к карте NIS, указанной в карте homedir, и возвращает указанный там сервер.

Обратите внимание на то, что для работы этой опции требуется работающая система NIS и сервер Samba должен работать в режиме сервера авторизации.

Значение по умолчанию:
nis homedir = no</string>
      <string id="POL_359CDEF8_9711_56A5_8621_C50718A5B8A1">nmbd bind explicit broadcast</string>
      <string id="POL_359CDEF8_9711_56A5_8621_C50718A5B8A1_Help">Эта опция заставляет nmbd(8) явно связываться с широковещательным адресом локальных подсетей. Это необходимо для правильной работы nmbd в сочетании с опцией 'socket address'. Не нужно отключать эту опцию.

Значение по умолчанию:
nmbd bind explicit broadcast = yes</string>
      <string id="POL_23418947_2DAF_54B3_812C_D9B43F49CFCB">panic action</string>
      <string id="POL_23418947_2DAF_54B3_812C_D9B43F49CFCB_Help">Это опция разработчика Samba, которая позволяет вызвать системную команду при сбое smbd(8) или nmbd(8). Она используется, в основном, для того, чтобы привлечь внимание к тому факту, что проблема действительно есть.

Значение по умолчанию:
пустая строка

Пример:
/bin/sleep 90000</string>
      <string id="POL_C5C3267E_6E80_5311_96A5_B492C8C3C0AF">perfcount module</string>
      <string id="POL_C5C3267E_6E80_5311_96A5_B492C8C3C0AF_Help">Этот параметр указывает серверную часть perfcount, которая будет использоваться при мониторинге операций SMB. Можно использовать только один модуль perfcount, и он должен реализовывать все API, содержащиеся в структуре smb_perfcount_handler, определенной в smb.h.

Значения по умолчанию нет
</string>
      <string id="POL_02EAE588_9ED7_589C_A454_5B168B65A48A">pid directory</string>
      <string id="POL_02EAE588_9ED7_589C_A454_5B168B65A48A_Help">Этот параметр указывает каталог, в который будут помещены файлы pid.

Значение по умолчанию:
пустая строка

Пример:
/var/run/</string>
      <string id="POL_77C5FC2D_BBFA_5B4E_906F_ED49B11BF069">registry shares</string>
      <string id="POL_77C5FC2D_BBFA_5B4E_906F_ED49B11BF069_Help">Этот параметр включает или выключает поддержку определений общих ресурсов, считываемых из реестра. Общие ресурсы, определенные в smb.conf, имеют приоритет над общими ресурсами с тем же именем, определенным в реестре. Подробнее см. раздел о настройке на основе реестра.

Обратите внимание, что по умолчанию этот параметр отключен (registry shares = no), но если для параметра 'config backend' установлено значение registry, то параметр 'registry shares' будет включен (registry shares = yes).

Значение по умолчанию:
registry shares = no

Пример:
registry shares = yes</string>
      <string id="POL_0FB22970_94A4_5403_888E_3CF8242A955C">remote announce</string>
      <string id="POL_0FB22970_94A4_5403_888E_3CF8242A955C_Help">Этот параметр позволяет настроить nmbd(8) на периодическое оповещение (о своем существовании) произвольных IP-адресов с произвольными именами рабочих групп. Такое поведение может пригодиться, если необходимо, чтобы сервер Samba отображался в удаленной рабочей группе, для которой обычная схема оповещения не работает. Удаленная рабочая группа может быть где угодно, с условием, что туда можно послать IP-пакет.

Пример:
remote announce = 192.168.2.255/SERVERS 192.168.4.255/STAFF

данная строка говорит демону nmbd, что он должен объявить себя для двух IP-адресов в двух рабочих группах. Если опустить имя рабочей группы, то вместо него используется имя, указанное в параметре 'workgroup'.

В качестве IP-адресов обычно используются широковещательные адреса удаленных сетей, но могут использоваться и адреса известных мастер-браузеров, если конфигурация сети предполагает то, что эти адреса остаются неизменными.

См. раздел «Network Browsing» руководства Samba-HOWTO.

Значение по умолчанию:
пустая строка</string>
      <string id="POL_B570A06A_7945_5818_B81D_D27007986548">remote browse sync</string>
      <string id="POL_B570A06A_7945_5818_B81D_D27007986548_Help">Этот параметр позволяет настроить демон nmbd(8) таким образом, что он будет периодически запрашивать список компьютеров у главного обозревателя (мастер-браузера) удаленного сегмента сети. Благодаря этому можно получать актуальные списки компьютеров сетевого окружения для разных рабочих групп, разбросанных по сети. Это работает только с серверами Samba.

Такое поведение может пригодиться, если необходимо, чтобы сервер Samba и все локальные клиенты отображались в удаленной рабочей группе, для которой обычная схема оповещения не работает. Удаленная рабочая группа может быть где угодно, куда можно послать IP-пакет.

remote browse sync = 192.168.2.255 192.168.4.255

Данная строка заставит демон nmbd запрашивать списки компьютеров у мастер-браузеров указанных подсетей или адресов.

В качестве IP-адресов обычно используются широковещательные адреса удаленных сетей, но могут использоваться и адреса известных мастер-браузеров, если конфигурация сети предполагает то, что эти адреса остаются неизменными. Если указан IP-адрес машины, Samba НЕ предпринимает НИКАКИХ попыток проверить, что удаленная машина доступна, слушает и что она фактически является мастер-браузером в своем сегменте.

Этот параметр может быть использован в сетях без WINS-сервера, а также в сетях, которые разделены между собой и где каждая сеть имеет свой собственный WINS-сервер.

Значение по умолчанию:
пустая строка</string>
      <string id="POL_BA134175_B8C1_5781_9585_AF3A47C44354">reset on zero vc</string>
      <string id="POL_BA134175_B8C1_5781_9585_AF3A47C44354_Help">Этот логический параметр определяет, следует ли очищать другие соединения, исходящие от одного IP-адреса во время входящей сессии SMB1. Это соответствует поведению Win2003. Установка этого параметра (eset on zero vc = yes) необходима, если у вас «нестабильная» (flaky) сеть и Windows решает переподключиться, в то время как предыдущее соединение имеет открытые файлы. Эти файлы будут недоступны для нового подключения. Клиент посылает сигнал zero VC, и Win2003 уничтожает все подключения, исходящие с этого IP-адреса кроме текущего. Таким образом, заблокированные файлы становятся снова доступными. Имейте в виду, что включение этой опции приведет к уничтожению соединений за маскарадным роутером и не сработает для клиентов, которые используют только SMB2 или SMB3.

Значение по умолчанию:
reset on zero vc = no</string>
      <string id="POL_F0071286_C011_5F1C_A520_2DD14DF7682C">rpc_daemon:DAEMON</string>
      <string id="POL_F0071286_C011_5F1C_A520_2DD14DF7682C_Help">Этот параметр определяет, использовать ли встроенный код или запускать отдельный процесс для определенных служб RPC. За префиксом rpc_daemon должны следовать имя сервера и значение.

В настоящее время поддерживаются два возможных значения:

  * disabled
  * fork

Классический метод — запускать службы RPC как внутренние службы, встроенные в smbd, поэтому внешние службы по умолчанию имеют значение disabled.

Выбор значения fork приведет к тому, что Samba создаст отдельный процесс для каждого настроенного таким образом демона. Каждый демон может, в свою очередь, разветвлять несколько дочерних элементов, используемых для обработки запросов от нескольких smbd и прямых подключений TCP/IP (если включен сопоставитель конечных точек). Связь с smbd происходит через именованные каналы и требует, чтобы указанные каналы пересылались внешнему демону (см. параметр 'rpc_server').

Fork RPC демоны поддерживают динамически fork дочерние процессы во время обработки соединений. Эвристика о том, сколько дочерних элементов оставить, и как быстро разрешить им разветвляться, а также, сколько клиентов может обрабатывать каждый дочерний элемент одновременно, определяется опциями, указанными по имени демона. В настоящее время поддерживаются пять вариантов:

  * prefork_min_children
  * prefork_max_children
  * prefork_spawn_rate
  * prefork_max_allowed_clients
  * prefork_child_min_life

Чтобы установить одну из этих опций, используйте следующий синтаксис:

   daemonname: prefork_min_children = 5

Samba включает отдельные демоны для spoolss, lsarpc/lsass, netlogon, samr, FSRVP и mdssvc (Spotlight). В настоящее время доступно пять демонов:
  * epmd
  * lsasd
  * spoolssd
  * fssd
  * mdssd

Значение по умолчанию:
rpc_daemon:DAEMON = disabled

Пример:
rpc_daemon:spoolssd = fork</string>
      <string id="POL_820BF686_A78C_5314_A371_3633A8448DC2">rpc_server:SERVER</string>
      <string id="POL_820BF686_A78C_5314_A371_3633A8448DC2_Help">С помощью этой опции можно определить, должна ли работать внутренняя/встроенная в smbd служба RPC или должна быть перенаправлена на внешний демон, такой как Samba4, демон сопоставления конечных точек (endpoint mapper daemon), демон спула (spoolss daemon) или новый демон службы LSA (LSA service daemon). За префиксом rpc_server должны следовать имя канала и значение.

Этот параметр можно установить для каждой доступной службы RPC в Samba. В следующем списке показаны все доступные службы имен каналов, которые можно изменить с помощью этой опции:

  * epmapper — Endpoint Mapper
  * winreg — Remote Registry Service
  * srvsvc — Remote Server Services
  * lsarpc — Local Security Authority
  * samr — Security Account Management
  * netlogon — Netlogon Remote Protocol
  * netdfs — Settings for Distributed File System
  * dssetup — Active Directory Setup
  * wkssvc — Workstation Services
  * spoolss — Network Printing Spooler
  * svcctl — Service Control
  * ntsvcs — Plug and Play Services
  * eventlog — Event Logger
  * initshutdown — Init Shutdown Service
  * mdssvc — Spotlight

В настоящее время поддерживаются три возможных значения:
  * embedded
  * external
  * disabled

Классический метод (значение embedded) — запускать каждый канал как внутреннюю функцию, встроенную в smbd. Значения по умолчанию зависят от службы.

Выбор значения external, позволяет запускать отдельный демон или даже полностью независимый (сторонний) сервер, способный взаимодействовать с Samba через интерфейс MS-RPC по именованным каналам.

В настоящее время в Samba3 поддерживается четыре демона: spoolssd, epmd, lsasd и mdssd. Эти демоны можно включить с помощью параметра 'rpc_daemon'. Для spoolssd необходимо включить демон и проксировать именованный канал (named pipe).

Примеры:
    rpc_daemon:lsasd = fork
    rpc_server:lsarpc = external
    rpc_server:samr = external
    rpc_server:netlogon = external

    rpc_server:spoolss = external
    rpc_server:epmapper = disabled

    rpc_daemon:mdssd = fork
    rpc_server:mdssvc = external

Есть одна специальная опция, которая позволяет включить службы RPC для прослушивания соединений ncacn_ip_tcp. В настоящее время она используется только для тестирования и не масштабируется!
    rpc_server:tcpip = yes

Значение по умолчанию:
rpc_server:SERVER = embedded</string>
      <string id="POL_70434A64_4979_53D2_80EE_09FBF1562741">smbd profiling level</string>
      <string id="POL_70434A64_4979_53D2_80EE_09FBF1562741_Help">Этот параметр позволяет администратору включить поддержку профилирования.

Возможные значения off, count и on.

Значение по умолчанию:
off

Пример:
on</string>
      <string id="POL_9598A191_3D22_5B49_8188_8D6901A5B4CE">state directory</string>
      <string id="POL_9598A191_3D22_5B49_8188_8D6901A5B4CE_Help">Обычно большая часть файлов TDB хранится в каталоге блокировки. Начиная с Samba 3.4.0, используя параметры каталога состояний и каталога кэша, можно различать файлы TDB с постоянными данными и файлы TDB с непостоянными данными.

Этот параметр указывает каталог, в котором будут храниться файлы TDB, содержащие важные постоянные данные.

Пример:
/var/run/samba/locks/state</string>
      <string id="POL_73FD8B56_579A_5BC6_A49A_4000BE94A02F">usershare allow guests</string>
      <string id="POL_73FD8B56_579A_5BC6_A49A_4000BE94A02F_Help">Этот параметр позволяет не аутентифицированным пользователям получить доступ к общим ресурсам пользователей.

Это эквивалентно значению параметра 'guest ok = yes' в настройках общего ресурса.

По соображению безопасности этот параметр отключен.

Значение по умолчанию:
usershare allow guests = no</string>
      <string id="POL_A0CE47E8_AE8A_5602_8265_1C8D3AEC6064">usershare max shares</string>
      <string id="POL_A0CE47E8_AE8A_5602_8265_1C8D3AEC6064_Help">Этот параметр определяет число домашних каталогов пользователей, которые могут быть созданы пользователями, принадлежащими группе владельцев папки с домашними каталогами. Если установлено значение ноль (по умолчанию) общие ресурсы пользователей не создаются.

Значение по умолчанию:
usershare max shares = 0</string>
      <string id="POL_411611B5_93F6_546F_B68B_05167A064628">usershare owner only</string>
      <string id="POL_411611B5_93F6_546F_B68B_05167A064628_Help">Этот параметр контролирует, должен ли каталог, из которого создается общий ресурс пользователя принадлежать этому пользователю. Если параметр установлен (usershare owner only = yes), тогда smbd проверяет, что каталог принадлежит пользователю, который является хозяином общего ресурса, и отказывает в создании ресурса, если пользователь не владелец папки. Если параметр выключен (usershare owner only = no), тогда никакой проверки не выполняется, и путь каталога может быть экспортирован независимо от того, кому он принадлежит.

Значение по умолчанию:
usershare owner only = yes</string>
      <string id="POL_DD97B40A_CB2A_5818_8D39_F94911EB3F13">usershare path</string>
      <string id="POL_DD97B40A_CB2A_5818_8D39_F94911EB3F13_Help">Параметр определяет абсолютный путь к каталогу файловой системы, используемому для хранения домашних папок пользователей. Этот каталог должен принадлежать пользователю root, доступ на запись возможен только для владельца группы. Также должен быть установлен «sticky» бит, ограничение на переименование и удаление для владельцев файла (так обычно настраивают каталог /tmp). Члены группы владельцев каталога — это пользователи, которые могут создавать каталоги пользователей. Если параметр не определен, не получится создавать домашние каталоги пользователей.

Например, домашний каталог пользователей определен в /usr/local/samba/lib/usershares, настройте его следующим образом:

ls -ld /usr/local/samba/lib/usershares/
drwxrwx—T 2 root power_users 4096 2006-05-05 12:27 /usr/local/samba/lib/usershares/

В этом случае, только члены группы «power_users» могут создать пользовательские домашние каталоги.

Значение по умолчанию:
/usershares</string>
      <string id="POL_4AAFAB11_EB55_5600_A574_08E074B5DC28">usershare prefix allow list</string>
      <string id="POL_4AAFAB11_EB55_5600_A574_08E074B5DC28_Help">Этот параметр определяет список абсолютных путей, которые могут быть использованы в качестве домашних каталогов пользователей. Если путь к каталогу не совпадает с путем из этого списка, домашний каталог не подключится. Это позволяет администратору Samba ограничивать каталоги в системе, которые могут быть использованы в качестве домашних каталогов пользователей. Если существуют оба списка 'usershare prefix deny list' и 'usershare prefix allow list', то список запретов обрабатывается в первую очередь.

Значение по умолчанию:
пустая строка

Пример:
/home /data /space</string>
      <string id="POL_1D783E13_3E5A_5FEB_B1C0_486FF385960E">usershare prefix deny list</string>
      <string id="POL_1D783E13_3E5A_5FEB_B1C0_486FF385960E_Help">Этот параметр определяет список абсолютных путей, которые не могут быть использованы в качестве домашних каталогов пользователей. Если путь к каталогу совпадает с путем из этого списка, домашний каталог не подключится. Пути, не встречающиеся в этом списке, могут быть подключены как пользовательские домашние каталоги. Это позволяет администратору Samba ограничивать каталоги в системе, которые могут быть использованы в качестве домашних каталогов пользователей. Если существуют оба списка 'usershare prefix deny list' и 'usershare prefix allow list', то список запретов обрабатывается в первую очередь.

Значение по умолчанию:
пустая строка

Пример:
/etc /dev /private</string>
      <string id="POL_2974E59A_2225_59CA_A4C8_C967FDB0E588">usershare template share</string>
      <string id="POL_2974E59A_2225_59CA_A4C8_C967FDB0E588_Help">Пользователь может определять для общего ресурса только ограниченные параметры, такие как путь, 'guest ok' и т.д. Этот параметр «клонировать» общие ресурсы пользователя из существующего общего ресурса. Если значением параметра является существующий общий ресурс, тогда все пользовательские общие ресурсы создадутся с параметрами по умолчанию как у этого ресурса.

Целевой общий ресурс может быть настроен как ошибочный общий ресурс с помощью параметра '-valid = False' и он может использоваться как шаблон. Он станет невидим как реальный общий ресурс, но может использоваться как шаблон для настройки пользовательских общих ресурсов.

Значение по умолчанию:
пустая строка

Пример:
template_share</string>
      <string id="POL_99ADA47F_F025_52B8_B8F5_DDFA0EEFEF31">utmp</string>
      <string id="POL_99ADA47F_F025_52B8_B8F5_DDFA0EEFEF31_Help">Этот параметр доступен только в том случае, если Samba сконфигурирована и собрана с опцией –with-utmp. Если параметр установлен (utmp = yes), Samba попытается добавить utmp или utmpx записи (в зависимости от системы UNIX) при каждом подключении к серверу Samba. Сайты могут использовать это для записи пользователя, соединяющегося с общим ресурсом Samba.

По требованиям к utmp записи, мы обязаны создавать уникальный идентификатор для вновь подключенного пользователя. Включение этого параметра создает n^2 алгоритм для нахождения этого числа. Это снизит быстродействие на больших серверах.

Значение по умолчанию:
utmp = no
</string>
      <string id="POL_21565354_4253_5482_97D2_9C2558461C47">utmp directory</string>
      <string id="POL_21565354_4253_5482_97D2_9C2558461C47_Help">Этот параметр доступен только в том случае, если Samba сконфигурирована и собрана с опцией --with-utmp. Он определяет путь к каталогу, используемому для хранения utmp или utmpx файлов (в зависимости от системы UNIX), используемых для записи пользователей, подключающихся к серверу Samba. По умолчанию параметр не определен, это значит, что система будет использовать любой utmp файл, используемый в операционной системе (обычно в Linux это /var/run/utmp).

Значение по умолчанию:
пустая строка (определяется автоматически)

Пример:
/var/run/utmp
 </string>
      <string id="POL_4F8E9BC0_CFAB_52F8_9C49_B8BB7400E60A">wtmp directory</string>
      <string id="POL_4F8E9BC0_CFAB_52F8_9C49_B8BB7400E60A_Help">Этот параметр доступен только в том случае, если Samba сконфигурирована и собрана с опцией --with-utmp. Он определяет путь к каталогу хранения wtmp или wtmpx файлов (в зависимости от системы UNIX), используемых для записи пользователей, подключающихся к серверу Samba. Отличается от параметра 'utmp directory' тем, что пользовательская информация сохраняется после того, как пользователь вышел из системы.

По умолчанию параметр не определен, это значит, что система будет использовать любой utmp файл, используемый в операционной системе (обычно в Linux это /var/run/wtmp).

Значение по умолчанию:
пустая строка

Пример:
/var/log/wtm</string>
      <string id="POL_83F826D3_2069_552C_8376_C0512E99728D">addport command</string>
      <string id="POL_83F826D3_2069_552C_8376_C0512E99728D_Help">В Samba 3.0.23 появилась поддержка добавления портов принтера, дистанционно использующих Windows «Add Standard TCP/IP Port Wizard» (мастер добавления стандартного TCP/IP порта). Эта опция определяет внешнюю программу, которая будет выполнена, когда smbd получает запрос добавить новый порт к системе. Сценарию передается два параметра:

  * имя порта (port name)

  * URI устройства (device URI)

URI устройства имеет формат socket://&lt;hostname&gt;[:&lt;portnumber&gt;] или lpd://&lt;hostname&gt;/&lt;queuename&gt;.

Значение по умолчанию:
пустая строка

Пример:
/etc/samba/scripts/addport.sh
</string>
      <string id="POL_B4BE84FF_FB13_5496_AC34_B15BF764F654">addprinter command</string>
      <string id="POL_B4BE84FF_FB13_5496_AC34_B15BF764F654_Help">С введением поддержки печати на основе MS-RPC клиентами Windows NT/2000 в Samba 2.2, значок MS Add Printer Wizard (APW) теперь также доступен в папке «Принтеры…» («Printers…»), отображающей список общих ресурсов. APW учитывает принтеры, чтобы добавлять их дистанционно к серверу печати Windows NT/2000 или Samba.

Для хоста Samba это означает, что принтер нужно физически добавить к базовой системе печати. Параметр 'addprinter command' определяет сценарий, который будет выполнен, чтобы добавить принтер к системе печати, и добавит соответствующие опции в файл smb.conf.

Команда добавления принтера автоматически вызывается со следующими параметрами:

  * printer name
  * share name
  * port name
  * driver name
  * location (местоположение)
  * Windows 9x driver location

Все параметры заполняются из структуры PRINTER_INFO_2, отправленной клиентом Windows NT/2000, с одним исключением. Параметр «Windows 9x driver location» включен только для обратной совместимости. Остальные поля в структуре PRINTER_INFO_2 генерируются из ответов на APW вопросы.

После выполнения команды добавления принтера, smbd повторно анализирует smb.conf, чтобы определить, существует ли общий ресурс, определенный APW. Если имя общего ресурса все еще недействителено, то smbd вернет клиенту ошибку ACCESS_DENIED.

Скрипт 'addprinter command' может вывести одну строку текста, которую Samba установит как порт, к которому подключен новый принтер. Если эта строка не выводится, Samba не будет перезагружать общий ресурс принтеров.

Значение по умолчанию:
пустая строка

Пример:
/usr/bin/addprinter</string>
      <string id="POL_D9D048A2_779C_5D85_A26E_131535508B70">cups connection timeout</string>
      <string id="POL_D9D048A2_779C_5D85_A26E_131535508B70_Help">Этот параметр применим, только если параметр 'printing' имеет значение cups.

Этот параметр определяет количество секунд, в течение которых smbd будет ждать, пытаясь связаться с сервером CUPS. Соединение не будет установлено, если оно займет больше времени, чем указанное количество секунд.

Значение по умолчанию:
30

Пример:
60</string>
      <string id="POL_AB9D00A2_AB72_5D21_94C6_8EC1238F2793">cups encrypt</string>
      <string id="POL_AB9D00A2_AB72_5D21_94C6_8EC1238F2793_Help">Этот параметр применим только в том случае, только если параметр 'printing' имеет значение cups и если используется CUPS новее 1.0.x. Параметр используется для определения, следует ли Samba использовать шифрование при разговоре с сервером CUPS. Возможные значения: auto, yes и no.

Если установлено значение auto, будут предприняты попытки выполнить шифрование TLS при каждой настройке подключения CUPS. Если это не удастся, Samba вернётся к незашифрованной работе.

Значение по умолчанию:
no</string>
      <string id="POL_CDEAD263_A87A_550A_A067_3FF8C0C60986">cups server</string>
      <string id="POL_CDEAD263_A87A_550A_A067_3FF8C0C60986_Help">Этот параметр применим, только если параметр 'printing' имеет значение cups.

Если этот параметр установлен, он переопределяет параметр ServerName в CUPS client.conf. Это необходимо, если у вас есть виртуальные серверы Samba, которые подключаются к разным демонам CUPS.

При желании можно указать порт, отделив имя сервера и номер порта двоеточием. Если порт не указан, будет использоваться порт по умолчанию для IPP (631).

Значение по умолчанию:
""

Пример:
mycupsserver

Пример:
mycupsserver:1631</string>
      <string id="POL_7CC90037_633A_5C8D_99C5_380E6B2E1EF0">deleteprinter command</string>
      <string id="POL_7CC90037_633A_5C8D_99C5_380E6B2E1EF0_Help">С введением поддержки принтеров на основе MS-RPC для клиентов Windows NT/2000 в Samba 2.2 стало возможно удалять принтер во время выполнения, выполнив RPC запрос DeletePrinter().

Для хоста Samba это означает, что принтер должен быть физически удален из базовой системы печати. Параметр 'deleteprinter command' определяет сценарий, который выполнит необходимые операции для удаления принтера из системы печати и из smb.conf.

Команда удаления принтера автоматически вызывается только с одним параметром: имя принтера.

После выполнения команды удаления принтера, smbd повторно анализирует smb.conf на предмет существования принтера. Если общий ресурс все еще существует, то smbd вернет клиенту ошибку ACCESS_DENIED.

Значение по умолчанию:
пустая строка

Пример:
/usr/bin/removeprinter</string>
      <string id="POL_60B548F0_E8B3_576F_B520_D4954AF3ED8E">disable spoolss</string>
      <string id="POL_60B548F0_E8B3_576F_B520_D4954AF3ED8E_Help">Включение этого параметра отключит поддержку в Samba SPOOLSS для MS-RPC и приведет к поведению идентичному Samba 2.0.x. Клиенты Windows NT/2000 перейдут к использованию команд печати в стиле Lanman. Этот параметр не повлияет на Windows 9x/ME. Однако он также отключит возможность загрузки драйверов принтера на сервер Samba с помощью мастера добавления принтера Windows NT или используя диалоговое окно свойств принтера NT. Также будет отключена возможность загрузки по требованию драйверов печати с главного компьютера Samba для клиентов Windows NT/2000. Будьте очень осторожны при использовании этого параметра.

Значение по умолчанию:
disable spoolss = no</string>
      <string id="POL_EAFBD5E6_54EC_5776_A757_5401DE77BBCE">enable spoolss</string>
      <string id="POL_EAFBD5E6_54EC_5776_A757_5401DE77BBCE_Help">Включение этого параметра включит поддержку в Samba SPOOLSS для MS-RPО.

См. описание опции 'disable spoolss'.

Значение по умолчанию:
enable spoolss = yes</string>
      <string id="POL_88C2E1AE_E15B_561A_83B3_A7A7610CB3A2">enumports command</string>
      <string id="POL_88C2E1AE_E15B_561A_83B3_A7A7610CB3A2_Help">Понятие «порт» довольно чуждо компьютерам UNIX. У серверов печати Windows NT/2000, порт связан с локальным портом компьютера (например, LPT1:, COM1:, FILE:) или удаленным портом (например, LPD Port Monitor,, и т.д.). По умолчанию в Samba определен только один порт — «Samba Printer Port». В Windows NT/2000 все принтеры должны иметь допустимое имя порта. Если необходимо иметь список отображенных портов (smbd, не использует имя порта для чего-нибудь), отличное от заданного по умолчанию «Samba Printer Port», можно определить параметр 'enumports command', чтобы указать на программу, которая должна генерировать список портов, по одному на строку, в стандартный вывод. Этот список затем будет использоваться в ответ на запросы уровней 1 и 2 EnumPorts() RPC.

Значение по умолчанию:
пустая строка

Пример:
/usr/bin/listports</string>
      <string id="POL_5247D3AE_60E1_526B_B3A0_956818E2EA49">iprint server</string>
      <string id="POL_5247D3AE_60E1_526B_B3A0_956818E2EA49_Help">Параметр применим только если параметр 'printing' имеет значение iprint. Если установлено, то параметр перекрывает опцию ServerName в файле CUPS client.conf. Это нужно, если у вас есть виртуальные сервера Samba, подключенные к разным CUPS демонам.

Значение по умолчанию:
""

Пример:
MYCUPSSERVER</string>
      <string id="POL_A6ACC104_2480_55A0_A53C_D38DFF7A093B">load printers</string>
      <string id="POL_A6ACC104_2480_55A0_A53C_D38DFF7A093B_Help">Булево значение, которое определяет все ли принтеры, будут загружены для просмотра по умолчанию. Смотрите секцию принтеры для получения более подробной информации.

Значение по умолчанию:
load printers = yes</string>
      <string id="POL_5CC89C3B_45B2_5C52_ADE0_79FB968E5EDE">lpq cache time</string>
      <string id="POL_5CC89C3B_45B2_5C52_ADE0_79FB968E5EDE_Help">Этот параметр контролирует то, как долго информация об lpq будет храниться в кэше для избежания слишком частых вызовов lpq. Для каждого пользователя хранится свой вариант кэша lpq, так что различные пользователи НЕ будут использовать одну и ту же информацию из кэша.

Файлы кэша хранятся в /tmp/lpq.xxxx где xxxx — хэш команды lpq.

Значение по умолчанию 30 секунд, означающее, что будут использоваться результаты выполнения команды из кэша, если она выполнена менее чем 30 секунд назад. Большое значение может быть полезным, если выполнение команд lpq в вашем случае очень медленное. Значение 0 вообще отменит кэширование.

Значение по умолчанию:
30

Пример:
10</string>
      <string id="POL_45819251_B577_5069_AA0C_AD798BFDC903">os2 driver map</string>
      <string id="POL_45819251_B577_5069_AA0C_AD798BFDC903_Help">Параметр используется для определения абсолютного пути к файлу, содержащему схему преобразования имен драйверов принтеров Windows NT к схеме OS/2. Формат следующий:

  &lt;nt driver name&gt; = &lt;os2 driver name&gt;.&lt;device name&gt;

Например, для имени драйвера принтера HP LaserJet 5 запись будет иметь вид HP LaserJet 5L = LASERJET.HP LaserJet 5L.

Необходимость в этом файле связана с проблемой пространства имен драйвера принтера, описанной в разделе «Classical Printing» руководства Samba3-HOWTO. Для получения более подробной информации по клиентам OS/2, смотрите раздел «по другим клиентам» руководства Samba3-HOWTO.

Значение по умолчанию:
пустая строка</string>
      <string id="POL_40CAC79E_549A_5AAA_8FD3_DDF6FDC3EF35">printcap cache time</string>
      <string id="POL_40CAC79E_549A_5AAA_8FD3_DDF6FDC3EF35_Help">Этот параметр указывает количество секунд, через которое подсистема печати будет опрошена о состоянии принтеров.

Установка для этого параметра значения 0 отключает любое повторное сканирование новых или удаленных принтеров после первоначального запуска демона.

Значение по умолчанию:
750

Пример:
600</string>
      <string id="POL_A0530959_BE77_53B1_82AC_B3E11CA6D2D8">printcap name</string>
      <string id="POL_A0530959_BE77_53B1_82AC_B3E11CA6D2D8_Help">Этот параметр может быть использован для переопределения скомпилированного printcap name, используемого сервером (обычно /etc/printcap). В секции [printers] (smb.conf(5)) описано, почему это может потребоваться.

Для использования интерфейса CUPS установите 'printcap name = cups'. Это должно быть подкреплено дополнительно установкой параметра 'printing = cups' в секции [global]. 'printcap name = cups' будет использовать «фиктивный» («dummy») printcap, созданный CUPS, как указано в конфигурационном файле CUPS.

В системах System V, которые используют lpstat для получения списка доступных принтеров, для этих целей можно использовать 'printcap name = lpstat'. Это значение по умолчанию для систем, которые определяют SYSV во время настройки в Samba (это большинство ОС основанных на System V). Если в этих системах параметр 'printcap name' установлен в значение lpstat, тогда Samba запустит команду 'lpstat -v' и попытается проанализировать вывод, чтобы получить список принтеров.

Минимальный файл printcap будет выглядеть примерно так:

print1|My Printer 1
print2|My Printer 2
print3|My Printer 3
print4|My Printer 4
print5|My Printer 5

где знак ‘|’ разделяет псевдонимы принтеров. Тот факт, что во втором псевдониме есть пробел подсказывает Samba, что это комментарий.

Замечание: В ОС AIX значением параметра 'printcap name' по умолчанию является /etc/qconfig. Samba предполагает, что файл имеет формат AIX, если встретит подстроку qconfig в пути к файлу.

Значение по умолчанию:
/etc/printcap

Пример:
/etc/myprintcap</string>
      <string id="POL_73B2297D_6138_544A_BAF8_A31CC8192C22">show add printer wizard</string>
      <string id="POL_73B2297D_6138_544A_BAF8_A31CC8192C22_Help">С появлением в Samba 2.2 поддержки печати, основанной на MS-RPC клиентов Windows NT/2000, будет видна папка «Принтеры» на компьютере с Samba. Обычно эта папка содержит ярлык к «мастеру установки принтеров» («MS Add Printer Wizard»). Однако эту функцию можно отключить, причем, несмотря на привилегии пользователя.

В нормальной ситуации клиент Windows NT/2000 обращается к серверу печати с помощью OpenPrinterEx(), запросив права администратора. Если у пользователя нет доступа к серверу печати (например, он НЕ root и не член группы printer admin), вызов OpenPrinterEx() завершится неудачей и клиент выполняет еще один вызов, который требует более низких привилегий. Этот запрос должен пройти успешно, но иконка «мастера установки принтера» не будет показана. Отключение параметра 'show add printer wizard' предопределит вызов OpenPrinterEx() — он всегда будет завершаться неудачей. Таким образом, иконка никогда не будет показана.

Замечание:
Это не запрещает пользователю иметь административные права на какой-либо принтер.

Значение по умолчанию:
show add printer wizard = yes</string>
      <string id="POL_3CD8EF2C_23D9_58C5_A92C_3E1C2E4F3A4A">spoolss: architecture</string>
      <string id="POL_3CD8EF2C_23D9_58C5_A92C_3E1C2E4F3A4A_Help">Клиенты печати Windows с буферизацией позволяют связывать серверные драйверы с принтерами только в том случае, если архитектура драйвера соответствует объявленной архитектуре сервера печати. С помощью этого параметра можно изменить архитектуру сервера печати с буфером печати Samba.

Значение по умолчанию:
Windows NT x86

Пример:
Windows x64</string>
      <string id="POL_DE5BD97B_EB5B_571A_98EE_814B2C006262">spoolss: os_major</string>
      <string id="POL_DE5BD97B_EB5B_571A_98EE_814B2C006262_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 5.0.2195 (Windows 2000). Например, 6.1.7601 (Windows 2008 R2).

Значение по умолчанию:
5

Пример:
6</string>
      <string id="POL_5EB4315D_6DDE_50E9_A228_2F5062CB23B9">spoolss: os_minor</string>
      <string id="POL_5EB4315D_6DDE_50E9_A228_2F5062CB23B9_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 5.0.2195 (Windows 2000). Например, 6.1.7601 (Windows 2008 R2).

Значение по умолчанию:
0

Пример:
1</string>
      <string id="POL_FEE2B5DC_E367_5173_8A6A_43EB82F22680">spoolss: os_build</string>
      <string id="POL_FEE2B5DC_E367_5173_8A6A_43EB82F22680_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 5.0.2195 (Windows 2000). Например, 6.1.7601 (Windows 2008 R2).

Значение по умолчанию:
2195

Пример:
7601</string>
      <string id="POL_6E7AC428_65F6_5006_97A7_B985AE445E43">spoolss_client: os_major</string>
      <string id="POL_6E7AC428_65F6_5006_97A7_B985AE445E43_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 6.1.7007 (Windows 7 и Windows Server 2008 R2).

Значение по умолчанию:
6</string>
      <string id="POL_732E108C_5701_547E_903E_6112EDF3E999">spoolss_client: os_minor</string>
      <string id="POL_732E108C_5701_547E_903E_6112EDF3E999_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 6.1.7007 (Windows 7 и Windows Server 2008 R2).

Значение по умолчанию:
1</string>
      <string id="POL_CBC8563A_7BEB_54F3_8554_74815EF130DF">spoolss_client: os_build</string>
      <string id="POL_CBC8563A_7BEB_54F3_8554_74815EF130DF_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 6.1.7007 (Windows 7 и Windows Server 2008 R2).

Значение по умолчанию:
7007</string>
      <string id="POL_A51777A2_FA82_5D61_B7E1_9B223537A750">cldap port</string>
      <string id="POL_A51777A2_FA82_5D61_B7E1_9B223537A750_Help">Эта опция контролирует порт, используемый протоколом CLDAP.

Значение по умолчанию:
389

Пример:
3389</string>
      <string id="POL_E2162FCB_2AF4_5BED_8254_84C87787CAA8">client ipc max protocol</string>
      <string id="POL_E2162FCB_2AF4_5BED_8254_84C87787CAA8_Help">Значение параметра (строка) — это самый высокий уровень протокола, который будет поддерживаться для соединений IPC$ в качестве транспорта DCERPC.

Обычно этот параметр не следует устанавливать, так как фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола.

Значение default относится к последнему поддерживаемому протоколу, в настоящее время это SMB3_11.

См. полный список доступных протоколов в описании параметра 'client max protocol'. Значения CORE, COREPLUS, LANMAN1, LANMAN2 автоматически обновляются до NT1.

Значение по умолчанию:
default

Пример:
SMB2_10</string>
      <string id="POL_86DD41DB_D3AE_5445_8E2D_335E8182ECDF">client ipc min protocol</string>
      <string id="POL_86DD41DB_D3AE_5445_8E2D_335E8182ECDF_Help">Значение параметра (строка) — это самый минимальный уровень протокола, который будет поддерживаться для соединений IPC$ в качестве транспорта DCERPC.

Обычно этот параметр не следует устанавливать, так как фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола.

Значение default относится к последнему поддерживаемому протоколу, в настоящее время это SMB3_11.

См. полный список доступных протоколов в описании параметра 'client max protocol'. Значения CORE, COREPLUS, LANMAN1, LANMAN2 автоматически обновляются до NT1.

Значение по умолчанию:
default

Пример:
SMB3_11</string>
      <string id="POL_8E18914D_E4D5_5B9E_8641_02F84DEA8092">client max protocol</string>
      <string id="POL_8E18914D_E4D5_5B9E_8641_02F84DEA8092_Help">Значение параметра (строка) — это самый высокий уровень протокола, который будет поддерживаться клиентом.

Возможные значения:

  * CORE: Самая ранняя версия. Концепция имен пользователей отсутствует.
  * COREPLUS: Небольшие улучшения в CORE для повышения эффективности.
  * LANMAN1: Первая современная версия протокола. Поддержка длинных файлов.
  * LANMAN2: Обновление протокола Lanman1.
  * NT1: Текущая последняя версия протокола. Используется Windows NT. Известна как CIFS.
  * SMB2: Повторная реализация протокола SMB. Используется Windows Vista и более поздними версиями Windows. SMB2 имеет подпротоколы.
    * SMB2_02: Самая ранняя версия SMB2.
    * SMB2_10: Версия Windows 7 SMB2.
    * SMB2_22: Ранняя версия Windows 8 SMB2.
    * SMB2_24: Бета-версия SMB2 для Windows 8.
  По умолчанию SMB2 выбирает вариант SMB2_10.
  * SMB3: То же, что и SMB2. Используется Windows 8. SMB3 имеет подпротоколы.
    * SMB3_00: Версия Windows 8 SMB3 (в основном то же, что и SMB2_24).
    * SMB3_02: Версия Windows 8.1 SMB3.
    * SMB3_10: Ранняя техническая предварительная версия Windows 10 SMB3.
    * SMB3_11: Техническая предварительная версия Windows 10 SMB3 (возможно, окончательная).
  По умолчанию SMB3 выбирает вариант SMB3_11.

Обычно эту опцию не следует устанавливать, поскольку фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола.

Значение default относится к SMB3_11.

IPC$ соединения для DCERPC, например в winbindd, обрабатываются опцией 'client ipc max protocol'.

Значение по умолчанию:
default

Пример:
LANMAN1</string>
      <string id="POL_277C30D1_A2C2_5AB4_8748_A9ECC063AE91">client min protocol</string>
      <string id="POL_277C30D1_A2C2_5AB4_8748_A9ECC063AE91_Help">Этот параметр определяет минимальную версию протокола, которую клиент попытается использовать.

Обычно этот параметр не следует устанавливать, поскольку фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола (если не происходит подключение к устаревшему серверу, поддерживающему только SMB1).

См. полный список доступных протоколов в описании параметра 'client max protocol'.

IPC$ соединения для DCERPC, например в winbindd обрабатываются опцией 'client ipc min protocol'.

Обратите внимание, что большинство инструментов командной строки поддерживают --option = 'client min protocol = NT1', поэтому может не потребоваться глобальное включение протоколов SMB1 в smb.conf.

Значение по умолчанию:
SMB2_02

Пример:
NT1</string>
      <string id="POL_89A40B64_721B_55DF_841D_C3481F32C2FF">client use spnego</string>
      <string id="POL_89A40B64_721B_55DF_841D_C3481F32C2FF_Help">Этот параметр устарел, начиная с Samba 4.13, и поддержка аутентификации NTLMv2, NTLM и LanMan без NTLMSSP будет удалена в следующем выпуске Samba.

То есть в будущем параметр 'client use spnego' будет установлен по умолчанию.

Эта переменная определяет, будут ли клиенты Samba пытаться использовать простой и защищенный NEGOciation (как указано в rfc2478) с поддерживающими серверами (включая WindowsXP, Windows2000 и Samba 3.0) для согласования механизма аутентификации. Это, в частности, включает проверку подлинности Kerberos.

Когда этот параметр установлен, для использования NTLMv2 только в рамках NTLMSSP требуется расширенная безопасность (SPNEGO). Такое поведение было введено в исправлениях для CVE-2016-2111.

Значение по умолчанию:
client use spnego = yes</string>
      <string id="POL_FCF4AF88_1B2D_5A6E_B630_7E88FA13F4EB">dcerpc endpoint servers</string>
      <string id="POL_FCF4AF88_1B2D_5A6E_B630_7E88FA13F4EB_Help">Указывает, какие серверы конечных точек DCE/RPC должны быть запущены.

Значение по умолчанию:
epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver

Пример:
rpcecho</string>
      <string id="POL_73CE9581_7CF3_5CD8_ABBD_3DD273E7ED10">defer sharing violations</string>
      <string id="POL_73CE9581_7CF3_5CD8_ABBD_3DD273E7ED10_Help">При открытии файла Windows позволяет определять, как файл будет использоваться совместно несколькими процессами. Ошибки совместного доступа возникают, когда файл открывается другим процессом с параметрами, которые нарушают общие параметры, заданные другими процессами. Этот параметр заставляет smbd действовать как сервер Windows и задерживать сообщение об ошибке совместного доступа («sharing violation») на срок до одной секунды, позволяя клиенту вызвавшему нарушение закрыть файл.

По умолчанию UNIX так себя не ведет.

Не отключайте этот параметр, так как он предназначен для того, чтобы Samba могла более корректно эмулировать Windows.

Значение по умолчанию:
defer sharing violations = yes</string>
      <string id="POL_951C9DAC_2C21_58B0_8B22_D9D2CCEB1755">dgram port</string>
      <string id="POL_951C9DAC_2C21_58B0_8B22_D9D2CCEB1755_Help">Указывает, на каких портах сервер должен прослушивать пакеты NetBIOS.

Значение по умолчанию:
138</string>
      <string id="POL_401F735E_7E1F_5EBC_A3E3_9642A9F023DA">disable netbios</string>
      <string id="POL_401F735E_7E1F_5EBC_A3E3_9642A9F023DA_Help">Включение этого параметра отключит поддержку NetBIOS в Samba. NetBIOS — единственная доступная форма просмотра во всех версиях Windows, кроме 2000 и XP.

Обратите внимание, что если поддержка NetBIOS отключена, клиенты, которые поддерживают только NetBIOS, не смогут видеть сервер Samba.

Значение по умолчанию:
disable netbios = no </string>
      <string id="POL_6BB5884D_D948_5765_B165_FCB496E3A64A">enable asu support</string>
      <string id="POL_6BB5884D_D948_5765_B165_FCB496E3A64A_Help">Компьютеры, использующие продукты «Advanced Server for Unix (ASU)» требуют создания общего ресурса [ADMIN$] для поддержания IPC соединений. Уже много лет это поведение по умолчанию в smbd. Однако, некоторые приложения Microsoft, такие как Print Migrator tool, требуют, чтобы удаленный сервер поддерживал общий ресурс [ADMIN$]. Отключение этого параметра разрешает создавать общий ресурс [ADMIN$] в файле smb.conf.

Значение по умолчанию:
enable asu support = no
</string>
      <string id="POL_D389B35D_C2C8_5971_A195_FBD8C0AAC94C">eventlog list</string>
      <string id="POL_D389B35D_C2C8_5971_A195_FBD8C0AAC94C_Help">Эта опция определяет список лог файлов, которые Samba по запросу отправляет утилите Microsoft EventViewer. Перечисленные журналы будут связаны с tdb-файлом на диске в $(statedir)/eventlog.

Администратор должен использовать внешний процесс, чтобы распарсить обычные файлы Unix-логов, такие как /var/log/messages и затем записывать информацию в tdb-файлы журнала событий. Обратитесь к eventlogadm(8) утилите для того, чтобы узнать, как записывать записи в журнал событий (eventlog).

Значение по умолчанию:
пустая строка

Пример:
Security Application Syslog Apache
</string>
      <string id="POL_04CE2D0D_386E_5CA3_B450_F1BC9FC9CC9B">large readwrite</string>
      <string id="POL_04CE2D0D_386E_5CA3_B450_F1BC9FC9CC9B_Help">Этот параметр определяет, поддерживает ли smbd(8) новый 64-килобайтный поток чтения записи SMB запросов введенный в Windows 2000. Обратите внимание, что из-за ошибок редиректа клиентов Windows 2000 требуется, чтобы Samba работала в 64-разрядной операционной системе, такой как IRIX, Solaris или ядро Linux 2.4. При использовании возможно увеличение производительности на 10% с клиентами Windows 2000. Не протестирован с другими частями кода Samba.

Значение по умолчанию:
large readwrite = yes</string>
      <string id="POL_63F5048E_6174_5012_8637_738DD79034E5">lsa over netlogon</string>
      <string id="POL_63F5048E_6174_5012_8637_738DD79034E5_Help">Установка этого устаревшего параметра позволит серверу RPC в AD DC отвечать интерфейсу LSARPC на канале IPC \pipe\netlogon.

Если параметр включен, это соответствует поведению Microsoft Windows из-за их внутреннего выбора реализации.

Если параметр отключен (по умолчанию), AD DC может предложить улучшенную производительность, поскольку сервер входа в сеть отделен и может работать как несколько процессов.

Значение по умолчанию:
lsa over netlogon = no</string>
      <string id="POL_87E8C778_F6AC_5666_8855_D40F11853504">max mux</string>
      <string id="POL_87E8C778_F6AC_5666_8855_D40F11853504_Help">Этот параметр контролирует максимальное количество невыполненных одновременных операций SMB2, которое Samba разрешает клиенту. Никогда не нужно менять значение этого параметра.

Значение по умолчанию:
50</string>
      <string id="POL_E754670E_4295_5CAC_8817_8C848E31BA0B">max ttl</string>
      <string id="POL_E754670E_4295_5CAC_8817_8C848E31BA0B_Help">Этот параметр сообщает демону smbd(8), какое по умолчанию «время жизни» («time to live») NetBIOS-имён должно быть (в секундах), когда nmbd запрашивает имя с помощью широковещательного пакета или с WINS-сервера. Никогда не нужно изменять значение этого параметра. Значение по умолчанию 3 дня.

Значение по умолчанию:
259200</string>
      <string id="POL_0AAACA11_DE41_5664_A306_F44D752598C5">max xmit</string>
      <string id="POL_0AAACA11_DE41_5664_A306_F44D752598C5_Help">Эта опция задаёт максимальный размер пакета, который будет согласован между Samba и smbd(8) для установления соединения по протоколу SMB1. Значение по умолчанию 16644, что соответствует поведению Windows 2000. Значение ниже 2048 скорее всего вызывет проблемы. Никогда не нужно изменять значение этого параметра.

Значение по умолчанию:
16644

Пример:
8192
</string>
      <string id="POL_24E58521_FFD2_5ADE_A9C8_4050EE408BC2">min receivefile size</string>
      <string id="POL_24E58521_FFD2_5ADE_A9C8_4050EE408BC2_Help">Этот параметр изменяет поведение smbd(8) при обработке вызовов SMBwriteX. Любой входящий вызов SMBwriteX в неподписанном соединении SMB/CIFS, превышающий это значение, не будет обрабатываться обычным способом, но будет передан любому базовому вызову recvfile ядра или системному вызову splice (если такого вызова нет, Samba будет эмулировать в пользовательском пространстве). Это позволяет записывать zero-copy непосредственно из буферов сетевых сокетов в буферный кэш файловой системы, если таковой имеется. Это может улучшить производительность, но рекомендуется пользовательское тестирование. Если установлено значение 0, Samba обрабатывает вызовы SMBwriteX как обычно. Чтобы включить поддержку большой записи POSIX (SMB/CIFS записывает до 16 МБ), этот параметр должен быть ненулевым. Максимальное значение 128к. Значения больше 128k будут автоматически установлены на 128k.

Обратите внимание, что этот параметр не будет иметь ЭФФЕКТА, если он установлен для подключения с подписью SMB.

По умолчанию — 0, что отключает эту опцию.

Значение по умолчанию:
0</string>
      <string id="POL_1DDE423B_1CCB_5179_87D3_1FEE7D4CA621">name resolve order</string>
      <string id="POL_1DDE423B_1CCB_5179_87D3_1FEE7D4CA621_Help">Этот параметр используется программами из набора Samba для определения того, какие сервисы имен использовать и в каком порядке разрешать имена хостов в IP-адреса. Его основная цель — управлять тем, как выполняется разрешение имен NetBIOS. В этом параметре указываются строковые значения разделенные пробелами.

Возможные значения: lmhosts, host, wins и bcast&quot;. Они означают:

  * lmhosts — искать IP-адрес в файле Samba lmhosts. Если в строке файла lmhosts не указан тип имени NetBIOS (см. man lmhosts), то для поиска подходит любой тип имени.

  * host — произвести стандартную трансляцию имени хоста в IP-адрес, используя /etc/hosts, NIS или DNS запрос. Этот метод разрешения зависит от операционной системы, например в IRIX или Solaris, им можно управлять с помощью файла /etc/nsswitch.conf. Обратите внимание на то, что этот метод используется только тогда, когда тип запрашиваемого имени NetBIOS 0×20 (server) или 0×1c (domain controllers). Последний случай применим только для доменов AD и в результате будет DNS запрос для вхождения SRV RR соответсвующего _ldap._tcp.domain.

  * wins — определить IP-адрес по имени, обозначенном в параметре 'wins server'. Если сервер WINS не указан, то метод будет проигнорирован.

  * bcast — сделать широковещательный запрос по всем интерфейсам, перечисленным в параметре 'interfaces'. Это наименее надежный из методов разрешения имен, поскольку он зависит от того, находится ли целевой хост в локальной подсети.

Пример ниже обозначает следующий порядок: сначала искать в локальном файле lmhosts, затем выполнить широковещательный запрос, затем использовать средства операционной системы.

Рекомендуется использовать следующие настройки при работе Samba в режиме 'security = ads':

name resolve order = wins bcast

Запросы домен-контроллера все еще будут выполняться с помощью DNS, но в случае отката на имена NetBIOS, не затопит DNS-сервера запросами типа DOMAIN&lt;0x1c&gt; lookups.

Значение по умолчанию:
lmhosts host wins bcast

Пример:
lmhosts bcast host</string>
      <string id="POL_B1C3F6FC_E4FB_58A7_9CE4_50090EF8FF17">nbt port</string>
      <string id="POL_B1C3F6FC_E4FB_58A7_9CE4_50090EF8FF17_Help">Указывает, какой порт должен использовать сервер для трафика NetBIOS через службы IP-имен.

Значение по умолчанию:
137</string>
      <string id="POL_E2A4C01A_1EFC_5826_9D3A_A4AD065518EF">nt pipe support</string>
      <string id="POL_E2A4C01A_1EFC_5826_9D3A_A4AD065518EF_Help">Этот параметр определяет, будет ли демон smbd(8) позволять клиентам Windows NT подсоединяться к ресурсам IPC$ (характерным для NT SMB). Эта опция сделана в отладочных целях (для разработчиков), поэтому не нужно изменять её значение.

Значение по умолчанию:
nt pipe support = yes</string>
      <string id="POL_C1F0941D_67B4_55EA_A915_6F5E9A945E57">nt status support</string>
      <string id="POL_C1F0941D_67B4_55EA_A915_6F5E9A945E57_Help">Этот параметр определяет, будет ли демон smbd(8) объявлять поддержку специфического статуса NT при работе с клиентами Windows NT/2k/XP. Параметр создан разработчиками для отладки, поэтому не нужно изменять её значение. Если 'nt status support = no', то Samba будет генерировать ошибки DOS аналогично версии 2.2.3 и ниже.

Никогда не нужно отключать этот параметр (устанавливать значение 'nt status support = no').

Значение по умолчанию:
nt status support = yes</string>
      <string id="POL_CDB6A4B8_D076_5332_9EA2_CC994C8B45C7">read raw</string>
      <string id="POL_CDB6A4B8_D076_5332_9EA2_CC994C8B45C7_Help">Этот параметр игнорируется, если установлен параметр 'async smb echo handler', потому что эта функция несовместима с необработанными запросами чтения SMB.

Если параметр включен, «сырые запросы» (raw reads) будут передаваться по 65535 байт в одном пакете. Обычно это дает значительный прирост производительности для очень и очень старых клиентов.

Однако некоторые клиенты либо неправильно согласовывают допустимый размер блока, либо не могут поддерживать большие размеры блока, и для этих клиентов может потребоваться отключить этот параметр.

Этот параметр следует рассматривать как инструмент настройки системы и не изменять его значение.

Значение по умолчанию:
read raw = yes
</string>
      <string id="POL_F9AD06B5_1870_5BE4_87A9_08E3821667E4">rpc big endian</string>
      <string id="POL_F9AD06B5_1870_5BE4_87A9_08E3821667E4_Help">Установка этого параметра заставит RPC-клиент и сервер передавать данные с обратным порядком следования байтов (big endian).

Если этот параметр не установлен, данные будут передаваться с прямым порядком следования байтов (little endian).

Поведение не зависит от порядка байтов хоста.

Значение по умолчанию:
rpc big endian = no</string>
      <string id="POL_380E7843_58D7_505E_9092_392FE1FC4BA2">rpc server port</string>
      <string id="POL_380E7843_58D7_505E_9092_392FE1FC4BA2_Help">Указывает, какой порт сервер должен прослушивать для трафика DCE/RPC через TCP/IP.

Этот параметр управляет портом по умолчанию для всех протоколов, кроме NETLOGON.

Если параметр не установлен, используется первый доступный порт из диапазона динамических портов сервера RPC, например 49152.

Сервер NETLOGON будет использовать следующий доступный порт, например 49153. Можно изменить этот порт, например, 'rpc server port:netlogon = 4000'.

Кроме того, все можно указать порт независимо для каждого сервера RPC, например, 'rpc server port:drsuapi = 5000'.

Этот параметр в настоящее время применяется только тогда, когда samba(8) работает как контроллер домена Active Directory.

Значение по умолчанию 0 заставляет Samba выбирать первый доступный порт из динамического диапазона портов сервера RPC (параметр 'rpc server dynamic port range').

Значение по умолчанию:
0</string>
      <string id="POL_D910FC29_975B_5105_97C8_BD75D68FDC5F">server max protocol</string>
      <string id="POL_D910FC29_975B_5105_97C8_BD75D68FDC5F_Help">Значение параметра (строка) — это самый высокий уровень протокола, который будет поддерживаться сервером.

Возможные значения:
  * LANMAN1: Первая современная версия протокола. Поддержка длинных файлов.
  * LANMAN2: Обновление протокола Lanman1.
  * NT1: Текущая последняя версия протокола. Используется Windows NT. Известная как CIFS.
  * SMB2: повторная реализация протокола SMB. Используется Windows Vista и более поздними версиями Windows. SMB2 имеет подпротоколы:
    * SMB2_02: самая ранняя версия SMB2.
    * SMB2_10: версия Windows 7 SMB2.
    * SMB2_22: Ранняя версия Windows 8 SMB2.
    * SMB2_24: бета-версия SMB2 для Windows 8.
  По умолчанию SMB2 выбирает вариант SMB2_10.
  * SMB3: тоже, что и SMB2. Используется в Windows 8. SMB3 имеет подпротоколы:
    * SMB3_00: версия SMB3 для Windows 8 (в основном то же, что и SMB2_24).
    * SMB3_02: версия SMB3 Windows 8.1.
    * SMB3_10: техническая предварительная версия SMB3 для ОС до Windows 10.
    * SMB3_11: техническая предварительная версия SMB3 для Windows 10 (возможно окончательная).
  По умолчанию SMB3 выбирает вариант SMB3_11.

Эта опция не должна устанавливаться при нормальном режиме работы, т.к. протокол SMB сам позаботиться о выборе подходящего протокола на стадии автоматического согласования параметров.

Значение по умолчанию:
SMB3

Пример:
LANMAN1</string>
      <string id="POL_98D56061_466A_5DDE_BFF3_8A194DE5FE2E">server min protocol</string>
      <string id="POL_98D56061_466A_5DDE_BFF3_8A194DE5FE2E_Help">Этот параметр определяет минимальную версию протокола, которую сервер разрешает использовать клиенту.

Эта опция не должна устанавливаться при нормальном режиме работы, т.к. протокол SMB сам позаботиться о выборе подходящего протокола на стадии автоматического согласования параметров, если только у вас нет устаревших клиентов, поддерживающих только SMB1.

См. полный список доступных протоколов в описании параметра 'server max protocol'.

Значение по умолчанию:
SMB2_02

Пример:
NT1</string>
      <string id="POL_2A034462_D418_5914_B24C_6535DD368A66">share:fake_fscaps</string>
      <string id="POL_2A034462_D418_5914_B24C_6535DD368A66_Help">Этот параметр необходим для поддержки некоторого специального приложения, которое вызывает QFSINFO, чтобы проверить, установлен ли бит SPARSE_FILES (0x40). Если этот бит не установлен, то конкретное приложение отказывается работать с Samba. При 'share:fake_fscaps = 64' устанавливается флаг возможности файловой системы SPARSE_FILES. Используйте другие десятичные значения, чтобы указать битовую маску, которую нужно подделать.

Значение по умолчанию:
0</string>
      <string id="POL_A3F9ABC7_494B_5007_B5A1_1DA0B9FC345D">smb2 max credits</string>
      <string id="POL_A3F9ABC7_494B_5007_B5A1_1DA0B9FC345D_Help">Этот параметр контролирует максимальное количество невыполненных одновременных операций SMB2, которое Samba разрешает клиенту. Аналогичен параметру 'max mux' для SMB1. Никогда не нужно менять значение этого параметра.

Значение по умолчанию — 8192 credits, что аналогично серверу SMB2 в Windows 2008R2.

Значение по умолчанию:
8192</string>
      <string id="POL_209C2DE8_5843_50FC_9B61_A3F3EBFE95B5">smb2 max read</string>
      <string id="POL_209C2DE8_5843_50FC_9B61_A3F3EBFE95B5_Help">Эта опция определяет значение протокола, которое smbd(8) будет возвращать клиенту, информируя клиента о самом большом размере, который может быть возвращен одним вызовом чтения SMB2.

Максимальный размер составляет 8388608 байт (8 МБ), что соответствует уровню Windows Server 2012 r2.

Обратите внимание, что значение по умолчанию — 8 МБ, но это ограничение основано на диалекте smb2 (64КБ для SMB == 2.0, 8МБ для SMB &gt;= 2.1 с LargeMTU). Large MTU не поддерживается через NBT (TCP-порт 139).

Значение по умолчанию:
8388608</string>
      <string id="POL_0696582B_7928_558B_B4DA_9A0C647CFBB8">smb2 max trans</string>
      <string id="POL_0696582B_7928_558B_B4DA_9A0C647CFBB8_Help">Эта опция указывает значение протокола, которое smbd(8) будет возвращать клиенту, информируя клиента о самом большом размере буфера, который может использоваться при запросе метаданных файла через QUERY_INFO и соответствующие вызовы SMB2.

Максимальный размер составляет 8388608 байт (8 МБ), что соответствует уровню Windows Server 2012 r2.

Обратите внимание, что значение по умолчанию — 8 МБ, но это ограничение основано на диалекте smb2 (64 КБ для SMB == 2.0, 1 МБ для SMB &amp; gt; = 2.1 с LargeMTU). Large MTU не поддерживается через NBT (TCP-порт 139).

Значение по умолчанию:
8388608</string>
      <string id="POL_DA17FE47_6637_50D0_9AD1_A95AAA49F717">smb2 max write</string>
      <string id="POL_DA17FE47_6637_50D0_9AD1_A95AAA49F717_Help">Эта опция указывает значение протокола, которое smbd(8) будет возвращать клиенту, информируя клиента о самом большом размере, который может быть отправлен на сервер одним вызовом записи SMB2.

Максимальный размер составляет 8388608 байт (8 МБ), что соответствует уровню Windows Server 2012 r2.

Обратите внимание, что значение по умолчанию — 8 МБ, но это ограничение основано на диалекте smb2 (64 КБ для SMB == 2.0, 1 МБ для SMB &amp; gt; = 2.1 с LargeMTU). Large MTU не поддерживается через NBT (TCP-порт 139).

Значение по умолчанию:
8388608</string>
      <string id="POL_97C2005C_F45B_5675_B450_75842A4139F0">smb ports</string>
      <string id="POL_97C2005C_F45B_5675_B450_75842A4139F0_Help">Указывает, на каких портах сервер должен прослушивать SMB-трафик.

Значение по умолчанию:
445 139</string>
      <string id="POL_5B8B1A0B_AC6B_5E89_8FDE_4CBE538A9CB8">svcctl list</string>
      <string id="POL_5B8B1A0B_AC6B_5E89_8FDE_4CBE538A9CB8_Help">Этот параметр определяет список сценариев init, которые smbd будет использовать для запуска и остановки служб Unix через Win32 ServiceControl API. Это позволяет администраторам Windows использовать плагины MS Management Console для управления сервером Unix, на котором работает Samba.

Администратор должен создать каталог svcctl в каталоге Samba, указанном в переменной $(libdir), и создать символические ссылки на сценарии инициализации в /etc/init.d/. Имя ссылок должно совпадать с именами, указанными в списке svcctl.

Значение по умолчанию:
пустая строка

Пример:
cups postfix portmap httpd</string>
      <string id="POL_0E701672_524B_56CE_9C43_D9DE631558EA">time server</string>
      <string id="POL_0E701672_524B_56CE_9C43_D9DE631558EA_Help">Этот параметр определяет, будет ли nmbd(8) выступать сервером времени для клиентов Windows.

Значение по умолчанию:
time server = no</string>
      <string id="POL_B8322D3C_E4C4_5EAD_AE99_B912C35C56C8">unicode</string>
      <string id="POL_B8322D3C_E4C4_5EAD_AE99_B912C35C56C8_Help">Указывает, должны ли сервер и клиент поддерживать Unicode.

Если этот параметр выключен (unicode = no), использование ASCII будет принудительным.

Значение по умолчанию:
unicode = yes</string>
      <string id="POL_4A31BF60_B9E4_5E35_B979_A1C15754CA9A">unix extensions</string>
      <string id="POL_4A31BF60_B9E4_5E35_B979_A1C15754CA9A_Help">Параметр включает поддержку расширений CIFS UNIX от HP, что позволяет Samba лучше взаимодействовать с клиентами UNIX CIFS, включая поддержку символических ссылок, жестких ссылок и т.д. Эти расширения работают со специально настроенными клиентами и не применимы для клиентов Windows.

Обратите внимание: если этот параметр включен, параметр 'wide links' автоматически отключается.

См. параметр 'allow insecure wide links ', если нужно изменить связь между двумя параметрами.

Значение по умолчанию:
unix extensions = yes</string>
      <string id="POL_911349A8_68E0_5370_B0C8_1E5D4DD47DA4">write raw</string>
      <string id="POL_911349A8_68E0_5370_B0C8_1E5D4DD47DA4_Help">Этот параметр игнорируется, если установлен параметр 'async smb echo handler', потому что эта функция несовместима с необработанными запросами записи SMB.

Если этот параметр включен, необработанные записи позволяют записывать 65535 байт в одном пакете. Обычно это дает значительное преимущество в производительности для очень и очень старых клиентов.

Однако некоторые клиенты либо неправильно согласовывают допустимый размер блока, либо не могут поддерживать большие размеры блока, и для этих клиентов может потребоваться отключить необработанные записи.

В общем, этот параметр следует рассматривать как инструмент настройки системы и не изменять его значение.

Значение по умолчанию:
write raw = yes</string>
      <string id="POL_585034D0_C9E6_568C_AF40_354A01C24E02">server multi channel support</string>
      <string id="POL_585034D0_C9E6_568C_AF40_354A01C24E02_Help">Этот логический параметр определяет, будет ли smbd(8) поддерживать многоканальность SMB3.

Этот параметр был добавлен в версии 4.4.

Предупреждение: обратите внимание, что эта функция все еще считается экспериментальной. Используйте её на свой страх и риск: даже если она может показаться хорошо работающей при тестировании, при определенных условиях она может привести к повреждению данных. Будущие выпуски могут улучшить эту ситуацию.

Из-за зависимости от API ядра Linux или FreeBSD, на данный момент эту функцию можно использовать только в Linux и FreeBSD. Для тестирования это ограничение можно перезаписать, указав дополнительно 'force: server multi channel support = yes'.

Значение по умолчанию:
server multi channel support = no</string>
      <string id="POL_4553EC0B_4966_52CE_83C6_948DAC67A281">smb2 disable lock sequence checking</string>
      <string id="POL_4553EC0B_4966_52CE_83C6_948DAC67A281_Help">Этот логический параметр определяет, будет ли smbd(8) отключать проверку последовательности блокировок даже для многоканальных соединений, а также для надежных дескрипторов.

В спецификации [MS-SMB2] (разделе 3.3.5.14 Receiving an SMB2 LOCK Request) указано, что сервер должен выполнить последовательность блокировок, если Open.IsResilient или Open.IsDurable или Open.IsPersistent имеет значение TRUE или если Connection.Dialect принадлежит семейству SMB 3.x диалектов и Connection.ServerCapabilities включают SMB2_GLOBAL_CAP_MULTI_CHANNEL.

Но Windows Server (по крайней мере, до v2004) выполняет эти проверки только для Open.IsResilient и Open.IsPersistent. Это означает, что они не реализуют поведение указанное в [MS-SMB2].

По умолчанию Samba ведет себя в соответствии со спецификацией и отправляет повторные попытки уведомления о прерывании блокировки smb2.

Предупреждение. Включайте этот параметр, только если существующие клиенты не могут обрабатывать проверку последовательности блокировок для дескрипторов без Open.IsResilient и Open.IsPersistent, и оказывается, что требуется поведение Windows Server.

Примечание. Вполне вероятно, что этот параметр будет снова удален, если будущие версии Windows изменят свое поведение.

Примечание. Samba еще не поддерживает Open.IsResilient и Open.IsPersistent.

Значение по умолчанию:
smb2 disable lock sequence checking = no</string>
      <string id="POL_690A701E_D101_57E5_A180_30E9E54B8B38">smb2 disable oplock break retry</string>
      <string id="POL_690A701E_D101_57E5_A180_30E9E54B8B38_Help">Этот логический параметр определяет, будет ли smbd(8) инициировать повторные попытки уведомления о прерывании блокировки smb2, если включен параметр 'server multi channel support'.

В спецификации [MS-SMB2] указано, что сервер должен посылать повторные попытки уведомления о прерывании блокировки smb2 по всем доступным каналам данному клиенту.

Но версии Windows Server (по крайней мере, до 2019 года) не отправляют повторные попытки уведомления о нарушении блокировки smb2 при сбоях канала. Это означает, что они не реализуют поведение, указанное в [MS-SMB2].

По умолчанию Samba ведет себя в соответствии со спецификацией и отправляет повторные попытки уведомления о прерывании блокировки smb2.

Предупреждение. Включайте этот параметр только в том случае, если существующие клиенты не могут обрабатывать возможные повторные попытки и оказывается, что требуется поведение Windows Server.

Примечание. Вполне вероятно, что этот параметр снова будет удален, если будущие версии Windows изменят свое поведение.

Примечание. Это применимо только к oplocks, но не к аренде SMB2.

Значение по умолчанию:
smb2 disable oplock break retry = no</string>
      <string id="POL_7564C5C4_88AA_576B_A9E8_091901A3D6E0">rpc server dynamic port range</string>
      <string id="POL_7564C5C4_88AA_576B_A9E8_091901A3D6E0_Help">Этот параметр сообщает серверу RPC, какой диапазон портов можно использовать для создания прослушивающего сокета для LSA, SAM, Netlogon и других без того хорошо известных портов tcp. Первое значение — это наименьший номер диапазона портов, а второе — наибольший.

Это относится к серверам RPC во всех ролях серверов.

Значение по умолчанию:
49152-65535</string>
      <string id="POL_8D3A68BB_46F0_55A8_B53F_A4AA70C39B46">algorithmic rid base</string>
      <string id="POL_8D3A68BB_46F0_55A8_B53F_A4AA70C39B46_Help">Этот параметр определяет, как Samba будет использовать алгоритмическое отображение из uids/gid в RID, необходимое для создания идентификаторов безопасности NT.

Установка для этого параметра большего значения может быть полезна для сайтов, переходящих с WinNT и Win2k, поскольку в противном случае существующие пользователи и группы будут конфликтовать с пользователями системы и т.д.

Для правильной работы ACL на сервере все UID и GID должны быть преобразованы в SID. Таким образом, алгоритмическое сопоставление нельзя «отключить» («turned off»), но его «отталкивание» («out of the way») должно решить проблемы. Затем пользователям и группам могут быть назначены «низкие» («low») идентификаторы RID в произвольно выбранном-rid диапазоне.

Значение по умолчанию:
1000

Пример:
100000</string>
      <string id="POL_4A36DCFC_E9DB_5CD6_A67B_F94F3D95224F">allow dcerpc auth level connect</string>
      <string id="POL_4A36DCFC_E9DB_5CD6_A67B_F94F3D95224F_Help">Этот параметр определяет, разрешено ли использование служб DCERPC с DCERPC_AUTH_LEVEL_CONNECT, которые обеспечивают аутентификацию, но не обеспечивают целостность сообщения или защиту конфиденциальности.

Некоторые интерфейсы, такие как samr, lsarpc и netlogon, имеют жестко заданное значение по умолчанию no, а epmapper, mgmt и rpcecho имеют жестко заданное значение по умолчанию yes.

Поведение может быть перезаписано для каждого имени интерфейса (например, lsarpc, netlogon, samr, srvsvc, winreg, wkssvc …) с помощью параметра 'allow dcerpc auth level connect: interface = yes'.

Эта опция имеет приоритет над ограничениями, специфичными для реализации. Например, протоколы drsuapi и backupkey требуют DCERPC_AUTH_LEVEL_PRIVACY. Протокол dnsserver требует DCERPC_AUTH_LEVEL_INTEGRITY.

Значение по умолчанию:
allow dcerpc auth level connect = no</string>
      <string id="POL_F3A8A539_E774_5498_B8B7_5D295841A159">allow trusted domains</string>
      <string id="POL_F3A8A539_E774_5498_B8B7_5D295841A159_Help">Этот параметр действует только в том случае, если параметр 'security' установлен в значение server, domain или ads.
       Если 'allow trusted domains = no', то попытки подключиться к ресурсу из домена или рабочей группы, отличной от той, в которой запущен smbd, завершатся ошибкой, даже если этому домену доверяет удаленный сервер, выполняющий аутентификацию.

Это полезно, если необходимо, чтобы сервер Samba обслуживал запросы только пользователей домена, членом которого он является. В качестве примера предположим, что есть два домена DOMA и DOMB. DOMB доверяет DOMA, который содержит сервер Samba. При нормальных обстоятельствах пользователь с учетной записью в DOMB может затем получить доступ к ресурсам учетной записи UNIX с тем же именем учетной записи на сервере Samba, даже если у него нет учетной записи в DOMA. Это может затруднить реализацию границы безопасности.

Значение по умолчанию:
allow trusted domains = yes</string>
      <string id="POL_DF7112E5_5322_5A42_A1AD_45085CB6EC86">binddns dir</string>
      <string id="POL_DF7112E5_5322_5A42_A1AD_45085CB6EC86_Help">Этот параметр определяет каталог, который Samba будет использовать для хранения файлов конфигурации bind, таких как named.conf.

ПРИМЕЧАНИЕ. Каталог bind dns должен находиться в той же точке монтирования, что и личный каталог!

Значение по умолчанию:
пустая строка</string>
      <string id="POL_41C0408D_BF8C_5BA3_992E_6D58CF58FF84">check password script</string>
      <string id="POL_41C0408D_BF8C_5BA3_992E_6D58CF58FF84_Help">Имя программы, которая может использоваться, чтобы проверить сложность пароля. Пароль посылается на стандартный ввод программы.

Программа должна возвратить 0 для сложного пароля и любое другое значение для слабого. Если пароль считается слабым (программа не возвращает 0), пользователь будет уведомлен и изменение пароля не произойдет.

В Samba AD этот сценарий будет запускаться samba(8) от имени пользователя root без каких-либо замен.

Обратите внимание, что начиная с Samba 4.11, в сценарий экспортируются следующие переменные среды:

  * SAMBA_CPS_ACCOUNT_NAME всегда присутствует и содержит sAMAccountName пользователя, то же самое, что и подстановки %u в случае отсутствия AD DC.

  * SAMBA_CPS_USER_PRINCIPAL_NAME является необязательным в случае AD DC, если присутствует userPrincipalName.

  * SAMBA_CPS_FULL_NAME является необязательным, если присутствует displayName.

Примечание. В каталоге с примерами есть типовая программа crackcheck, которая использует cracklib для проверки качества пароля.

Значение по умолчанию:
пустая строка

Пример:
/usr/local/sbin/crackcheck</string>
      <string id="POL_9869726F_8F58_512B_A708_C7360AC9146F">client ipc signing</string>
      <string id="POL_9869726F_8F58_512B_A708_C7360AC9146F_Help">Этот параметр устарел, начиная с Samba 4.13, и поддерживается для аутентификации LanMan (в отличие от NTLM, NTLMv2 или Kerberos), поскольку клиент будет удален в следующем выпуске Samba.

То есть в будущем параметр 'client NTLMv2 auth' будет принудительным включен.

Этот параметр определяет, разрешено или необходимо клиенту использовать подписывание SMB для соединений IPC$ в качестве транспорта DCERPC. Возможные значения: auto, mandatory, disabled.

Если установлено значение mandatory или default, требуется подпись SMB.

Если установлено значение auto, подписывание SMB предлагается, но не принудительно, а если установлено значение disabled, полписывание SMB не предлагается.

Подключения от winbindd к контроллерам домена Active Directory всегда требуют подписи.

Значение по умолчанию:
default</string>
      <string id="POL_309DB173_58D7_5326_B21D_8DF044225CB9">client lanman auth</string>
      <string id="POL_309DB173_58D7_5326_B21D_8DF044225CB9_Help">Этот параметр определяет, будут ли smbclient(8) и другие клиентские инструменты Samba пытаться аутентифицироваться на серверах, используя более слабый хэш пароля LANMAN. Если этот параметр отключен (client lanman auth = no), только сервера, поддерживающий механизмы паролей NT (например, Windows NT/2000, Samba и т.д., но не Windows 95/98), будут способны установить соединение.

Ответ, зашифрованный LANMAN, легко взломать из-за его нечувствительности к регистру и выбора алгоритма. Клиентам без серверов Windows 95/98 рекомендуется отключить эту опцию.

Отключение этой опции также отключит параметр 'client plaintext auth'.

Аналогичным образом, если включен параметр 'client ntlmv2 auth', то попытки входа в систему будут выполняться только с использованием NTLMv2.

Значение по умолчанию:
client lanman auth = no</string>
      <string id="POL_0F39ED01_BB64_5653_839C_CB26A70EC531">client NTLMv2 auth</string>
      <string id="POL_0F39ED01_BB64_5653_839C_CB26A70EC531_Help">Этот параметр определяет, будет ли smbclient(8) пытаться аутентифицироваться на серверах, используя ответ с зашифрованным паролем NTLMv2.

Если этот параметр включен (client NTLMv2 auth = yes), будут отправляться только ответы NTLMv2 и LMv2 (оба более безопасны, чем предыдущие версии). Старые серверы (включая NT4 &lt; SP4, Win9x и Samba 2.2) несовместимы с NTLMv2, если они не находятся в домене, поддерживающем NTLMv2.

Аналогичным образом, если этот параметр включен, NTLMv1, параметр 'client lanman auth' и 'client plaintext auth' будут отключены. Это также отключает аутентификацию на уровне общего ресурса.

Если этот параметр отключен, клиент отправит ответ NTLM (и, возможно, ответ LANMAN), в зависимости от значения параметра 'client lanman auth'.

Обратите внимание, что Windows Vista и более поздние версии уже используют NTLMv2 по умолчанию, а некоторые сайты (особенно те, которые следуют 'best practice' политикам безопасности) разрешают только ответы NTLMv2, а не более слабые LM или NTLM.

Когда также установлен параметр 'client use spnego', для использования NTLMv2 только в рамках NTLMSSP требуется расширенная безопасность (SPNEGO). Такое поведение было введено в исправлениях для CVE-2016-2111.

Значение по умолчанию:
client NTLMv2 auth = yes
</string>
      <string id="POL_94342D11_937E_5F14_BBEA_C9B370F6A523">client plaintext auth</string>
      <string id="POL_94342D11_937E_5F14_BBEA_C9B370F6A523_Help">Этот параметр устарел, начиная с Samba 4.13, и поддержка открытого текста (в отличие от аутентификации NTLM, NTLMv2 или Kerberos) будет удалена в будущем выпуске Samba.

То есть в будущем текущее значение по умолчанию 'client plaintext auth = no' будет принудительным поведением.

Указывает, должен ли клиент отправлять пароль в виде открытого текста, если сервер не поддерживает зашифрованные пароли.

Значение по умолчанию:
client plaintext auth = no</string>
      <string id="POL_DCB591D5_0F63_58EC_A0BB_F5F81064B714">client schannel</string>
      <string id="POL_DCB591D5_0F63_58EC_A0BB_F5F81064B714_Help">Эта опция устарела в Samba 4.8 и будет удалена в будущем. В то же время значение по умолчанию изменено на yes, что будет жестко запрограммированным поведением в будущем.

Этот параметр контролирует, будет ли предложено клиенту или даже потребует ли использования schannel netlogon:

  * no — не требовать schannel,

  * auto — предлагать schannel, но не предписывать это,

  * yes — запрещает доступ, если сервер не способен производить вход в сеть schannel netlogon (Schannel означает безопасный метод передачи — secure channel).

Обратите внимание, что для доменов Active Directory жестко задано значение 'client schannel = yes'.

Опция 'require strong key' имеет приоритет над этой опцией.

Значение по умолчанию:
yes

Пример:
auto</string>
      <string id="POL_F35419AB_2114_5382_8060_B1AAED24F2A1">client signing</string>
      <string id="POL_F35419AB_2114_5382_8060_B1AAED24F2A1_Help">Это определяет, разрешено или необходимо клиенту использовать подпись SMB. Возможные значения: auto, mandatory и disabled.

Если установлено значение auto или default, подпись SMB предлагается, но не принудительно.

Если установлено значение mandatory, требуется подпись SMB, а при значении disabled подпись SMB также не предлагается.

IPC$ соединения для DCERPC, например в winbindd обрабатываются опцией 'client ipc signing'.

Значение по умолчанию:
default</string>
      <string id="POL_F761A7A7_2852_560C_B6D7_A50C613C5431">client use spnego principal</string>
      <string id="POL_F761A7A7_2852_560C_B6D7_A50C613C5431_Help">Этот параметр определяет, будет ли smbclient(8) и другие компоненты Samba, действующие в качестве клиента, пытаться использовать предоставленный сервером принципал, который иногда указывается при обмене SPNEGO.

Если параметр включен, Samba может пытаться использовать Kerberos для связи с серверами, известными только по IP-адресу. Kerberos полагается на имена, поэтому обычно не может работать в этой ситуации.

Это ОЧЕНЬ ПЛОХАЯ ИДЕЯ по соображениям безопасности, поэтому этот параметр НЕ ДОЛЖЕН ИСПОЛЬЗОВАТЬСЯ. Он будет удален в будущей версии Samba.

Если параметр отключен, Samba будет использовать имя, используемое для поиска сервера при запросе билета у KDC. Это позволяет избежать ситуаций, когда сервер может выдавать себя за другого, требуя аутентификации в качестве одного принципала, в то время как в сети он известен как другой.

Обратите внимание, что Windows XP SP2 и поздние версии уже следуют этому поведению, а серверы Windows Vista и более поздних версий больше не предоставляют этот 'rfc4178 hint' принципал на стороне сервера.

Этот параметр устарел в Samba 4.2.1 и будет удален (вместе с функциональностью) в более позднем выпуске Samba.

Значение по умолчанию:
client use spnego principal = no</string>
      <string id="POL_158C42B4_685B_5FDE_BF9D_C42504E8C09C">debug encryption</string>
      <string id="POL_158C42B4_685B_5FDE_BF9D_C42504E8C09C_Help">Эта опция заставит код сервера и клиента smbd, используя libsmb (smbclient, smbget, smbspool и т.д.), сбрасывать Session Id, decrypted Session Key, Signing Key, Application Key, Encryption Key и Decryption Key каждый раз, когда устанавливается сеанс SMB3+. Эта информация будет отражена в логах уровня 0.

Предупреждение: доступ к этим значениям позволяет дешифровать любой зашифрованный трафик в сброшенных сеансах. Этот параметр следует включать только в целях отладки.

Значение по умолчанию:
debug encryption = no</string>
      <string id="POL_8853D1A2_6482_58E1_9748_192D92523750">dedicated keytab file</string>
      <string id="POL_8853D1A2_6482_58E1_9748_192D92523750_Help">Задает абсолютный путь к файлу keytab Kerberos, если для параметра 'kerberos method' установлено значение dedicated keytab.

Значение по умолчанию:
пустая строка

Пример:
/usr/local/etc/krb5.keytab</string>
      <string id="POL_3C1941B5_4894_501A_A7FD_F0C6BCE77DA9">encrypt passwords</string>
      <string id="POL_3C1941B5_4894_501A_A7FD_F0C6BCE77DA9_Help">Этот параметр устарел, начиная с Samba 4.11, и поддержка открытого текста (в отличие от аутентификации NTLM, NTLMv2 или Kerberos) будет удалена в будущем выпуске Samba.

То есть в будущем текущее значение по умолчанию 'encrypt passwords = yes' будет принудительным поведением.

Это логическое значение определяет, будет ли использоваться шифрование паролей между сервером и клиентом. Обратите внимание, что Windows NT 4.0 SP3 и выше и также Windows 98 будут по умолчанию ожидать зашифрованные пароли, если системный реестр не изменен. Как использовать шифрование паролей в Samba, см. раздел «User Database» в руководстве Samba HOWTO.

Клиенты MS Windows, которые ожидают зашифрованные пароли Microsoft и поэтому не допускают пароли открытым текстом, будут способны подключиться только к серверу Samba, на котором включена поддержка зашифрованных паролей и для которых учетные записи пользователей имеют действующий зашифрованный пароль. Обратитесь к странице руководства команды smbpasswd для получения информации относительно создания зашифрованных паролей учетных записей пользователей.

Использование нешифрованых паролей (plain text passwords) не рекомендуется, поскольку более не поддерживается продуктами Microsoft Windows. Если необходимо использовать пароли в виде обычного текста, следует установить 'encrypt passwords = no'.

Для поддержки зашифрованных паролей smbd(8) должен либо иметь доступ к локальному файлу smbpasswd(5) (см. smbpasswd(8) для получения информации о том, как настроить и поддерживать этот файл), либо установить параметр 'security' в значение [domain|ads], это заставит smbd подтверждать подлинность с другого сервера.

Значение по умолчанию:
encrypt passwords = yes</string>
      <string id="POL_99472FC1_E6CE_5476_9EC3_EB2EF52862AE">guest account</string>
      <string id="POL_99472FC1_E6CE_5476_9EC3_EB2EF52862AE_Help">Это имя пользователя, которое будет использоваться для доступа к службам, для которых задан параметр 'guest ok'. Независимо от привилегии пользователя гостевой общий ресурс будет доступен для любого клиента. Этот пользователь должен существовать в файле паролей, однако при подключении не требуется вводить пароль. Учетная запись «ftp» часто хороший выбор для этого параметра.

В некоторых системах гостевая учетная запись по умолчанию — «nobody» возможно не получит доступ к печати. В этом случае используйте другую учетную запись. Необходимо проверить это, попытавшись войти в систему как гостевой пользователь (возможно, используя команду su-) и попытавшись выполнить печать с помощью системной команды печати, такой как lpr(1) или lp(1).

В этом параметре нельзя использовать % макросы, необходимо чтобы значение параметра было постоянным для корректной работы сервиса.

Значение по умолчанию:
nobody

Пример:
ftp</string>
      <string id="POL_75BBDBCB_46D1_55DE_9A7C_9EEA7DD026BF">kerberos encryption types</string>
      <string id="POL_75BBDBCB_46D1_55DE_9A7C_9EEA7DD026BF_Help">Этот параметр определяет типы шифрования, которые будут использоваться при работе в качестве клиента Kerberos. Возможные значения: all, strong, и legacy.

Samba использует библиотеку Kerberos (MIT или Heimdal) для получения билетов Kerberos. Эта библиотека обычно настраивается вне Samba с помощью файла krb5.conf. Этот файл может также включать директивы для настройки используемых типов шифрования. Однако Samba реализует протоколы и алгоритмы Active Directory для поиска контроллера домена. Чтобы заставить библиотеку Kerberos использовать правильный контроллер домена, некоторые процессы Samba, такие как winbindd(8) и net(8), создают частный файл krb5.conf для использования библиотекой Kerberos при вызове из Samba. Этот частный файл управляет всеми аспектами работы библиотеки Kerberos, и этот параметр управляет настройкой типов шифрования в этом сгенерированном файле и, следовательно, также контролирует типы шифрования, согласовываемые Samba.

Если установлено значение all, разрешены все типы шифрования активного каталога.

Если установлено значение strong, предлагаются только типы шифрования на основе AES. Это можно использовать в защищенных средах для предотвращения атак на более раннюю версию.

Если задано значение legacy, разрешено использование только RC4-HMAC-MD5. Отказ от AES таким способом имеет очень конкретное применение. Обычно тип шифрования оговаривается между одноранговыми узлами. Однако есть один сценарий, в котором Windows read-only domain controller (RODC) объявляет о шифровании AES, но затем передает запрос на доступный для записи DC, который может не поддерживать шифрование AES, что приводит к сбою рукопожатия. Установка для этого параметра значения legacy приведет к тому, что Samba не будет согласовывать шифрование AES. Разумеется, предполагается, что для данной установки приемлемы более слабые устаревшие типы шифрования.

Значение по умолчанию:
all</string>
      <string id="POL_4AE746EE_4A10_55CC_8934_7E4FEF028E4D">kerberos method</string>
      <string id="POL_4AE746EE_4A10_55CC_8934_7E4FEF028E4D_Help">Параметр управляет проверкой билетов Kerberos.

Допустимые значения:

  * secrets only — используется только файл secrets.tdb для проверки билетов (default)
  * system keytab — используется только system keytab для проверки билетов
  * dedicated keytab — используется dedicated keytab для проверки билетов
  * secrets and keytab — сначала используется secrets.tdb, затем system keytab

Основное различие между «system keytab» и «dedicated keytab» заключается в том, что последний метод полагается на Kerberos для поиска правильной записи keytab вместо фильтрации на основе ожидаемых принципалов.

Когда 'kerberos method' находится в режиме «dedicated keytab», то необходимо указать расположение файла keytab в параметре 'dedicated keytab file'.

Значение по умолчанию:
default</string>
      <string id="POL_C0E75830_A92F_5E76_A2CF_8E864DF58497">kpasswd port</string>
      <string id="POL_C0E75830_A92F_5E76_A2CF_8E864DF58497_Help">Указывает, какой порт сервер Kerberos должен прослушивать при смене пароля.

Значение по умолчанию:
464</string>
      <string id="POL_37987863_7B25_5531_81BE_8EB427F3D0E1">krb5 port</string>
      <string id="POL_37987863_7B25_5531_81BE_8EB427F3D0E1_Help">Указывает, какой порт KDC должен прослушивать трафик Kerberos.

Значение по умолчанию:
88</string>
      <string id="POL_91CB69F0_B95B_565D_B50D_0BC441ED9E34">lanman auth</string>
      <string id="POL_91CB69F0_B95B_565D_B50D_0BC441ED9E34_Help">Этот параметр устарел, начиная с Samba 4.11, и поддержка LanMan (в отличие от аутентификации NTLM, NTLMv2 или Kerberos) будет удалена в будущем выпуске Samba.

То есть в будущем текущее значение по умолчанию 'lanman auth = no' будет принудительным поведением.

Этот параметр определяет, будет ли smbd(8) пытаться аутентифицировать пользователей или разрешать изменение пароля с помощью хэша пароля LANMAN. Если этот параметр отключен (lanman auth = no), только клиенты, которые поддерживают хэши паролей NT (например, клиенты Windows NT/2000, smbclient, но не Windows 95/98 или сетевой клиент MS DOS) смогут подключаться к хосту Samba.

Ответ, зашифрованный LANMAN, легко взломать из-за его нечувствительности к регистру и выбора алгоритма. Серверам без клиентов Windows 95/98/ME или MS DOS рекомендуется отключить эту опцию.

Если этот параметр отключен (lanman auth = no), это также приведет к тому, что sambaLMPassword в базе данных Samba будет очищена после следующей смены пароля. В результате этого клиенты lanman не смогут пройти аутентификацию, даже если позже будет повторно включена проверка подлинности lanman.

В отличие от параметра 'encrypt passwords', этот параметр не может изменить поведение клиента, и ответ LANMAN будет по-прежнему отправляться по сети. См. параметр 'client lanman auth', чтобы отключить это для клиентов Samba (таких как smbclient).

Этот параметр переопределяется параметром 'ntlm auth', поэтому, если он также параметр 'ntlm auth' не установлен на ntlmv1-permitted или yes, тогда будут разрешены логины NTLMv2, а хэш LM не будет сохранен. Все современные клиенты поддерживают NTLMv2, но некоторые старые клиенты требуют специальной настройки для его использования.

Значение по умолчанию:
lanman auth = no</string>
      <string id="POL_89CBBE4F_9104_594C_88D1_F9C11246B21F">log nt token command</string>
      <string id="POL_89CBBE4F_9104_594C_88D1_F9C11246B21F_Help">Эта опция может быть установлена как команда, которая будет вызываться при создании новых токенов nt.

Эта опция полезна только для целей разработки.

Значение по умолчанию:
пустая строка</string>
      <string id="POL_6BE3D165_D5BE_5252_A0A2_31CD0E777478">map to guest</string>
      <string id="POL_6BE3D165_D5BE_5252_A0A2_31CD0E777478_Help">Этот параметр может принимать четыре разных значения, которые сообщают smbd(8), что делать с пользовательскими запросами на логин, которые каким-либо образом не соответствуют действующему пользователю UNIX.

Возможные значения:

  * Never — означает, что запросы пользователя на вход с недопустимым паролем отклоняются. Это значение по умолчанию.

  * Bad User — означает, что вход в систему с недопустимым паролем отклоняется, если имя пользователя не существует, и в этом случае оно рассматривается как guest login и сопоставляется с файлом 'guest account'.

  * Bad Password — означает, что вход в систему с недопустимым паролем рассматривается как гостевой логин и сопоставляется с файлом 'guest account'. Обратите внимание, что это может вызвать проблемы, поскольку это означает, что любой пользователь, неправильно вводящий свой пароль, будет автоматически входить в систему как «guest». Такой пользователь не будет знать причину, по которой он не может получить доступ к файлам, к которым, по его мнению, он должен иметь доступ — пользователю не будет отправлено сообщение о том, что он ошибся в пароле. Службы поддержки возненавидят вас, если вы настроите параметр 'map to guest' таким образом :-).

  * Bad Uid — применимо только в том случае, если Samba настроен в режиме 'security = {domain|ads}' и означает, что логины пользователей, которые успешно аутентифицированы, но не имеют действующей учетной записи пользователя Unix (и smbd не может создать её) должны быть сопоставлены с указанной гостевой учетной записью. Это было поведением по умолчанию для выпусков Samba 2.x. Обратите внимание, что если на рядовом сервере работает winbindd, эта опция никогда не должна требоваться, потому что библиотека nss_winbind будет экспортировать пользователей и группы домена Windows в базовую ОС через интерфейс Name Service Switch.

Обратите внимание, что этот параметр необходим для настройки «гостевых» общих служб. Это связано с тем, что в этих режимах имя запрашиваемого ресурса не отправляется на сервер до тех пор, пока сервер не аутентифицирует клиента, поэтому сервер не может принимать решения об аутентификации в правильное время (подключение к общему ресурсу) для «гостевых» общих ресурсов.

Значение по умолчанию:
Never

Пример:
Bad User</string>
      <string id="POL_56EEE2C2_6458_524A_95A8_C59B86A453E0">mit kdc command</string>
      <string id="POL_56EEE2C2_6458_524A_95A8_C59B86A453E0_Help">Эта опция указывает путь к двоичному файлу MIT kdc.

Если KDC был установлен в каталог не по умолчанию и не был правильно обнаружен во время сборки, то следует изменить эту переменную и указать в ней правильный двоичный файл.

Значение по умолчанию:
пустая строка

Пример:
/opt/mit/sbin/krb5kdc</string>
      <string id="POL_E82BE4E4_3F51_5B03_9809_03101186CE80">ntlm auth</string>
      <string id="POL_E82BE4E4_3F51_5B03_9809_03101186CE80_Help">Этот параметр определяет, будет ли smbd(8) пытаться аутентифицировать пользователей, используя ответ с зашифрованным паролем NTLM для этой локальной passdb (SAM или БД учетных записей).

Если этот параметр отключен, отключена проверка подлинности NTLM и LanMan по локальной базе данных passdb.

Обратите внимание, что эти параметры применяются только к локальным пользователям, проверка подлинности будет по-прежнему перенаправлена, а проверка подлинности NTLM будет принята для любого домена, к которому мы присоединены, и любого доверенного домена, даже если он отключен или здесь применяется только NTLMv2. Чтобы управлять аутентификацией NTLM для пользователей домена, этот параметр должен быть настроен на каждом контроллере домена.

По умолчанию, если для 'ntlm auth' установлено значение ntlmv2, разрешены только NTLMv2-логины. Все современные клиенты поддерживают NTLMv2 по умолчанию, но для некоторых старых клиентов потребуется специальная конфигурация для его использования.

Основным пользователем NTLMv1 является MSCHAPv2 для сетей VPN и 802.1x.

Доступные значения:

  * ntlmv1-permitted (алиас yes) — разрешить NTLMv1 и выше для всех клиентов. Это необходимая настройка для включения параметра аутентификации lanman.

  * ntlmv2-only (алиас no) — не разрешать использование NTLMv1, но разрешать NTLMv2.

  * mschapv2-and-ntlmv2-only — разрешать NTLMv1 только тогда, когда клиент обещает, что он предоставляет аутентификацию MSCHAPv2 (например, как ntlm_auth).

  * disabled — не принимать NTLM (или LanMan) аутентификацию любого уровня и не разрешать изменение пароля NTLM.

Значение по умолчанию изменилось с yes на no в Samba 4.5. Значение по умолчанию снова изменилось на ntlmv2-only с Samba 4.7, однако поведение не изменилось.

Значение по умолчанию:
ntlmv2-only</string>
      <string id="POL_BEB01EAD_B60E_5832_BDD5_5C8ACE276FD4">ntp signd socket directory</string>
      <string id="POL_BEB01EAD_B60E_5832_BDD5_5C8ACE276FD4_Help">Этот параметр управляет расположением сокета, который использует демон NTP для коммуникации с Samba для подписи пакетов.

Если здесь указан путь, отличный от пути по умолчанию, то также необходимо уведомить NTP о новом пути с помощью директивы ntpsigndsocket в ntp.conf.

Значение по умолчанию:
пустая строка</string>
      <string id="POL_C04AB7ED_DBC2_50A6_8082_AD0D6CCB758A">null passwords</string>
      <string id="POL_C04AB7ED_DBC2_50A6_8082_AD0D6CCB758A_Help">Разрешить или запретить доступ клиентов к учетным записям с пустыми паролями.

См. также smbpasswd(5).

Значение по умолчанию:
null passwords = no</string>
      <string id="POL_E305251F_7C82_54A6_8F9D_CFBB7934B1DF">obey pam restrictions</string>
      <string id="POL_E305251F_7C82_54A6_8F9D_CFBB7934B1DF_Help">Когда Samba 3.0 сконфигурирована с поддержкой PAM (т.е. собрана с опцией --with-pam), этот параметр будет определять, должна ли Samba подчиняться правилам управления учетной записью PAM и правилам управления сессиями. По умолчанию PAM используется только для аутентификации в виде открытого текста и игнорирует управление учетной записью или сессиями. Обратите внимание, что Samba не использует PAM для аутентификации, если установлен параметр 'encrypt passwords = yes'. Причина в том, что модули PAM не могут поддерживать механизмы аутентификации, основанные на challenge/response, которые требуются для шифрования паролей SMB.

Значение по умолчанию:
obey pam restrictions = no</string>
      <string id="POL_DD8E3C33_F1AE_59CB_B2B6_3358FFBF41AF">old password allowed period</string>
      <string id="POL_DD8E3C33_F1AE_59CB_B2B6_3358FFBF41AF_Help">Количество минут, в течение которых разрешается вход NTLM после изменения или сброса пароля с использованием старого пароля. Это позволяет пользователю повторно кэшировать новый пароль на нескольких клиентах, не прерывая при этом переподключение к сети.

Этот параметр применяется, только если параметр 'server role' имеет значение Контроллер домена Active Directory.

Значение по умолчанию:
60</string>
      <string id="POL_B65F086B_4235_5646_8C8B_AF4C16B6E4AD">pam password change</string>
      <string id="POL_B65F086B_4235_5646_8C8B_AF4C16B6E4AD_Help">С добавлением улучшенной поддержки PAM в Samba 2.2, этот параметр, можно использовать как флаг управления сменой пароля PAM для Samba. Если параметр включен (pam password change = yes), тогда PAM будет использоваться для смены пароля по запросу клиента SMB вместо программы, указанной в паарметре 'passwd program'. Для большинства конфигураций, должно быть возможно использование этого параметра без изменения параметра 'passwd chat'.

Значение по умолчанию:
pam password change = no</string>
      <string id="POL_755D3500_5D11_5DF0_82AC_E5E964C7707B">passdb backend</string>
      <string id="POL_755D3500_5D11_5DF0_82AC_E5E964C7707B_Help">Этот параметр позволяет администратору выбрать механизм для хранения информации о пользователях и, возможно, о группах. Это позволяет переключаться между различными механизмами хранения без перекомпиляции Samba.

Значение параметра делится на две части, имя механизма и местонахождение, строка, которая означает, что механизм имеет отношение только к указанной зоне. Они разделяются знаком «:».

Доступные механизмы:

  * smbpasswd — старый механизм passdb с открытым текстом. Некоторые функции Samba не будут работать, если используется этот механизм. Принимает путь к файлу smbpasswd в качестве необязательного аргумента.

  * tdbsam — механизм для хранения паролей на основе TDB. Принимает путь к TDB в качестве необязательного аргумента (по умолчанию passdb.tdb в каталоге 'private dir').

  * ldapsam — механизм passdb на основе LDAP. Принимает URL-адрес LDAP в качестве необязательного аргумента (по умолчанию ldap://localhost). Соединения LDAP должны быть зашифрованы, там, где это возможно. Это можно сделать либо с помощью Start-TLS (см. параметр 'ldap ssl'), либо указав ldaps:// в аргументе URL. В двойных кавычках могут быть указаны несколько серверов. Возможность поддержки нескольких серверов и точный синтаксис зависит от используемой библиотеки LDAP.

Значение по умолчанию:
tdbsam

Пример:
tdbsam:/etc/samba/private/passdb.tdb

Мультисерверный URL LDAP с библиотекой OpenLDAP:
ldapsam:&quot;ldap://ldap-1.example.com ldap://ldap-2.example.com&quot;

Мультисерверный LDAP URL с библиотекой LDAP на основе Netscape:
ldapsam:&quot;ldap://ldap-1.example.com ldap-2.example.com&quot;</string>
      <string id="POL_2F42A35D_FAD2_545A_9ACE_84CD88BEBDB4">passdb expand explicit</string>
      <string id="POL_2F42A35D_FAD2_545A_9ACE_84CD88BEBDB4_Help">Этот параметр определяет, заменяет ли Samba %-макросы в полях passdb, если они заданы явно. Раньше мы расширяли макросы здесь, но оказалось, что это ошибка, потому что клиент Windows может расширить переменную %G_osver%, в которой %G будет заменен основной группой пользователя.

Значение по умолчанию:
passdb expand explicit = no</string>
      <string id="POL_87D22064_A317_506A_8057_62D7EB06E246">passwd chat</string>
      <string id="POL_87D22064_A317_506A_8057_62D7EB06E246_Help">Эта строка контролирует диалог («чат»), который происходит между smbd(8) и локальной программой изменения пароля при изменении пароля пользователя. Строка описывает последовательность пар запрос-ответ, которую smbd(8) использует для определения того, что отправлять программе определенной в параметре 'v' и что ожидать в ответ. Если ожидаемый результат не получен, пароль не изменяется.

Этот диалог весьма специфичен для конкретного места, и зависит от того, какие локальные методы используются для управления паролями (например, NIS и т.д.).

Обратите внимание, что этот параметр используется только в том случае, если установлен параметр 'unix password sync'. Если пароль SMB в файле smbpasswd изменяется без доступа к старому паролю, то этот диалог вызывается с правами пользователя ROOT. Это значит, что пользователь root должен иметь возможность сбросить пароль пользователя, не зная предыдущего пароля. При наличии NIS/YP это означает, что скрипт 'passwd program' должен выполняться на главном сервере NIS.

Строка может содержать макрос %n, который заменяет новый пароль. Старый пароль (%o) доступен, только если шифрование паролей отключено (encrypt passwords = no). Диалог также может содержать стандартные макросы \n, \r, \t и \s для перевода строки, возврата каретки, табуляции и пробела. Диалог также может содержать символ '*', который соответствует любой последовательности символов. Двойные кавычки можно использовать для объединения строк с пробелами в одну строку.

Если в отправляемой строке диалога строка есть точка («.»), то такая строка не отправляется. Точно так же, если на месте ожидаемой строки стоит точка, никакой строки не ожидается.

Если установлен параметр 'pam password change', пары чата могут быть сопоставлены в любом порядке, и успех определяется результатом PAM, а не каким-либо конкретным выходом. Макрос \n игнорируется для преобразований PAM.

Значение по умолчанию:
*new*password* %n\n *new*password* %n\n *changed*

Пример:
&quot;*Enter NEW password*&quot; %n\n &quot;*Reenter NEW password*&quot; %n\n &quot;*Password changed*&quot;</string>
      <string id="POL_FB5B5BAF_88EA_547F_B6C1_C26EF698C89B">passwd chat debug</string>
      <string id="POL_FB5B5BAF_88EA_547F_B6C1_C26EF698C89B_Help">Это логическое значение указывает, запускается ли сценарий 'passwd chat' в режиме отладки. В этом режиме,  строки, передаваемые и получаемые в диалоге 'passwd chat', записываются в файл журнала smbd(8) с уровнем отладки 100 ('debug level = 100'). Включение этой опции небезопасно, поскольку пароли можно будет увидеть в открытом виде в журнале smbd. Данная опция доступна для отладки администраторами Samba диалога 'passwd chat' при вызове 'passwd program', и должна быть отключена после завершения отладки. Эта опция игнорируется, если установлен параметр 'pam password change'. По умолчанию эта опция отключена.

Значение по умолчанию:
passwd chat debug = no</string>
      <string id="POL_885CA09B_77E8_5E63_85E8_108397557B0B">passwd chat timeout</string>
      <string id="POL_885CA09B_77E8_5E63_85E8_108397557B0B_Help">Этот параметр (целое число) определяет количество секунд, в течение которых smbd будет ожидать первый ответ от запущенного сценария 'passwd chat'. После получения первого ответа последующие ответы должны быть получены в течение одной десятой этого времени. По умолчанию это две секунды.

Значение по умолчанию:
2</string>
      <string id="POL_E710453F_700A_5430_BE8D_5364117F7E85">passwd program</string>
      <string id="POL_E710453F_700A_5430_BE8D_5364117F7E85_Help">Этот параметр определяет программу, которая может использоваться для установки паролей пользователей UNIX. Макрос %u будет заменен именем пользователя. Перед вызовом программы изменения пароля, будет проверено существование данного имени пользователя.

Обратите внимание, что большинство команд смены пароля требуют для паролей обоснованной сложности (минимальная длина или включение цифр и символов в разных регистрах). Это может создать проблему, так как некоторые клиенты (например, Windows for Workgroups) переводят пароль в верхний регистр перед его отправкой.

Обратите внимание, что если установлен параметр 'unix password sync', программа, определенная в данном параметре, вызывается с правами пользователя ROOT перед изменением пароля SMB в файле smbpasswd. Если изменение пароля UNIX потерпело неудачу, то smbd также не сможет изменить пароль SMB (это сделано намеренно).

Если установлен параметр 'unix password sync', параметр 'passwd program' ДОЛЖЕН ИСПОЛЬЗОВАТЬ АБСОЛЮТНЫЕ ПУТИ для ВСЕХ вызываемых программ и вызываемые программы должны быть исследованы на предмет последствий для безопасности. Обратите внимание, что по умолчанию параметр 'unix password sync' не установлен.

Значение по умолчанию:
пустая строка

Пример:
/bin/passwd %u</string>
      <string id="POL_77F6400F_03D4_53F9_AB7B_E0464F72E61F">password hash gpg key ids</string>
      <string id="POL_77F6400F_03D4_53F9_AB7B_E0464F72E61F_Help">Если Samba работает как контроллер домена Active Directory, можно сохранить пароли учетных записей в открытом виде в зашифрованной форме PGP/OpenGPG.

Можно указать одного или нескольких получателей по идентификатору ключа или идентификатору пользователя. Обратите внимание, что 32-битные идентификаторы ключей не допускаются, необходимо указать как минимум 64-битный.

Значения хранятся как «Primary:SambaGPG» в атрибуте supplementalCredentials.

Поскольку изменение пароля может произойти на любом контроллере домена, необходимо настроить данный параметр на каждом из них. Обратите внимание, что эта функция в настоящее время доступна только на контроллерах домена Samba.

Эта опция доступна, только если Samba была скомпилирована с поддержкой gpgme.

Возможно, потребуется экспортировать переменную среды GNUPGHOME перед запуском Samba. Настоятельно рекомендуется хранить только открытый ключ в этом месте. Закрытый ключ не используется для шифрования и должен храниться только там, где требуется дешифрование.

Возможность восстановления паролей в открытом виде помогает, когда позже потребуется импортировать их в другие системы аутентификации (см. команду 'samba-tool user getpassword') или если требуется, чтобы пароли синхронизировались с другой системой, например с сервером OpenLDAP (см. команду 'samba-tool user syncpasswords').

Хотя этот параметр необходимо настроить на всех контроллерах домена, команда 'samba-tool user syncpasswords' должна выполняться только на одном контроллере домена (обычно это эмулятор PDC).

Значение по умолчанию:
пустая строка

Пример:
4952E40301FAB41A

Пример:
selftest@samba.example.com

Пример:
selftest@samba.example.com, 4952E40301FAB41A</string>
      <string id="POL_5EA8345D_5B61_554F_AAF5_2C069A37DFCA">password hash userPassword schemes</string>
      <string id="POL_5EA8345D_5B61_554F_AAF5_2C069A37DFCA_Help">Этот параметр определяет, будет ли samba(8), которая работает как контроллер домена Active Directory, сохранять дополнительные типы хэшей паролей для пользователя.

Значения хранятся как «Primary:userPassword» в атрибуте additionalCredentials. Значение этой опции — тип хэша.

В настоящее время поддерживаются следующие типы хэшей:

  * CryptSHA256

  * CryptSHA512

Могут быть вычислены и сохранены несколько экземпляров типов хэшей. Хэши паролей вычисляются с помощью вызова crypt(3). Количество раундов, используемых для вычисления хэша, можно указать, добавив ':rounds = xxxx' к типу хэша, то есть если 'CryptSHA512:rounds = 4500', хэш SHA512 будет вычисляться с использованием 4500 раундов. Если не указано иное, для crypt(3) используются значения операционной системы по умолчанию.

Поскольку изменение пароля может произойти на любом контроллере домена, необходимо настроить данный параметр на каждом из них. Обратите внимание, что эта функция в настоящее время доступна только на контроллерах домена Samba.

В настоящее время при вычислении и хранении этих хэшей регистрируется NT-хэш пароля. При получении хэша текущее значение NT Hash сравнивается с сохраненным NT Hash. Это позволяет обнаружить изменения пароля, которые не обновили хэши паролей. В этом случае команда 'samba-tool user' проигнорирует сохраненные хэш-значения.

Возможность получить хэшированный пароль помогает, когда позже потребуется импортировать их в другие системы аутентификации (см. команду 'samba-tool user getpassword') или если требуется, чтобы пароли синхронизировались с другой системой, например с сервером OpenLDAP (см. команду 'samba-tool user syncpasswords').

Связанный параметр: 'unix password sync'

Значение по умолчанию:
password hash userPassword schemes

Пример:
CryptSHA256

Пример:
CryptSHA256 CryptSHA512

Пример:
CryptSHA256:rounds=5000 CryptSHA512:rounds=7000</string>
      <string id="POL_1D36B51B_8AB7_593A_95D8_93B12C9F9EFA">password server</string>
      <string id="POL_1D36B51B_8AB7_593A_95D8_93B12C9F9EFA_Help">Указав, с помощью этой опции, имя контроллера домена и используя параметр security = [ads|domain], можно заставить Samba выполнять все проверки пользователь/пароль с помощью определенного удаленного сервера.

В идеале этот параметр не следует использовать, поскольку значение по умолчанию «*», указывает Samba на определение наилучшего DC для динамических связей, также как это делают все остальные хосты в домене AD. Это позволяет поддерживать домен (добавление и удаление контроллеров домена) без изменения файла smb.conf. Криптографическая защита аутентифицированных вызовов RPC, используемых для проверки паролей, гарантирует безопасность этого значения по умолчанию.

Настоятельно рекомендуется использовать значение по умолчанию «*», однако, если в вашей конкретной среде у вас есть причина указать конкретный список контроллеров домена, то список машин в этой опции должен быть списком имен или IP-адресов контроллеров домена. Если используется значение по умолчанию «*» или указано несколько хостов в параметре сервера паролей, то smbd будет пробовать каждый по очереди, пока не найдет тот, который отвечает. Это полезно в случае, если основной сервер выйдет из строя.

Если список серверов содержит и имена/IP-адреса, и символ «*», список рассматривается как список предпочтительных контроллеров домена, но в список также будет добавлен автоматический поиск всех оставшихся контроллеров домена. Samba не будет пытаться оптимизировать этот список, определяя местонахождение ближайшего DC.

Если значением параметра является имя, оно может быть разрешено любым методом и в любом порядке, описанном в параметре 'name resolve order'.

Значение по умолчанию:
*
Пример:
NT-PDC, NT-BDC1, NT-BDC2, *

Пример:
windc.mydomain.com:389 192.168.1.101 *</string>
      <string id="POL_4605CA34_85F3_51DB_8BCE_C56B51AA39BF">preload modules</string>
      <string id="POL_4605CA34_85F3_51DB_8BCE_C56B51AA39BF_Help">Это список путей к модулям, которые должны быть загружены в smbd перед подключением клиента. Это несколько увеличивает скорость smbd при реагировании на новые соединения.

Значение по умолчанию:
пустая строка

Пример:
/usr/lib/samba/passdb/mysql.so</string>
      <string id="POL_5103CDE2_436D_5FB9_8633_6BB5EBB59406">private dir</string>
      <string id="POL_5103CDE2_436D_5FB9_8633_6BB5EBB59406_Help">Параметр определяет каталог, который smbd будет использовать для хранения таких файлов, как smbpasswd и secrets.tdb.

Значение по умолчанию:
пустая строка</string>
      <string id="POL_7DB136EF_7DAD_5A4F_8C40_F3079FCB925F">raw NTLMv2 auth</string>
      <string id="POL_7DB136EF_7DAD_5A4F_8C40_F3079FCB925F_Help">Этот параметр устарел, начиная с Samba 4.13, и поддержка аутентификации NTLMv2 без NTLMSSP будет удалена в следующем выпуске Samba.

То есть в будущем параметр 'raw NTLMv2 auth' будет принудительно выключен.

Этот параметр определяет, разрешит ли smbd(8) клиентам SMB1 без расширенной безопасности (без SPNEGO) использовать аутентификацию NTLMv2.

Если этот параметр, а также параметры 'lanman auth' и 'ntlm auth' отключены, будут разрешены только клиенты с поддержкой SPNEGO. Это означает, что NTLMv2 поддерживается только в NTLMSSP.

Значение по умолчанию:
raw NTLMv2 auth = no</string>
      <string id="POL_E4D542FC_3D67_5397_9AC3_3868BB017F03">rename user script</string>
      <string id="POL_E4D542FC_3D67_5397_9AC3_3868BB017F03_Help">В этом параметре указывается полный путь к сценарию, который будет запущен smbd(8) от имени пользователя root, при обстоятельствах, описанных ниже.

Когда пользователь с правами администратора или с правами SeAddUserPrivilege переименовывает пользователя (например, через панель управления доменами NT4), этот сценарий будет запущен для того, чтобы переименовать пользователя POSIX. Две переменные, %uold и %unew, будут использоваться для определения старого и нового имени соответственно. Скрипт должен возвращать 0 при успешном завершении и ненулевое значение в противном случае.

Примечание:
    Сценарий несет полную ответственность за переименование всех необходимых данных, доступных в этом методе posix. Это может означать разное для разных платформ. Серверные программы tdbsam и smbpasswd позаботятся о содержимом своих файлов, поэтому сценарий отвечает только за изменение имени пользователя POSIX и других данных, которые характерны для конкретной ситуации (например, домашние каталоги). Также подумайте, нужно ли переименовывать сами домашние каталоги. ldapsam не будет вносить никаких изменений из-за потенциальных проблем с переименованием атрибута именования LDAP (LDAP naming attribute). В этом случае сценарий отвечает за изменение атрибута (uid), который Samba использует для поиска пользователей, а также за любые данные, которые необходимо изменить для других приложений, использующих тот же каталог.

Значение по умолчанию:
пустая строка</string>
      <string id="POL_7D42E3F0_DE0E_57E0_8EAF_F56111560EA3">restrict anonymous</string>
      <string id="POL_7D42E3F0_DE0E_57E0_8EAF_F56111560EA3_Help">Установка этого параметра определяет, можно ли получить доступ к службам SAMR и LSA DCERPC анонимно. Этот параметр соответствует следующим параметрам реестра Windows Server:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

Этот параметр также влияет на параметр просмотра, который требуется для устаревших клиентов, которые полагаются на просмотр NetBIOS. Хотя современные версии Windows должны работать с ограничением доступа, все же могут быть приложения, полагающиеся на анонимный доступ.

Установка значения 'restrict anonymous = 1' отключит анонимный доступ к SAMR.

Установка 'restrict anonymous = 2' помимо ограничения доступа SAMR запрещает анонимные подключения к общему ресурсу IPC$. Установка параметра 'guest ok = yes' для любого общего ресурса переопределяет это значение.

Значение по умолчанию:
0</string>
      <string id="POL_6745DAC3_A866_5519_83C8_8086C063AAB7">root directory</string>
      <string id="POL_6745DAC3_A866_5519_83C8_8086C063AAB7_Help">При запуске сервер поменяет корневой каталог (chroot()) на каталог, указанный в этом параметре. Нет необходимости делать это в целях безопасности. Даже без этого параметра сервер запретит доступ к файлам, которые находятся за пределами доступности сервисов. Сервер также может проверить и запретить следовать по симлинкам, которые ведут в другие части файловой системы или попытки использовать «..» в именах файлов для доступа к другим каталогам (в зависимости от настройки параметра 'wide smbconfoptions').

Добавление записи корневого каталога отличного от «/», добавляет дополнительный уровень безопасности, но за все приходится платить. При этом гарантируется, что не будет предоставлен доступ к файлам, не входящим в поддерево, указанное в параметре 'root directory', включая некоторые файлы, необходимые для полной работы сервера. Для обеспечения полной работоспособности сервера, вам придется скопировать некоторые файлы относительно нового корневого каталога. В частности, нужен будет файл /etc/passwd (или его часть) и все бинарные файлы и файлы конфигурации, необходимые для печати (при необходимости). Набор этих файлов зависит от операционной системы.

Значение по умолчанию:
пустая строка

Пример:
/homes/smb</string>
      <string id="POL_9218F54E_BE22_57C0_BEF2_489F89B7D3BA">samba kcc command</string>
      <string id="POL_9218F54E_BE22_57C0_BEF2_489F89B7D3BA_Help">Эта опция указывает путь к сценарию Samba KCC. Этот сценарий используется для репликации топологии.

Нет необходимости изменять эту опцию, кроме как в целях тестирования или если samba_kcc был установлен не в папку по умолчанию.

Значение по умолчанию:
/samba_kcc

Пример:
/usr/local/bin/kcc</string>
      <string id="POL_86AEEBA8_5181_54A2_A436_FD35443F7C03">security</string>
      <string id="POL_86AEEBA8_5181_54A2_A436_FD35443F7C03_Help">Этот параметр влияет на то, как будут себя вести клиенты Samba и это один из наиболее важных параметров файла smb.conf.

По умолчанию 'security = user', так как это наиболее распространенный параметр, используемый для автономного файлового сервера или контроллера домена.

Альтернативные значения: 'security = ads' или 'security = domain', поддерживают присоединение Samba к домену Windows.

Необходимо использовать 'security = user' и параметр 'map to guest', если необходимо в основном настроить общие ресурсы без пароля (гостевые ресурсы). Обычно такие настройки используются для общего сервера печати.


  security = AUTO

Это значение по умолчанию в Samba, которое заставляет Samba обращаться к параметру 'server role' (если он установлен) для определения режима безопасности.

 security = USER

Это значение по умолчанию в Samba, если параметр 'server role' не установлен. С безопасностью на уровне пользователя клиент должен сначала «войти в систему» (logon) ​​с существующим именем пользователя и паролем (которые могут быть сопоставлены с помощью параметра 'username map'). В этом режиме безопасности также можно использовать зашифрованные пароли (см. параметр 'encrypt passwords'). Параметры 'user' и 'guest only', если они установлены, могут изменить пользователя UNIX для использования в этом соединении, НО только после того как пользователь успешно пройдет аутентификацию.

Обратите внимание, что имя запрашиваемого ресурса не отправляется на сервер до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые учетные записи не работают в режиме безопасности USER, не позволяя серверу автоматически сопоставлять неизвестных пользователей с 'guest account'. Подробнее об этом см. параметр 'map_to_guest'.

  security = DOMAIN

Этот режим будет работать правильно только в том случае, если для добавления компьютера в домен Windows NT использовалась команда net(8). При этом должен быть установлен параметр 'encrypt passwords = yes'. В этом режиме Samba будет пытаться проверить имя пользователя/пароль, передав его основному или резервному домен контроллерам Windows NT т.е. сделает тоже самое, что сделал бы сервер Windows NT.

Обратите внимание, что действующий пользователь UNIX должен существовать, а также учетная запись на контроллере домена, чтобы у Samba была действующая учетная запись UNIX для сопоставления доступа к файлам.

Заметьте, что с точки зрения клиента, нет разницы между режимами security = domain и security = user. Это влияет только на то, как сервер работает с аутентификацией, и никоим образом не влияет на то, что видит клиент.

Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Вот почему гостевые общие ресурсы не работают в режиме security = USER, не позволяя серверу автоматически сопоставлять неизвестных пользователей с 'guest account'. Подробнее об этом см. параметр 'map to guest'.

См. также параметры 'password server' и 'encrypt passwords'.

  security = ADS

В этом режиме Samba работает как член домена AD. Для работы в этом режиме на машине, на которой работает Samba, должен быть установлен и настроен Kerberos, а Samba должна быть присоединена к области AD с использованием утилиты net.


Обратите внимание, что этот режим НЕ заставляет Samba работать в качестве контроллера домена Active Directory.

Обратите внимание, что для этого для основного домена должны быть установлены параметры 'require strong key = yes' и 'client schannel = yes'.

См. раздел «Domain Membership» в руководстве Samba-HOWTO для получения более подробной информации.

Значение по умолчанию:
AUTO

Пример:
DOMAIN</string>
      <string id="POL_925F9081_BDD3_5BE8_BB73_89EBE3A0A8F0">server role</string>
      <string id="POL_925F9081_BDD3_5BE8_BB73_89EBE3A0A8F0_Help">Этот параметр определяет основной режим работы сервера Samba и является одним из наиболее важных параметров в файле smb.conf.

Значение по умолчанию — 'server role = auto', так как Samba работает в соответствии с настройками параметра 'security' или, если они не указаны, как простой файловый сервер, не подключенный ни к какому домену.

Альтернативные варианты: 'server role = standalone' и 'server role = member server', которые поддерживают присоединение Samba к домену Windows, а также 'server role = domain controller', который запускает Samba в качестве контроллера домена Windows.

Необходимо использовать 'server role = standalone' и параметр 'map to guest', если необходимо в основном настроить общие ресурсы без пароля (гостевые ресурсы). Обычно такие настройки используются для общего сервера печати.

SERVER ROLE = AUTO

Это значение 'server role' по умолчанию в Samba, при этом Samba будет обращаться к параметру 'security' (если он установлен) для определения роли сервера, обеспечивая совместимость поведения с предыдущими версиями Samba.

SERVER ROLE = STANDALONE

Это значение по умолчанию в Samba, если параметр 'security' не указан. В автономном режиме клиент должен сначала «войти в систему» ​​(logon) ​​с существующим именем пользователя и паролем (которые могут быть сопоставлены с помощью параметра 'username map'), хранящимся на этом компьютере. В этом режиме по умолчанию используются зашифрованные пароли (см. параметр 'encrypt passwords'). Параметры 'user' и 'guest only', если они установлены, могут изменить пользователя UNIX для использования в этом соединении, НО только после того как пользователь успешно пройдет аутентификацию.

SERVER ROLE = MEMBER SERVER

Этот режим будет работать правильно только в том случае, если для добавления компьютера в домен Windows использовалась команда net(8). При этом должен быть установлен параметр 'encrypt passwords = yes'. В этом режиме Samba будет пытаться проверить имя пользователя/пароль, передав его контроллеру домена Windows или Samba точно так же, как это сделал бы Windows Server.

Обратите внимание, что действующий пользователь UNIX должен существовать, а также должна существовать учетная запись на контроллере домена, чтобы у Samba была действующая учетная запись UNIX для сопоставления доступа к файлам. Это может обеспечить Winbind.

SERVER ROLE = CLASSIC PRIMARY DOMAIN CONTROLLER

В этом режиме работы выполняется классический основной контроллер домена Samba, предоставляющий услуги входа в систему для клиентов Windows и Samba NT4-подобного домена. Клиенты должны быть присоединены к домену, чтобы создать безопасный, надежный путь в сети. В каждой области NetBIOS должен быть только один PDC (обычно это широковещательная сеть или клиенты, обслуживаемые одним WINS-сервером).

SERVER ROLE = CLASSIC BACKUP DOMAIN CONTROLLER

В этом режиме работы выполняется классический резервный контроллер домена Samba, предоставляющий услуги входа в систему для клиентов Windows и Samba NT4-подобного домена. В качестве BDC это позволяет нескольким серверам Samba предоставлять избыточные службы входа в единую область NetBIOS.

SERVER ROLE = ACTIVE DIRECTORY DOMAIN CONTROLLER

Этот режим работы запускает Samba как контроллер домена Active Directory, предоставляя услуги входа в домен для клиентов Windows и Samba домена. Эта роль требует особой настройки, см. руководство Samba4-HOWTO.

Значение по умолчанию:
AUTO

Пример:
ACTIVE DIRECTORY DOMAIN CONTROLLER</string>
      <string id="POL_6B0930DB_3CC7_57DB_8798_A6B6D3AF05B9">server schannel</string>
      <string id="POL_6B0930DB_3CC7_57DB_8798_A6B6D3AF05B9_Help">Эта опция устарела, начиная с Samba 4.8 и будет удалена в будущем, так как если не установлено значение yes (что будет жестко запрограммировано в будущем) существует проблема безопасности.

Samba будет записывать в файлы журнала (на уровне 0) сообщения о проблеме безопасности, если значение этого праметра не равно yes.

См. CVE-2020-1472 (ZeroLogon) https://bugzilla.samba.org/show_bug.cgi?id=14497

Если у вас все еще есть старые члены домена, используйте параметр 'server require schannel:COMPUTERACCOUNT'.

Параметр 'server require schannel:COMPUTERACCOUNT' имеет приоритет над данным параметром.

Значение по умолчанию:
yes
</string>
      <string id="POL_6DC4F5E8_3493_5D3C_8E35_D928C38C2604">server signing</string>
      <string id="POL_6DC4F5E8_3493_5D3C_8E35_D928C38C2604_Help">Этот параметр определяет, следует ли серверу предлагать или требовать от клиента подписывания SMB1 и SMB2. Возможные значения: default, auto, mandatory и disabled.

Если установлено значение default и если параметр 'server role' имеет значение active directory domain controller, подпись smb обязательна, и не требуется в противном случае.

Если установлено значение auto, подписывание SMB1 предлагается, но не обязательно. Если установлено значение mandatory, подписывание SMB1 обязательно. Если установлено значение disabled подписывание SMB даже не предлагается.

Для протокола SMB2 значение этого параметра не может иметь значение disabled. При согласовании SMB2, если этот параметр имеет значение disabled, он будет рассматриваться как значение auto. Если установить значение mandatory, подписывание SMB2 обязательно.

Значение по умолчанию:
default</string>
      <string id="POL_7C0D1957_E0F4_5B60_805D_FBA7399D8737">smb passwd file</string>
      <string id="POL_7C0D1957_E0F4_5B60_805D_FBA7399D8737_Help">В этом параметре указывается путь к шифрованному файлу smbpasswd. По умолчанию путь к файлу smbpasswd вкомпилирован в Samba.

Значение по умолчанию:
пустая строка

Пример:
/etc/samba/smbpasswd</string>
      <string id="POL_94D60BE2_185E_5EC1_8E58_146C4B17C1E7">tls cafile</string>
      <string id="POL_94D60BE2_185E_5EC1_8E58_146C4B17C1E7_Help">Этот параметр определяет файл (в формате PEM) содержащий сертификаты CA корневых удостоверяющих центров (root CA), которым можно доверять для подписи сертификатов или промежуточных сертификатов CA.

Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.

Значение по умолчанию:
tls/ca.pem</string>
      <string id="POL_A9FA5D2E_2052_5A81_812D_83A2952DF38B">tls certfile</string>
      <string id="POL_A9FA5D2E_2052_5A81_812D_83A2952DF38B_Help">Этот параметр определяет файл (в формате PEM) содержащий RSA сертификат.

Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.

Значение по умолчанию:
tls/cert.pem</string>
      <string id="POL_C3E30BBB_123E_55E6_9693_7FF6CCF7488D">tls crlfile</string>
      <string id="POL_C3E30BBB_123E_55E6_9693_7FF6CCF7488D_Help">Этот параметр определяет файл содержащий список отозванных сертификатов (CRL).

Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.

Значение по умолчанию:
tls crlfile =</string>
      <string id="POL_ABFC90A0_6AA2_5372_85E6_FCD989E458EE">tls dh params file</string>
      <string id="POL_ABFC90A0_6AA2_5372_85E6_FCD989E458EE_Help">Этот параметр определяет файл содержащий параметры Диффи-Хеллмана, который будет использоваться с шифрами DH.

Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.

Значение по умолчанию:
tls dh params file =</string>
      <string id="POL_0F91E806_ADD5_59A1_B4FA_E99A51FED659">tls enabled</string>
      <string id="POL_0F91E806_ADD5_59A1_B4FA_E99A51FED659_Help">Если это параметр установлен (tls enabled = yes), то Samba будет по возможности использовать TLS для связи.

Значение по умолчанию:
tls enabled = yes</string>
      <string id="POL_D245CE57_C525_5967_A452_F28BFDB9509B">tls keyfile</string>
      <string id="POL_D245CE57_C525_5967_A452_F28BFDB9509B_Help">Этот параметр определяет файл (в формате PEM) содержащий закрытый ключ RSA. Этот файл должен быть доступен без пароля, т.е. он не должен быть зашифрован.

Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.

Значение по умолчанию:
tls/key.pem</string>
      <string id="POL_6DB833DB_F8B8_5A20_8E2A_6B7D8E298B9D">tls verify peer</string>
      <string id="POL_6DB833DB_F8B8_5A20_8E2A_6B7D8E298B9D_Help">Этот параметр контролирует, будет ли клиент проверять сертификат и имя однорангового узла и насколько строго. Возможные значения (в порядке возрастания): no_check, ca_only, ca_and_name_if_available, ca_and_name и as_strict_as_possible.

Если установлено значение no_check, сертификат не проверяется вообще, что допускает тривиальные атаки «человек посередине».

Если установлено значение ca_only, сертификат проверяется на подпись от CA, указанного в параметре 'tls cafile'. Требуется установить для параметра 'tls cafile' допустимый файл. Срок действия сертификата также проверяется. Если настроена опция 'tls crlfile', сертификат также проверяется на соответствие c списка отозванных сертификатов.

Если установлено значение ca_and_name_if_available, выполняются все проверки из ca_only. Кроме того, одноранговое имя хоста (peer hostname) сверяется с именем сертификата, если оно предоставлено прикладным уровнем и не задано как строка IP-адреса.

Если установлено значение ca_and_name, выполняются все проверки из ca_and_name_if_available. Кроме того, необходимо указать имя хоста однорангового узла, и даже IP-адрес сверяется с именем сертификата.

Если установлено значение as_strict_as_possible, выполняются все проверки из ca_and_name. Кроме того, необходимо настроить опцию 'tls crlfile'. В будущих версиях Samba могут быть реализованы дополнительные проверки.

Значение по умолчанию:
as_strict_as_possible</string>
      <string id="POL_82913C09_64C3_59C3_8303_3A815661F70E">unix password sync</string>
      <string id="POL_82913C09_64C3_59C3_8303_3A815661F70E_Help">Параметр заставляет синхронизировать пароль UNIX с паролем SMB при изменении зашифрованного пароля SMB в файле smbpasswd. При включении этого параметра (unix password sync = yes), от имени пользователя ROOT вызывается программа, определенная в параметре 'passwd program',   что позволяет установить новый пароль UNIX без доступа к старому паролю UNIX (т.к. у программы смены пароля SMB нет никакого доступа к открытому тексту старого пароля, есть только новый пароль).

Этот параметр не действует, если Samba работает как контроллер домена Active Directory. В этом случае обратите внимание на параметр 'password hash gpg key ids' и команду 'samba-tool user syncpasswords'.

Значение по умолчанию:
unix password sync = no</string>
      <string id="POL_37EE4890_B571_50D5_B6D7_3462FF89BCE1">username level</string>
      <string id="POL_37EE4890_B571_50D5_B6D7_3462FF89BCE1_Help">Этот параметр помогает Samba попытаться «угадать» реальное имя пользователя UNIX, поскольку многие клиенты DOS отправляют имя пользователя в верхнем регистре. По умолчанию Samba пробует использовать все строчные буквы, а затем имя пользователя с заглавной первой буквой и терпит неудачу, если имя пользователя не найдено на машине UNIX.

Если для этого параметра установлено ненулевое значение, поведение меняется. Этот параметр представляет собой число, указывающее количество комбинаций верхнего регистра, которые следует попробовать при попытке определить имя пользователя UNIX. Чем выше число, тем больше комбинаций будет пробовано, но тем медленнее будет обнаружение имен пользователей. Используйте этот параметр при наличии «странных» имен пользователей на машине UNIX, таких как AstrangeUser.

Этот параметр необходим только на системах UNIX, у которых имена пользователей чувствительны к регистру.

Значение по умолчанию:
0

Пример:
5</string>
      <string id="POL_086EBC7E_1D72_5C67_9447_F5F6E36EFA8F">username map</string>
      <string id="POL_086EBC7E_1D72_5C67_9447_F5F6E36EFA8F_Help">Параметр разрешает задать файл определяющий соответствие имен пользователей для клиентов на сервере. Может использоваться в нескольких целях. Самое стандартное применение это сопоставление имен пользователей DOS или Windows именам, используемым на UNIX системе. Другой  вариант — привязать нескольких пользователей к одному имени пользователя, чтобы им было легче обмениваться файлами.

Заметьте, что для пользователя или режима безопасности share, сопоставление пользователя применимо до утверждения пользовательских вверительных грамот (credentials). Серверы члены домена (домена или ads) применяют сопоставление имени пользователя после того, как пользователь был успешно зарегистрирован контроллером домена и требуют полного имени в таблице соответствия (например, biddle = DOMAINfoo).

Файл соответствия анализируется построчно. Каждая строка должна содержать имя пользователя UNIX, потом знак равенства («=»), за которым следует список имен пользователей. Список имен пользователя может содержать имена в формате @group, и в этом случае они будут соответствовать любому имени пользователя UNIX в этой группе. Специальное имя клиента «*» является групповым символом и соответствует любому имени. Каждая строка файла соответствий может достигать 1023 символов.

Файл обрабатывается построчно, берется имя пользователя и сравнивается его с каждым именем пользователя справа от знака «=». Если предоставленное имя совпадает с каким-либо из имен справа, оно заменяется именем слева. Затем обработка продолжается со следующей строки.

Если строка начинается с «#» или «;» она игнорируется.

Если строка начинается с «!» тогда обработка файла остановится после этой строки, если соответствие найдено. Иначе поиск соответствия продолжится дальше. Использование «!» является полезным, если в следующих строках у вас есть групповые соответствия. Например, для создания сопоставления имени admin или administrator к UNIX имени root, создайте такую строку:

root = admin administrator

Или создайте соответствие любой пользователь группы system UNIX к UNIX имени sys:

sys = @system

Можно создать множество соответствий имен в файле соответствий.

Если система поддерживает опцию NIS NETGROUP, тогда база данных netgroup проверяется перед базой данных /etc/group для поиска соответствий в группах.

Можно создать соответствия для имен пользователей Windows, используя двойные кавычки вокруг имени, в котором есть пробелы. Например:

tridge = &quot;Andrew Tridgell&quot;

создаст соответствие «Andrew Tridgell» с именем пользователя UNIX «tridge».

Следующий пример создаст соответствие для mary и fred к Unix пользователю sys, и для остальных создаст соответствие к пользователю guest. Заметьте, что использование «!» укажет Samba прекращать обработку файла, если соответствие найдено в текущей строке:

!sys = mary fred
guest = *


Заметьте, что переназначение имен применяется ко всем найденным именам пользователей. Таким образом, если вы соединитесь с \\server\fred, и fred повторно переназначен в mary, то фактически вы будете соединяться с \\server\mary и должны будете предоставить пароль, подходящий для mary, а не fred. Единственное исключение — это имя пользователя, которое передается серверу пароля (если он у вас один). Сервер пароля получит любое имя пользователя клиента без модификации.

Также заметьте, что обратное переназначение имени не делается. Основная проблема в данном случае с печатью. У пользователей, которые были сопоставлены, может возникнуть проблема при удалении заданий печати, поскольку PrintManager под WfWg будет думать, что очередь печати им не принадлежит.

Версии Samba до 3.0.8 поддерживали чтение только полного имени пользователя (например, DOMAIN\user) из таблицы соответствий при выполнении kerberos логина от клиента. Однако, при поиске соответствия для пользователя использующего NTLM [SSP], использовалось только имя пользователя. Иногда это приводило к противоречивому поведению даже на том же самом сервере.

Следующие функциональные возможности появились в версии 3.0.8 и более поздни:

  * При локальной аутентификации, таблица соответствия применяется к имени пользователя прежде подтверждения подлинности соединения.

  * Полагаясь на внешний контроллер домена для подтверждения запроса аутентификации, smbd применит таблицу соответствия пользователя к полному имени пользователя (т.е. DOMAIN\user), только после того, как пользователь был успешно аутентифицирован.

Значение по умолчанию:
пустая строка (no username map)

Пример:
/usr/local/samba/lib/users.map</string>
      <string id="POL_0FE7956E_5744_5658_A2ED_8433C45918D7">username map cache time</string>
      <string id="POL_0FE7956E_5744_5658_A2ED_8433C45918D7_Help">Сопоставление имен пользователей с 'username map' или 'username map script' с функциями Samba может быть относительно дорогостоящим. При входе пользователя в систему сопоставление выполняется несколько раз. В частности, вызов сценария 'username map script' может замедлить вход в систему, если необходимо запрашивать внешние базы данных из вызываемого сценария.

Параметр 'username map cache time' управляет кэшем отображения. Он определяет количество секунд, в течение которых отображение из файла сопоставления имен пользователей или сценария должно быть эффективно кэшировано. Значение по умолчанию 0 означает, что кэширование не выполняется.

Значение по умолчанию:
0

Пример:
60</string>
      <string id="POL_7C2B49D9_45DE_5D97_B844_9F509F86D211">username map script</string>
      <string id="POL_7C2B49D9_45DE_5D97_B844_9F509F86D211_Help">Этот сценарий является взаимоисключающей альтернативой параметру 'username map'. Этот параметр указывает внешнюю программу или сценарий, которые должны принимать один параметр командной строки (имя пользователя, переданное в запросе аутентификации) и возвращать строку в стандартном выводе (имя, с которым должна быть сопоставлена учетная запись). Таким образом, можно хранить таблицы сопоставления имен пользователей в службах каталогов LDAP или NIS.

Значение по умолчанию:
пустая строка

Пример:
/etc/samba/scripts/mapusers.sh</string>
      <string id="POL_22AAB8AC_4E62_5B51_BC38_C9340E8AC56E">tls priority</string>
      <string id="POL_22AAB8AC_4E62_5B51_BC38_C9340E8AC56E_Help">Этот параметр опредеяет строку, описывающую протоколы TLS, которые будут поддерживаться в частях Samba, которые используют GnuTLS, в частности AD DC.

Строка добавляется к списку приоритетов по умолчанию GnuTLS.

Допустимые параметры описаны в документации GNUTLS Priority-Strings по адресу http://gnutls.org/manual/html_node/Priority-Strings.html.

Протокол SSL3.0 будет отключен.

Значение по умолчанию:
NORMAL:-VERS-SSL3.0</string>
      <string id="POL_08DDB9FE_1D88_5264_BEB0_6D60420CE12B">aio max threads</string>
      <string id="POL_08DDB9FE_1D88_5264_BEB0_6D60420CE12B_Help">Целочисленный параметр, указывающий максимальное количество потоков, которые каждый процесс smbd будет создавать при выполнении параллельных асинхронных вызовов ввода-вывода. Если количество невыполненных вызовов превышает это число, запросы не будут отклонены, а будут помещены в очередь и будут запланированы, в свою очередь, как завершенные невыполненные запросы.

Связанный параметр: 'aio read size'

Связанный параметр: 'aio write size'

Значение по умолчанию:
100</string>
      <string id="POL_0F98F240_9B2D_5788_AC7C_7B2ECDAE60A2">deadtime</string>
      <string id="POL_0F98F240_9B2D_5788_AC7C_7B2ECDAE60A2_Help">Значением данного параметра (десятичное целое число) является время бездействия в минутах, по истечении которого соединение считается утраченным и происходит разъединение. 'deadtime' срабатывает только в том случае, если нет открытых файлов.

Он используется для освобождения ресурсов сервера, нагруженного большим количеством неактивных соединений.

У большинства клиентов есть функция автоматического переподключения при разрыве соединения, поэтому в большинстве случаев этот параметр прозрачен для пользователей.

Для большинства систем рекомендуется использовать этот параметр с таймаутом в несколько минут.

Нулевое время 'deadtime' указывает на то, что соединение разрываться не будет.

Значение по умолчанию:
10080

Пример:
15</string>
      <string id="POL_BAC6D3CB_A32D_5702_93FD_289B714016C3">getwd cache</string>
      <string id="POL_BAC6D3CB_A32D_5702_93FD_289B714016C3_Help">Это тюнинговый параметр. Если он установлен (getwd cache = yes), будет использоваться алгоритм кэширования для сокращения времени, необходимого для getwd() вызовов. Существенно повышает производительность, особенно, когда параметр 'wide links' не установлен.

Значение по умолчанию:
getwd cache = yes</string>
      <string id="POL_0FB07FB9_33B4_5ECF_9725_9B7A38F863AF">hostname lookups</string>
      <string id="POL_0FB07FB9_33B4_5ECF_9725_9B7A38F863AF_Help">Указывает, следует ли Samba преобразовывать IP-адреса в имена компьютеров или использовать вместо этого IP-адреса. Например, преобразование имени компьютера используется при проверке запрета (hosts deny) или разрешения доступа (hosts allow) компьютера к Samba.

Значение по умолчанию:
hostname lookups = no</string>
      <string id="POL_C2D014CF_45D1_5A08_9727_3F2B500A4D58">keepalive</string>
      <string id="POL_C2D014CF_45D1_5A08_9727_3F2B500A4D58_Help">Значение параметра (целое число) представляет количество секунд между пакетами поддерживающими соединение (keepalive). Если этот параметр равен нулю, пакеты отправляться не будут. Пакеты поддерживающие соединение позволяют серверу проверять активность клиента.

Если сокет имеет набор атрибутов SO_KEEPALIVE по умолчанию, то пакеты поддерживающие соединение не требуются (см. параметр 'socket options'). Обычно следует использовать эту опцию, только если вы столкнулись с трудностями.

Обратите внимание, что этот параметр применяется только к клиентским соединениям SMB1 и не влияет на клиентов SMB2.

Значение по умолчанию:
300

Пример:
600</string>
      <string id="POL_AF4738EE_230C_5D39_A4CE_F270B28FE9AB">max disk size</string>
      <string id="POL_AF4738EE_230C_5D39_A4CE_F270B28FE9AB_Help">Этот параметр позволяет ограничить верхний предел видимого размера диска. Если для этого параметра установлено значение 100, тогда размер всех общих ресурсов будет не больше 100МБ.

Обратите внимание, что этот параметр не ограничивает размер объем данных, которые можно поместить на диск. В приведенном выше случае всё равно можно хранить на диске гораздо больше, чем 100МБ, но если клиент запросит информацию о свободном пространстве на диске или о размере диска, то результат будет ограничен объемом, указанным в 'max disk size'.

Этот параметр в первую очередь полезен для работы с ошибками в ПО, которое не может работать со слишком большими дисками, особенно с дисками, размером более 1ГБ.

Значение 0 означает отсутствие ограничений.

Значение по умолчанию:
0

Пример:
1000</string>
      <string id="POL_21C3BE22_42E5_544F_97AB_732B2163839B">max open files</string>
      <string id="POL_21C3BE22_42E5_544F_97AB_732B2163839B_Help">Этот параметр ограничивает количество открытых файлов, которые будет обслуживать демон smbd(8) для одного клиента. Значение по умолчанию очень большое (16384), т.к. Samba использует всего один бит в памяти на один открытый файл. Установка этого параметра ниже 16384 приведет к тому, что Samba пожалуется и вернет это значение к минимуму 16384, поскольку Windows 7 зависит от этого количества доступных дескрипторов открытых файлов.

Реальное ограничение количества открытых файлов обычно срабатывает раньше и устанавливается другим параметром — это количество открытых файлов, которое может открыть процесс (UNIX per-process file descriptor limit), а не этим параметром, поэтому не нужно изменять значение этого параметра.

Значение по умолчанию:
16384</string>
      <string id="POL_67BA8388_A439_54EA_8A1B_B6D2CCD8BB9B">max smbd processes</string>
      <string id="POL_67BA8388_A439_54EA_8A1B_B6D2CCD8BB9B_Help">Этот параметр ограничивает максимальное количество одновременно запущенных процессов smbd(8). Он предотвращает истощение ресурсов сервера, если сервер испытывает проблемы с обслуживанием большего, чем определенное количество подключений. Помните, что в номальных условиях, на каждого пользователя запускается по одному процессу smbd(8).

Для Samba ADDC, использующего стандартную модель процесса, эта опция ограничивает количество процессов, разветвленных для обработки запросов. В настоящее время новые процессы форкуются только для запросов ldap и netlogon.

Значение по умолчанию:
0

Пример:
1000</string>
      <string id="POL_7CB978B4_3314_5AE7_9821_574DC024294B">name cache timeout</string>
      <string id="POL_7CB978B4_3314_5AE7_9821_574DC024294B_Help">Определяет количество секунд до истечения времени ожидания записи в кэше разрешения имени хоста Samba. Если установлено значение 0 — кэширование отключено.

Значение по умолчанию:
660

Пример:
0</string>
      <string id="POL_93A78BFD_8C1E_5643_8329_A90FF5CE5A6B">socket options</string>
      <string id="POL_93A78BFD_8C1E_5643_8329_A90FF5CE5A6B_Help">Современные серверные операционные системы в большинстве ситуаций настроены на высокую производительность сети. При установке параметров сокета, эти настройки переопределяются. В частности, в Linux есть механизм автонастройки размера буфера, который будет отключен, при указании размера буфера сокета. Это потенциально может вывести из строя стек TCP/IP.

Правильная настройка параметров сокета может иметь большое значение для производительности, но неправильное их использование может ухудшить её на столько же. Как и в случае любой другой настройки низкого уровня, если необходимо внести изменения, внесите небольшие изменения и проверьте эффект, прежде чем вносить какие-либо большие изменения.

Этот параметр позволяет задать параметры сокета, который будет использоваться для обслуживания клиентов.

Параметры сокета — это элементы управления на сетевом уровне операционных систем, которые позволяют настраивать соединение.

Обычно с помощью этого параметра проводится тонкая настройка сервера Samba для достижения оптимальной производительности в локальной сети. Нет способа узнать, какие параметры лучше подходят для сети, так что экспериментируйте. Настоятельно рекомендуется сначала прочитать соответствующую документацию для ОС (можеть быть поможет 'man setsockopt').

Может обнаружиться, что на некоторых системах Samba сообщит «Unknown socket option», если включить тот или иной параметр. Это означает, что имя параметра было указано некорректно или нужно включить файл includes.h для системы. В последнем случае, пожалуйста, вышлите нам patch по адресу samba-technical@samba.org.

Любые из поддерживаемых опций сокетов можно комбинировать любым способом, если это позволяет ОС.

Список опций сокета, которые доступны на сегодняшний день:

  SO_KEEPALIVE
  SO_REUSEADDR
  SO_BROADCAST
  TCP_NODELAY
  TCP_KEEPCNT *
  TCP_KEEPIDLE *
  TCP_KEEPINTVL *
  IPTOS_LOWDELAY
  IPTOS_THROUGHPUT
  SO_REUSEPORT
  SO_SNDBUF *
  SO_RCVBUF *
  SO_SNDLOWAT *
  SO_RCVLOWAT *
  SO_SNDTIMEO *
  SO_RCVTIMEO *
  TCP_FASTACK *
  TCP_QUICKACK
  TCP_NODELAYACK
  TCP_KEEPALIVE_THRESHOLD *
  TCP_KEEPALIVE_ABORT_THRESHOLD *
  TCP_DEFER_ACCEPT *
  TCP_USER_TIMEOUT *

Опции, помеченные * принимают целые значения. Остальные принимают только 1 или 0, соответственно разрешая или запрещая опцию, по умолчанию все они разрешены, если не указать явно 1 или 0.

Чтобы указать аргумент, используйте синтаксис SOME_OPTION=VALUE, например SO_SNDBUF=8192. Обратите внимание, что до и после знака равенства не должно быть пробелов.

В локальной сети разумным будет использование опции 'socket options = IPTOS_LOWDELAY' и можно попытаться использовать 'socket options = IPTOS_LOWDELAY TCP_NODELAY'. В сети WAN попробуйте установить значение IPTOS_THROUGHPUT.

Заметьте, что некоторые из этих параметров могут привести к тому, что Samba вообще не будет работать. Используйте эти параметры с осторожностью!

Значение по умолчанию:
TCP_NODELAY

Пример:
IPTOS_LOWDELAY</string>
      <string id="POL_3FD02174_8A27_5426_848C_B3123EA8C4C3">use mmap</string>
      <string id="POL_3FD02174_8A27_5426_848C_B3123EA8C4C3_Help">Этот глобальный параметр определяет, зависит ли содержимое tdb файлов Samba от mmap в работающей операционной системе. Samba требует согласованный mmap/read-write кэш памяти. В настоящее время только OpenBSD и HPUX не имеют такой согласованный кэша, и на этих платформах этот параметр внутренне переопределен и фактически не имеет значения. Во всех системах этот параметр следует оставить в покое. Этот параметр предоставлен, чтобы помочь разработчикам Samba отследить проблемы с внутренним кодом tdb.

Значение по умолчанию:
use mmap = yes</string>
      <string id="POL_77FC1090_5D4B_587E_BD3B_DAE9F7A9682F">get quota command</string>
      <string id="POL_77FC1090_5D4B_587E_BD3B_DAE9F7A9682F_Help">Параметр 'get quota command' можно использовать, если ОС, на которой установлен сервер Samba, имеет API для работы с квотами.

Эта опция доступна только Samba была скомпилирована с поддержкой квот.

Этот параметр должен указывать путь к сценарию, который запрашивает информацию о квоте для указанного пользователя/группы для раздела, в котором находится указанный каталог.

Этот скрипт получает 3 аргумента:

  * каталог
  * тип запроса
  * uid пользователя или gid группы

Каталог на самом деле это просто «.» — его нужно обрабатывать относительно текущего рабочего каталога, который также может запрашивать скрипт.

Тип запроса:

  1 — квота пользователя
  2 — квота пользователя по умолчанию (uid = -1)
  3 — квота группы
  4 — квота группы по умолчанию (gid = -1)

Этот сценарий должен выводить одну строку с пробелами между столбцами. В столбцах выводится:

  1 — флаги квоты (0 = нет квот, 1 = квоты включены, 2 = квоты включены и обязательны)
  2 — текущее количество использованных блоков
  3 — мягкое (softlimit) количество блоков
  4 — жесткое (hardlimit) количество блоков
  5 — текущее количество inodes
  6 — мягкое (softlimit) количество индексных дескрипторов (inodes)
  7 — жесткое (hardlimit) количество индексных дескрипторов (inodes)
  8 (опционально) — количество байт в блоке (по умолчанию 1024)

Значение по умолчанию:
пустая строка

Пример:
/usr/local/sbin/query_quota</string>
      <string id="POL_B093DF52_6C77_5327_AC90_AAC6AF6CB126">host msdfs</string>
      <string id="POL_B093DF52_6C77_5327_AC90_AAC6AF6CB126_Help">Если этот параметр установлен, то Samba будет выступать в качестве сервера Dfs, и позволит Dfs клиентам просматривать Dfs деревья, размещенные на сервере.

См. также уровень параметра 'msdfs root'. Дополнительную информацию о создании Dfs дерева на Samba, см. в разделе «MSFDS» руководства Samba3-HOWTO.

Значение по умолчанию:
host msdfs = yes</string>
      <string id="POL_6B9A8C91_49AF_58C8_931C_0304B60491D2">set quota command</string>
      <string id="POL_6B9A8C91_49AF_58C8_931C_0304B60491D2_Help">Этот параметр следует использовать только тогда, когда для Samba недоступны средства API операционной системы.

Этот параметр доступен лишь в том случае если Samba была скомпилирована с поддержкой квот.

Этот параметр должен указывать путь к сценарию, который устанавливает квоты для заданных аргументов.

Указанный сценарий должен принимать следующие параметры:

  * 1 — путь к месту установки квоты. Это значение необходимо интерпретировать относительно текущего рабочего каталога, который также может проверять сценарий.
  * 2 — тип квоты:
    * 1 — пользовательская квота
    * 2 — пользовательские квоты по умолчанию (uid = -1)
    * 3 — квоты групп
    * 4 — квоты групп по умолчанию (gid = -1)
  * 4 — состояние квоты (0 — запрещена (disable), 1 — разрешена (enable), 2 — включена и навязывается (enable and enforce))
  * 5 — граница мягкой блокировки
  * 6 — граница жесткой блокировки
  * 7 — граница мягкой блокировки inode
  * 8 — граница жесткой блокировки inode
  * 9 — (необязателен) размер блока, по умолчанию 1024

Скрипт должен вывести хотя бы одну строку данных, если все прошло успешно и не выводить ничего, если случилась ошибка.

Значение по умолчанию:
пустая строка

Пример:
/usr/local/sbin/set_quota</string>
      <string id="POL_6A683A86_8075_55FF_B1E6_D7874A3539AA">apply group policies</string>
      <string id="POL_6A683A86_8075_55FF_B1E6_D7874A3539AA_Help">Этот параметр определяет, будет ли winbind выполнять команду gpupdate, определенную в параметре 'gpo update command', в интервале обновления групповой политики. Интервал обновления групповой политики определяется как каждые 90 минут плюс случайное смещение от 0 до 30 минут. При этом политики компьютера групповой политики применяются к клиенту или KDC, а политики компьютера — к серверу.

Значение по умолчанию:
apply group policies = no</string>
      <string id="POL_0471CC71_51D5_58F6_A00A_6E8B283C3AF5">create krb5 conf</string>
      <string id="POL_0471CC71_51D5_58F6_A00A_6E8B283C3AF5_Help">Снятие отметки с этого параметра (значение 'create krb5 conf = no') запрещает winbind создавать собственные файлы krb5.conf. Winbind обычно делает это, потому что библиотеки krb5 не поддерживают сайты AD и поэтому могут выбрать любой контроллер домена из потенциально очень многих. Winbind ориентирован на сайт и заставляет библиотеки krb5 использовать локальный контроллер домена, создавая свои собственные файлы krb5.conf.

Предотвратить такое поведение может потребоваться, если нужно добавить в system-krb5.conf специальные параметры, которые winbind не видит.

Значение по умолчанию:
create krb5 conf = yes</string>
      <string id="POL_46FF92BD_F484_5B2C_A639_ACBE73F15F3A">idmap backend</string>
      <string id="POL_46FF92BD_F484_5B2C_A639_ACBE73F15F3A_Help">Параметр является интерфейсом к Winbind для хранения переменных подсистем к таблицам соответствия SID/uid/gid.

Эта опция указывает бэкэнд по умолчанию, который используется, когда не задана специальная конфигурация, но теперь он устарел и заменен новым параметром 'idmap config * : backend'.

Значение по умолчанию:
tdb</string>
      <string id="POL_309434B4_68BA_53E0_BDF9_CA589711EA29">idmap cache time</string>
      <string id="POL_309434B4_68BA_53E0_BDF9_CA589711EA29_Help">Этот параметр определяет время в секундах, в течение которого кэшируются положительные результаты ID/uid/gid запросов к интерфейсу Winbind idmap. По умолчанию Samba кэширует эти результаты в течение одной недели.

Значение по умолчанию:
604800</string>
      <string id="POL_066B06D4_3BC0_5CFA_80A9_D2B1C046B5B0">idmap gid</string>
      <string id="POL_066B06D4_3BC0_5CFA_80A9_D2B1C046B5B0_Help">Параметр определяет диапазон групповых идентификаторов, для конфигурации idmap по умолчанию. Теперь он устарел и заменен на 'idmap config * : range'.

См. также параметр 'idmap config'.

Значение по умолчанию:
пустая строка

Пример:
10000-20000</string>
      <string id="POL_9B5D009F_1EBE_5E94_A46B_8644157A6061">idmap negative cache time</string>
      <string id="POL_9B5D009F_1EBE_5E94_A46B_8644157A6061_Help">Этот параметр указывает количество секунд, в течение которых интерфейс Winbind idmap будет кэшировать отрицательные результаты запроса SID/uid/gid.

Значение по умолчанию:
120</string>
      <string id="POL_37D1856A_CAF9_5395_AC8E_8E0F3E9C03E4">idmap uid</string>
      <string id="POL_37D1856A_CAF9_5395_AC8E_8E0F3E9C03E4_Help">Параметр 'idmap uid' указывает диапазон идентификаторов пользователей для конфигурации idmap по умолчанию. Этот параметр устарел и заменен на 'idmap config * : range'.

См. параметр 'idmap config'.

Значение по умолчанию:
пустая строка

Пример:
10000-20000</string>
      <string id="POL_283F0A5F_5841_5D1D_8EE3_D2715805A463">include system krb5 conf</string>
      <string id="POL_283F0A5F_5841_5D1D_8EE3_D2715805A463_Help">Установка для этого параметра значения no не позволит Winbind включить системный файл /etc/krb5.conf в создаваемый файл krb5.conf. См. также параметр 'create krb5 conf'. Эта опция применима только к Samba, построенной с использованием MIT Kerberos.

Значение по умолчанию:
include system krb5 conf = yes</string>
      <string id="POL_61C9E6AE_96EF_5E8D_9AB8_7598584D391E">neutralize nt4 emulation</string>
      <string id="POL_61C9E6AE_96EF_5E8D_9AB8_7598584D391E_Help">Этот параметр определяет, отправляет ли winbindd флаг NETLOGON_NEG_NEUTRALIZE_NT4_EMULATION, чтобы обойти эмуляцию NT4 контроллера домена.

Обычно не нужно устанавливать этот параметр. Это может быть полезно при обновлении доменов NT4 до AD.

Поведение можно контролировать для каждого домена NetBIOS с помощью опции 'neutralize nt4 emulation:NETBIOSDOMAIN = yes'.

Значение по умолчанию:
neutralize nt4 emulation = no</string>
      <string id="POL_D8459DE9_6E91_58A6_8E4E_83BFBB41AE4E">reject md5 servers</string>
      <string id="POL_D8459DE9_6E91_58A6_8E4E_83BFBB41AE4E_Help">Этот параметр определяет, требуется ли winbindd поддержка aes для безопасного канала netlogon.

Должны быть установлены флаги: NETLOGON_NEG_ARCFOUR, NETLOGON_NEG_SUPPORTS_AES, NETLOGON_NEG_PASSWORD_SET2 и NETLOGON_NEG_AUTHENTICATED_RPC.

Можно установить этот параметр (reject md5 servers = yes), если все контроллеры домена поддерживают AES. Это предотвратит атаки перехода на более раннюю версию.

Такое поведение можно контролировать для каждого домена NetBIOS с помощью опции 'reject md5 servers:NETBIOSDOMAIN = yes'.

Эта опция имеет приоритет перед опцией 'require strong key'.

Значение по умолчанию:
reject md5 servers = no</string>
      <string id="POL_E3A88031_AF89_5D12_9F48_5BD36B25F58C">require strong key</string>
      <string id="POL_E3A88031_AF89_5D12_9F48_5BD36B25F58C_Help">Этот параметр определяет, требуется ли winbindd поддержка сильного ключа md5 для безопасного канала netlogon.

Должны быть установлены флаги: NETLOGON_NEG_STRONG_KEYS, NETLOGON_NEG_ARCFOUR и NETLOGON_NEG_AUTHENTICATED_RPC.

Можно отключить этот параметр (require strong key = no), если некоторые контроллеры домена поддерживают только DES. Это может позволить согласовать слабую криптографию, возможно, с помощью атак на более раннюю версию.

Такое поведение можно контролировать для каждого домена NetBIOS с помощью опции 'require strong key:NETBIOSDOMAIN = no'.

Обратите внимание, что для домена Active Directory эта опция принудительно включена.

Опция 'reject md5 servers' имеет приоритет над этой опцией.

Эта опция имеет приоритет перед опцией 'client schannel'.

Значение по умолчанию:
require strong key = yes</string>
      <string id="POL_D55FF104_CF84_512D_9962_D01784923C49">template homedir</string>
      <string id="POL_D55FF104_CF84_512D_9962_D01784923C49_Help">При передаче информации о пользователе Windows NT, значение этого параметра будет использоваться демоном winbindd(8) в качестве домашнего каталога пользователя. Если присутствует последовательность %D, она заменяется доменным именем пользователя Windows NT. Если присутствует последовательность %U, она заменяется именем пользователя Windows NT.

Значение по умолчанию:
/home/%D/%U</string>
      <string id="POL_A317595E_2C79_5B73_9043_CEB7525F6692">template shell</string>
      <string id="POL_A317595E_2C79_5B73_9043_CEB7525F6692_Help">При передаче информации о пользователе Windows NT, значение этого параметра будет использоваться демоном winbindd(8) для определения командного интерпретатора (shell).

Значение по умолчанию:
/bin/false</string>
      <string id="POL_F8F9B8BF_2D26_5079_928E_7168BBCA91BE">winbind cache time</string>
      <string id="POL_F8F9B8BF_2D26_5079_928E_7168BBCA91BE_Help">Этот параметр указывает количество секунд, в течение которых демон winbindd(8) будет кэшировать информацию о пользователях и группах перед повторным запросом к серверу Windows NT.

Это не относится к запросам аутентификации, они всегда оцениваются в реальном времени, если не включена опция 'winbind offline logon'.

Значение по умолчанию:
300</string>
      <string id="POL_07E24EA1_B340_5215_BDBB_5248537F9540">winbindd socket directory</string>
      <string id="POL_07E24EA1_B340_5215_BDBB_5248537F9540_Help">Этот параметр управляет расположением сокета демона winbind.

За исключением сценариев автоматического тестирования, этот параметр не должен изменяться, поскольку клиентские инструменты (nss_winbind и т.д.) не поддерживают этот параметр. Клиентские инструменты должны быть уведомлены об измененном пути с помощью переменной среды WINBINDD_SOCKET_DIR.

Значение по умолчанию:
winbindd socket directory =</string>
      <string id="POL_8FEAD8B9_8097_5BA2_BD78_7BB0AA8691C1">winbind enum groups</string>
      <string id="POL_8FEAD8B9_8097_5BA2_BD78_7BB0AA8691C1_Help">При больших установках с использованием winbindd(8) бывает необходимо подавить перечисление групп через системные вызовы setgrent(), getgrent() и endgrent(). Если параметр не установлен (winbind enum groups = no), системный вызов getgrent() не будет возвращать данных.

Внимание. Отключение перечисления групп может привести к странному поведению некоторых программ.

Значение по умолчанию:
winbind enum groups = no</string>
      <string id="POL_FAB1BAAD_85CD_5FE6_B0AA_AC48B77ACCCC">winbind enum users</string>
      <string id="POL_FAB1BAAD_85CD_5FE6_B0AA_AC48B77ACCCC_Help">При больших установках с использованием winbindd(8) бывает необходимо подавить перечисление пользователей через системные вызовы setpwent(), getpwent() и endpwent(). Если параметр не установлен (winbind enum users = no), системный вызов getpwent() не будет возвращать данных.

Внимание. Отключение перечисления пользователей может привести к странному поведению некоторых программ. Например, программа finger полагается на доступ к полному списку пользователей при поиске совпадающих имен пользователей.

Значение по умолчанию:
winbind enum users = no</string>
      <string id="POL_2B331ECE_5A4A_5DE9_8DBF_EFBCE108F070">winbind expand groups</string>
      <string id="POL_2B331ECE_5A4A_5DE9_8DBF_EFBCE108F070_Help">Этот параметр управляет максимальной глубиной, которую будет проходить winbindd при выравнивании членства во вложенных группах доменных групп Windows. Эта опция отличается от опции 'winbind nested groups', которая реализует модель локального вложения групп Windows NT4. Параметр 'winbind expand groups' специально применяется к членству в группах домена.

Этот параметр также влияет на возврат членства в невложенных группах пользователей домена Windows. С новым значением по умолчанию 'winbind expand groups = 0' winbind вообще не запрашивает членство в группах.

Имейте в виду, что высокое значение этого параметра может привести к замедлению работы системы, поскольку основной родительский демон winbindd должен выполнить развертывание группы и не сможет отвечать на входящие запросы NSS или аутентификации в это время.

Значение по умолчанию было изменено с 1 на 0 в Samba 4.2. Некоторые неработающие приложения (включая некоторые реализации newgrp и sg) вычисляют членство пользователей в группах путем обхода групп, для таких приложений потребуется 'winbind expand groups = 1'. Но новое значение по умолчанию делает winbindd более надежным, поскольку он не требует доступа SAMR к контроллерам домена доверенных доменов.

Значение по умолчанию:
0</string>
      <string id="POL_7F3A4DCD_923C_5586_AFFB_1BA559F399CB">winbind:ignore domains</string>
      <string id="POL_7F3A4DCD_923C_5586_AFFB_1BA559F399CB_Help">Этот параметр позволяет ввести список доверенных доменов, которые winbind должен игнорировать (не доверять). Это поможет избежать дополнительных затрат ресурсов на попытки входа в DC, с которыми не следует связываться.

Значение по умолчанию:
пустая строка

Пример:
DOMAIN1, DOMAIN2</string>
      <string id="POL_FE5A1763_2311_55A2_AB2E_10D92C3A7FC4">winbind max clients</string>
      <string id="POL_FE5A1763_2311_55A2_AB2E_10D92C3A7FC4_Help">Этот параметр указывает максимальное количество клиентов, с которыми демон winbindd(8) может соединиться. Параметр не является жестким пределом. Демон winbindd(8) настраивается так, чтобы принимать, по крайней мере, такое количество подключений, и если предел достигнут, делается попытка отключить неактивных клиентов.

Значение по умолчанию:
200</string>
      <string id="POL_57855ED8_E596_52E6_A8F8_B710E76BD0F6">winbind max domain connections</string>
      <string id="POL_57855ED8_E596_52E6_A8F8_B710E76BD0F6_Help">Этот параметр указывает максимальное количество одновременных подключений, которые демон winbindd(8) должен открыть к контроллеру домена одного домена. Установка для этого параметра значения больше 1 может улучшить масштабируемость с множеством одновременных запросов winbind, некоторые из которых могут быть медленными.

Обратите внимание: если установлен параметр 'winbind offline logon', то для каждого домена разрешено только одно подключение к DC, независимо от значения параметра 'winbind max domain connections'.

Значение по умолчанию:
1

Пример:
10</string>
      <string id="POL_6C096F2D_4DB1_5E05_84BB_9E9E3E0708BB">winbind nested groups</string>
      <string id="POL_6C096F2D_4DB1_5E05_84BB_9E9E3E0708BB_Help">Если этот параметр установлен, активируется поддержка вложенных групп. Вложенные группы также называются локальными группами или псевдонимами. Они работают так же, как и их аналоги в Windows: вложенные группы определяются локально на любом компьютере (они совместно используются контроллерами домена через их SAM) и могут содержать пользователей и глобальные группы из любого доверенного SAM. Чтобы иметь возможность использовать вложенные группы, необходимо запустить nss_winbind.

Значение по умолчанию:
winbind nested groups = yes</string>
      <string id="POL_7C9859FE_6BA0_526D_A308_9454D3063550">winbind normalize names</string>
      <string id="POL_7C9859FE_6BA0_526D_A308_9454D3063550_Help">Этот параметр контролирует, заменять или нет пробелы в имени пользователя, группы на символ подчеркивания «_». Например, следует ли заменить имя «Space Kadet» на строку «space_kadet». У сценариев командного процессора Unix возникают ошибки с именами пользователей, содержащих пробелы, т.к. пробел является разделителем по умолчанию для shell. Если в домене есть имена учётных записей пользователей, содержащие символ подчеркивания, этот параметр может вызвать проблемы, если функция псевдонима не поддерживается плагином nss_info.

Эта функция также включает API псевдонимов имен, который можно использовать для преобразования имен пользователей и групп домена в неквалифицированную версию. Пожалуйста, обратитесь к странице руководства по настройке плагинов idmap и nss_info, чтобы узнать, как настроить псевдонимы для конкретной конфигурации. Использование псевдонимов имеет приоритет (и является взаимоисключающим) над механизмом замены пробелов.

Значение по умолчанию:
winbind normalize names = no</string>
      <string id="POL_3D3D280A_1D60_58AA_A7BD_54D13DDBE1A6">winbind nss info</string>
      <string id="POL_3D3D280A_1D60_58AA_A7BD_54D13DDBE1A6_Help">Параметр предназначен для контроля над тем, как Winbind получает информацию от Name Service Information для создания пользовательских домашних каталогов и login shell. В настоящее время доступны следующие значения параметра:

  * template — по умолчанию, используются шаблоны для login shell и home directory.

  * &lt;sfu | sfu20 | rfc2307 &gt; — если Samba запущена с 'security = ads' и контроллер домена Active Directory поддерживает Microsoft «Services for Unix» (SFU) LDAP schema, может получить атрибуты login shell и home directory непосредственно от Directory Server. Для SFU 3.0 или 3.5 просто выберите «sfu», если вы используете SFU 2.0, выберите «sfu20».

Обратите внимание, что для бэкэнда idmap idmap_ad необходимо настроить эти параметры в разделе конфигурации idmap. Обязательно ознакомьтесь с документацией используемого вами бэкенда idmap.

Значение по умолчанию:
template

Пример:
sfu</string>
      <string id="POL_34B48F10_7723_5E77_A57B_AE606BBB43B7">winbind offline logon</string>
      <string id="POL_34B48F10_7723_5E77_A57B_AE606BBB43B7_Help">Этот параметр определяет, можно ли осуществлять подключение с модулем pam_winbind, используя Cached Credentials (буферизированные личные данные). Если параметр включен, winbindd сохранит пользовательские Credentials от успешных логинов, в локальном кэше в зашифрованном виде.

Значение по умолчанию:
winbind offline logon = no</string>
      <string id="POL_05A14875_99EE_5000_A1E2_100D2F7B079F">winbind reconnect delay</string>
      <string id="POL_05A14875_99EE_5000_A1E2_100D2F7B079F_Help">Этот параметр указывает количество секунд, в течение которых демон winbindd(8) будет ждать между попытками связи с контроллером домена, для домена, который определен как неработающий или недоступный.

Значение по умолчанию:
30</string>
      <string id="POL_98A94538_AA09_51C8_A96D_ACB0B314F5F4">winbind refresh tickets</string>
      <string id="POL_98A94538_AA09_51C8_A96D_ACB0B314F5F4_Help">Этот параметр определяет, должен ли Winbind обновлять билеты Kerberos при использовании модуля pam_winbind.

Значение по умолчанию:
winbind refresh tickets = yes</string>
      <string id="POL_96B1E9F8_5418_5EA0_8B87_614B45822D92">winbind request timeout</string>
      <string id="POL_96B1E9F8_5418_5EA0_8B87_614B45822D92_Help">Этот параметр указывает количество секунд, в течение которых демон winbindd (8) будет ждать перед отключением клиентского соединения без ожидающих запросов (простаивающее соединение), либо клиентского соединения с запросом, который оставался невыполненным (зависшим) дольше указанного количества секунд.

Значение по умолчанию:
60</string>
      <string id="POL_FEC015B1_6B0B_5D76_B23D_71363578FAF7">winbind rpc only</string>
      <string id="POL_FEC015B1_6B0B_5D76_B23D_71363578FAF7_Help">Установка этого параметра (winbind rpc only = yes) заставляет winbindd использовать RPC вместо LDAP для получения информации с контроллеров домена.

Значение по умолчанию:
winbind rpc only = no</string>
      <string id="POL_412B470E_EC88_556F_B9DE_1952C70E45B1">winbind scan trusted domains</string>
      <string id="POL_412B470E_EC88_556F_B9DE_1952C70E45B1_Help">Этот параметр работает только в том случае, если параметр 'security' имеет значение domain или ads. Если параметр установлен (winbind scan trusted domains = yes) (по умолчанию), winbindd периодически пытается сканировать новые доверенные домены, и добавляет их в глобальный список внутри winbindd. Список можно извлечь с помощью 'wbinfo --trusted-domains --verbose'. Это соответствует поведению Samba 4.7 и старше.

Создание этого глобального списка ненадежно и часто бывает неполным в сложных установках доверия. В большинстве случаев для правильной работы winbindd список больше не нужен. Например, для обслуживания простых файлов через SMB с использованием простой настройки idmap с autorid, tdb или ad. Однако для некоторых более сложных настроек требуется список, например, при указании бэкендов idmap для определенных доменов. Для некоторых настроек pam_winbind также может потребоваться глобальный список.

Если у вас есть установка, которая не требует глобального списка, необходимо установить 'winbind scan trusted domains = no'.

Значение по умолчанию:
winbind scan trusted domains = yes</string>
      <string id="POL_6247DEB4_05CC_51B8_A8CB_1FF7DEDA741C">winbind sealed pipes</string>
      <string id="POL_6247DEB4_05CC_51B8_A8CB_1FF7DEDA741C_Help">Этот параметр определяет, будут ли запечатываться какие-либо запросы от winbindd к конвейеру контроллеров домена. Отключение запечатывания может быть полезно для отладки.

Поведение можно контролировать для каждого домена NetBIOS с помощью опции 'winbind sealed pipes:NETBIOSDOMAIN = no'.

Значение по умолчанию:
winbind sealed pipes = yes</string>
      <string id="POL_7E1E179F_7E0D_5CB4_BDAA_B8EDF41428CC">winbind separator</string>
      <string id="POL_7E1E179F_7E0D_5CB4_BDAA_B8EDF41428CC_Help">Этот параметр разрешает администратору выбрать разделитель, используемый в имени пользователя в формате DOMAIN\user. Этот параметр применим для Unix служб с модулями pam_winbind.so и nss_winbind.so.

Обратите внимание, что установка этого параметра в «+» вызывает проблемы с членством в группах, по крайней мере, в системах glibc, поскольку символ «+» используется в качестве специального символа для NIS в /etc/group.

Значение по умолчанию:
\

Пример:
+</string>
      <string id="POL_1780A1A5_0535_5D0B_8105_2129879E3C40">winbind use default domain</string>
      <string id="POL_1780A1A5_0535_5D0B_8105_2129879E3C40_Help">Этот параметр разрешает winbindd(8) работать с пользователями без доменной части в имени пользователя. Пользователи без доменной части в имени рассматриваются winbindd как часть собственного домена сервера winbindd. Хотя это не приносит пользы пользователям Windows, это делает работу служб SSH, FTP и электронной почты вести себя также как они ведут себя в системе UNIX.

По возможности следует избегать этого варианта. Это может вызвать путаницу в отношении обязанностей пользователя или группы. Во многих ситуациях неясно, следует ли считать winbind или /etc/passwd полномочными для пользователя, равно как и для групп.

Значение по умолчанию:
winbind use default domain = no</string>
      <string id="POL_71A1842A_9526_5BF9_A0FC_07322D2C6C81">winbind use krb5 enterprise principals</string>
      <string id="POL_71A1842A_9526_5BF9_A0FC_07322D2C6C81_Help">winbindd может получить билеты Kerberos для pam_winbind с помощью krb5_auth или wbinfo -K/--krb5auth=.

winbindd (по крайней мере, как член домена) никогда не сможет получить полную картину топологии доверия (которая управляется контроллерами домена). Могут быть значения uPNSuffixes и msDS-SPNSuffixes, которые вообще не принадлежат ни одному домену AD.

Если параметр 'winbind scan trusted domains = no' winbindd не сможет получить даже неполное представление о топологии.

На самом деле знать о топологии доверия не обязательно. Можно просто полагаться на [K]-ый контроллер домена основного домена (например, PRIMARY.A.EXAMPLE.COM), использовать принципалы предприятия, например, upnfromB@B.EXAMPLE.COM@PRIMARY.A.EXAMPLE.COM и следовать рекомендациям WRONG_REALM, чтобы найти правильный DC. Последний принципал может быть userfromB@INTERNALB.EXAMPLE.PRIVATE.

Если параметр 'winbind use krb5 enterprise principals = yes' будут использованы принципал winbindd.

Значение по умолчанию:
winbind use krb5 enterprise principals = no</string>
      <string id="POL_B05D0593_B0CE_52A9_977C_E7A897EEA307">dns proxy</string>
      <string id="POL_B05D0593_B0CE_52A9_977C_E7A897EEA307_Help">Указывает, что nmbd(8) при работе в качестве WINS-сервера и обнаружении того, что имя NetBIOS не было зарегистрировано, должен обрабатывать имя NetBIOS дословно как имя DNS и выполнять поиск на DNS-сервере для этого имени от имени клиента, запрашивающего имя.

Обратите внимание, что максимальная длина имени NetBIOS составляет 15 символов, поэтому имя DNS (или псевдоним DNS) также может состоять максимум из 15 символов.

nmbd порождает свою вторую копию для выполнения запросов поиска имени DNS, поскольку поиск имени является действием блокировки.

Значение по умолчанию:
dns proxy = yes</string>
      <string id="POL_C1A54865_BE76_5627_B737_BBB708AEC44C">max wins ttl</string>
      <string id="POL_C1A54865_BE76_5627_B737_BBB708AEC44C_Help">Этот параметр сообщает демону smbd(8), когда он действует как WINS-сервер (параметр 'wins support = yes'), какое максимально «время жизни» («time to live») NetBIOS-имён будет предоставлять nmbd (в секундах). Никогда не нужно изменять значение этого параметра. По умолчанию 6 дней (518400 секунд).

Значение по умолчанию:
518400</string>
      <string id="POL_BEE0A696_13BD_578B_B448_1E0A01AB915A">min wins ttl</string>
      <string id="POL_BEE0A696_13BD_578B_B448_1E0A01AB915A_Help">Этот параметр сообщает демону smbd(8), когда он действует как WINS-сервер (параметр 'wins support = yes'), какое минимальное «время жизни» («time to live») NetBIOS-имён будет предоставлять nmbd (в секундах). Никогда не нужно изменять значение этого параметра. По умолчанию  6 часов (21600 секунд).

Значение по умолчанию:
21600</string>
      <string id="POL_890DE0DC_C0FC_565A_A1D3_AD06EFAC41ED">nbtd:wins_prepend1Bto1Cqueries</string>
      <string id="POL_890DE0DC_C0FC_565A_A1D3_AD06EFAC41ED_Help">Обычно запросы для имен 0x1C (все logon server-а для домена) возвращают первый адрес из имен 0x1B (масте-браузер домена и PDC) в качестве первого адреса в списке результатов. Поскольку многие клиенты по умолчанию используют только первый адрес в списке, все клиенты будут использовать один и тот же сервер (PDC). Серверы Windows имеют возможность отключить это поведение (начиная с Windows 2000 Service Pack 2).

Значение по умолчанию:
yes</string>
      <string id="POL_06F0FFB1_F595_57BB_B964_6D419A02F468">nbtd:wins_wins_randomize1Clist</string>
      <string id="POL_06F0FFB1_F595_57BB_B964_6D419A02F468_Help">Обычно запросы для имен 0x1C возвращают адреса в том же порядке, в каком они хранятся в базе данных, то есть сначала все адреса, которые были непосредственно зарегистрированы на локальном сервере WINS, а затем все адреса, зарегистрированные на других серверах. Серверы Windows имеют возможность изменить это поведение и рандомизировать возвращаемые адреса. При установке этого параметра (nbtd:wins_wins_randomize1Clist = yes) Samba будет сортировать список адресов в зависимости от адреса клиента и совпадающих битов адресов, первый адрес рандомизируется в зависимости от параметра 'nbtd:wins_randomize1Clist_mask'.

Значение по умолчанию:
nbtd:wins_wins_randomize1Clist = no</string>
      <string id="POL_F63D2A1E_D6BA_516E_995D_F9FEE05D49DB">nbtd:wins_randomize1Clist_mask</string>
      <string id="POL_F63D2A1E_D6BA_516E_995D_F9FEE05D49DB_Help">Если параметр 'nbtd:wins_randomize1Clist' имеет значение yes, то рандомизация первого возвращенного адреса производится на основе указанной сетевой маски. Если есть адреса, которые находятся в той же подсети, что и адрес клиента, из них случайным образом выбирается первый возвращенный адрес. В противном случае из всех адресов случайным образом выбирается первый возвращенный адрес.

Значение по умолчанию:
255.255.255.0</string>
      <string id="POL_D0A83CCC_07AF_553B_84AE_4824377AE692">winsdb:local_owner</string>
      <string id="POL_D0A83CCC_07AF_553B_84AE_4824377AE692_Help">Этот параметр определяет адрес, который хранится в атрибуте winsOwner локально зарегистрированных объектов winsRecord. По умолчанию используется IP-адрес первого сетевого интерфейса.

Значения по умолчанию нет</string>
      <string id="POL_06442D20_4739_5DE0_820F_516416AD0ECF">winsdb:dbnosync</string>
      <string id="POL_06442D20_4739_5DE0_820F_516416AD0ECF_Help">Этот параметр отключает fsync() после изменений в базе данных WINS.

Значение по умолчанию:
winsdb:dbnosync = no</string>
      <string id="POL_F7271C08_2949_53E0_809D_9B976AB9DE2E">wins hook</string>
      <string id="POL_F7271C08_2949_53E0_809D_9B976AB9DE2E_Help">Если Samba запущена как сервер WINS, существует возможность для осуществления вызовов внешних программ для изменения базы данных WINS. Основное назначение этого параметра — разрешить динамическое обновление внешних баз данных, таких как динамический DNS.

Параметр определяет имя сценария или программы вызываемой в формате:

    wins_hook operation name nametype ttl IP_list

  * Первый аргумент — это операция («add», «delete» или «refresh»). В большинстве случаев операцию можно игнорировать, поскольку остальные параметры предоставляют достаточную информацию. Обратите внимание, что операцию «refresh» можно использовать, когда имя ранее не было добавлено, этот случай нужно рассматривать как добавление.

  * Второй аргумент — NetBIOS имя. Если введенное имя не существует, 'wins hook' вызов не выполнится. Имя может содержать только буквы, цифры, дефисы, символы подчеркивания и периоды.

  * Третий аргумент — NetBIOS  имя в формате 2 шестнадцатеричных чисел.

  * Четвертый аргумент — TTL (время жизни) имени в секундах.

   * Пятый и последующие аргументы — IP-адреса, в настоящее время зарегистрированные для этого имени. Если этот список пуст, имя следует удалить.

Пример сценария, который вызывает программу обновления динамического DNS BIND nsupdate, находится в каталоге примеров исходного кода Samba.

Значения по умолчанию нет</string>
      <string id="POL_A1E6C0E7_38BA_5583_816D_73C91FCAADB4">wins proxy</string>
      <string id="POL_A1E6C0E7_38BA_5583_816D_73C91FCAADB4_Help">Этот параметр управляет поведением nmbd(8), будет ли тот отвечат на широковещательные запросы по разрешению имен от других компьютеров. Возможно, потребуется установить этот параметр (wins proxy = yes) для некоторых старых клиентов.

Значение по умолчанию:
wins proxy = no</string>
      <string id="POL_31C40FB1_1B0A_5AA3_80F9_7914AC38FD99">wins server</string>
      <string id="POL_31C40FB1_1B0A_5AA3_80F9_7914AC38FD99_Help">Параметр определяет IP-адрес (или DNS-имя, IP-адрес предпочтительнее) для WINS-сервера. Если в сети уже есть WINS-сервер, пропишите в этом параметре его IP-адрес.

Также если локальная сеть состоит из множества подсетей, необходимо указать в этом параметре WINS-сервер.

При работе в множественном пространстве имен необходимо назначить каждому серверу имен свой «tag» (признак). Для каждого «tag» может быть назначен только один сервер имен. «tag» отделяется от IP-адреса двоеточием.

Необходимо настроить Samba так, чтобы она указывала на WINS-сервер, если есть несколько подсетей и необходимо, чтобы просмотр между подсетями работал правильно (см. раздел «Network Browsing» руководства Samba3-HOWTO).

Значение по умолчанию:
пустая строка

Пример:
mary:192.9.200.1 fred:192.168.3.199 mary:192.168.2.61
В этом примере сначала будет опрошен сервер 192.9.200.1 и если он не отвечает 192.168.2.61. Если имя не будет разрешено, запрос пойдет на 192.168.3.199

Пример:
192.9.200.1 192.168.2.61</string>
      <string id="POL_44517D2D_845B_5F7B_90F2_F7BD0DA063A9">wins support</string>
      <string id="POL_44517D2D_845B_5F7B_90F2_F7BD0DA063A9_Help">Параметр определяет, будет ли процесс nmbd(8) в Samba работать как WINS-сервер. Не устанавливайте этот параметр (wins support = yes), если у вас нет нескольких подсетей, и вы не хотите чтобы nmbd работал как WINS-сервер. Никогда не устанавливайте этот параметр более чем на одной машине в пределах одной подсети.

Значение по умолчанию:
wins support = no</string>
      <string id="POL_8A035569_9C85_59DC_9BF8_241994D4E947">wreplsrv:periodic_interval</string>
      <string id="POL_8A035569_9C85_59DC_9BF8_241994D4E947_Help">Максимальный интервал в секундах между двумя периодически запланированными запусками, когда мы проверяем наличие изменений wins.ldb и отправляем push-уведомления нашим push-партнерам. Также в этом интервале проверяются изменения wins_config.ldb и выполняются перезагрузки конфигурации партнера.

Значение по умолчанию:
15</string>
      <string id="POL_186864AE_CE31_5628_BA4E_6B9F06F087E5">wreplsrv:propagate name releases</string>
      <string id="POL_186864AE_CE31_5628_BA4E_6B9F06F087E5_Help">Если этот параметр включен, то явное (от клиента) и неявное (через очистку) выпуски имени распространяются на другие серверы напрямую, даже если есть другие активные адреса, это относится к записям SPECIAL GROUP (2) и MULTIHOMED (3). Также алгоритм слияния конфликтов репликации для записей SPECIAL GROUP (2) отбрасывает адреса реплик, где владельцем адреса является локальный сервер, если адрес ранее не хранился локально. Результат слияния распространяется напрямую, если адрес был отброшен. Серверы Windows не распространяют версии имен записей SPECIAL GROUP (2) и MULTIHOMED (3) напрямую, что означает, что серверы Windows могут возвращать разные результаты для запросов имен для имен SPECIAL GROUP (2) и MULTIHOMED (3). Эта опция не имеет большого негативного влияния, если рядом есть серверы Windows, но имейте в виду, что они могут возвращать неожиданные результаты.

Значение по умолчанию:
wreplsrv:propagate name releases = no
</string>
      <string id="POL_8DC9CC59_A490_5F52_8C69_A9EEC802C48C">wreplsrv:scavenging_interval</string>
      <string id="POL_8DC9CC59_A490_5F52_8C69_A9EEC802C48C_Help">Интервал в секундах между двумя запусками очистки, которые очищают базу данных WINS и изменяют состояния просроченных записей имен. По умолчанию это половина значения 'wreplsrv:renew_interval'.

Значения по умолчанию нет
</string>
      <string id="POL_DB737BF2_9B47_5895_A3F8_D51BBD764222">wreplsrv:tombstone_extra_timeout</string>
      <string id="POL_DB737BF2_9B47_5895_A3F8_D51BBD764222_Help">Время в секундах, в течение которого сервер должен работать, пока мы не удалим tombstone-записи из базы данных. По умолчанию 3 дня.

Значение по умолчанию:
259200</string>
      <string id="POL_30D1C3B2_BDCD_5A5C_A131_11E1E6DA2A76">wreplsrv:tombstone_interval</string>
      <string id="POL_30D1C3B2_BDCD_5A5C_A131_11E1E6DA2A76_Help">Интервал, в течение которого все выпущенные записи WINS-сервера становятся tombstone-записями. По умолчанию 6 дней.

Значение по умолчанию:
518400</string>
      <string id="POL_F19C445A_AFD5_51B6_B87A_E42499C3C5D8">wreplsrv:tombstone_timeout</string>
      <string id="POL_F19C445A_AFD5_51B6_B87A_E42499C3C5D8_Help">Интервал в секундах до удаления tombstone-записей из базы данных WINS. По умолчанию 1 день.

Значение по умолчанию:
86400</string>
      <string id="POL_8CF1FEA3_BD3E_53C0_9F73_34050187A91E">wreplsrv:verify_interval</string>
      <string id="POL_8CF1FEA3_BD3E_53C0_9F73_34050187A91E_Help">Интервал в секундах, в течение которого проверяются активные записи реплик с WINS-сервером. К сожалению, еще не реализовано. По умолчанию 24 дня.

Значение по умолчанию:
2073600</string>
      <string id="CAT_9DEF582D_447A_47E9_A1F5_363558D03FA9">Сообщения</string>
      <string id="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07">Message of the day</string>
      <string id="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07_Help">Содержимое текстового файла /etc/motd, отображается после успешного входа в систему, но непосредственно перед запуском пользовательской оболочки.</string>
      <string id="POL_68E9155C_CB49_428E_AFE0_B89316FFD948">Login Prompt Message</string>
      <string id="POL_68E9155C_CB49_428E_AFE0_B89316FFD948_Help">Данная строка может содержать определенные escape-коды для отображения имени системы, даты, времени и т.д. Все escape-коды состоят из символа обратной косой черты (\), за которой сразу следует один из символов, перечисленных ниже.

       4 или 4{интерфейс}
              Вставить IPv4-адрес указанного сетевого интерфейса (например, \4{eth0}). Если аргумент интерфейса не указан, выбрать первый полностью настроенный интерфейс (UP, non-LOCALBACK, RUNNING). Если ни один настроенный интерфейс не найден, вернуться к IP-адресу хоста машины.

       6 или 6{интерфейс}
              Тоже, что и \4 но для IPv6.

       b      Вставить несущую часть текущей строки.

       d      Вставить текущую дату.

       e или e{имя}
              Преобразовать имя в escape-последовательность и вставьте ее (например, \e{red}Alert text.\e{reset}). Если аргумент имя не указан, тогда вставить \033. В настоящее время поддерживаются следующие имена: black, blink, blue, bold, brown, cyan, darkgray, gray, green, halfbright, lightblue, lightcyan, lightgray, lightgreen, lightmagenta, lightred, magenta, red, reset, reverse, и yellow. Все неизвестные имена игнорируются.

       s      Вставить имя системы (имя операционной системы). То же, что и 'uname -s'. См. также escape-код \S.

       S или S{ПЕРЕМЕННАЯ}
              Вставить значение ПЕРЕМЕННОЙ из /etc/os-release. Если этот файл не существует, обратиться к /usr/lib/os-release. Если аргумент ПЕРЕМЕННАЯ не указан, тогда использовать PRETTY_NAME из файла или имени системы (см. \s). Этот escape-код позволяет сохранить распределение /etc/issue и независимый релиз. Обратите внимание, что \S{ANSI_COLOR} преобразуется в настоящую escape-последовательность терминала.

       l      Вставить имя текущей линии tty.

       m      Вставить идентификатор архитектуры машины. То же, что и 'uname -m'.

       n      Вставить имя узла машины, также известное как имя хоста. То же, что и 'uname -n'.

       o      Вставить NIS-имя машины. То же, что и 'hostname -d'.

       O      Вставить DNS-имя машины.

       r      Вставить номер версии ОС. То же, что и 'uname -r'.

       t      Вставить текущее время.

       u      Вставить количество текущих пользователей, вошедших в систему..

       U      Вставить строку «1 user» или «&lt;n&gt; users», где &lt;n&gt; — количество текущих пользователей, вошедших в систему.

       v      Вставить версию ОС, то есть дату сборки и т.д.

Значение по умолчанию:
Welcome to \s \r \l</string>
    </stringTable>
    <presentationTable>
      <presentation id="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061">
        <listBox refId="LST_2E9A4684_3C0E_415B_8FD6_D4AF68BC8AC6">Script and arguments</listBox>
      </presentation>
      <presentation id="POL_825D441F_905E_4C7E_9E4B_03013697C6C1">
        <listBox refId="LST_1AA93D59_6372_4F1E_90BB_D4CBBBB77238">Script and arguments</listBox>
      </presentation>
      <presentation id="POL_D298F3BD_44D9_426D_AF11_3163D31582F6">
        <listBox refId="LST_8BC6757D_B1FB_4780_83B4_F85F27BF6E60">Script and arguments</listBox>
      </presentation>
      <presentation id="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674">
        <listBox refId="LST_1E7198A6_7850_4CAB_B656_BC18752564FC">Script and arguments</listBox>
      </presentation>
      <presentation id="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3">
        <listBox refId="LST_4F4BA073_4F7B_4B64_A61D_8E75257A4B9F">Sudoers commands</listBox>
      </presentation>
      <presentation id="POL_A3D6C2F2_2798_527E_861E_FA8BADBBE6E6">
        <textBox refId="TXT_F940E18B_16AE_594B_9669_96417E695AC9">
          <label>additional dns hostnames</label>
        </textBox>
      </presentation>
      <presentation id="POL_AC8777B4_88D7_5A1A_BB7E_E47AB5DBD6AA">
        <checkBox refId="CHK_5C837672_BFBB_592A_907C_E378BEEDA2E4">bind interfaces only</checkBox>
      </presentation>
      <presentation id="POL_D03F1811_D0CA_56CF_9D18_B480E9B5AFAD">
        <textBox refId="TXT_03C82812_CCD0_5E35_8FA1_2704BAF796E9">
          <label>config backend</label>
          <defaultValue>file</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_DE840DAF_58CD_5B21_A76B_70740BD125A1">
        <textBox refId="TXT_CF5594A6_FA4A_5AB4_881B_AD9270CE3523">
          <label>dos charset</label>
        </textBox>
      </presentation>
      <presentation id="POL_3783DBBE_7F1F_52B4_BECB_6176E8D43AE1">
        <checkBox defaultChecked="true" refId="CHK_A51834ED_BBB9_52C3_A7C5_A566ABE7AB3D">enable core files</checkBox>
      </presentation>
      <presentation id="POL_5EE2E645_A509_5C51_94FE_4F84668AC869">
        <textBox refId="TXT_3E2FB206_740F_580E_889D_B53C2540732C">
          <label>mdns name</label>
          <defaultValue>netbios</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_32EB220A_5721_51EC_810C_0BEF4B9EA706">
        <checkBox defaultChecked="true" refId="CHK_03FFDBD4_C185_5951_954F_189B0D4C40DA">multicast dns register</checkBox>
      </presentation>
      <presentation id="POL_51EEB44F_42B8_5CEA_8DA6_CB78139F4804">
        <textBox refId="TXT_6A12C17F_F8CF_56F3_8D82_43CAB3C57F55">
          <label>netbios aliases</label>
        </textBox>
      </presentation>
      <presentation id="POL_4AEFFAC4_3FBE_5DFA_9D3F_D78B50416B7C">
        <textBox refId="TXT_34827D8A_E97C_590B_BD8A_6DEA6A354BE8">
          <label>netbios name</label>
        </textBox>
      </presentation>
      <presentation id="POL_24E6BE64_5FEA_56A1_83AF_844C8A96E96D">
        <textBox refId="TXT_0ED12914_E653_5CDA_9F46_E1C3AB2FC32E">
          <label>netbios scope</label>
        </textBox>
      </presentation>
      <presentation id="POL_0901DFB6_7C73_5D10_82CC_5D77CD14685D">
        <decimalTextBox defaultValue="10" refId="DXT_F0896598_D8F1_579A_B01D_09A48282AC76"/>
      </presentation>
      <presentation id="POL_26F4B846_C66B_5649_AA7E_B06E899017CA">
        <decimalTextBox defaultValue="4" refId="DXT_BD459D8F_47F9_558D_A641_97892C9E577E"/>
      </presentation>
      <presentation id="POL_9C3E188A_07B9_5354_A206_DD0FA0B4A235">
        <decimalTextBox defaultValue="120" refId="DXT_16991D04_74C7_54C3_9E4F_52EF9C9AEDB4"/>
      </presentation>
      <presentation id="POL_609F7E6F_9AAC_56B4_B098_4E63BBBB98B4">
        <textBox refId="TXT_5B075596_6622_5C89_A426_B9DA3F43AC3A">
          <label>realm</label>
        </textBox>
      </presentation>
      <presentation id="POL_68ED4DED_E13E_5C54_BD04_23E499D77D51">
        <textBox refId="TXT_E2BF4D58_613E_5C2D_850A_C3585BC311C2">
          <label>server services</label>
          <defaultValue>s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_584FF155_77A9_5209_AC2F_071DEAB5FA42">
        <textBox refId="TXT_EC20B2FC_7658_536F_A876_F0B61196042C">
          <label>server string</label>
          <defaultValue>Samba %v</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_3D10A56C_5C5B_516D_8718_0112384056DB">
        <textBox refId="TXT_682410E7_F583_5A97_BB60_6BBAA190DA1C">
          <label>share backend</label>
          <defaultValue>classic</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_A64B2059_EC1C_5759_94E8_CD95EEB42F35">
        <textBox refId="TXT_3F03354B_7221_5D54_8D25_FA3229D9A026">
          <label>unix charset</label>
          <defaultValue>UTF-8</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_38764DE0_53DC_587E_A94B_7C03323B0C69">
        <textBox refId="TXT_A1CD4626_197B_582B_9C09_E35945F84ECF">
          <label>workgroup</label>
          <defaultValue>WORKGROUP</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_DD5ADDCF_E8DF_50F9_9847_E821787C2C3C">
        <textBox refId="TXT_18F101C1_8754_5052_8D12_3D4B3755A739">
          <label>interfaces</label>
        </textBox>
      </presentation>
      <presentation id="POL_EECBA792_3D9C_5624_A01E_F5876EF8224D">
        <checkBox defaultChecked="true" refId="CHK_1D40EF50_9DF5_5D95_B5EF_406C4F3774B8">browse list</checkBox>
      </presentation>
      <presentation id="POL_414481A1_7B9D_551A_96F0_B235A226F141">
        <textBox refId="TXT_69092348_8194_5EA4_9EB2_AFFFF4A2A6C8">
          <label>domain master</label>
          <defaultValue>auto</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_25D5E28F_5847_5A16_8CF5_01E528D1807D">
        <checkBox defaultChecked="true" refId="CHK_7A02FE2C_82BF_50CE_91F0_14B1191E7258">enhanced browsing</checkBox>
      </presentation>
      <presentation id="POL_7356F015_5915_5A1E_9154_AEE48849DC85">
        <textBox refId="TXT_9C07BE5E_EF60_51EC_B26C_CEA97CD41C69">
          <label>lm announce</label>
          <defaultValue>auto</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_37CB9A35_D06B_581B_8BBC_96F636F2DF0D">
        <decimalTextBox defaultValue="60" refId="DXT_6B8EAB54_6B9E_5EE3_BBB3_286F512AC0F9"/>
      </presentation>
      <presentation id="POL_00BB67E5_7846_53BF_990A_8B7D03F9D88E">
        <checkBox defaultChecked="true" refId="CHK_CFD7EF58_DD73_5465_B0CE_4C6B4E35F416">local master</checkBox>
      </presentation>
      <presentation id="POL_99809647_A4DC_5363_8E8B_A27B51B90E87">
        <decimalTextBox defaultValue="20" refId="DXT_3DF3E95D_2453_53C1_A98D_DB040E45E676"/>
      </presentation>
      <presentation id="POL_69BB8325_FE45_56C0_8D34_F23EC38D2107">
        <textBox refId="TXT_82D47B73_2C75_5779_A283_E9A39FD54705">
          <label>preferred master</label>
          <defaultValue>auto</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_F664E709_2422_5047_BD55_E95C422B6B33">
        <textBox refId="TXT_BEC7C085_5840_5531_9E64_A727E258569A">
          <label>allow dns updates</label>
          <defaultValue>secure only</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_C69048CD_ABF0_5333_B5CB_7455D5F226FF">
        <textBox refId="TXT_64C9BBC7_F73A_5844_A613_08685212F33C">
          <label>dns forwarder</label>
        </textBox>
      </presentation>
      <presentation id="POL_F9D5C585_21FD_5990_BE36_3A58B7AF326B">
        <textBox refId="TXT_05BC3827_6AE7_54BF_8E0C_008D698CC732">
          <label>dns update command</label>
          <defaultValue>/samba_dnsupdate</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_2363A474_4143_52A2_A69B_05285C98E4CF">
        <checkBox refId="CHK_3104780C_9730_550D_8DF9_5C5A226B2AAE">dns zone scavenging</checkBox>
      </presentation>
      <presentation id="POL_F2F11B02_D190_5766_95DC_FDB846EEEB13">
        <textBox refId="TXT_A8FD53BD_1ED7_54DB_9A7C_159348F47A6D">
          <label>gpo update command</label>
          <defaultValue>/samba-gpupdate</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_A83B176D_D2FE_5F41_9977_9A16F5B8C5ED">
        <decimalTextBox defaultValue="604800" refId="DXT_E5687DEB_DB51_5266_ACDB_2E619982BAD7"/>
      </presentation>
      <presentation id="POL_5BD73E55_C69F_5CCF_8D91_2513716FB1C6">
        <textBox refId="TXT_3BA3F934_5C9D_5EAB_BAEB_7FBDAE0268F5">
          <label>nsupdate command</label>
          <defaultValue>/usr/bin/nsupdate -g</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_E38856B0_C9B1_5577_9055_C48A4CCE499C">
        <textBox refId="TXT_041114D6_313A_501F_BFC9_FD004546248B">
          <label>spn update command</label>
          <defaultValue>/samba_spnupdate</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_C2FCADD1_1EF0_5726_9CDE_0E155B0B6575">
        <decimalTextBox defaultValue="1" refId="DXT_0BA0C537_293A_525C_AC5C_9BB5C0524277"/>
      </presentation>
      <presentation id="POL_620B56BA_84B7_5E72_AC2D_4F0574FBB199">
        <textBox refId="TXT_241061E9_3BDA_5AFE_87CB_13C53A164649">
          <label>mangling method</label>
          <defaultValue>hash2</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_E59D859C_7C78_5AB6_8DE3_27F672637189">
        <decimalTextBox defaultValue="512" refId="DXT_EA859956_0483_500A_9962_8A26A8B81BB4"/>
      </presentation>
      <presentation id="POL_6BB5939F_7CE6_588E_A6E2_B114EF17F60F">
        <checkBox defaultChecked="true" refId="CHK_45471F8A_D0BD_53A3_B51F_393DE6CC03D2">stat cache</checkBox>
      </presentation>
      <presentation id="POL_BE2B9E4A_5ABE_543F_8564_4CBDD1AF9179">
        <textBox refId="TXT_4A85EF32_894F_50AF_9917_B7F431720A82">
          <label>client ldap sasl wrapping</label>
          <defaultValue>sign</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_F4937393_B88E_5B26_89F5_F9933BEBEF8B">
        <textBox refId="TXT_4B00C10F_7EBB_52D5_9AD1_C893F9C094C5">
          <label>ldap admin dn</label>
        </textBox>
      </presentation>
      <presentation id="POL_5187BD6B_3008_59FC_887D_1C89E807B11E">
        <decimalTextBox defaultValue="2" refId="DXT_87AD8E93_91B6_5439_B928_9776BF986ED0"/>
      </presentation>
      <presentation id="POL_96311867_A4DE_5B57_BD8C_3D25B5084F68">
        <checkBox refId="CHK_2BC96AC0_ECEF_55D4_AEA4_039FDD24C999">ldap delete dn</checkBox>
      </presentation>
      <presentation id="POL_193E7C6B_E70E_55EB_AB50_3788B93F4607">
        <textBox refId="TXT_FCC83065_2F1A_585B_A998_85AA52D99537">
          <label>ldap deref</label>
          <defaultValue>auto</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_E6D23CDA_DABC_5749_BEF1_D15FF80E02BF">
        <textBox refId="TXT_DEC758B4_6B3C_5882_B0B8_386473EECFD3">
          <label>ldap follow referral</label>
          <defaultValue>auto</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_6C44A469_31FA_512A_AB08_ACDADD5B7238">
        <textBox refId="TXT_B51FB55F_3A49_539E_A77A_7F7F2AF2CC39">
          <label>ldap group suffix</label>
        </textBox>
      </presentation>
      <presentation id="POL_83D7A344_AE69_5DCA_A3D9_A79DF817A7D4">
        <textBox refId="TXT_E49CAB56_E62A_5930_99DE_EEC0B04DBCF4">
          <label>ldap idmap suffix</label>
        </textBox>
      </presentation>
      <presentation id="POL_07D748C7_B6EA_558D_B652_62F9BC2E9A1B">
        <textBox refId="TXT_2B9911E2_33DC_5CB0_A9CC_E7DD7B2A5799">
          <label>ldap machine suffix</label>
        </textBox>
      </presentation>
      <presentation id="POL_F831F898_66A7_53D3_B6EA_B90065F7EF41">
        <decimalTextBox defaultValue="1000" refId="DXT_1C52332B_FC98_54CA_8C3D_64E63D450DD7"/>
      </presentation>
      <presentation id="POL_068B0430_6CF2_5CAC_BDC8_F7074411AA6C">
        <textBox refId="TXT_03529C2D_378A_5BE4_A342_9FF088AC8396">
          <label>ldap passwd sync</label>
          <defaultValue>no</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_DC0C1ABD_D8CE_5175_A9AB_D58661AACFB1">
        <decimalTextBox defaultValue="1000" refId="DXT_B21A5F63_507D_5407_B582_DA64138C6B97"/>
      </presentation>
      <presentation id="POL_F12B9752_4939_52A6_9A5E_52FFF53FC34F">
        <textBox refId="TXT_3ADB0A83_AA24_5C68_BD2E_3723FC2F2268">
          <label>ldapsam:editposix</label>
          <defaultValue>no</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_90ECE51D_8CF8_50F9_809F_87A024DDCAAE">
        <textBox refId="TXT_B10770E9_1959_5A4A_8D44_F070923C2A12">
          <label>ldapsam:trusted</label>
          <defaultValue>no</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_B58FAA75_79BA_53E3_A895_69D6DE3E547E">
        <textBox refId="TXT_9F11612E_1A6E_5CF7_BC96_4ADBD123A76D">
          <label>ldap server require strong auth</label>
          <defaultValue>yes</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_D6465FAC_2205_59C0_A3E6_1F1DE4C50A58">
        <textBox refId="TXT_950B2F92_3A19_5FC4_839A_3226C858811C">
          <label>ldap ssl</label>
          <defaultValue>start tls</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_EAF3D0F1_C7E5_5864_AE5D_FBF9F6102FF4">
        <checkBox refId="CHK_0D06C9D8_3A6A_509E_9B4A_DE497AFA6B58">ldap ssl ads</checkBox>
      </presentation>
      <presentation id="POL_208E2789_E8A9_53CA_B756_2694096B8DAF">
        <textBox refId="TXT_ABB81954_F41C_5FAD_BD35_873007549C27">
          <label>ldap suffix</label>
        </textBox>
      </presentation>
      <presentation id="POL_D76D653B_C2A3_5939_BF95_9BAE0CF6C88C">
        <decimalTextBox defaultValue="15" refId="DXT_8B73DF13_A7A3_57B4_A4BE_AC816E59EBAB"/>
      </presentation>
      <presentation id="POL_B3FBC8E2_DD5D_5CEA_9FC5_44687CF36BB5">
        <textBox refId="TXT_B9F4F586_8F61_53D2_AFEE_B2011D0DFF43">
          <label>ldap user suffix</label>
        </textBox>
      </presentation>
      <presentation id="POL_94ABA1F3_F411_52AE_ADAA_72B53F9198CA">
        <decimalTextBox defaultValue="256000" refId="DXT_B7AEDDC2_0B5A_5C1C_AFA0_7518773C5F5F"/>
      </presentation>
      <presentation id="POL_A2C8FD60_A284_5409_B130_B135DEE4B615">
        <decimalTextBox defaultValue="16777216" refId="DXT_1B597D08_FFDB_5BA4_ABD9_31A8446A3625"/>
      </presentation>
      <presentation id="POL_695C7E25_8C69_519C_907E_9A71D1FE2EC3">
        <decimalTextBox defaultValue="256000" refId="DXT_6FA557BE_E2D9_54CC_9A8D_FAA4BFCD552A"/>
      </presentation>
      <presentation id="POL_60E126C5_9E79_54DC_B201_A3E643352D00">
        <decimalTextBox defaultValue="200" refId="DXT_8D517C10_BE65_5D58_AC86_8A21017F479A"/>
      </presentation>
      <presentation id="POL_6B50B6B6_D038_54C5_BD82_9D377C2E8C0C">
        <decimalTextBox defaultValue="0" refId="DXT_14C326D8_5326_5883_95FA_D903E07A457A"/>
      </presentation>
      <presentation id="POL_D9E75BB0_F19B_5F72_A58E_22718E614EB3">
        <checkBox defaultChecked="true" refId="CHK_8649286E_DE5D_5DE7_A836_AA15E736A911">smb2 leases</checkBox>
      </presentation>
      <presentation id="POL_D7003A7B_D00A_51AE_8D40_7446533B2974">
        <checkBox refId="CHK_4915975F_60D1_5187_9E6A_F835D1086622">debug class</checkBox>
      </presentation>
      <presentation id="POL_CF714212_43A8_52ED_BDAD_B1D6F82A6EF9">
        <checkBox defaultChecked="true" refId="CHK_ADDEF100_7619_5056_B632_ECEF204DBEC8">debug hires timestamp</checkBox>
      </presentation>
      <presentation id="POL_CF524D7E_11CA_5027_9777_5398DD2804B4">
        <checkBox refId="CHK_6D39A340_480D_596C_A9F5_3412FC28765D">debug pid</checkBox>
      </presentation>
      <presentation id="POL_BDF671C9_3811_5B19_AB78_5F12B25CEC84">
        <checkBox refId="CHK_2367747B_4E47_503A_A92C_1EA98AC3D5CC">debug prefix timestamp</checkBox>
      </presentation>
      <presentation id="POL_B76DE893_21E7_5B6A_81AB_23B8F00D782D">
        <checkBox refId="CHK_5BD4217F_5C51_59D6_9582_3037FB4B6E4F">debug uid</checkBox>
      </presentation>
      <presentation id="POL_BACB061C_C7A0_5830_80FE_15FA009DEAA2">
        <decimalTextBox defaultValue="0" refId="DXT_DBF1992F_D735_55E7_9029_AE5D9EBA66FB"/>
      </presentation>
      <presentation id="POL_B51CE2D4_7EFD_577E_97EC_8EEA650C0F0F">
        <decimalTextBox defaultValue="10" refId="DXT_2D488F55_5DE8_5AC6_85AE_F77BE4429364"/>
      </presentation>
      <presentation id="POL_1C03B9BE_5E74_58CF_A649_CDFD9E91F6CC">
        <textBox refId="TXT_2C83A41B_5CDA_5130_8343_1278307321CD">
          <label>log file</label>
        </textBox>
      </presentation>
      <presentation id="POL_FA6B22DA_628C_5C5E_8BAD_97BBCE0E4F1F">
        <textBox refId="TXT_2533346E_4C1C_5ACB_9355_B40495EB63CD">
          <label>logging</label>
        </textBox>
      </presentation>
      <presentation id="POL_C4E11396_B289_5D98_9F39_6BD19BBB4330">
        <textBox refId="TXT_60E8D3F6_8EC7_5FDC_8645_3E4E3EF85512">
          <label>log level</label>
          <defaultValue>0</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_EA5127A5_4C6A_5B8A_9D52_D5D17D9E8AFE">
        <decimalTextBox defaultValue="5000" refId="DXT_60E6F44F_5185_576D_91C2_9B10FB853416"/>
      </presentation>
      <presentation id="POL_69FD7A6B_0BA2_570F_9BB1_B869C7404630">
        <decimalTextBox defaultValue="1" refId="DXT_FCD3912D_FD93_54A5_91E4_A834457B8F2E"/>
      </presentation>
      <presentation id="POL_FD3A0B38_1664_58B4_983A_3A21EC4A76EA">
        <checkBox refId="CHK_88778A4E_D102_588A_A01C_E930BEE81D6C">syslog only</checkBox>
      </presentation>
      <presentation id="POL_AB153BC2_9291_51D0_81AC_1A78B1A0DE6F">
        <checkBox defaultChecked="true" refId="CHK_16FD7E9E_1FCF_58D9_940E_42D45860825B">timestamp logs</checkBox>
      </presentation>
      <presentation id="POL_7C7A3857_7762_5F1F_BDB5_A621FEBD0E99">
        <textBox refId="TXT_6716C37B_3C84_5AB4_8A8D_B6D070787CEB">
          <label>abort shutdown script</label>
          <defaultValue>&quot;&quot;</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_A6105481_F59A_5B08_8B4C_B100EF112BD9">
        <textBox refId="TXT_BB6CFFBF_3E2F_5FDF_A2CC_E255231A3370">
          <label>add group script</label>
        </textBox>
      </presentation>
      <presentation id="POL_01C79ED8_2727_54DF_AF75_96E5A25722DD">
        <textBox refId="TXT_C3FD37B5_A643_57DF_AE57_048E75B21BDF">
          <label>add machine script</label>
        </textBox>
      </presentation>
      <presentation id="POL_BA7787E8_0D26_5963_8F44_498B278A4703">
        <textBox refId="TXT_56C28546_216A_5AFF_B212_FFEC207F3FFD">
          <label>add user script</label>
        </textBox>
      </presentation>
      <presentation id="POL_077466DB_CB4D_5489_8934_C2F22592D94A">
        <textBox refId="TXT_218549FC_FD8A_5036_8199_9B2AB628624F">
          <label>add user to group script</label>
        </textBox>
      </presentation>
      <presentation id="POL_8F632169_4F0C_500B_BE8B_88960312C345">
        <checkBox refId="CHK_61299541_E6C3_50AD_9CCD_409DBABC3DA2">allow nt4 crypto</checkBox>
      </presentation>
      <presentation id="POL_5A6DC206_1A48_5FFE_8B2D_897EF95CCBAD">
        <checkBox refId="CHK_F34DA878_4D45_5E26_8454_77BAE0D9FCAA">auth event notification</checkBox>
      </presentation>
      <presentation id="POL_3152501B_87A8_5907_AAD5_00B3F7752516">
        <textBox refId="TXT_F75A550B_6B11_57A4_9EAD_27361359E4CB">
          <label>delete group script</label>
        </textBox>
      </presentation>
      <presentation id="POL_676F211D_0B27_54F6_9FF0_1B6F6CC88CA6">
        <textBox refId="TXT_E6287F6E_CDD6_57CC_A6CF_59E26391473A">
          <label>delete user from group script</label>
        </textBox>
      </presentation>
      <presentation id="POL_3033EDC8_8938_5A64_A8B9_1F7349DC1149">
        <textBox refId="TXT_1FC62BD1_6541_5C03_B233_B5DE1B987775">
          <label>delete user script</label>
        </textBox>
      </presentation>
      <presentation id="POL_27365CD7_D0DF_5A41_9140_A1C6970CB3D0">
        <checkBox refId="CHK_B67618DB_ED7B_5A2E_AC14_C2E808E1A927">domain logons</checkBox>
      </presentation>
      <presentation id="POL_49526C11_2F64_5D85_A25D_A90D2152195E">
        <checkBox defaultChecked="true" refId="CHK_A6532133_05F0_5D5F_983E_8924AB2334D5">enable privileges</checkBox>
      </presentation>
      <presentation id="POL_026CF0E2_B95C_5B67_BBAA_E95C5F809B28">
        <decimalTextBox defaultValue="100" refId="DXT_1FD373A1_8A61_5884_9208_07A886F6334F"/>
      </presentation>
      <presentation id="POL_B9587C82_562E_5CA5_8BBD_835B3940D00D">
        <textBox refId="TXT_633A0D2D_C7E6_54EF_BCE0_46ECFB6B2C1E">
          <label>init logon delayed hosts</label>
        </textBox>
      </presentation>
      <presentation id="POL_84F161E0_6C65_55C2_9DB5_CC61E66CEA9F">
        <textBox refId="TXT_8F910181_D80D_58A5_937D_186E347E6433">
          <label>logon drive</label>
        </textBox>
      </presentation>
      <presentation id="POL_508CD547_53D7_59ED_BB1F_E6EE939C1AF2">
        <textBox refId="TXT_3C94DDFB_94DD_598E_BC0D_B70465DA9C0C">
          <label>logon home</label>
          <defaultValue>\\%N\%U</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_204A522A_CF55_5E96_A2AD_B58E105AA80C">
        <textBox refId="TXT_05B40781_B875_53DD_B1DD_4CA590B56E4A">
          <label>logon path</label>
          <defaultValue>\\%N\%U\profile</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_A1B5FFEC_19C2_5415_ACE0_38E5D118E369">
        <textBox refId="TXT_C1B894A7_BDF5_52B8_AC59_900953D453AC">
          <label>logon script</label>
        </textBox>
      </presentation>
      <presentation id="POL_DD7A32CE_6F63_596B_8E15_43B11C82E2AF">
        <checkBox refId="CHK_805FD143_5242_56DE_BD51_0B514A588E9F">reject md5 clients</checkBox>
      </presentation>
      <presentation id="POL_2AD85924_5D09_571B_B048_E996EC819C57">
        <textBox refId="TXT_B00F123E_2430_5EA0_A543_92D22A0F5FD4">
          <label>set primary group script</label>
        </textBox>
      </presentation>
      <presentation id="POL_A8F30942_8D30_583F_8C0F_877BD20D9B26">
        <textBox refId="TXT_74A021FE_F97F_5D54_9C4E_023D1964D37E">
          <label>shutdown script</label>
        </textBox>
      </presentation>
      <presentation id="POL_F0D581AB_54B4_58AA_9B84_6794FB8D3D55">
        <textBox refId="TXT_C77D6CE7_BED5_52A8_BD8C_0259439992FA">
          <label>add share command</label>
        </textBox>
      </presentation>
      <presentation id="POL_91CEEB79_E73B_563E_84CC_0C1483141142">
        <decimalTextBox defaultValue="604800" refId="DXT_FBB1DAD6_26B9_5FB1_9678_EB499E48CC26"/>
      </presentation>
      <presentation id="POL_77D04206_AF73_51DE_9BE8_63524E440826">
        <textBox refId="TXT_22E4592F_8119_5A26_AF4F_0624F1AC5E0E">
          <label>afs username map</label>
        </textBox>
      </presentation>
      <presentation id="POL_5FA91D1E_B675_5681_9FE8_E14B3E1BA737">
        <checkBox refId="CHK_AC4E2E8E_74FE_5FD1_B6F4_3637B4582348">allow insecure wide links</checkBox>
      </presentation>
      <presentation id="POL_153D9711_80CD_56CD_8A51_DDA71A3800C0">
        <checkBox refId="CHK_D36441A8_7E2F_5174_8483_4DFE0503C16D">allow unsafe cluster upgrade</checkBox>
      </presentation>
      <presentation id="POL_DFD4B19F_8874_5AE7_83CE_F8F507F26D51">
        <checkBox refId="CHK_E37B6C82_F04E_5025_B457_01D9296753BE">async smb echo handler</checkBox>
      </presentation>
      <presentation id="POL_AA42E677_62D1_5408_A8B7_98222854E79B">
        <textBox refId="TXT_34B124B0_A219_5575_BFDC_EAC426D7A3A5">
          <label>auto services</label>
        </textBox>
      </presentation>
      <presentation id="POL_2099F7FC_F033_5E2F_B2D0_17E1CCB2969A">
        <textBox refId="TXT_07FAF490_385F_5A63_8A03_BF34531D019D">
          <label>cache directory</label>
        </textBox>
      </presentation>
      <presentation id="POL_2CD315A0_5DDA_5123_A973_79C1DE40BC82">
        <checkBox defaultChecked="true" refId="CHK_1A966B04_20C5_5E97_8C75_71519DB4783C">change notify</checkBox>
      </presentation>
      <presentation id="POL_2D514759_876D_5B59_B854_8DC51888BB02">
        <textBox refId="TXT_B8991748_9729_56D2_8DAD_5BAFEC5A7A8A">
          <label>change share command</label>
        </textBox>
      </presentation>
      <presentation id="POL_239BABBB_C9C7_538A_B6CF_0FA2FC980562">
        <textBox refId="TXT_E05A6480_11BB_5FF4_8E6E_37E281DA95F6">
          <label>cluster addresses</label>
        </textBox>
      </presentation>
      <presentation id="POL_92925554_781D_56B7_958E_DD33A753ED22">
        <checkBox refId="CHK_D800E6F3_FB17_5561_9C47_88EB4384129D">clustering</checkBox>
      </presentation>
      <presentation id="POL_F2210D02_1B94_561B_9B05_1C5B896AF6D4">
        <textBox refId="TXT_EB6161C1_BF92_5E6F_A106_AAE90FBD9EBD">
          <label>config file</label>
        </textBox>
      </presentation>
      <presentation id="POL_2EED8B7C_AF41_514A_A33D_8100A5F831AC">
        <textBox refId="TXT_E56A7A49_B6A1_502F_AF0E_A3944A5DBFFA">
          <label>ctdbd socket</label>
        </textBox>
      </presentation>
      <presentation id="POL_0DE178AC_0A5A_5CDD_8BE6_0E24150CF2BA">
        <decimalTextBox defaultValue="0" refId="DXT_BB942009_69C3_5BAD_8507_AF692DF05CA1"/>
      </presentation>
      <presentation id="POL_026C959C_5371_5698_903A_03F46EEDEBE9">
        <decimalTextBox defaultValue="0" refId="DXT_8A4C2887_09B3_542A_A22B_EEC3404DBEF8"/>
      </presentation>
      <presentation id="POL_C16447B8_9E34_57E6_A1F7_A6F87E66CF73">
        <textBox refId="TXT_70112D53_C921_5D1F_9AFC_15D4890131CE">
          <label>default service</label>
        </textBox>
      </presentation>
      <presentation id="POL_41887133_D321_5526_B73E_2D5BEDA6B644">
        <textBox refId="TXT_7B81ED14_1277_5697_B4DE_2CCFB8F79BC3">
          <label>delete share command</label>
        </textBox>
      </presentation>
      <presentation id="POL_B93F17F1_6F2A_5D04_AC96_EA043AC87144">
        <checkBox refId="CHK_3D317248_E078_5FDD_B3C7_B7051C10506D">dsdb event notification</checkBox>
      </presentation>
      <presentation id="POL_ED5A8D54_C086_5C46_985E_746D4ED62FEA">
        <checkBox refId="CHK_F76A8EFA_4388_54E3_B283_976BA2DD2A2E">dsdb group change notification</checkBox>
      </presentation>
      <presentation id="POL_5B2313F4_5239_57E8_88E9_822DBB4C0E77">
        <checkBox refId="CHK_4B61A9A1_8E18_56CF_9B9E_6904A78328A0">dsdb password event notification</checkBox>
      </presentation>
      <presentation id="POL_B86BF972_B64C_57B2_9E82_96C5EECFAFA7">
        <textBox refId="TXT_7AB84D08_FB4A_5676_B106_B4DB68C5F577">
          <label>elasticsearch:mappings</label>
          <defaultValue>/elasticsearch_mappings.json</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_444019F3_369A_5807_805C_AB00E59CDD4B">
        <checkBox refId="CHK_9EA28A80_4AA6_5D4A_8A14_E22205D488CD">fss: prune stale</checkBox>
      </presentation>
      <presentation id="POL_472F0591_240C_5E5D_827C_49E760A75B8E">
        <decimalTextBox refId="DXT_D5D56481_74EE_5D10_8476_B3FDB82AE518"/>
      </presentation>
      <presentation id="POL_DADF0887_C19B_5B14_9CEF_6721596557EB">
        <textBox refId="TXT_B001AD6C_7FA0_5EE0_8C4D_D506EECFF497">
          <label>homedir map</label>
        </textBox>
      </presentation>
      <presentation id="POL_AFF4FEEA_8C88_5AED_9414_F4A320074A99">
        <checkBox defaultChecked="true" refId="CHK_F273132D_C805_596F_A0E1_B6ECB4752ADB">kernel change notify</checkBox>
      </presentation>
      <presentation id="POL_4F279322_30AA_564B_844F_7827454574D2">
        <textBox refId="TXT_A384C210_BD62_5E63_B7EB_BC26844F51C8">
          <label>lock directory</label>
        </textBox>
      </presentation>
      <presentation id="POL_1120E96A_0F8E_5827_A6D2_3CA7AD66D689">
        <checkBox refId="CHK_EB18668D_E754_524B_B2D7_CC74BA90421D">log writeable files on exit</checkBox>
      </presentation>
      <presentation id="POL_63067D3C_4F00_5193_92FE_A58651D4BACC">
        <textBox refId="TXT_18DDFF0D_D5DB_5617_AE32_D93BE7E38C4B">
          <label>message command</label>
        </textBox>
      </presentation>
      <presentation id="POL_8765A188_6EFA_515B_B602_8F67140CFE7F">
        <textBox refId="TXT_C551A0C4_E3B9_5985_9492_C7F42D10E75C">
          <label>nbt client socket address</label>
          <defaultValue>0.0.0.0</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_D7C62F7B_B1B6_57B3_AE48_34D09A88ECFE">
        <textBox refId="TXT_1A090CE6_58F5_56F0_A29C_175CADD196D7">
          <label>ncalrpc dir</label>
        </textBox>
      </presentation>
      <presentation id="POL_CCC72421_6131_58BC_BFE1_D9EC7399CD57">
        <checkBox refId="CHK_8E5A65B4_42A2_5F00_8558_E69C28758E1B">NIS homedir</checkBox>
      </presentation>
      <presentation id="POL_3E9DEECC_9015_5720_9251_CF804FAB2602">
        <checkBox defaultChecked="true" refId="CHK_49457A99_B4CF_594B_B796_916B9AB74838">nmbd bind explicit broadcast</checkBox>
      </presentation>
      <presentation id="POL_5A63DA17_F433_5414_A47F_26C5B9BE57C2">
        <textBox refId="TXT_A21115E3_D3E1_505B_9D2C_84A3DC428246">
          <label>panic action</label>
        </textBox>
      </presentation>
      <presentation id="POL_50CDC71F_7927_5631_A40A_C0BD12899CA1">
        <textBox refId="TXT_6C7D4E2F_9ABE_5C67_9A8C_18D11AEF6038">
          <label>perfcount module</label>
        </textBox>
      </presentation>
      <presentation id="POL_A02E7761_E359_5528_A160_F2B67024244F">
        <textBox refId="TXT_DC19A229_4604_5CC9_8C83_CA2A1323653A">
          <label>pid directory</label>
        </textBox>
      </presentation>
      <presentation id="POL_C030CCF1_08E7_5B6F_9239_F19B792C2157">
        <checkBox refId="CHK_0200BA53_C2E5_5136_8A69_D8561A556A50">registry shares</checkBox>
      </presentation>
      <presentation id="POL_ADE18BC6_D01E_58CF_98FA_BCDCC7CDDC37">
        <textBox refId="TXT_D765EA37_D1F5_50B2_91CE_49E66F462943">
          <label>remote announce</label>
        </textBox>
      </presentation>
      <presentation id="POL_2D35EC75_4D7A_533F_96C8_3A331BDEDF34">
        <textBox refId="TXT_F44D8D8A_1E1F_5BEE_AB4F_B3DAAFB7DBA9">
          <label>remote browse sync</label>
        </textBox>
      </presentation>
      <presentation id="POL_2594A0C3_CF98_5B89_B182_1BB9C275B742">
        <checkBox refId="CHK_57B96280_EA3D_5DAC_83DE_13338587A0D6">reset on zero vc</checkBox>
      </presentation>
      <presentation id="POL_17837A58_88D4_5F29_8D41_479688BD8CBD">
        <textBox refId="TXT_90158AA7_C0BE_5650_9204_2AFC0BD9D5E8">
          <label>rpc_daemon:DAEMON</label>
          <defaultValue>disabled</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_AC41C088_31DF_569D_8FC8_8747C4A30548">
        <textBox refId="TXT_31E1741F_829C_5B90_9A2F_B0E0DC5F1E75">
          <label>rpc_server:SERVER</label>
          <defaultValue>embedded</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_1233682B_A71D_5081_9CF1_F5112A62EE3B">
        <textBox refId="TXT_B5965925_60A9_5A4E_B348_80C590F7AF7A">
          <label>smbd profiling level</label>
          <defaultValue>off</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_C2788566_CBC3_59A3_80A2_72D92E42C276">
        <textBox refId="TXT_58CF9CC7_1A14_55B0_8E4E_52E962A10EE4">
          <label>state directory</label>
        </textBox>
      </presentation>
      <presentation id="POL_6AF97A17_10D7_553C_8CEC_09C8466A2AA4">
        <checkBox refId="CHK_2D14A430_BA96_5B3F_970F_CE1AE9F7E8AA">usershare allow guests</checkBox>
      </presentation>
      <presentation id="POL_35B0CCC2_C387_5AED_9345_A2E4DE654F5F">
        <decimalTextBox defaultValue="0" refId="DXT_AD83F27E_4FF7_5E8D_A441_0A8925C9D917"/>
      </presentation>
      <presentation id="POL_4E1A7DA3_3014_5C3C_9B0B_1919ECADACFB">
        <checkBox defaultChecked="true" refId="CHK_950CF79D_4898_55EB_A6A8_24F2A6867B1D">usershare owner only</checkBox>
      </presentation>
      <presentation id="POL_F2D66EF9_F99C_5347_A075_E8733603E83D">
        <textBox refId="TXT_D24709D9_FFEF_5871_AF49_5E3A3466761C">
          <label>usershare path</label>
          <defaultValue>/usershares</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_568D23D8_683D_5E32_96B8_5CCF81F0BDEC">
        <textBox refId="TXT_C0DF82DC_7C0A_5B7F_9B93_19D517976672">
          <label>usershare prefix allow list</label>
        </textBox>
      </presentation>
      <presentation id="POL_8A095F7E_AF4C_5F23_8C6D_327CF9225A8E">
        <textBox refId="TXT_0CE59443_3FA6_5849_9671_8D70B1EA7E50">
          <label>usershare prefix deny list</label>
        </textBox>
      </presentation>
      <presentation id="POL_ABD81045_A7F0_5D9D_93E5_0D96C0BD7AA8">
        <textBox refId="TXT_029600AB_FD39_52B7_AE5D_AE0D7138153A">
          <label>usershare template share</label>
        </textBox>
      </presentation>
      <presentation id="POL_238B28BE_5F6B_5251_B47B_4932EA213DAE">
        <checkBox refId="CHK_651BA339_0B8E_5456_99AA_E4CD4BE64F51">utmp</checkBox>
      </presentation>
      <presentation id="POL_BB0E4D55_D6E9_5FDD_A75B_59F7403CF67C">
        <textBox refId="TXT_C85A703E_0428_51EF_8A2A_D4803BE9446E">
          <label>utmp directory</label>
        </textBox>
      </presentation>
      <presentation id="POL_2AD1815C_5DBC_5A7E_8DC9_CEE194030C59">
        <textBox refId="TXT_CF0F4D90_5001_57CB_A6C8_58575659305D">
          <label>wtmp directory</label>
        </textBox>
      </presentation>
      <presentation id="POL_63B9016C_EBE5_5EA7_85B0_493E3155F943">
        <textBox refId="TXT_63999B72_41DB_5A45_A6DE_66574F1F442F">
          <label>addport command</label>
        </textBox>
      </presentation>
      <presentation id="POL_778F868C_7119_5059_9D0D_62B468410A7D">
        <textBox refId="TXT_5581F365_D9D7_535E_A25B_A58F2FBABCBB">
          <label>addprinter command</label>
        </textBox>
      </presentation>
      <presentation id="POL_E4EA6E76_DFE6_5C90_8D2F_544185E10581">
        <decimalTextBox defaultValue="30" refId="DXT_21FF9D0E_70B9_5790_9877_F218D435CAA2"/>
      </presentation>
      <presentation id="POL_5A6F3F97_C655_501A_8A1D_D3B96E22D189">
        <textBox refId="TXT_90A3BD2E_13EF_5BC9_970F_32A3CE582200">
          <label>cups encrypt</label>
          <defaultValue>no</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_713C453D_7C4E_5446_99F0_93FDC97CBD6E">
        <textBox refId="TXT_E3EF87B6_2525_530F_96D9_36770179DBEF">
          <label>cups server</label>
          <defaultValue>&quot;&quot;</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_7801A389_C366_5376_9D03_631BD51C46C4">
        <textBox refId="TXT_6477B02C_3AE4_5724_B00B_0A11F16A1ECD">
          <label>deleteprinter command</label>
        </textBox>
      </presentation>
      <presentation id="POL_8AEEC70D_CC12_55A5_A39F_ED0C3A3B652E">
        <checkBox refId="CHK_BA883BE5_77CE_5478_BBC8_10B796EF09C2">disable spoolss</checkBox>
      </presentation>
      <presentation id="POL_D8A14125_4BEE_575E_B7A2_A6D2809A0CC9">
        <checkBox defaultChecked="true" refId="CHK_76C31A1A_3CCA_54F4_A09B_01ED9C31465A">enable spoolss</checkBox>
      </presentation>
      <presentation id="POL_E95AFA3E_7680_5281_88E1_BC2B9DE7C60D">
        <textBox refId="TXT_9B7FB891_910F_5AB1_96BC_432F871E50AA">
          <label>enumports command</label>
        </textBox>
      </presentation>
      <presentation id="POL_D0CE14C7_93FC_54DA_84A8_FB6579A01A95">
        <textBox refId="TXT_CEDD5E8E_4BCB_515F_B962_7C06E9E4EBE6">
          <label>iprint server</label>
          <defaultValue>&quot;&quot;</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_2AA9A3C9_2D35_5140_AAFD_5A6D4A8B46A9">
        <checkBox defaultChecked="true" refId="CHK_01150395_D329_542B_8848_2D352BA599CA">load printers</checkBox>
      </presentation>
      <presentation id="POL_CB7375CD_3BD9_5AFF_885F_5CD41077D92A">
        <decimalTextBox defaultValue="30" refId="DXT_86697EF6_0F2B_59EA_AC0A_2A6B16860DC2"/>
      </presentation>
      <presentation id="POL_6C573DCA_ADF2_503D_86F1_167FB4B20390">
        <textBox refId="TXT_60176F30_80AE_5289_8984_1213DB736520">
          <label>os2 driver map</label>
        </textBox>
      </presentation>
      <presentation id="POL_4E996FBA_21B1_54D2_AF3E_0290231D9225">
        <decimalTextBox defaultValue="750" refId="DXT_30FEC2C2_FB9E_59DC_86AC_0952A9904B2F"/>
      </presentation>
      <presentation id="POL_9E502331_FC16_56A6_BAA2_8A4F8CD7403E">
        <textBox refId="TXT_8288D727_1C29_5CDF_A162_3F5701E803B2">
          <label>printcap name</label>
          <defaultValue>/etc/printcap</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_63DFC41F_0FA5_52C6_95CC_071B309E09A9">
        <checkBox defaultChecked="true" refId="CHK_21859C56_D5DA_5C2E_9215_BA75864C9B4B">show add printer wizard</checkBox>
      </presentation>
      <presentation id="POL_C105B217_101D_5080_B2F2_28F453585AF3">
        <textBox refId="TXT_C9E18177_8584_5290_8B40_37D46546DDB1">
          <label>spoolss: architecture</label>
          <defaultValue>Windows NT x86</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_B7405490_DE98_5CC9_A096_8B6F690536A5">
        <decimalTextBox defaultValue="5" refId="DXT_1D4352B8_DB79_5551_A486_7D4D33F8D4D9"/>
      </presentation>
      <presentation id="POL_5049AEF7_B2E3_5F11_BB76_CD05A0F405D1">
        <decimalTextBox defaultValue="0" refId="DXT_6F51D95E_66DD_50B2_B62F_7665EF471B52"/>
      </presentation>
      <presentation id="POL_52B0D644_BD3A_5C9D_873F_3DF18D2FDB60">
        <decimalTextBox defaultValue="2195" refId="DXT_B21A8651_347B_5648_94FA_37B943B6A547"/>
      </presentation>
      <presentation id="POL_4B72C056_F162_529E_A137_1F557D5FDFCE">
        <decimalTextBox defaultValue="6" refId="DXT_6188EEA1_529A_508D_B9D5_378CAB822D89"/>
      </presentation>
      <presentation id="POL_1855B435_5BFA_512B_A805_E30B09CFD23F">
        <decimalTextBox defaultValue="1" refId="DXT_A21AB0C1_D47D_5B8C_8609_171B9D2F4C27"/>
      </presentation>
      <presentation id="POL_F173249E_078E_531E_A8DC_85931745FBF9">
        <decimalTextBox defaultValue="7007" refId="DXT_EC7D7A9D_C0D7_5665_9030_9C85D402BDB1"/>
      </presentation>
      <presentation id="POL_A3C35AAF_A7F5_5DCD_B328_C7ABD0F2FDFF">
        <decimalTextBox defaultValue="389" refId="DXT_BCC54168_D5A8_5014_903F_D0689B350906"/>
      </presentation>
      <presentation id="POL_7D6BFF26_946F_5B18_B213_0B9EE147C3C9">
        <textBox refId="TXT_BC8B7A29_65FA_5B55_BC11_A7574ECD0AA8">
          <label>client ipc max protocol</label>
          <defaultValue>default</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_4D5635CC_F944_5F32_83F0_7730FC9DE680">
        <textBox refId="TXT_2FAFBF21_5429_5CF1_9152_921CF9CEEC6C">
          <label>client ipc min protocol</label>
          <defaultValue>default</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_79B1D2DB_C2F7_57FA_8D6F_83D756A43A40">
        <textBox refId="TXT_6E173477_D6E4_5C47_BC6C_5961404DB0CD">
          <label>client max protocol</label>
          <defaultValue>default</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_E5D3402E_7A4B_555E_AC54_E5C7AE196EF2">
        <textBox refId="TXT_30573924_1A09_5202_8DF8_9B24FA69C14E">
          <label>client min protocol</label>
          <defaultValue>SMB2_02</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_B86463E0_7A50_5BD1_9CD5_A43C20A5E087">
        <checkBox defaultChecked="true" refId="CHK_5549EDCC_940D_5AEA_8465_B771FEE013BC">client use spnego</checkBox>
      </presentation>
      <presentation id="POL_F0990CDC_21DF_538D_9282_2749E00AF99E">
        <textBox refId="TXT_E8C89EE3_FF60_5216_A5C7_803A3AA8D790">
          <label>dcerpc endpoint servers</label>
          <defaultValue>epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_BD3F8921_7AF6_57F8_894A_9C73D40C6202">
        <checkBox defaultChecked="true" refId="CHK_AA0DA4CF_4431_509C_8E2D_27BD0DD5CCAB">defer sharing violations</checkBox>
      </presentation>
      <presentation id="POL_0C775437_E6FD_5657_9A04_AF137F18FACE">
        <decimalTextBox defaultValue="138" refId="DXT_8E6D975D_6C56_56F9_9853_60394A2CEFA7"/>
      </presentation>
      <presentation id="POL_614DA2E7_D77F_5434_9C73_137D1D89D086">
        <checkBox refId="CHK_D433FDEC_A984_5B75_AD88_924962077009">disable netbios</checkBox>
      </presentation>
      <presentation id="POL_35845C32_CE1D_5395_A07C_142BCFD9744C">
        <checkBox refId="CHK_31A76B18_E56F_57E6_BBC1_A5988C8D731C">enable asu support</checkBox>
      </presentation>
      <presentation id="POL_000AF517_65A2_5220_B1DD_7187EFC59AAB">
        <textBox refId="TXT_3A3CA4FB_B0F0_5D20_AA43_D6CAECA189E1">
          <label>eventlog list</label>
        </textBox>
      </presentation>
      <presentation id="POL_B4BFA8D2_FF42_5E4A_ADE8_D7829A2CC94A">
        <checkBox defaultChecked="true" refId="CHK_21EE7A7A_DF8F_56F7_85FB_6EC5DD083DD6">large readwrite</checkBox>
      </presentation>
      <presentation id="POL_644A4C74_3ECB_5A01_8E2B_1FA9E74EC778">
        <checkBox refId="CHK_52E0D939_4722_5165_AAFE_A5FD7584E12C">lsa over netlogon</checkBox>
      </presentation>
      <presentation id="POL_EAE8C258_343E_522B_A09C_69E9FD81B535">
        <decimalTextBox defaultValue="50" refId="DXT_549D41B9_4692_55A3_B8C0_11D91DBCC133"/>
      </presentation>
      <presentation id="POL_2BAFBEFD_9CEA_53C2_9E78_04807EA6531F">
        <decimalTextBox defaultValue="259200" refId="DXT_F5E2AC7A_E892_5316_81C3_368BC6F5E4C4"/>
      </presentation>
      <presentation id="POL_7D30022C_3DDE_56D1_8D07_D90741127527">
        <decimalTextBox defaultValue="16644" refId="DXT_8A171231_CF95_5684_B665_9B1F5B046ABD"/>
      </presentation>
      <presentation id="POL_02E42B0E_C3F3_5E0B_83C1_6F3ABFEEF251">
        <decimalTextBox defaultValue="0" refId="DXT_0B40F1AE_EF9C_58E0_9E35_6D119671AAE1"/>
      </presentation>
      <presentation id="POL_9AA4C867_EE0B_5742_94F0_4D2243C2E368">
        <textBox refId="TXT_7C9CF069_5856_5D63_94DD_AF9530B8D495">
          <label>name resolve order</label>
          <defaultValue>lmhosts wins host bcast</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_0EAD5917_3B68_5B59_92E1_69BD263150EA">
        <decimalTextBox defaultValue="137" refId="DXT_F06BA6AF_533A_520F_B2E1_EA508FF26E55"/>
      </presentation>
      <presentation id="POL_3FA711F7_BD87_5CF6_9A5A_77CF771AAFF2">
        <checkBox defaultChecked="true" refId="CHK_DAAC7C86_8FD9_55BF_9125_9C95E2D52AFE">nt pipe support</checkBox>
      </presentation>
      <presentation id="POL_85D402BD_4D59_5CE0_8EA2_3331CABD23CA">
        <checkBox defaultChecked="true" refId="CHK_95DD62AA_03E3_5679_AD11_D5616CD25255">nt status support</checkBox>
      </presentation>
      <presentation id="POL_9045A4F7_5DED_5A70_B01D_D92B419B6634">
        <checkBox defaultChecked="true" refId="CHK_B11F35D5_3196_5D92_9B1D_9C746F9162FA">read raw</checkBox>
      </presentation>
      <presentation id="POL_9926B5F8_3F22_569B_BB6C_06F2CDF21381">
        <checkBox refId="CHK_CCA3E37C_1A5F_5493_BFC6_AD75B7AEF1D7">rpc big endian</checkBox>
      </presentation>
      <presentation id="POL_56DBEBB2_3508_5C9E_91B2_3E55EF357FFB">
        <decimalTextBox defaultValue="0" refId="DXT_9489E35C_10BA_57DF_BCA8_E482D719B220"/>
      </presentation>
      <presentation id="POL_738E8CDC_C229_5926_8153_E0009CC07424">
        <textBox refId="TXT_B22408B0_8FF5_5F41_BB61_F89CF80FB1C4">
          <label>server max protocol</label>
          <defaultValue>SMB3</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_00778E7A_F34D_546E_9FA8_3968A937392B">
        <textBox refId="TXT_633970D9_6038_55ED_856F_A39492AE0173">
          <label>server min protocol</label>
          <defaultValue>SMB2_02</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_B33A00A2_B848_59D9_9C41_582F886C008A">
        <textBox refId="TXT_3C8506A1_3A67_58AF_BB1F_DD3A931A7FBE">
          <label>share:fake_fscaps</label>
          <defaultValue>0</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_0BC6C240_419F_5F72_9A24_DA191CFFE18E">
        <decimalTextBox defaultValue="8192" refId="DXT_4FCC3712_A2B7_5C65_933A_621697E78E8F"/>
      </presentation>
      <presentation id="POL_908FC006_7CE8_5B56_A049_A3E582C281F3">
        <decimalTextBox defaultValue="8388608" refId="DXT_8D17E70E_8AA1_5DEC_86C2_154031314317"/>
      </presentation>
      <presentation id="POL_84ED1A25_58B9_5C00_8261_11A7D387EAB9">
        <decimalTextBox defaultValue="8388608" refId="DXT_0923E7AF_8C15_54FD_A360_41E09D67D24C"/>
      </presentation>
      <presentation id="POL_A1955D87_2287_524B_9A8C_454C8218F590">
        <decimalTextBox defaultValue="8388608" refId="DXT_AC8EA085_B897_5581_8260_25EC8761048F"/>
      </presentation>
      <presentation id="POL_796581A5_F65E_5D31_BB5C_2CC641B8D03C">
        <textBox refId="TXT_07CA0480_16BB_5E14_B1E8_716E293305F7">
          <label>smb ports</label>
          <defaultValue>445 139</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_C141D92D_B912_54D7_88D6_CC3A12A4739D">
        <textBox refId="TXT_7312B2B6_2E91_5D9E_BE33_A1C73675950E">
          <label>svcctl list</label>
        </textBox>
      </presentation>
      <presentation id="POL_747C776B_2150_5FD4_9A47_9832FD35EBC5">
        <checkBox refId="CHK_838A32D7_1BA5_55CB_9FA4_95280DFB26F6">time server</checkBox>
      </presentation>
      <presentation id="POL_69C69BCA_D38B_54E1_817C_E6993FF1AB91">
        <checkBox defaultChecked="true" refId="CHK_2280B94E_EB17_5A5E_80F0_B48BE0CBC2CB">unicode</checkBox>
      </presentation>
      <presentation id="POL_063DDC7C_E490_5F1B_866D_06D25ABAED90">
        <checkBox defaultChecked="true" refId="CHK_E429FAE8_6D3B_5B56_8EFF_B3B7C25B3DE1">unix extensions</checkBox>
      </presentation>
      <presentation id="POL_CC4C4C4D_0BA2_52C2_A510_1C4F669856F3">
        <checkBox defaultChecked="true" refId="CHK_4FD77295_65FD_5553_AB18_D6CF04394DAB">write raw</checkBox>
      </presentation>
      <presentation id="POL_D1D0620C_FFC1_5C7D_9733_4005F5F61A8D">
        <checkBox refId="CHK_82B2446C_9CAB_5880_AF33_2803AE49B294">server multi channel support</checkBox>
      </presentation>
      <presentation id="POL_D0AC80B8_9AFD_5848_B779_1E43C144D7B3">
        <checkBox refId="CHK_B6B60597_42F0_58D3_98BB_DB6B75D07112">smb2 disable lock sequence checking</checkBox>
      </presentation>
      <presentation id="POL_85DD283F_59E2_5E1D_A694_D52FD7C7627A">
        <checkBox refId="CHK_B83E6646_94FD_5882_B57A_15B4BA0AABFD">smb2 disable oplock break retry</checkBox>
      </presentation>
      <presentation id="POL_9E9B6ADB_2118_5108_9C2D_9899DDDC59AF">
        <textBox refId="TXT_28520FBC_2959_5800_B0C5_FE205973260B">
          <label>rpc server dynamic port range</label>
          <defaultValue>49152-65535</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_9B792D3F_06B3_5683_92D9_45D323276228">
        <decimalTextBox defaultValue="1000" refId="DXT_9EFB50AC_B3B6_51C1_AD40_298F546733DC"/>
      </presentation>
      <presentation id="POL_F30A212E_4A35_5E67_8902_5D28B4E37CE7">
        <checkBox refId="CHK_EAA911EE_CB2D_5459_AF50_DC1CA4719686">allow dcerpc auth level connect</checkBox>
      </presentation>
      <presentation id="POL_2725BCA8_877C_519D_A248_D6EE701DAD53">
        <checkBox defaultChecked="true" refId="CHK_83FBBE91_8F41_5C06_BD1D_9A47A10B07FE">allow trusted domains</checkBox>
      </presentation>
      <presentation id="POL_92DB14AD_A920_5D74_BA74_0C51B13AECBF">
        <textBox refId="TXT_D70FDB73_012F_5168_8371_B68B4B2FF60E">
          <label>binddns dir</label>
        </textBox>
      </presentation>
      <presentation id="POL_C95900AB_E4E2_5313_9EF5_9AC181CD63A7">
        <textBox refId="TXT_D6E02483_EC02_52E1_AB5A_E65E2C7FD5C8">
          <label>check password script</label>
        </textBox>
      </presentation>
      <presentation id="POL_0DDAC1B2_5E35_5770_B177_333E21EF2A80">
        <textBox refId="TXT_28B76952_9A9C_5E2D_89C6_28CA8ABBEFD4">
          <label>client ipc signing</label>
          <defaultValue>default</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_045DA01B_9A96_5BB1_A5AD_9EA38ECFC199">
        <checkBox refId="CHK_5203727D_209F_5E8A_AA94_F9DC1BB27027">client lanman auth</checkBox>
      </presentation>
      <presentation id="POL_B1954186_3F6B_5F1F_B066_9105058C20A6">
        <checkBox defaultChecked="true" refId="CHK_B6DB6C5E_8C6F_5288_B469_0C54B947EA2F">client NTLMv2 auth</checkBox>
      </presentation>
      <presentation id="POL_676B4751_B95E_5720_A513_203DC3A33B5C">
        <checkBox refId="CHK_3DCC027B_9C81_5EDE_A64D_D6F956AFE5B8">client plaintext auth</checkBox>
      </presentation>
      <presentation id="POL_C3248F39_498F_5B9B_B82D_E99AB08FD0AF">
        <textBox refId="TXT_4A77A711_9230_5D41_A77C_97123E4789B7">
          <label>client schannel</label>
          <defaultValue>yes</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_0A922D59_F39C_57B5_82CE_E08DB4EFC5F9">
        <textBox refId="TXT_E3513F2F_1C85_5D8C_8DEE_741059C1F393">
          <label>client signing</label>
          <defaultValue>default</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_952DF975_FF04_55BD_8C6B_1D0CF167106B">
        <checkBox refId="CHK_E5D1CBBE_5B07_5559_8885_E8F6DBA75A18">client use spnego principal</checkBox>
      </presentation>
      <presentation id="POL_D9E8EB33_0AE9_5DA5_BA48_00221DCE75EB">
        <checkBox refId="CHK_711A458E_DC58_57EC_B315_0FEF0D2354BF">debug encryption</checkBox>
      </presentation>
      <presentation id="POL_B7875E95_FF94_5579_956F_6E2CEB41AB91">
        <textBox refId="TXT_F17E81EB_DEBF_56F4_B372_D6F61F5516E3">
          <label>dedicated keytab file</label>
        </textBox>
      </presentation>
      <presentation id="POL_1EE4C27C_051F_55A6_8385_E55B6776D7E4">
        <checkBox defaultChecked="true" refId="CHK_EC390E59_1CA4_5C42_960E_B0EEA3B0C1F4">encrypt passwords</checkBox>
      </presentation>
      <presentation id="POL_59E14991_089B_550D_A563_8FB90A8333FB">
        <textBox refId="TXT_92855060_EFF4_5BCA_B30B_10C364F30E2E">
          <label>guest account</label>
          <defaultValue>nobody</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_772B9223_59BD_57E8_8FA7_17AF0E0EC8EC">
        <textBox refId="TXT_751BA79F_27EA_55BE_B787_D424CBD47CED">
          <label>kerberos encryption types</label>
          <defaultValue>all</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_F11FAFDE_22DF_5BB6_9F63_007597D313BD">
        <textBox refId="TXT_30977E18_9746_5A78_A6DC_82AC5157781F">
          <label>kerberos method</label>
          <defaultValue>default</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_F37DD404_E28E_50F2_BFF4_90142620EA2F">
        <decimalTextBox defaultValue="464" refId="DXT_3E0E91A2_1877_54F2_AFFE_13F912C4B534"/>
      </presentation>
      <presentation id="POL_E6FCD1B7_7104_5EF9_BAA7_73E15CC49EE2">
        <decimalTextBox defaultValue="88" refId="DXT_41AD8F69_347F_58D1_9DA4_B9A600C32EAE"/>
      </presentation>
      <presentation id="POL_F77B9807_0B1E_5EA5_A1CB_62B310FE5034">
        <checkBox refId="CHK_7460D4AE_3934_5090_9E10_BBF60CD5A983">lanman auth</checkBox>
      </presentation>
      <presentation id="POL_3D0B6848_AEF7_54A0_8FA0_B6EAD987D449">
        <textBox refId="TXT_E576122E_9E34_5B1D_9362_2EF751F22E3F">
          <label>log nt token command</label>
        </textBox>
      </presentation>
      <presentation id="POL_32F00B99_2861_5EFE_B961_1F52B4FC0530">
        <textBox refId="TXT_12B82358_1926_5FEC_B016_946E52DDC7A7">
          <label>map to guest</label>
          <defaultValue>Never</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_6D23275C_279D_571C_8835_3DA99356979C">
        <textBox refId="TXT_4C14ACC2_4652_5801_BF08_1D9E81090E16">
          <label>mit kdc command</label>
        </textBox>
      </presentation>
      <presentation id="POL_3AE05749_32F8_5D7C_BEF0_D0DFB206EA34">
        <textBox refId="TXT_E71B9BA6_F3A9_510D_AE73_34CC2E7AF19F">
          <label>ntlm auth</label>
          <defaultValue>ntlmv2-only</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_7A4CC1D5_FF89_5D5A_9711_B783227B92CE">
        <textBox refId="TXT_9AB44C0C_849E_55AD_BF88_30862CC83464">
          <label>ntp signd socket directory</label>
        </textBox>
      </presentation>
      <presentation id="POL_1F95F2F6_790E_5946_8F22_F93441D1B91D">
        <checkBox refId="CHK_905844C6_A433_5422_9020_A275A062AB6F">null passwords</checkBox>
      </presentation>
      <presentation id="POL_4B855392_C467_5D42_B793_3EC858462C02">
        <checkBox refId="CHK_FFDDD176_BDAB_58E3_A455_F60861FD2C63">obey pam restrictions</checkBox>
      </presentation>
      <presentation id="POL_F388E520_9E19_53AC_9AFA_D6DAAE139BFE">
        <decimalTextBox defaultValue="60" refId="DXT_1D580B43_F65E_5F39_A938_BE0D03A04F2B"/>
      </presentation>
      <presentation id="POL_FC62DA5F_6B94_5AD6_B9E6_51A9F5F52E2E">
        <checkBox refId="CHK_49F56502_4B93_5C98_A4BB_327120E5F7D8">pam password change</checkBox>
      </presentation>
      <presentation id="POL_6F5A4F7B_B2BC_50D0_84F6_64202749462B">
        <textBox refId="TXT_38925248_C56C_5F67_959E_45860FA3CEDE">
          <label>passdb backend</label>
          <defaultValue>tdbsam</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_F3E8ECEA_80D4_529F_8F7B_97B8847E3101">
        <checkBox refId="CHK_4D782AF0_E6B7_5C3E_AE8F_90D07527724B">passdb expand explicit</checkBox>
      </presentation>
      <presentation id="POL_EE00148B_DAEA_5039_B087_B342E865E3AE">
        <textBox refId="TXT_9E734663_521F_5654_A01C_E8B5C19A4684">
          <label>passwd chat</label>
          <defaultValue>*new*password* %n\n *new*password* %n\n *changed*</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_A0D04F58_1760_5152_AE42_748ABA7B15D8">
        <checkBox refId="CHK_6F2AD6B8_489E_512B_A7CC_EDB6FA628D1E">passwd chat debug</checkBox>
      </presentation>
      <presentation id="POL_0F8503B0_2D17_54A4_AECA_C8954FC2F1B3">
        <decimalTextBox defaultValue="2" refId="DXT_849C03F3_A9CF_5B20_81B9_D4EEE2435447"/>
      </presentation>
      <presentation id="POL_484C71CF_D856_514E_A645_C94805B51752">
        <textBox refId="TXT_97FDEF1F_BA9C_5995_BB37_93AF59ADB59C">
          <label>passwd program</label>
        </textBox>
      </presentation>
      <presentation id="POL_DE8AED8D_92DF_5DC8_A412_F374508B2DF2">
        <textBox refId="TXT_DF9C4D42_5129_5D7A_A155_18F2DBB5B2E7">
          <label>password hash gpg key ids</label>
        </textBox>
      </presentation>
      <presentation id="POL_E57A4D09_C62A_5ACB_BA14_A52FB3A14D54">
        <textBox refId="TXT_8F89431E_D922_5610_8770_40BD094BA98D">
          <label>password hash userPassword schemes</label>
        </textBox>
      </presentation>
      <presentation id="POL_8DF1C787_4DD3_5769_981D_AD98697D5FAB">
        <textBox refId="TXT_2BD70FBF_B577_55F7_B757_5DE68D1ECB4B">
          <label>password server</label>
          <defaultValue>*</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_576D7547_5317_5D19_9105_4BFD5714D591">
        <textBox refId="TXT_799A2EBA_FC4C_53C2_B724_0838399601DF">
          <label>preload modules</label>
        </textBox>
      </presentation>
      <presentation id="POL_0B74AC8D_E102_5E02_9B21_D264A6662698">
        <textBox refId="TXT_97A88495_3A90_5773_AF8C_5D35B63E672A">
          <label>private dir</label>
        </textBox>
      </presentation>
      <presentation id="POL_84F44316_118C_5460_A9E9_022AE89D6BC7">
        <checkBox refId="CHK_C2793981_4BCD_5CDF_8F7B_7AD01E207D2C">raw NTLMv2 auth</checkBox>
      </presentation>
      <presentation id="POL_81A0C9F8_E865_532F_8FF6_EA55C23E6417">
        <textBox refId="TXT_3697BE5E_8DCE_5701_A121_A7E36F07CE6C">
          <label>rename user script</label>
        </textBox>
      </presentation>
      <presentation id="POL_61F81501_C5C3_5F3F_8A89_4490F25812D1">
        <decimalTextBox defaultValue="0" refId="DXT_B5114D77_9A2D_5FB4_8862_313764FA836F"/>
      </presentation>
      <presentation id="POL_82E70187_3C79_5C38_837A_F6F7660F7D10">
        <textBox refId="TXT_00392C71_F9D4_5A75_8082_F7806B6B7564">
          <label>root directory</label>
        </textBox>
      </presentation>
      <presentation id="POL_487E924D_1F5E_52FA_9DD7_7C893DC03299">
        <textBox refId="TXT_98D641EC_FAA9_546B_A032_3D7D3D0B28E2">
          <label>samba kcc command</label>
          <defaultValue>/samba_kcc</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_1D7DD262_FBC1_53B0_8981_D664D2793B98">
        <textBox refId="TXT_94515E41_3367_514F_978D_FB02F7C7ABD1">
          <label>security</label>
          <defaultValue>AUTO</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_E94725FD_24A2_5499_9793_E27F2E3D82AB">
        <textBox refId="TXT_7688CBD7_E2F8_573B_AA8D_9EF8C47630F8">
          <label>server role</label>
          <defaultValue>AUTO</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_51A99ED6_90F2_5884_904E_FBB01AE99010">
        <textBox refId="TXT_0DC074F0_E1DE_5232_B834_889409466FB7">
          <label>server schannel</label>
          <defaultValue>yes</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_5FCA2961_E0AB_5E89_8361_C30A3FBAB1EC">
        <textBox refId="TXT_90F5A286_21F2_5FE7_97F9_88EF3C9B636C">
          <label>server signing</label>
          <defaultValue>default</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_619FBE76_46C6_5CD4_8FAB_F6031B681197">
        <textBox refId="TXT_A5857127_9668_5119_9FB1_28989C19BE29">
          <label>smb passwd file</label>
        </textBox>
      </presentation>
      <presentation id="POL_F01FFF92_4BCB_5309_8B5C_3910D8E2EE4D">
        <textBox refId="TXT_18E2AB7A_7B3D_5588_8E22_91549B53719E">
          <label>tls cafile</label>
          <defaultValue>tls/ca.pem</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_2D715716_887A_5F22_B8BF_F4D8239F9576">
        <textBox refId="TXT_24A9FF35_91AF_50B7_9C8B_DCB8815A3B19">
          <label>tls certfile</label>
          <defaultValue>tls/cert.pem</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_823C796B_2B4A_5733_B90D_9179CA58C03D">
        <textBox refId="TXT_3B707725_83FA_511D_BBC2_69122D141655">
          <label>tls crlfile</label>
        </textBox>
      </presentation>
      <presentation id="POL_EE10300D_C58D_5AF3_819F_6707ACE727E9">
        <textBox refId="TXT_EB8D2F6A_9929_5004_BD04_03EB0F381453">
          <label>tls dh params file</label>
        </textBox>
      </presentation>
      <presentation id="POL_D1A081CF_40D1_5505_9E0F_1DF2B67DC69F">
        <checkBox defaultChecked="true" refId="CHK_FBD1856B_6C06_5CF4_9A53_DDF372A2250F">tls enabled</checkBox>
      </presentation>
      <presentation id="POL_686F2495_B4CA_5D83_95E3_BF372A1857A3">
        <textBox refId="TXT_45D2AB07_CCD6_5350_A04D_DB915B7B79A3">
          <label>tls keyfile</label>
          <defaultValue>tls/key.pem</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_869E3C32_6369_5FB5_B149_F982FB872384">
        <textBox refId="TXT_09331402_B0D6_59B2_8C69_2758849398CE">
          <label>tls verify peer</label>
          <defaultValue>as_strict_as_possible</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_6B1AC895_029E_5686_B072_4BD0BD8B7C4D">
        <checkBox refId="CHK_1E20CD87_5BB4_5449_9E0C_BFFBE014C934">unix password sync</checkBox>
      </presentation>
      <presentation id="POL_821FE87C_398B_5051_A106_BB4C41475FA2">
        <decimalTextBox defaultValue="0" refId="DXT_55E19EF4_DFB4_5F5F_8DF5_D88E4874D090"/>
      </presentation>
      <presentation id="POL_4A737F54_FE8F_5996_AE22_5AD683E96F64">
        <textBox refId="TXT_F413607F_E22F_5652_B367_376C260376CF">
          <label>username map</label>
        </textBox>
      </presentation>
      <presentation id="POL_B01C544C_C17F_58BE_A8C5_B8B93A5D6D6B">
        <decimalTextBox defaultValue="0" refId="DXT_54B979EE_6AB6_5CFA_9EE0_CAF728D8EC17"/>
      </presentation>
      <presentation id="POL_D6C75311_EF00_56FB_BB7E_2AED9360F004">
        <textBox refId="TXT_C8B62E8A_0311_5EC2_A8CF_70B60E1BD044">
          <label>username map script</label>
        </textBox>
      </presentation>
      <presentation id="POL_D915E5DA_6227_5AF7_84CC_C5FF9079D441">
        <textBox refId="TXT_55A11C3A_195F_55F9_852D_0D62FD18327B">
          <label>tls priority</label>
          <defaultValue>NORMAL:-VERS-SSL3.0</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_5413F647_D5E0_5620_B00D_101274974D25">
        <decimalTextBox defaultValue="100" refId="DXT_8BBF5B06_26CE_5BCE_B851_7B1D4E5BA791"/>
      </presentation>
      <presentation id="POL_B9BCD3D7_045F_57C2_9347_4258B5841D4B">
        <decimalTextBox defaultValue="10080" refId="DXT_1C7D2B97_728C_587E_880B_EDEF41300FAB"/>
      </presentation>
      <presentation id="POL_29E85EE4_9F4B_5824_AAD0_B71BC3AD529A">
        <checkBox defaultChecked="true" refId="CHK_18CC19EE_D0BD_5776_9816_F100799183AB">getwd cache</checkBox>
      </presentation>
      <presentation id="POL_9FC38F18_A498_5A48_A001_E1C9DF302BAD">
        <checkBox refId="CHK_04B2F1DF_E88E_5792_B491_793217A0C8C8">hostname lookups</checkBox>
      </presentation>
      <presentation id="POL_A09855DC_589A_515D_B123_3846F60F4908">
        <decimalTextBox defaultValue="300" refId="DXT_3DAC248C_C8A8_5C1C_8CFB_443894213FC9"/>
      </presentation>
      <presentation id="POL_8C101F96_8BD1_5E91_ACA0_813AA7EB6F03">
        <decimalTextBox defaultValue="0" refId="DXT_4DAE2123_2535_5E0D_BCD1_D5D819A750B9"/>
      </presentation>
      <presentation id="POL_571D0589_CE6E_50D9_A04F_4070993911D4">
        <decimalTextBox defaultValue="16384" refId="DXT_E36137FA_C613_5FBE_B6FE_1A0554C4130E"/>
      </presentation>
      <presentation id="POL_4B0BF94D_F644_5874_9963_FB1DB672DFCF">
        <decimalTextBox defaultValue="0" refId="DXT_3DC584F7_71D3_5762_BB59_FB55D524AF1D"/>
      </presentation>
      <presentation id="POL_CCB2A269_DED1_5A89_B0EA_AC8B9A248E01">
        <decimalTextBox defaultValue="660" refId="DXT_23802D96_34E6_5E30_BB47_2839CFF09E5E"/>
      </presentation>
      <presentation id="POL_D0EACF0A_A7EC_5114_84E9_A119EAB06054">
        <textBox refId="TXT_9F944C4E_3CCB_5C34_AC11_84D5E8AE9675">
          <label>socket options</label>
          <defaultValue>TCP_NODELAY</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_0BEE9D62_728C_5BEC_B208_C6413ACB23CA">
        <checkBox defaultChecked="true" refId="CHK_AE0F9277_9994_5245_9AF5_2FE2694EADB3">use mmap</checkBox>
      </presentation>
      <presentation id="POL_F0BBD72A_2F52_5518_978A_E4DE80EA63A7">
        <textBox refId="TXT_1299FC9B_B974_5807_B85B_96EF03DF6E7E">
          <label>get quota command</label>
        </textBox>
      </presentation>
      <presentation id="POL_1B9A680B_C7D9_5909_A73A_4A88884B1A1A">
        <checkBox defaultChecked="true" refId="CHK_D8B6A576_57BD_5C1B_8503_D7514BF9A79A">host msdfs</checkBox>
      </presentation>
      <presentation id="POL_23841534_EA5C_5066_9A34_A81201DFA255">
        <textBox refId="TXT_CB4EB282_B71E_5E88_AAD0_CBE322ED1354">
          <label>set quota command</label>
        </textBox>
      </presentation>
      <presentation id="POL_A8D8A049_7017_5627_B698_79DB288ACF3D">
        <checkBox refId="CHK_E3F6F2BF_E5EF_5ECD_B4EF_525C704252CE">apply group policies</checkBox>
      </presentation>
      <presentation id="POL_322C552E_7DC6_57F9_845A_F76107A65059">
        <checkBox defaultChecked="true" refId="CHK_4D19E247_9D41_57FC_A81B_7AAA3DA70D22">create krb5 conf</checkBox>
      </presentation>
      <presentation id="POL_D65A78B4_B284_51E5_86B8_548907E5B99E">
        <textBox refId="TXT_E8A538AD_C502_5298_A571_D37AF30908B1">
          <label>idmap backend</label>
          <defaultValue>tdb</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_D9437864_AD98_5DE6_A280_76BF74DF6241">
        <decimalTextBox defaultValue="604800" refId="DXT_9707658F_1F28_5859_A19A_74FA303C63FD"/>
      </presentation>
      <presentation id="POL_DADA8FE7_2FB0_5AFE_AE6F_5CDE2F6C835A">
        <textBox refId="TXT_8E0B0FA4_3946_55DD_9AD6_B31C5AC79265">
          <label>idmap gid</label>
        </textBox>
      </presentation>
      <presentation id="POL_595CE1B7_F379_543C_99B1_DDF5DCBB2034">
        <decimalTextBox defaultValue="120" refId="DXT_DB0243EE_0466_539F_8844_6C0FFDEC6AA3"/>
      </presentation>
      <presentation id="POL_1493AE04_9E17_51E3_BF56_61A594C41065">
        <textBox refId="TXT_5BC5E3D4_DCD5_5F0A_92C3_74C651DE0CEA">
          <label>idmap uid</label>
        </textBox>
      </presentation>
      <presentation id="POL_BFD4E3E9_B3CF_5703_95C9_D5AF443628EC">
        <checkBox defaultChecked="true" refId="CHK_09A137C2_9429_5D4A_A327_A5F475E367AE">include system krb5 conf</checkBox>
      </presentation>
      <presentation id="POL_B2DF30E2_2C79_5DB4_BDD4_2A72F3AAE4D1">
        <checkBox refId="CHK_5CF9E5FF_8158_5689_9FD3_E408D710EC13">neutralize nt4 emulation</checkBox>
      </presentation>
      <presentation id="POL_D5D3240F_0956_5A05_8847_1B20DF57BEC8">
        <checkBox refId="CHK_25E7D915_B85C_5F5B_9A60_056A326ED8F5">reject md5 servers</checkBox>
      </presentation>
      <presentation id="POL_5D72D99B_EFA5_5B2F_8616_2FBE8DBBCF81">
        <checkBox defaultChecked="true" refId="CHK_C103A13B_7017_50F6_A337_C2A90DAE4419">require strong key</checkBox>
      </presentation>
      <presentation id="POL_A7D4A2B5_A2CB_5BE6_A7D2_111FFC0BB9C5">
        <textBox refId="TXT_A6A67F77_1744_5905_9C6F_A3468BBFC424">
          <label>template homedir</label>
          <defaultValue>/home/%D/%U</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_D7A44478_576C_554E_B31A_5316A836F68E">
        <textBox refId="TXT_73F5972B_1879_58A0_9815_A627E1F6D5BC">
          <label>template shell</label>
          <defaultValue>/bin/false</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_EE40BE14_5D1D_5ED4_845C_E7E51C529C2B">
        <decimalTextBox defaultValue="300" refId="DXT_22E52F9D_8E44_59CE_ACC2_916D022CDFA6"/>
      </presentation>
      <presentation id="POL_76E2E87A_908A_5F9A_AA09_FF096575D9A7">
        <textBox refId="TXT_C06A3052_6AD2_53D9_BD21_2A738D8BB155">
          <label>winbindd socket directory</label>
        </textBox>
      </presentation>
      <presentation id="POL_91508E50_D468_5787_B9AD_BD8160522742">
        <checkBox refId="CHK_F53BC663_D7A1_5D33_8C57_9EC32E71DC68">winbind enum groups</checkBox>
      </presentation>
      <presentation id="POL_F4AED7E2_E1E5_50C5_BBCA_C543EB5E383E">
        <checkBox refId="CHK_08E1CF79_DDA7_588B_B86D_590B4967C1C0">winbind enum users</checkBox>
      </presentation>
      <presentation id="POL_FE94B125_13A6_5560_A963_34F8F6C8F4D6">
        <decimalTextBox defaultValue="0" refId="DXT_B28BA151_1969_59E2_B275_C81CA16B5A23"/>
      </presentation>
      <presentation id="POL_7548D0E2_C166_5A7A_9701_063C15E4172D">
        <textBox refId="TXT_3C8A3138_1C1C_5FFF_A3F7_513DEA315389">
          <label>winbind:ignore domains</label>
        </textBox>
      </presentation>
      <presentation id="POL_DD3D412F_8AD9_54B9_8D5A_A0501DF3AB07">
        <decimalTextBox defaultValue="200" refId="DXT_C2980001_BA2C_57BA_8C1B_F973C067028B"/>
      </presentation>
      <presentation id="POL_BE09D431_FA6A_5383_994E_1AEA3E9EEC4A">
        <decimalTextBox defaultValue="1" refId="DXT_6F41A5F1_F003_54F4_88AF_9CC14C5B64F0"/>
      </presentation>
      <presentation id="POL_2ABFD1ED_23F7_5C67_8ECD_3F7EE2752B7D">
        <checkBox defaultChecked="true" refId="CHK_EE309E41_F404_5CE1_AC86_5E795D0C979A">winbind nested groups</checkBox>
      </presentation>
      <presentation id="POL_4542EFF0_F19C_5215_92F8_0B006803D437">
        <checkBox refId="CHK_E9249CF9_4820_553B_B406_5560E8B3DEFF">winbind normalize names</checkBox>
      </presentation>
      <presentation id="POL_62688BAF_1F03_5CF4_888F_4B88677FF4AC">
        <textBox refId="TXT_B2B0FF5C_C714_52AC_BAFE_846EC003D31E">
          <label>winbind nss info</label>
          <defaultValue>template</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_053CBE3D_DD33_522A_9B34_9AFF4044D454">
        <checkBox refId="CHK_5945AB58_D8F0_5BA1_9964_D8E69AF19CBB">winbind offline logon</checkBox>
      </presentation>
      <presentation id="POL_3BF15158_B942_5458_999E_4FEBCA3A2290">
        <decimalTextBox defaultValue="30" refId="DXT_BEC37822_5BBB_56AE_B122_DFA48B55FF4A"/>
      </presentation>
      <presentation id="POL_46E902CB_4766_50A8_8A8A_86893347E86F">
        <checkBox refId="CHK_9DDF19FA_7129_5F46_82E2_FED21BCF9048">winbind refresh tickets</checkBox>
      </presentation>
      <presentation id="POL_9F679274_5E36_5B71_BBB3_880590FFB5A4">
        <decimalTextBox defaultValue="60" refId="DXT_542C16F7_4011_5AFF_A127_7A773681E95B"/>
      </presentation>
      <presentation id="POL_B5754213_7C07_59E8_BE54_44BD0B64A8ED">
        <checkBox refId="CHK_2EB29672_8B33_566A_AFE5_41BFDBE0F72E">winbind rpc only</checkBox>
      </presentation>
      <presentation id="POL_923523CB_9B7D_5261_93D6_B5FD86FC39E4">
        <checkBox defaultChecked="true" refId="CHK_3CAC88EA_556D_5AA8_8A29_282B574B2743">winbind scan trusted domains</checkBox>
      </presentation>
      <presentation id="POL_FFF6590E_C5E7_5680_9A62_61DC88079555">
        <checkBox defaultChecked="true" refId="CHK_E93252A7_06C7_566B_B7E6_8D4D7AADFB8D">winbind sealed pipes</checkBox>
      </presentation>
      <presentation id="POL_A55D34ED_E614_5500_9F7B_A07E0EE1F7BE">
        <textBox refId="TXT_25CC57B6_941F_525A_99F8_1C041F206D9B">
          <label>winbind separator</label>
          <defaultValue>\</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_14AE5941_E62F_53FC_95AE_441E7EF43F56">
        <checkBox refId="CHK_BF4DA096_841C_5A0D_A5E3_CD564122C924">winbind use default domain</checkBox>
      </presentation>
      <presentation id="POL_4B5E805D_7C7A_5CCE_AAB2_FBD0B9CC6D2E">
        <checkBox refId="CHK_7E9390CD_05D9_570F_A761_7B5A605BA1F9">winbind use krb5 enterprise principals</checkBox>
      </presentation>
      <presentation id="POL_DBC0E447_01F4_5B72_BA4E_E9248006FD96">
        <checkBox defaultChecked="true" refId="CHK_243E92BD_CBA1_50BC_BD4D_87B750B6FABB">dns proxy</checkBox>
      </presentation>
      <presentation id="POL_2E4CDFD7_AB3A_5898_B4A1_44EDABBEE713">
        <decimalTextBox defaultValue="518400" refId="DXT_761AB0AD_EED6_5734_BC07_88D6599EF57F"/>
      </presentation>
      <presentation id="POL_584FFB0D_E6B4_51B1_B65D_FBFD4D40C4D9">
        <decimalTextBox defaultValue="21600" refId="DXT_153EA1D4_FC29_50AF_878D_5695C6C186CD"/>
      </presentation>
      <presentation id="POL_6D6BFEF8_655A_59B7_B17E_050ADA0FAD0F">
        <textBox refId="TXT_4B630740_3B6C_5FCF_9B93_46CD46767198">
          <label>nbtd:wins_prepend1Bto1Cqueries</label>
          <defaultValue>yes</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_F145528D_6177_5DA0_9730_05420DF91116">
        <textBox refId="TXT_A7D6BC38_6BF1_56CF_85B2_FEEA5DAB1A45">
          <label>nbtd:wins_wins_randomize1Clist</label>
          <defaultValue>no</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_1D8649CE_6826_507E_A697_A06B2B693295">
        <textBox refId="TXT_845EC4E4_224C_5FE8_B43E_3F417E26E1F8">
          <label>nbtd:wins_randomize1Clist_mask</label>
          <defaultValue>255.255.255.0</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_8A6CF1A8_12F0_5EC4_B588_658C72C10C4B">
        <textBox refId="TXT_5A9C87F1_E213_5A53_AD54_9B3AFAB13F9C">
          <label>winsdb:local_owner</label>
        </textBox>
      </presentation>
      <presentation id="POL_4B068333_B3F0_5408_A84F_05BFDB2AD521">
        <textBox refId="TXT_DE8267A0_F6DE_5043_AFDA_3D98B6494A6D">
          <label>winsdb:dbnosync</label>
          <defaultValue>no</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_61D06DDC_5FC1_5A27_9953_0522C71D3C81">
        <textBox refId="TXT_7AC86D1C_8F55_5202_9960_E3F76BE03021">
          <label>wins hook</label>
        </textBox>
      </presentation>
      <presentation id="POL_DA957F88_D7CE_566D_A902_4CCDEF755586">
        <checkBox refId="CHK_F6AECF98_9DF6_5B4D_8F4C_1A262B314282">wins proxy</checkBox>
      </presentation>
      <presentation id="POL_8F4113F9_15A6_5E26_9F02_7CA7971BE6C9">
        <textBox refId="TXT_C1395789_AF99_5B0A_89F7_DD274EC794EA">
          <label>wins server</label>
        </textBox>
      </presentation>
      <presentation id="POL_0F35BC3D_B809_53E1_9BFD_1765E5E4E934">
        <checkBox refId="CHK_BE0D6F0B_4FEE_5580_AD27_507FBCC53AB5">wins support</checkBox>
      </presentation>
      <presentation id="POL_1009764B_DAB3_56F8_A766_B45CFC524A5E">
        <textBox refId="TXT_A8EC94D1_CDB1_5E5B_A2D7_D4FDDD78655D">
          <label>wreplsrv:periodic_interval</label>
          <defaultValue>15</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_17929B31_DDBB_5B79_AD9D_F0C7EB54BFFA">
        <textBox refId="TXT_C4483400_9388_5705_BB16_A9CD61B3FC01">
          <label>wreplsrv:propagate name releases</label>
          <defaultValue>no</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_E9361CA3_1260_52FE_AD12_742A86788475">
        <textBox refId="TXT_7E454192_9281_5588_8F18_A4C13837C555">
          <label>wreplsrv:scavenging_interval</label>
        </textBox>
      </presentation>
      <presentation id="POL_D3F0B860_C5A4_5E2A_983F_90B40B5AEF46">
        <textBox refId="TXT_C4470E01_F859_5E45_B342_290D5974C4D0">
          <label>wreplsrv:tombstone_extra_timeout</label>
          <defaultValue>259200</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_0CA9F8A3_6092_57F4_8CCC_114358C3B9EB">
        <textBox refId="TXT_D81F8827_96DE_500F_B1B8_D6EF10D165FE">
          <label>wreplsrv:tombstone_interval</label>
          <defaultValue>518400</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_B06D59DA_A8FC_53AF_AB8F_9C00812D8832">
        <textBox refId="TXT_B8A345EA_EAA9_524C_A511_8121FD7A5EA1">
          <label>wreplsrv:tombstone_timeout</label>
          <defaultValue>86400</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_3F2ADB29_E0AE_5723_BC18_0B7ABC97BBE7">
        <textBox refId="TXT_F35F7924_DBD3_5F6F_B247_7F4893C63844">
          <label>wreplsrv:verify_interval</label>
          <defaultValue>2073600</defaultValue>
        </textBox>
      </presentation>
      <presentation id="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07">
        <textBox refId="TXT_609C208A_3B4D_48F1_8A15_C0DF08EAD4D6">
          <label>Message of the day</label>
        </textBox>
      </presentation>
      <presentation id="POL_68E9155C_CB49_428E_AFE0_B89316FFD948">
        <textBox refId="TXT_8075D9EA_6E15_4B2A_833A_B918EE90856F">
          <label>Login Prompt Message</label>
          <defaultValue>Welcome to \s \r \l</defaultValue>
        </textBox>
      </presentation>
    </presentationTable>
  </resources>
</policyDefinitionResources>