diff options
| author | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 17:20:00 +0000 |
|---|---|---|
| committer | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 17:20:00 +0000 |
| commit | 8daa83a594a2e98f39d764422bfbdbc62c9efd44 (patch) | |
| tree | 4099e8021376c7d8c05bdf8503093d80e9c7bad0 /libgpo | |
| parent | Initial commit. (diff) | |
| download | samba-8daa83a594a2e98f39d764422bfbdbc62c9efd44.tar.xz samba-8daa83a594a2e98f39d764422bfbdbc62c9efd44.zip | |
Adding upstream version 2:4.20.0+dfsg.upstream/2%4.20.0+dfsgupstream
Signed-off-by: Daniel Baumann <daniel.baumann@progress-linux.org>
Diffstat (limited to 'libgpo')
| -rw-r--r-- | libgpo/admx/GNOME_Settings.admx | 88 | ||||
| -rw-r--r-- | libgpo/admx/en-US/GNOME_Settings.adml | 110 | ||||
| -rwxr-xr-x | libgpo/admx/en-US/samba.adml | 4730 | ||||
| -rw-r--r-- | libgpo/admx/ru-RU/GNOME_Settings.adml | 110 | ||||
| -rw-r--r-- | libgpo/admx/ru-RU/samba.adml | 5403 | ||||
| -rwxr-xr-x | libgpo/admx/samba.admx | 2549 | ||||
| -rw-r--r-- | libgpo/admx/wscript_build | 8 | ||||
| -rw-r--r-- | libgpo/gpext/gpext.c | 882 | ||||
| -rw-r--r-- | libgpo/gpext/gpext.h | 109 | ||||
| -rw-r--r-- | libgpo/gpo.h | 254 | ||||
| -rw-r--r-- | libgpo/gpo_fetch.c | 124 | ||||
| -rw-r--r-- | libgpo/gpo_filesync.c | 245 | ||||
| -rw-r--r-- | libgpo/gpo_ini.c | 468 | ||||
| -rw-r--r-- | libgpo/gpo_ini.h | 53 | ||||
| -rw-r--r-- | libgpo/gpo_ldap.c | 956 | ||||
| -rw-r--r-- | libgpo/gpo_proto.h | 94 | ||||
| -rw-r--r-- | libgpo/gpo_reg.c | 1047 | ||||
| -rw-r--r-- | libgpo/gpo_sec.c | 196 | ||||
| -rw-r--r-- | libgpo/gpo_util.c | 672 | ||||
| -rw-r--r-- | libgpo/pygpo.c | 767 | ||||
| -rw-r--r-- | libgpo/wscript_build | 24 |
21 files changed, 18889 insertions, 0 deletions
diff --git a/libgpo/admx/GNOME_Settings.admx b/libgpo/admx/GNOME_Settings.admx new file mode 100644 index 0000000..202960b --- /dev/null +++ b/libgpo/admx/GNOME_Settings.admx @@ -0,0 +1,88 @@ +<policyDefinitions revision="1.0" schemaVersion="1.0"> + <policyNamespaces> + <target prefix="system" namespace="Samba.Policies.System" /> + <using prefix="windows" namespace="Microsoft.Policies.Windows" /> + </policyNamespaces> + <resources minRequiredRevision="1.0" /> + <supportedOn> + <definitions> + <definition name="SUPPORTED_SAMBA_4_15" displayName="$(string.SUPPORTED_SAMBA_4_15)"/> + </definitions> + </supportedOn> + <categories> + <category name="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" displayName="$(string.CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323)" /> + <category name="CAT_7E067B4B_2FE1_4AAD_8D76_54209466A491" displayName="$(string.CAT_7E067B4B_2FE1_4AAD_8D76_54209466A491)"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + </category> + </categories> + <policies> + <policy name="POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC" class="Machine" displayName="$(string.POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC)" explainText="$(string.POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC_Help)" presentation="$(presentation.POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC)" key="GNOME Settings\Lock Down Settings" valueName="Whitelisted Online Accounts"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + <elements> + <list id="LST_B2FA2836_7FE0_4C2D_9D40_073E4BBDF0F3" key="GNOME Settings\Lock Down Settings\Whitelisted Online Accounts" /> + </elements> + </policy> + <policy name="POL_6307C5EA_766A_4D39_BBAE_B1F9A651F08C" class="Machine" displayName="$(string.POL_6307C5EA_766A_4D39_BBAE_B1F9A651F08C)" explainText="$(string.POL_6307C5EA_766A_4D39_BBAE_B1F9A651F08C_Help)" key="GNOME Settings\Lock Down Settings" valueName="Disable Command-Line Access"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + </policy> + <policy name="POL_373CCAD2_D0BC_49A3_A078_10CB073AA949" class="Machine" displayName="$(string.POL_373CCAD2_D0BC_49A3_A078_10CB073AA949)" explainText="$(string.POL_373CCAD2_D0BC_49A3_A078_10CB073AA949_Help)" key="GNOME Settings\Lock Down Settings" valueName="Disable File Saving"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + </policy> + <policy name="POL_2B71227C_C44B_4F77_B32A_FF92F312BCE2" class="Machine" displayName="$(string.POL_2B71227C_C44B_4F77_B32A_FF92F312BCE2)" explainText="$(string.POL_2B71227C_C44B_4F77_B32A_FF92F312BCE2_Help)" key="GNOME Settings\Lock Down Settings" valueName="Disable Printing"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + </policy> + <policy name="POL_F5785112_422C_4426_BF69_164FED2D6075" class="Machine" displayName="$(string.POL_F5785112_422C_4426_BF69_164FED2D6075)" explainText="$(string.POL_F5785112_422C_4426_BF69_164FED2D6075_Help)" key="GNOME Settings\Lock Down Settings" valueName="Disable Repartitioning"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + </policy> + <policy name="POL_DBD5262E_1014_4778_92C8_C3258C0D8EEE" class="Machine" displayName="$(string.POL_DBD5262E_1014_4778_92C8_C3258C0D8EEE)" explainText="$(string.POL_DBD5262E_1014_4778_92C8_C3258C0D8EEE_Help)" key="GNOME Settings\Lock Down Settings" valueName="Disable User Logout"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + </policy> + <policy name="POL_E5211A0E_F684_4E93_B62B_4F6B8BE5BBAD" class="Machine" displayName="$(string.POL_E5211A0E_F684_4E93_B62B_4F6B8BE5BBAD)" explainText="$(string.POL_E5211A0E_F684_4E93_B62B_4F6B8BE5BBAD_Help)" key="GNOME Settings\Lock Down Settings" valueName="Disable User Switching"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + </policy> + <policy name="POL_942D0D38_C946_4805_8339_92B661BE64E7" class="Machine" displayName="$(string.POL_942D0D38_C946_4805_8339_92B661BE64E7)" explainText="$(string.POL_942D0D38_C946_4805_8339_92B661BE64E7_Help)" key="GNOME Settings\Lock Down Settings" valueName="Disallow Login Using a Fingerprint"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + </policy> + <policy name="POL_0906773B_31CA_48E7_B173_A2A8435FA31C" class="Machine" displayName="$(string.POL_0906773B_31CA_48E7_B173_A2A8435FA31C)" explainText="$(string.POL_0906773B_31CA_48E7_B173_A2A8435FA31C_Help)" key="GNOME Settings\Lock Down Settings" valueName="Lock Down Enabled Extensions"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + </policy> + <policy name="POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B" class="Machine" displayName="$(string.POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B)" explainText="$(string.POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B_Help)" presentation="$(presentation.POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B)" key="GNOME Settings\Lock Down Settings" valueName="Lock Down Specific Settings"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + <elements> + <list id="LST_19198E2B_79A2_4263_B09E_CC40151A265B" key="GNOME Settings\Lock Down Settings\Lock Down Specific Settings" /> + </elements> + </policy> + <policy name="POL_1F00D0C9_3190_42E1_870F_33A0E560E873" class="Machine" displayName="$(string.POL_1F00D0C9_3190_42E1_870F_33A0E560E873)" explainText="$(string.POL_1F00D0C9_3190_42E1_870F_33A0E560E873_Help)" presentation="$(presentation.POL_1F00D0C9_3190_42E1_870F_33A0E560E873)" key="GNOME Settings\Lock Down Settings" valueName="Dim Screen when User is Idle"> + <parentCategory ref="CAT_7E067B4B_2FE1_4AAD_8D76_54209466A491" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + <elements> + <decimal id="DXT_B46B9503_767D_43E6_8844_8852AC9211C9" key="GNOME Settings\Lock Down Settings\Dim Screen when User is Idle" valueName="Delay" /> + <decimal id="DXT_C652079A_D03D_4DE0_A43A_F5AC3F416F4D" key="GNOME Settings\Lock Down Settings\Dim Screen when User is Idle" valueName="Dim Idle Brightness" /> + </elements> + </policy> + <policy name="POL_05BFA99F_C8C1_4486_AA35_CFB72EF94CAE" class="Machine" displayName="$(string.POL_05BFA99F_C8C1_4486_AA35_CFB72EF94CAE)" presentation="$(presentation.POL_05BFA99F_C8C1_4486_AA35_CFB72EF94CAE)" key="GNOME Settings\Lock Down Settings" valueName="Compose Key"> + <parentCategory ref="CAT_7E067B4B_2FE1_4AAD_8D76_54209466A491" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + <elements> + <text id="CMB_F3CCB880_E12B_4068_8B8A_66DE04211F69" key="GNOME Settings\Lock Down Settings\Compose Key" valueName="Key Name" required="true" /> + </elements> + </policy> + <policy name="POL_93280789_E7BA_4EB8_924B_61BA1EEB0437" class="Machine" displayName="$(string.POL_93280789_E7BA_4EB8_924B_61BA1EEB0437)" explainText="$(string.POL_93280789_E7BA_4EB8_924B_61BA1EEB0437_Help)" presentation="$(presentation.POL_93280789_E7BA_4EB8_924B_61BA1EEB0437)" key="GNOME Settings\Lock Down Settings" valueName="Enabled Extensions"> + <parentCategory ref="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323" /> + <supportedOn ref="SUPPORTED_SAMBA_4_15" /> + <elements> + <list id="LST_FAD2DD29_CDD9_45BC_99CA_1C47084D09A8" key="GNOME Settings\Lock Down Settings\Enabled Extensions" /> + </elements> + </policy> + </policies> +</policyDefinitions> diff --git a/libgpo/admx/en-US/GNOME_Settings.adml b/libgpo/admx/en-US/GNOME_Settings.adml new file mode 100644 index 0000000..5cc8534 --- /dev/null +++ b/libgpo/admx/en-US/GNOME_Settings.adml @@ -0,0 +1,110 @@ +<policyDefinitionResources revision="1.0" schemaVersion="1.0"> + <displayName> + </displayName> + <description> + </description> + <resources> + <stringTable> + <string id="SUPPORTED_SAMBA_4_15">Samba 4.15</string> + <string id="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323">GNOME Settings</string> + <string id="POL_541A888A_A96D_4A21_9A8F_1021EF6D2F25">Allow Online Accounts</string> + <string id="POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC">Whitelisted Online Accounts</string> + <string id="POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC_Help">The GNOME Online Accounts (GOA) are used for integrating personal network accounts with the GNOME Desktop and applications. The user can add their online accounts, such as Google, Facebook, Flickr, ownCloud, and others using the Online Accounts application. +As a system administrator, you can: +selectively enable a few online accounts.</string> + <string id="POL_541A888A_A96D_4A21_9A8F_1021EF6D2F25_Help">The GNOME Online Accounts (GOA) are used for integrating personal network accounts with the GNOME Desktop and applications. The user can add their online accounts, such as Google, Facebook, Flickr, ownCloud, and others using the Online Accounts application. +As a system administrator, you can: +enable all online accounts; +disable all online accounts.</string> + <string id="POL_6307C5EA_766A_4D39_BBAE_B1F9A651F08C">Disable Command-Line Access</string> + <string id="POL_6307C5EA_766A_4D39_BBAE_B1F9A651F08C_Help">To disable command-line access for your desktop user, you need to make configuration changes in a number of different contexts. Bear in mind that the following steps do not remove the desktop user's permissions to access a command line, but rather remove the ways that the desktop user could access the command line. + +Set the org.gnome.desktop.lockdown.disable-command-line GSettings key, which prevents the user from accessing the terminal or specifying a command line to be executed (the Alt+F2 command prompt). + +Prevent users from accessing the Alt+F2 command prompt. + +Disable switching to virtual terminals (VTs) with the Ctrl+Alt+function key shortcuts by modifying the X server configuration. + +Remove Terminal and all other terminal applications from the Activities overview in GNOME Shell. You will also need to prevent the user from installing a new terminal application.</string> + <string id="POL_373CCAD2_D0BC_49A3_A078_10CB073AA949">Disable File Saving</string> + <string id="POL_373CCAD2_D0BC_49A3_A078_10CB073AA949_Help">You can disable the Save and Save As dialogs. This can be useful if you are giving temporary access to a user or you do not want the user to save files to the computer. + +WARNING: This feature will only work in applications which support it! Not all GNOME and third party applications have this feature enabled. These changes will have no effect on applications which do not support this feature.</string> + <string id="POL_2B71227C_C44B_4F77_B32A_FF92F312BCE2">Disable Printing</string> + <string id="POL_2B71227C_C44B_4F77_B32A_FF92F312BCE2_Help">You can disable the print dialog from being shown to users. This can be useful if you are giving temporary access to a user or you do not want the user to print to network printers. + +WARNING: This feature will only work in applications which support it! Not all GNOME and third party applications have this feature enabled. These changes will have no effect on applications which do not support this feature.</string> + <string id="POL_F5785112_422C_4426_BF69_164FED2D6075">Disable Repartitioning</string> + <string id="POL_F5785112_422C_4426_BF69_164FED2D6075_Help">polkit enables you to set permissions for individual operations. For udisks2, the utility for disk management services, the configuration is located at /usr/share/polkit-1/actions/org.freedesktop.udisks2.policy. This file contains a set of actions and default values, which can be overridden by system administrator. + +TIP: The polkit configuration in /etc overrides that shipped by packages in /usr/share.</string> + <string id="POL_DBD5262E_1014_4778_92C8_C3258C0D8EEE">Disable User Logout</string> + <string id="POL_DBD5262E_1014_4778_92C8_C3258C0D8EEE_Help">Preventing the user from logging out is useful for special kind of GNOME deployments (unmanned kiosks, public internet access terminals, and so on). + +IMPORTANT: Users can evade the logout lockdown by switching to a different user. That is the reason why it is recommended to also disable user switching when configuring the system.</string> + <string id="POL_E5211A0E_F684_4E93_B62B_4F6B8BE5BBAD">Disable User Switching</string> + <string id="POL_E5211A0E_F684_4E93_B62B_4F6B8BE5BBAD_Help">Preventing the user from logging out is useful for special kind of GNOME deployments (unmanned kiosks, public internet access terminals, and so on). + +IMPORTANT: Users can evade the logout lockdown by switching to a different user. That is the reason why it is recommended to also disable user switching when configuring the system.</string> + <string id="POL_942D0D38_C946_4805_8339_92B661BE64E7">Disallow Login Using a Fingerprint</string> + <string id="POL_942D0D38_C946_4805_8339_92B661BE64E7_Help">Users with a fingerprint scanner can use their fingerprints instead of a password to log in. Fingerprint login needs to be set up by the user before it can be used. + +Fingerprint readers are not always reliable, so you may wish to disable login using the reader for security reasons. + </string> + <string id="POL_0906773B_31CA_48E7_B173_A2A8435FA31C">Lock Down Enabled Extensions</string> + <string id="POL_0906773B_31CA_48E7_B173_A2A8435FA31C_Help">In GNOME Shell, you can prevent the user from enabling or disabling extensions by locking down the org.gnome.shell.enabled-extensions and org.gnome.shell.development-tools keys. This allows you to provide a set of extensions that the user has to use. + +Locking down the org.gnome.shell.development-tools key ensures that the user cannot use GNOME Shell’s integrated debugger and inspector tool (Looking Glass) to disable any mandatory extensions.</string> + <string id="POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B">Lock Down Specific Settings</string> + <string id="POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B_Help">By using the lockdown mode in dconf, you can prevent users from changing specific settings. Without locking down the system settings, user settings take precedence over the system settings. + +To lock down a dconf key or subpath, you will need to create a locks subdirectory in the keyfile directory. The files inside this directory contain a list of keys or subpaths to lock. Just as with the keyfiles, you may add any number of files to this directory.</string> + <string id="CAT_7E067B4B_2FE1_4AAD_8D76_54209466A491">User Settings</string> + <string id="POL_1F00D0C9_3190_42E1_870F_33A0E560E873">Dim Screen when User is Idle</string> + <string id="POL_1F00D0C9_3190_42E1_870F_33A0E560E873_Help">You can make the computer screen dim after the computer has been idle (not used) for some period of time.</string> + <string id="POL_05BFA99F_C8C1_4486_AA35_CFB72EF94CAE">Compose Key</string> + <string id="POL_93280789_E7BA_4EB8_924B_61BA1EEB0437">Enabled Extensions</string> + <string id="POL_93280789_E7BA_4EB8_924B_61BA1EEB0437_Help">The enabled-extensions key specifies the enabled extensions using the extensions’ uuid.</string> + </stringTable> + <presentationTable> + <presentation id="POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC"> + <listBox refId="LST_B2FA2836_7FE0_4C2D_9D40_073E4BBDF0F3"> + </listBox> + </presentation> + <presentation id="POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B"> + <listBox refId="LST_19198E2B_79A2_4263_B09E_CC40151A265B">Settings</listBox> + </presentation> + <presentation id="POL_1F00D0C9_3190_42E1_870F_33A0E560E873"> + <decimalTextBox refId="DXT_B46B9503_767D_43E6_8844_8852AC9211C9" defaultValue="300">Idle Delay</decimalTextBox> + <decimalTextBox refId="DXT_C652079A_D03D_4DE0_A43A_F5AC3F416F4D" defaultValue="30">Idle Brightness</decimalTextBox> + </presentation> + <presentation id="POL_05BFA99F_C8C1_4486_AA35_CFB72EF94CAE"> + <comboBox refId="CMB_F3CCB880_E12B_4068_8B8A_66DE04211F69"> + <label>Compose Key</label> + <default>Right Alt</default> + <suggestion>Right Alt</suggestion> + <suggestion>Left Win</suggestion> + <suggestion>3rd level of Left Win</suggestion> + <suggestion>Right Win</suggestion> + <suggestion>3rd level of Right Win</suggestion> + <suggestion>Menu</suggestion> + <suggestion>3rd level of Menu</suggestion> + <suggestion>Left Ctrl</suggestion> + <suggestion>3rd level of Left Ctrl</suggestion> + <suggestion>Right Ctrl</suggestion> + <suggestion>3rd level of Right Ctrl</suggestion> + <suggestion>Caps Lock</suggestion> + <suggestion>3rd level of Caps Lock</suggestion> + <suggestion>The "< >" key</suggestion> + <suggestion>3rd level of the "< >" key</suggestion> + <suggestion>Pause</suggestion> + <suggestion>PrtSc</suggestion> + <suggestion>Scroll Lock</suggestion> + </comboBox> + </presentation> + <presentation id="POL_93280789_E7BA_4EB8_924B_61BA1EEB0437"> + <listBox refId="LST_FAD2DD29_CDD9_45BC_99CA_1C47084D09A8">Enabled Extensions</listBox> + </presentation> + </presentationTable> + </resources> +</policyDefinitionResources> diff --git a/libgpo/admx/en-US/samba.adml b/libgpo/admx/en-US/samba.adml new file mode 100755 index 0000000..133ed9c --- /dev/null +++ b/libgpo/admx/en-US/samba.adml @@ -0,0 +1,4730 @@ +<?xml version="1.0" ?>
+<policyDefinitionResources revision="1.0" schemaVersion="1.0">
+ <displayName>
+ </displayName>
+ <description>
+ </description>
+ <resources>
+ <stringTable>
+ <string id="CAT_3338C1DD_8A00_4273_8547_158D8B8C19E9">Samba</string>
+ <string id="CAT_7D8D7DC8_5A9D_4BE1_8227_F09CDD5AFFC6">Unix Settings</string>
+ <string id="CAT_2B6D622C_5721_4C23_A2D6_5C70D6E059BA">Scripts</string>
+ <string id="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061">Daily</string>
+ <string id="POL_825D441F_905E_4C7E_9E4B_03013697C6C1">Hourly</string>
+ <string id="POL_D298F3BD_44D9_426D_AF11_3163D31582F6">Monthly</string>
+ <string id="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674">Weekly</string>
+ <string id="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3">Sudo Rights</string>
+ <string id="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061_Help">This policy setting allows you to execute commands, either local or on remote storage, daily.</string>
+ <string id="POL_825D441F_905E_4C7E_9E4B_03013697C6C1_Help">This policy setting allows you to execute commands, either local or on remote storage, hourly.</string>
+ <string id="POL_D298F3BD_44D9_426D_AF11_3163D31582F6_Help">This policy setting allows you to execute commands, either local or on remote storage, monthly.</string>
+ <string id="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674_Help">This policy setting allows you to execute commands, either local or on remote storage, weekly.</string>
+ <string id="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3_Help">This policy configures the sudoers file with the lines specified.</string>
+ <string id="CAT_10827749_64ED_5052_87F7_E81AD421856A">smb.conf</string>
+ <string id="POL_33AAE399_07A8_5CC8_882A_393E4B96B259">additional dns hostnames</string>
+ <string id="POL_33AAE399_07A8_5CC8_882A_393E4B96B259_Help">A list of additional DNS names by which this host can be identified
+
+Example: host2.example.com host3.other.com </string>
+ <string id="POL_3CD2A970_826E_518E_B5F0_5E6725FF354D">bind interfaces only</string>
+ <string id="POL_3CD2A970_826E_518E_B5F0_5E6725FF354D_Help">This global parameter allows the Samba admin
+ to limit what interfaces on a machine will serve SMB requests. It
+ affects file service smbd
+ 8 and name service nmbd
+ 8 in a slightly different ways.
+ For name service it causes nmbd to bind to ports 137 and 138 on the interfaces listed in the parameter. nmbd also binds to the "all addresses" interface (0.0.0.0) on ports 137 and 138 for the purposes of reading broadcast messages. If this option is not set then nmbd will service name requests on all of these sockets. If is set then nmbd will check the source address of any packets coming in on the broadcast sockets and discard any that don't match the broadcast addresses of the interfaces in the parameter list. As unicast packets are received on the other sockets it allows nmbd to refuse to serve names to machines that send packets that arrive through any interfaces not listed in the list. IP Source address spoofing does defeat this simple check, however, so it must not be used seriously as a security feature for nmbd.
+ For file service it causes smbd 8 to bind only to the interface list given in the parameter. This restricts the networks that smbd will serve, to packets coming in on those interfaces. Note that you should not use this parameter for machines that are serving PPP or other intermittent or non-broadcast network interfaces as it will not cope with non-permanent interfaces.
+ If is set and the network address 127.0.0.1 is not added to the parameter list smbpasswd 8 may not work as expected due to the reasons covered below.
+ To change a users SMB password, the smbpasswd by default connects to the localhost - 127.0.0.1 address as an SMB client to issue the password change request. If is set then unless the network address 127.0.0.1 is added to the parameter list then smbpasswd will fail to connect in it's default mode. smbpasswd can be forced to use the primary IP interface of the local host by using its smbpasswd 8 -r remote machine parameter, with remote machine set to the IP name of the primary interface of the local host.</string>
+ <string id="POL_109FA3A4_0F92_5052_A7D9_D4BBCA75F765">config backend</string>
+ <string id="POL_109FA3A4_0F92_5052_A7D9_D4BBCA75F765_Help">This controls the backend for storing the configuration. Possible values are file (the default) and registry. When registry is encountered while loading smb.conf, the configuration read so far is dropped and the global options are read from registry instead. So this triggers a registry only configuration. Share definitions are not read immediately but instead registry shares is set to yes. Note: This option can not be set inside the registry configuration itself.
+
+Example: registry</string>
+ <string id="POL_08734B25_7265_5D0B_B857_B2E831B624F1">dos charset</string>
+ <string id="POL_08734B25_7265_5D0B_B857_B2E831B624F1_Help">DOS SMB clients assume the server has the same charset as they do. This option specifies which charset Samba should talk to DOS clients.
+ The default depends on which charsets you have installed. Samba tries to use charset 850 but falls back to ASCII in case it is not available. Run testparm 1 to check the default on your system.</string>
+ <string id="POL_4CCDFFB7_07DF_58F9_904E_13A024A3F54A">enable core files</string>
+ <string id="POL_4CCDFFB7_07DF_58F9_904E_13A024A3F54A_Help">This parameter specifies whether core dumps should be written on internal exits. Normally set to yes. You should never need to change this.
+
+Example: no</string>
+ <string id="POL_5B751E57_31A9_5EC2_A3CD_A8511D74FCFB">mdns name</string>
+ <string id="POL_5B751E57_31A9_5EC2_A3CD_A8511D74FCFB_Help">This parameter controls the name that multicast DNS support advertises as its' hostname.
+ The default is to use the NETBIOS name which is typically the hostname in all capital letters.
+ A setting of mdns will defer the hostname configuration to the MDNS library that is used.</string>
+ <string id="POL_461A8AAF_F51E_5FF5_9433_A8D25BBCF783">multicast dns register</string>
+ <string id="POL_461A8AAF_F51E_5FF5_9433_A8D25BBCF783_Help">If compiled with proper support for it, Samba will
+ announce itself with multicast DNS services like for example
+ provided by the Avahi daemon.
+ This parameter allows disabling Samba to register itself.</string>
+ <string id="POL_04F98D09_4223_5390_B66F_A6DA05F97FCC">netbios aliases</string>
+ <string id="POL_04F98D09_4223_5390_B66F_A6DA05F97FCC_Help">This is a list of NetBIOS names that nmbd will
+ advertise as additional names by which the Samba server is known. This allows one machine to appear in browse lists under multiple names. If a machine is acting as a browse server
+ or logon server none of these names will be advertised as either browse server or logon servers, only the primary name of the machine will be advertised with these capabilities.
+
+Example: TEST TEST1 TEST2</string>
+ <string id="POL_90CE7832_31B7_51D8_9EF2_92FEF396F49B">netbios name</string>
+ <string id="POL_90CE7832_31B7_51D8_9EF2_92FEF396F49B_Help">This sets the NetBIOS name by which a Samba server is known. By default it is the same as the first component of the host's DNS name. If a machine is a browse server or logon server this name (or the first component of the hosts DNS name) will be the name that these services are advertised under.
+ Note that the maximum length for a NetBIOS name is 15 characters.
+ There is a bug in Samba that breaks operation of browsing and access to shares if the netbios name is set to the literal name PIPE. To avoid this problem, do not name your Samba server PIPE.
+
+Example: MYNAME</string>
+ <string id="POL_3B93FDE1_6461_572C_AD2E_6AEEAE4EA949">netbios scope</string>
+ <string id="POL_3B93FDE1_6461_572C_AD2E_6AEEAE4EA949_Help">This sets the NetBIOS scope that Samba will operate under. This should not be set unless every machine on your LAN also sets this value.</string>
+ <string id="POL_E633B0BE_9CF3_5D79_A9F1_CB782C82A19C">prefork backoff increment</string>
+ <string id="POL_E633B0BE_9CF3_5D79_A9F1_CB782C82A19C_Help">This option specifies the number of seconds added to the delay before a prefork master or worker process is restarted. The restart is initially zero, the prefork backoff increment is added to the delay on each restart up to the value specified by "prefork maximum backoff".
+ Additionally the the backoff for an individual service by using "prefork backoff increment: service name" i.e. "prefork backoff increment:ldap = 2" to set the backoff increment to 2.
+ If the backoff increment is 2 and the maximum backoff is 5. There will be a zero second delay for the first restart. A two second delay for the second restart. A four second delay for the third and any subsequent restarts</string>
+ <string id="POL_B4E848BD_E606_552C_8C9F_3F8CC1AEF191">prefork children</string>
+ <string id="POL_B4E848BD_E606_552C_8C9F_3F8CC1AEF191_Help">This option controls the number of worker processes that are started for each service when prefork process model is enabled (see samba 8 -M) The prefork children are only started for those services that support prefork (currently ldap, kdc and netlogon). For processes that don't support preforking all requests are handled by a single process for that service.
+ This should be set to a small multiple of the number of CPU's available on the server
+ Additionally the number of prefork children can be specified for an individual service by using "prefork children: service name" i.e. "prefork children:ldap = 8" to set the number of ldap worker processes.</string>
+ <string id="POL_D721EFAF_A53D_57B7_9639_3859CF9CE31E">prefork maximum backoff</string>
+ <string id="POL_D721EFAF_A53D_57B7_9639_3859CF9CE31E_Help">This option controls the maximum delay before a failed pre-fork process is restarted.</string>
+ <string id="POL_1630255E_61BA_5686_B3E0_995F8C4DAA5E">realm</string>
+ <string id="POL_1630255E_61BA_5686_B3E0_995F8C4DAA5E_Help">This option specifies the kerberos realm to use. The realm is used as the ADS equivalent of the NT4 domain. It is usually set to the DNS name of the kerberos server.
+
+Example: mysambabox.mycompany.com</string>
+ <string id="POL_E1D45258_0E70_5AF8_AE28_DAB6B318BB8A">server services</string>
+ <string id="POL_E1D45258_0E70_5AF8_AE28_DAB6B318BB8A_Help">This option contains the services that the Samba daemon will run.
+ An entry in the smb.conf file can either override the previous value completely or entries can be removed from or added to it by prefixing them with + or -.
+
+Example: -s3fs, +smb</string>
+ <string id="POL_351CFFDA_9DC3_54FB_BE9A_E434F0DB9955">server string</string>
+ <string id="POL_351CFFDA_9DC3_54FB_BE9A_E434F0DB9955_Help">This controls what string will show up in the printer comment box in print
+ manager and next to the IPC connection in net view. It
+ can be any string that you wish to show to your users. It also sets what will appear in browse lists next to the machine name.
+ A %v will be replaced with the Samba version number.
+ A %h will be replaced with the hostname.
+
+Example: University of GNUs Samba Server</string>
+ <string id="POL_32A7428D_00FC_5203_9943_2BDCDC3D9E0D">share backend</string>
+ <string id="POL_32A7428D_00FC_5203_9943_2BDCDC3D9E0D_Help">This option specifies the backend that will be used to access the configuration of file shares.
+ Traditionally, Samba file shares have been configured in the smb.conf file and this is still the default.
+ At the moment there are no other supported backends.</string>
+ <string id="POL_ABDCEE90_90DE_55C2_A2DC_1C7D017F4B2B">unix charset</string>
+ <string id="POL_ABDCEE90_90DE_55C2_A2DC_1C7D017F4B2B_Help">Specifies the charset the unix machine Samba runs on uses. Samba needs to know this in order to be able to convert text to the charsets other SMB clients use.
+ This is also the charset Samba will use when specifying arguments to scripts that it invokes.
+
+Example: ASCII</string>
+ <string id="POL_D1FAAF87_1E1E_596F_A915_BE72D67A5DC5">workgroup</string>
+ <string id="POL_D1FAAF87_1E1E_596F_A915_BE72D67A5DC5_Help">This controls what workgroup your server will appear to be in when queried by clients. Note that this parameter also controls the Domain name used with the domain setting.
+
+Example: MYGROUP</string>
+ <string id="POL_163183B9_195A_5290_927E_08FBB6C76AA0">interfaces</string>
+ <string id="POL_163183B9_195A_5290_927E_08FBB6C76AA0_Help">This option allows you to override the default network interfaces list that Samba will use for browsing, name registration and other NetBIOS over TCP/IP (NBT) traffic. By default Samba will query the kernel for the list of all active interfaces and use any interfaces except 127.0.0.1 that are broadcast capable.
+ The option takes a list of interface strings. Each string can be in any of the following forms:
+ a network interface name (such as eth0). This may include shell-like wildcards so eth* will match any interface starting with the substring "eth" an IP address. In this case the netmask is determined from the list of interfaces obtained from the kernel an IP/mask pair. a broadcast/mask pair.
+ The "mask" parameters can either be a bit length (such as 24 for a C class network) or a full netmask in dotted decimal form.
+ The "IP" parameters above can either be a full dotted decimal IP address or a hostname which will be looked up via the OS's normal hostname resolution mechanisms.
+ By default Samba enables all active interfaces that are broadcast capable except the loopback adaptor (IP address 127.0.0.1).
+ In order to support SMB3 multi-channel configurations, smbd understands some extra parameters which can be appended after the actual interface with this extended syntax (note that the quoting is important in order to handle the ; and , characters):
+ "interface[;key1=value1[,key2=value2[...]]]"
+ Known keys are speed, capability, and if_index. Speed is specified in bits per second. Known capabilities are RSS and RDMA. The if_index should be used with care: the values must not coincide with indexes used by the kernel. Note that these options are mainly intended for testing and development rather than for production use. At least on Linux systems, these values should be auto-detected, but the settings can serve as last a resort when autodetection is not working or is not available. The specified values overwrite the auto-detected values.
+ The first two example below configures three network interfaces corresponding to the eth0 device and IP addresses 192.168.2.10 and 192.168.3.10. The netmasks of the latter two interfaces would be set to 255.255.255.0.
+ The other examples show how per interface extra parameters can be specified. Notice the possible usage of "," and ";", which makes the double quoting necessary.
+
+Example: eth0 192.168.2.10/24 192.168.3.10/255.255.255.0
+
+Example: eth0, 192.168.2.10/24; 192.168.3.10/255.255.255.0
+
+Example: "eth0;if_index=65,speed=1000000000,capability=RSS"
+
+Example: "lo;speed=1000000000" "eth0;capability=RSS"
+
+Example: "lo;speed=1000000000" , "eth0;capability=RSS"
+
+Example: "eth0;capability=RSS" , "rdma1;capability=RDMA" ; "rdma2;capability=RSS,capability=RDMA"</string>
+ <string id="POL_25731B61_FC84_5A83_93AE_296F7D6311C4">browse list</string>
+ <string id="POL_25731B61_FC84_5A83_93AE_296F7D6311C4_Help">This controls whether smbd 8 will serve a browse list to a client doing a NetServerEnum call. Normally set to yes. You should never need to change this.</string>
+ <string id="POL_3E9E3188_6F1A_54F8_8E13_265E2AD1BE71">domain master</string>
+ <string id="POL_3E9E3188_6F1A_54F8_8E13_265E2AD1BE71_Help">Tell smbd 8 to enable WAN-wide browse list collation. Setting this option causes nmbd to claim a special domain specific NetBIOS name that identifies it as a domain master browser for its given . Local master browsers in the same on broadcast-isolated subnets will give this nmbd their local browse lists, and then ask smbd 8 for a complete copy of the browse list for the whole wide area network. Browser clients will then contact their local master browser, and will receive the domain-wide browse list, instead of just the list for their broadcast-isolated subnet.
+ Note that Windows NT Primary Domain Controllers expect to be able to claim this specific special NetBIOS name that identifies them as domain master browsers for that by default (i.e. there is no way to prevent a Windows NT PDC from attempting to do this). This means that if this parameter is set and nmbd claims the special name for a before a Windows NT PDC is able to do so then cross subnet browsing will behave strangely and may fail. If yes, then the default behavior is to enable the parameter. If is not enabled (the default setting), then neither will be enabled by default.
+ When Yes the default setting for this parameter is Yes, with the result that Samba will be a PDC. If No, Samba will function as a BDC. In general, this parameter should be set to 'No' only on a BDC.</string>
+ <string id="POL_E14519D2_9B84_5A1B_B4A4_89F6151BFCE2">enhanced browsing</string>
+ <string id="POL_E14519D2_9B84_5A1B_B4A4_89F6151BFCE2_Help">This option enables a couple of enhancements to cross-subnet browse propagation that have been added in Samba but which are not standard in Microsoft implementations.
+ The first enhancement to browse propagation consists of a regular wildcard query to a Samba WINS server for all Domain Master Browsers, followed by a browse synchronization with each of the returned DMBs. The second enhancement consists of a regular randomised browse synchronization with all currently known DMBs.
+ You may wish to disable this option if you have a problem with empty workgroups not disappearing from browse lists. Due to the restrictions of the browse protocols, these enhancements can cause a empty workgroup to stay around forever which can be annoying.
+ In general you should leave this option enabled as it makes cross-subnet browse propagation much more reliable.</string>
+ <string id="POL_7E8FBFDB_CBDD_5CE7_B101_07AB8AA71209">lm announce</string>
+ <string id="POL_7E8FBFDB_CBDD_5CE7_B101_07AB8AA71209_Help">This parameter determines if nmbd 8 will produce Lanman announce broadcasts that are needed by OS/2 clients in order for them to see the Samba server in their browse list. This parameter can have three values, yes, no, or auto. The default is auto. If set to no Samba will never produce these broadcasts. If set to yes Samba will produce Lanman announce broadcasts at a frequency set by the parameter . If set to auto Samba will not send Lanman announce broadcasts by default but will listen for them. If it hears such a broadcast on the wire it will then start sending them at a frequency set by the parameter .
+
+Example: yes</string>
+ <string id="POL_6D665B21_1F08_5183_B9CD_CFD712C1D4AB">lm interval</string>
+ <string id="POL_6D665B21_1F08_5183_B9CD_CFD712C1D4AB_Help">If Samba is set to produce Lanman announce broadcasts needed by OS/2 clients (see the parameter) then this parameter defines the frequency in seconds with which they will be made. If this is set to zero then no Lanman announcements will be made despite the setting of the parameter.
+
+Example: 120</string>
+ <string id="POL_40EA4C73_20A7_580A_A830_0EDA7FC72B7D">local master</string>
+ <string id="POL_40EA4C73_20A7_580A_A830_0EDA7FC72B7D_Help">This option allows nmbd 8 to try and become a local master browser on a subnet. If set to no then nmbd will not attempt to become a local master browser on a subnet and will also lose in all browsing elections. By default this value is set to yes. Setting this value to yes doesn't mean that Samba will become the local master browser on a subnet, just that nmbd will participate in elections for local master browser.
+ Setting this value to no will cause nmbd never to become a local
+master browser.</string>
+ <string id="POL_95C311BC_3067_5654_A978_70326D928F48">os level</string>
+ <string id="POL_95C311BC_3067_5654_A978_70326D928F48_Help">This integer value controls what level Samba advertises itself as for browse elections. The value of this parameter determines whether nmbd 8 has a chance of becoming a local master browser for the in the local broadcast area.
+ Note: By default, Samba will win a local master browsing election over all Microsoft operating systems except a Windows NT 4.0/2000 Domain Controller. This means that a misconfigured Samba host can effectively isolate a subnet for browsing purposes. This parameter is largely auto-configured in the Samba-3 release series and it is seldom necessary to manually override the default setting. Please refer to the chapter on Network Browsing in the Samba-3 HOWTO document for further information regarding the use of this parameter. Note: The maximum value for this parameter is 255. If you use higher values, counting will start at 0!
+
+Example: 65</string>
+ <string id="POL_516D10CE_AECD_50DE_B4F5_D9DBF85FA582">preferred master</string>
+ <string id="POL_516D10CE_AECD_50DE_B4F5_D9DBF85FA582_Help">This boolean parameter controls if nmbd 8 is a preferred master browser for its workgroup.
+ If this is set to yes, on startup, nmbd will force an election, and it will have a slight advantage in winning the election. It is recommended that this parameter is used in conjunction with yes, so that nmbd can guarantee becoming a domain master.
+ Use this option with caution, because if there are several hosts (whether Samba servers, Windows 95 or NT) that are preferred master browsers on the same subnet, they will each periodically and continuously attempt to become the local master browser. This will result in unnecessary broadcast traffic and reduced browsing capabilities.</string>
+ <string id="POL_E468B4EF_D43C_572D_9A57_390D5D22F485">allow dns updates</string>
+ <string id="POL_E468B4EF_D43C_572D_9A57_390D5D22F485_Help">This option determines what kind of updates to the DNS are allowed.
+ DNS updates can either be disallowed completely by setting it to disabled, enabled over secure connections only by setting it to secure only or allowed in all cases by setting it to nonsecure.
+
+Example: disabled</string>
+ <string id="POL_7E805DF0_F3AD_55F6_AC1E_B13987AE73FC">dns forwarder</string>
+ <string id="POL_7E805DF0_F3AD_55F6_AC1E_B13987AE73FC_Help">This option specifies the list of DNS servers that DNS requests will be forwarded to if they can not be handled by Samba itself.
+ The DNS forwarder is only used if the internal DNS server in Samba is used.
+
+Example: 192.168.0.1 192.168.0.2</string>
+ <string id="POL_DE5786B0_C694_53AA_85F2_F9B4EB2F9923">dns update command</string>
+ <string id="POL_DE5786B0_C694_53AA_85F2_F9B4EB2F9923_Help">This option sets the command that is called when there are DNS updates. It should update the local machines DNS names using TSIG-GSS.
+
+Example: /usr/local/sbin/dnsupdate</string>
+ <string id="POL_C5C16F87_0017_5CC1_810B_398855115BC9">dns zone scavenging</string>
+ <string id="POL_C5C16F87_0017_5CC1_810B_398855115BC9_Help">When enabled (the default is disabled) unused dynamic dns records are periodically removed. This option should not be enabled for installations created with versions of samba before 4.9. Doing this will result in the loss of static DNS entries. This is due to a bug in previous versions of samba (BUG 12451) which marked dynamic DNS records as static and static records as dynamic. If one record for a DNS name is static (non-aging) then no other record for that DNS name will be scavenged.</string>
+ <string id="POL_23A4E426_BE59_5616_849E_94C825DDFC5B">gpo update command</string>
+ <string id="POL_23A4E426_BE59_5616_849E_94C825DDFC5B_Help">This option sets the command that is called to apply GPO policies.
+ The samba-gpupdate script applies System Access and Kerberos Policies to the KDC. System Access policies set minPwdAge, maxPwdAge, minPwdLength, and pwdProperties in the samdb. Kerberos Policies set kdc:service ticket lifetime, kdc:user ticket lifetime, and kdc:renewal lifetime in smb.conf.
+
+Example: /usr/local/sbin/gpoupdate</string>
+ <string id="POL_D32F3D0B_74B1_5C8F_81B4_CC9574EAB9B7">machine password timeout</string>
+ <string id="POL_D32F3D0B_74B1_5C8F_81B4_CC9574EAB9B7_Help">If a Samba server is a member of a Windows NT or Active Directory Domain (see the domain and ads parameters), then periodically a running winbindd process will try and change the MACHINE ACCOUNT PASSWORD stored in the TDB called secrets.tdb . This parameter specifies how often this password will be changed, in seconds. The default is one week (expressed in seconds), the same as a Windows NT Domain member server.
+ See also smbpasswd 8, and the domain and ads parameters.</string>
+ <string id="POL_07339CF8_68F5_5B5F_9207_93D2E4526C44">nsupdate command</string>
+ <string id="POL_07339CF8_68F5_5B5F_9207_93D2E4526C44_Help">This option sets the path to the nsupdate command which is used for GSS-TSIG dynamic DNS updates.</string>
+ <string id="POL_D0F6F805_6160_55CF_9B8B_F5AD874B1E2C">spn update command</string>
+ <string id="POL_D0F6F805_6160_55CF_9B8B_F5AD874B1E2C_Help">This option sets the command that for updating servicePrincipalName names from spn_update_list.
+
+Example: /usr/local/sbin/spnupdate</string>
+ <string id="POL_6FFBB02C_6B3E_5D0E_9193_15F9B38E487D">mangle prefix</string>
+ <string id="POL_6FFBB02C_6B3E_5D0E_9193_15F9B38E487D_Help">controls the number of prefix characters from the original name used when generating the mangled names. A larger value will give a weaker hash and therefore more name collisions. The minimum value is 1 and the maximum value is 6.
+ mangle prefix is effective only when mangling method is hash2.
+
+Example: 4</string>
+ <string id="POL_BE8F8AE7_99AC_582E_8105_00326D511339">mangling method</string>
+ <string id="POL_BE8F8AE7_99AC_582E_8105_00326D511339_Help">controls the algorithm used for the generating the mangled names. Can take two different values, "hash" and "hash2". "hash" is the algorithm that was used in Samba for many years and was the default in Samba 2.2.x "hash2" is
+ now the default and is newer and considered a better algorithm (generates less collisions) in
+ the names. Many Win32 applications store the mangled names and so changing to algorithms must not be done lightly as these applications
+ may break unless reinstalled.
+
+Example: hash</string>
+ <string id="POL_62095050_5FA9_5E4F_8792_595D30BEF047">max stat cache size</string>
+ <string id="POL_62095050_5FA9_5E4F_8792_595D30BEF047_Help">This parameter limits the size in memory of any stat cache being used to speed up case insensitive name mappings. It represents the number of kilobyte (1024) units the stat cache can use. A value of zero, meaning unlimited, is not advisable due to increased memory usage. You should not need to change this parameter.
+
+Example: 100</string>
+ <string id="POL_63F6A053_E2E9_57D0_A0F8_003024AD6470">stat cache</string>
+ <string id="POL_63F6A053_E2E9_57D0_A0F8_003024AD6470_Help">This parameter determines if smbd 8 will use a cache in order to speed up case insensitive name mappings. You should never need to change this parameter.</string>
+ <string id="POL_FBDCB316_EDD2_526C_AE9F_32F50A97A72F">client ldap sasl wrapping</string>
+ <string id="POL_FBDCB316_EDD2_526C_AE9F_32F50A97A72F_Help">The defines whether ldap traffic will be signed or signed and encrypted (sealed). Possible values are plain, sign and seal.
+ The values sign and seal are only available if Samba has been compiled against a modern OpenLDAP version (2.3.x or higher). This option is needed in the case of Domain Controllers enforcing the usage of signed LDAP connections (e.g. Windows 2000 SP3 or higher). LDAP sign and seal can be controlled with the registry key "HKLM\System\CurrentControlSet\Services\ NTDS\Parameters\LDAPServerIntegrity" on the Windows server side.
+ Depending on the used KRB5 library (MIT and older Heimdal versions) it is possible that the message "integrity only" is not supported. In this case, sign is just an alias for seal.
+ The default value is sign. That implies synchronizing the time with the KDC in the case of using Kerberos.</string>
+ <string id="POL_712CFB73_7887_55DD_975B_48DEDBDB9441">ldap admin dn</string>
+ <string id="POL_712CFB73_7887_55DD_975B_48DEDBDB9441_Help">The defines the Distinguished Name (DN) name used by Samba to contact the ldap server when retrieving user account information. The is used in conjunction with the admin dn password stored in the private/secrets.tdb file. See the smbpasswd 8 man page for more information on how to accomplish this.
+ The requires a fully specified DN. The is not appended to the .</string>
+ <string id="POL_CEAB52CA_95EB_5DE5_863B_2399BEF5C727">ldap connection timeout</string>
+ <string id="POL_CEAB52CA_95EB_5DE5_863B_2399BEF5C727_Help">This parameter tells the LDAP library calls which timeout in seconds they should honor during initial connection establishments to LDAP servers. It is very useful in failover scenarios in particular. If one or more LDAP servers are not reachable at all, we do not have to wait until TCP timeouts are over. This feature must be supported by your LDAP library.
+ This parameter is different from which affects operations on LDAP servers using an existing connection and not establishing an initial connection.</string>
+ <string id="POL_4750A945_176C_5FFF_AB50_DF2BE31C3FBB">ldap delete dn</string>
+ <string id="POL_4750A945_176C_5FFF_AB50_DF2BE31C3FBB_Help">This parameter specifies whether a delete operation in the ldapsam deletes the complete entry or only the attributes specific to Samba.</string>
+ <string id="POL_27BBF4DB_E2AE_58D3_8018_E83C4B185A3C">ldap deref</string>
+ <string id="POL_27BBF4DB_E2AE_58D3_8018_E83C4B185A3C_Help">This option controls whether Samba should tell the LDAP library to use a certain alias dereferencing method. The default is auto, which means that the default setting of the ldap client library will be kept. Other possible values are never, finding, searching and always. Grab your LDAP manual for more information.
+
+Example: searching</string>
+ <string id="POL_B383A7ED_F6A4_5BD3_B85E_E6B6527D8D79">ldap follow referral</string>
+ <string id="POL_B383A7ED_F6A4_5BD3_B85E_E6B6527D8D79_Help">This option controls whether to follow LDAP referrals or not when searching for entries in the LDAP database. Possible values are on to enable following referrals, off to disable this, and auto, to use the libldap default settings. libldap's choice of following referrals or not is set in /etc/openldap/ldap.conf with the REFERRALS parameter as documented in ldap.conf(5).
+
+Example: off</string>
+ <string id="POL_E31CD0A8_5A4A_5657_8ACA_123A200C6E06">ldap group suffix</string>
+ <string id="POL_E31CD0A8_5A4A_5657_8ACA_123A200C6E06_Help">This parameter specifies the suffix that is used for groups when these are added to the LDAP directory. If this parameter is unset, the value of will be used instead. The suffix string is prepended to the
+ string so use a partial DN.
+
+Example: ou=Groups</string>
+ <string id="POL_FC4495FC_4C6E_50C8_9B37_08D9955A883B">ldap idmap suffix</string>
+ <string id="POL_FC4495FC_4C6E_50C8_9B37_08D9955A883B_Help">This parameters specifies the suffix that is used when storing idmap mappings. If this parameter is unset, the value of will be used instead. The suffix string is prepended to the string so use a partial DN.
+
+Example: ou=Idmap</string>
+ <string id="POL_2ED1402F_4CF6_5CED_BE40_9B112E1238DC">ldap machine suffix</string>
+ <string id="POL_2ED1402F_4CF6_5CED_BE40_9B112E1238DC_Help">It specifies where machines should be added to the ldap tree. If this parameter is unset, the value of will be used instead. The suffix string is prepended to the string so use a partial DN.
+
+Example: ou=Computers</string>
+ <string id="POL_12C5B04D_D734_576A_99F1_7475BC9E90D7">ldap page size</string>
+ <string id="POL_12C5B04D_D734_576A_99F1_7475BC9E90D7_Help">This parameter specifies the number of entries per page.
+ If the LDAP server supports paged results, clients can request subsets of search results (pages) instead of the entire list. This parameter specifies the size of these pages.
+
+Example: 512</string>
+ <string id="POL_DB427B53_CF02_5410_AE37_5BD4E8B968CE">ldap passwd sync</string>
+ <string id="POL_DB427B53_CF02_5410_AE37_5BD4E8B968CE_Help">This option is used to define whether or not Samba should sync the LDAP password with the NT and LM hashes for normal accounts (NOT for workstation, server or domain trusts) on a password change via SAMBA.
+ The can be set to one of three values: Yes = Try to update the LDAP, NT and LM passwords and update the pwdLastSet time. No = Update NT and LM passwords and update the pwdLastSet time.
+ Only = Only update the LDAP password and let the LDAP server do the rest.</string>
+ <string id="POL_0C51A40C_E06E_5A0A_B160_5EB21289B17D">ldap replication sleep</string>
+ <string id="POL_0C51A40C_E06E_5A0A_B160_5EB21289B17D_Help">When Samba is asked to write to a read-only LDAP replica, we are redirected to talk to the read-write master server. This server then replicates our changes back to the 'local' server, however the replication might take some seconds, especially over slow links. Certain client activities, particularly domain joins, can become confused by the 'success' that does not immediately change the LDAP back-end's data.
+ This option simply causes Samba to wait a short time, to allow the LDAP server to catch up. If you have a particularly high-latency network, you may wish to time the LDAP replication with a network sniffer, and increase this value accordingly. Be aware that no checking is performed that the data has actually replicated.
+ The value is specified in milliseconds, the maximum value is 5000 (5 seconds).</string>
+ <string id="POL_763BAFE2_3FE0_5C25_B3DC_34AE48F2F569">ldapsam:editposix</string>
+ <string id="POL_763BAFE2_3FE0_5C25_B3DC_34AE48F2F569_Help">Editposix is an option that leverages ldapsam:trusted to make it simpler to manage a domain controller eliminating the need to set up custom scripts to add and manage the posix users and groups. This option will instead directly manipulate the ldap tree to create, remove and modify user and group entries. This option also requires a running winbindd as it is used to allocate new uids/gids on user/group creation. The allocation range must be therefore configured.
+ To use this option, a basic ldap tree must be provided and the ldap suffix parameters must be properly configured. On virgin servers the default users and groups (Administrator, Guest, Domain Users, Domain Admins, Domain Guests) can be precreated with the command net sam provision. To run this command the ldap server must be running, Winbindd must be running and the smb.conf ldap options must be properly configured.
+ The typical ldap setup used with the yes option is usually sufficient to use yes as well.
+ An example configuration can be the following:
+ encrypt passwords = true passdb backend = ldapsam
+ ldapsam:trusted=yes ldapsam:editposix=yes
+ ldap admin dn = cn=admin,dc=samba,dc=org ldap delete dn = yes ldap group suffix = ou=groups ldap idmap suffix = ou=idmap ldap machine suffix = ou=computers ldap user suffix = ou=users ldap suffix = dc=samba,dc=org
+ idmap backend = ldap:"ldap://localhost"
+ idmap uid = 5000-50000 idmap gid = 5000-50000
+ This configuration assumes a directory layout like described in the following ldif:
+ dn: dc=samba,dc=org objectClass: top objectClass: dcObject objectClass: organization o: samba.org dc: samba
+ dn: cn=admin,dc=samba,dc=org objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword: secret
+ dn: ou=users,dc=samba,dc=org objectClass: top objectClass: organizationalUnit ou: users
+ dn: ou=groups,dc=samba,dc=org objectClass: top objectClass: organizationalUnit ou: groups
+ dn: ou=idmap,dc=samba,dc=org objectClass: top objectClass: organizationalUnit ou: idmap
+ dn: ou=computers,dc=samba,dc=org objectClass: top objectClass: organizationalUnit ou: computers</string>
+ <string id="POL_F7979912_0010_5656_BC3A_08876A56418C">ldapsam:trusted</string>
+ <string id="POL_F7979912_0010_5656_BC3A_08876A56418C_Help">By default, Samba as a Domain Controller with an LDAP backend needs to use the Unix-style NSS subsystem to access user and group information. Due to the way Unix stores user information in /etc/passwd and /etc/group this inevitably leads to inefficiencies. One important question a user needs to know is the list of groups he is member of. The plain UNIX model involves a complete enumeration of the file /etc/group and its NSS counterparts in LDAP. UNIX has optimized functions to enumerate group membership. Sadly, other functions that are used to deal with user and group attributes lack such optimization.
+ To make Samba scale well in large environments, the yes option assumes that the complete user and group database that is relevant to Samba is stored in LDAP with the standard posixAccount/posixGroup attributes. It further assumes that the Samba auxiliary object classes are stored together with the POSIX data in the same LDAP object. If these assumptions are met, yes can be activated and Samba can bypass the NSS system to query user group memberships. Optimized LDAP queries can greatly speed up domain logon and administration tasks. Depending on the size of the LDAP database a factor of 100 or more for common queries is easily achieved.</string>
+ <string id="POL_04D79AF3_042D_5ABC_BE8F_4C6628E0F703">ldap server require strong auth</string>
+ <string id="POL_04D79AF3_042D_5ABC_BE8F_4C6628E0F703_Help">The defines whether the ldap server requires ldap traffic to be signed or signed and encrypted (sealed). Possible values are no, allow_sasl_over_tls and yes.
+ A value of no allows simple and sasl binds over all transports.
+ A value of allow_sasl_over_tls allows simple and sasl binds (without sign or seal) over TLS encrypted connections. Unencrypted connections only allow sasl binds with sign or seal.
+ A value of yes allows only simple binds over TLS encrypted connections. Unencrypted connections only allow sasl binds with sign or seal.</string>
+ <string id="POL_5B8B9520_4858_5C2F_AA85_F972FF86784A">ldap ssl</string>
+ <string id="POL_5B8B9520_4858_5C2F_AA85_F972FF86784A_Help">This option is used to define whether or not Samba should use SSL when connecting to the ldap server This is NOT related to Samba's previous SSL support which was enabled by specifying the --with-ssl option to the configure script.
+ LDAP connections should be secured where possible. This may be done setting either this parameter to start tls or by specifying ldaps:// in
+ the URL argument of .
+ The can be set to one of two values: Off = Never use SSL when querying the directory.
+ start tls = Use the LDAPv3 StartTLS extended operation (RFC2830) for communicating with the directory server. Please note that this parameter does only affect rpc methods. To enable the LDAPv3 StartTLS extended operation (RFC2830) for ads, set start tls and yes. See smb.conf5 for more information on .</string>
+ <string id="POL_42494B88_7254_5F5F_B738_D5D10BCFBC6C">ldap ssl ads</string>
+ <string id="POL_42494B88_7254_5F5F_B738_D5D10BCFBC6C_Help">This option is used to define whether or not Samba should use SSL when connecting to the ldap server using ads methods. Rpc methods are not affected by this parameter. Please note, that this parameter won't have any effect if is set to no.
+ See smb.conf5 for more information on .</string>
+ <string id="POL_9B071174_FBD3_5CA8_82AA_3BD1EB7BCF45">ldap suffix</string>
+ <string id="POL_9B071174_FBD3_5CA8_82AA_3BD1EB7BCF45_Help">Specifies the base for all ldap suffixes and for storing the sambaDomain object.
+ The ldap suffix will be appended to the values specified for the , , , and the . Each of these should be given only a DN relative to the .
+
+Example: dc=samba,dc=org</string>
+ <string id="POL_40F4D046_B9E1_53B0_9DC9_1AE4DE9B1976">ldap timeout</string>
+ <string id="POL_40F4D046_B9E1_53B0_9DC9_1AE4DE9B1976_Help">This parameter defines the number of seconds that Samba should use as timeout for LDAP operations.</string>
+ <string id="POL_26984E46_7C64_57A4_B4BF_C2C2B13C330E">ldap user suffix</string>
+ <string id="POL_26984E46_7C64_57A4_B4BF_C2C2B13C330E_Help">This parameter specifies where users are added to the tree. If this parameter is unset, the value of will be used instead. The suffix string is prepended to the string so use a partial DN.
+
+Example: ou=people</string>
+ <string id="POL_AB95F2C5_BFBC_5955_8062_8B446AF7E84C">ldap max anonymous request size</string>
+ <string id="POL_AB95F2C5_BFBC_5955_8062_8B446AF7E84C_Help">This parameter specifies the maximum permitted size (in bytes) for an LDAP request received on an anonymous connection.
+ If the request size exceeds this limit the request will be rejected.
+
+Example: 500000</string>
+ <string id="POL_23FFECD5_A3C4_566C_AEB3_015F25B1A978">ldap max authenticated request size</string>
+ <string id="POL_23FFECD5_A3C4_566C_AEB3_015F25B1A978_Help">This parameter specifies the maximum permitted size (in bytes) for an LDAP request received on an authenticated connection.
+ If the request size exceeds this limit the request will be rejected.
+
+Example: 4194304</string>
+ <string id="POL_F7C651B1_70B4_5047_BC65_2E4D382CBD15">ldap max search request size</string>
+ <string id="POL_F7C651B1_70B4_5047_BC65_2E4D382CBD15_Help">This parameter specifies the maximum permitted size (in bytes) for an LDAP search request.
+ If the request size exceeds this limit the request will be rejected.
+
+Example: 4194304</string>
+ <string id="POL_B3B2B9CC_3DBC_5C45_AA31_7C1E52AFEFAF">lock spin time</string>
+ <string id="POL_B3B2B9CC_3DBC_5C45_AA31_7C1E52AFEFAF_Help">The time in milliseconds that smbd should keep waiting to see if a failed lock request can be granted. This parameter has changed in default value from Samba 3.0.23 from 10 to 200. The associated parameter is no longer used in Samba 3.0.24. You should not need to change the value of this parameter.</string>
+ <string id="POL_4A0366F2_6815_5654_8DC2_F68E840E53F4">oplock break wait time</string>
+ <string id="POL_4A0366F2_6815_5654_8DC2_F68E840E53F4_Help">This is a tuning parameter added due to bugs in both Windows 9x and WinNT. If Samba responds to a client too quickly when that client issues an SMB that can cause an oplock break request, then the network client can fail and not respond to the break request. This tuning parameter (which is set in milliseconds) is the amount of time Samba will wait before sending an oplock break request to such (broken) clients.
+ DO NOT CHANGE THIS PARAMETER UNLESS YOU HAVE READ AND UNDERSTOOD THE SAMBA OPLOCK CODE.</string>
+ <string id="POL_B49FAE41_B4C1_5AFA_870E_9E1C35F9A96F">smb2 leases</string>
+ <string id="POL_B49FAE41_B4C1_5AFA_870E_9E1C35F9A96F_Help">This boolean option tells smbd whether to globally negotiate SMB2 leases on file open requests. Leasing is an SMB2-only feature which allows clients to aggressively cache files locally above and beyond the caching allowed by SMB1 oplocks.
+ This is only available with yes and no.</string>
+ <string id="POL_1E9B5BE6_8C81_5141_88CD_B5AC0E8D964B">debug class</string>
+ <string id="POL_1E9B5BE6_8C81_5141_88CD_B5AC0E8D964B_Help">With this boolean parameter enabled, the debug class (DBGC_CLASS)
+ will be displayed in the debug header.
+
+
+ For more information about currently available debug classes, see
+ section about .</string>
+ <string id="POL_07D2E039_C5A0_5123_BD71_0C74E2569310">debug hires timestamp</string>
+ <string id="POL_07D2E039_C5A0_5123_BD71_0C74E2569310_Help">Sometimes the timestamps in the log messages are needed with a resolution of higher that seconds, this
+ boolean parameter adds microsecond resolution to the timestamp message header when turned on.
+
+
+
+ Note that the parameter must be on for this to have an effect.</string>
+ <string id="POL_E066DF4A_5BA1_5B35_A96F_90DE6CF27132">debug pid</string>
+ <string id="POL_E066DF4A_5BA1_5B35_A96F_90DE6CF27132_Help">When using only one log file for more then one forked smbd
+ 8-process there may be hard to follow which process outputs which
+ message. This boolean parameter is adds the process-id to the timestamp message headers in the
+ logfile when turned on.
+
+
+
+ Note that the parameter must be on for this to have an effect.</string>
+ <string id="POL_4B4EF8B5_3526_5583_8174_E3E332727970">debug prefix timestamp</string>
+ <string id="POL_4B4EF8B5_3526_5583_8174_E3E332727970_Help">With this option enabled, the timestamp message header is prefixed to the debug message without the
+ filename and function information that is included with the
+ parameter. This gives timestamps to the messages without adding an additional line.
+
+
+
+ Note that this parameter overrides the parameter.</string>
+ <string id="POL_571A8B87_3CCC_5725_BA33_BDEE367BB740">debug uid</string>
+ <string id="POL_571A8B87_3CCC_5725_BA33_BDEE367BB740_Help">Samba is sometimes run as root and sometime run as the connected user, this boolean parameter inserts the
+ current euid, egid, uid and gid to the timestamp message headers in the log file if turned on.
+
+
+ Note that the parameter must be on for this to have an effect.</string>
+ <string id="POL_2167CEE9_B2C9_5574_8F7D_F38DA9EBBFF1">ldap debug level</string>
+ <string id="POL_2167CEE9_B2C9_5574_8F7D_F38DA9EBBFF1_Help">This parameter controls the debug level of the LDAP library calls. In the case of OpenLDAP, it is the same bit-field as understood by the server and documented in the slapd.conf 5 manpage. A typical useful value will be 1 for tracing function calls. The debug output from the LDAP libraries appears with the prefix [LDAP] in Samba's logging output. The level at which LDAP logging is printed is controlled by the parameter ldap debug threshold.
+
+Example: 1</string>
+ <string id="POL_F324946B_9B0D_53F0_AD4F_56800DD63085">ldap debug threshold</string>
+ <string id="POL_F324946B_9B0D_53F0_AD4F_56800DD63085_Help">This parameter controls the Samba debug level at which the ldap library debug output is printed in the Samba logs. See the description of ldap debug level for details.
+
+Example: 5</string>
+ <string id="POL_3A601C55_A5EB_5E86_817B_38DACFD45CF9">log file</string>
+ <string id="POL_3A601C55_A5EB_5E86_817B_38DACFD45CF9_Help">This option allows you to override the name of the Samba log file (also known as the debug file).
+
+
+
+ This option takes the standard substitutions, allowing you to have separate log files for each user or machine.
+
+Example: /usr/local/samba/var/log.%m</string>
+ <string id="POL_A3E0303F_93B5_5C1F_8C01_362881F843CC">logging</string>
+ <string id="POL_A3E0303F_93B5_5C1F_8C01_362881F843CC_Help">This parameter configures logging backends. Multiple
+ backends can be specified at the same time, with different log
+ levels for each backend. The parameter is a list of backends,
+ where each backend is specified as backend[:option][@loglevel].
+
+ The 'option' parameter can be used to pass backend-specific
+ options.
+
+ The log level for a backend is optional, if it is not set for
+ a backend, all messages are sent to this backend. The parameter
+ determines overall log levels,
+ while the log levels specified here define what is sent to the
+ individual backends.
+
+ When is set, it overrides the
+ and parameters.
+
+ Some backends are only available when Samba has been compiled
+ with the additional libraries. The overall list of logging backends:
+
+
+ syslog
+ file
+ systemd
+ lttng
+ gpfs
+ ringbuf
+
+
+ The ringbuf backend supports an
+ optional size argument to change the buffer size used, the default is 1 MB:
+ ringbuf:size=NBYTES
+
+Example: syslog@1 file</string>
+ <string id="POL_E077BD91_3587_5DBA_A7CB_13044D97E451">log level</string>
+ <string id="POL_E077BD91_3587_5DBA_A7CB_13044D97E451_Help">The value of the parameter (a string) allows the debug level (logging level) to be specified in the
+ smb.conf file.
+
+
+ This parameter has been extended since the 2.2.x
+ series, now it allows one to specify the debug level for multiple
+ debug classes and distinct logfiles for debug classes. This is to give
+ greater flexibility in the configuration of the system. The following
+ debug classes are currently implemented:
+
+
+ all tdb printdrivers lanman smb smb2 smb2_credits rpc_parse rpc_srv rpc_cli passdb sam auth winbind vfs idmap quota acls locking msdfs dmapi registry
+ scavenger
+ dns
+ ldb
+ tevent
+ auth_audit
+ auth_json_audit
+ kerberos
+ dsdb_audit
+ dsdb_json_audit
+ dsdb_password_audit
+ dsdb_password_json_audit
+ dsdb_transaction_audit
+ dsdb_transaction_json_audit
+
+
+ To configure the logging for specific classes to go into a different
+ file then , you can append
+ @PATH to the class, eg log level = 1
+ full_audit:1@/var/log/audit.log.
+
+ Authentication and authorization audit information is logged
+ under the auth_audit, and if Samba was not compiled with
+ --without-json, a JSON representation is logged under
+ auth_json_audit.
+
+ Support is comprehensive for all authentication and authorisation
+ of user accounts in the Samba Active Directory Domain Controller,
+ as well as the implicit authentication in password changes. In
+ the file server, NTLM authentication, SMB and RPC authorization is
+ covered.
+
+ Log levels for auth_audit and auth_audit_json are:
+ 2: Authentication Failure 3: Authentication Success 4: Authorization Success 5: Anonymous Authentication and Authorization Success
+
+
+ Changes to the sam.ldb database are logged
+ under the dsdb_audit and a JSON representation is logged under
+ dsdb_json_audit.
+
+ Password changes and Password resets are logged under
+ dsdb_password_audit and a JSON representation is logged under the
+ dsdb_password_json_audit.
+
+ Transaction rollbacks and prepare commit failures are logged under
+ the dsdb_transaction_audit and a JSON representation is logged under the
+ password_json_audit. Logging the transaction details allows the
+ identification of password and sam.ldb operations that have been rolled
+ back.
+
+Example: 3 passdb:5 auth:10 winbind:2
+
+Example: 1 full_audit:1@/var/log/audit.log winbind:2</string>
+ <string id="POL_7E7EB779_098F_5383_A0B3_66216F434918">max log size</string>
+ <string id="POL_7E7EB779_098F_5383_A0B3_66216F434918_Help">This option (an integer in kilobytes) specifies the max size the log file should grow to.
+ Samba periodically checks the size and if it is exceeded it will rename the file, adding a .old extension.
+ A size of 0 means no limit.
+
+Example: 1000</string>
+ <string id="POL_57C1D731_63A4_519D_BD0B_05683B94BFDB">syslog</string>
+ <string id="POL_57C1D731_63A4_519D_BD0B_05683B94BFDB_Help">This parameter maps how Samba debug messages are logged onto the system syslog logging levels.
+ Samba debug level zero maps onto syslog LOG_ERR, debug level one maps onto
+ LOG_WARNING, debug level two maps onto LOG_NOTICE,
+ debug level three maps onto LOG_INFO. All higher levels are mapped to LOG_DEBUG.
+
+
+
+ This parameter sets the threshold for sending messages to syslog. Only messages with debug
+ level less than this value will be sent to syslog. There still will be some
+ logging to log.[sn]mbd even if syslog only is enabled.
+
+
+ The parameter should be used
+ instead. When is set, it
+ overrides the parameter.</string>
+ <string id="POL_07C28AF5_BA9B_5B55_A018_28B10E803B26">syslog only</string>
+ <string id="POL_07C28AF5_BA9B_5B55_A018_28B10E803B26_Help">If this parameter is set then Samba debug messages are logged into the system
+ syslog only, and not to the debug log files. There still will be some logging to log.[sn]mbd even if syslog only is enabled.
+
+
+
+ The parameter should be used
+ instead. When is set, it
+ overrides the parameter.</string>
+ <string id="POL_C2541812_F829_51FC_93D7_75BA34C1F487">timestamp logs</string>
+ <string id="POL_C2541812_F829_51FC_93D7_75BA34C1F487_Help">Samba debug log messages are timestamped by default. If you are running at a high
+ these timestamps can be distracting. This
+ boolean parameter allows timestamping to be turned off.</string>
+ <string id="POL_3B7BF4ED_04E2_5466_9368_8610A5657F8F">abort shutdown script</string>
+ <string id="POL_3B7BF4ED_04E2_5466_9368_8610A5657F8F_Help">This a full path name to a script called by smbd 8 that should stop a shutdown procedure issued by the . If the connected user possesses the SeRemoteShutdownPrivilege, right, this command will be run as root.
+
+Example: /sbin/shutdown -c</string>
+ <string id="POL_7EEBACBA_ED90_5C68_826F_737212B364EF">add group script</string>
+ <string id="POL_7EEBACBA_ED90_5C68_826F_737212B364EF_Help">This is the full pathname to a script that will be run AS ROOT by smbd8 when a new group is requested. It will expand any %g to the group name passed. This script is only useful for installations using the Windows NT domain administration tools. The script is free to create a group with an arbitrary name to circumvent unix group name restrictions. In that case the script must print the numeric gid of the created group on stdout.
+
+Example: /usr/sbin/groupadd %g</string>
+ <string id="POL_96F9DA59_163C_56B8_9F66_40CAAD868F91">add machine script</string>
+ <string id="POL_96F9DA59_163C_56B8_9F66_40CAAD868F91_Help">This is the full pathname to a script that will be run by smbd 8 when a machine is added to Samba's domain and a Unix account matching the machine's name appended with a "$" does not already exist.
+ This option is very similar to the , and likewise uses the %u
+ substitution for the account name. Do not use the %m
+ substitution.
+
+Example: /usr/sbin/adduser -n -g machines -c Machine -d /var/lib/nobody -s /bin/false %u</string>
+ <string id="POL_4AEC4EDA_3303_57E2_BC12_784F40DACA8F">add user script</string>
+ <string id="POL_4AEC4EDA_3303_57E2_BC12_784F40DACA8F_Help">This is the full pathname to a script that will be run AS ROOT by smbd 8 under special circumstances described below.
+ Normally, a Samba server requires that UNIX users are created for all users accessing files on this server. For sites that use Windows NT account databases as their primary user database creating these users and keeping the user list in sync with the Windows NT PDC is an onerous task. This option allows smbd to create the required UNIX users ON DEMAND when a user accesses the Samba server.
+ When the Windows user attempts to access the Samba server, at login (session setup in the SMB protocol) time, smbd 8 contacts the and attempts to authenticate the given user with the given password. If the authentication succeeds then smbd attempts to find a UNIX user in the UNIX password database to map the Windows user into. If this lookup fails, and is set then smbd will call the specified script AS ROOT, expanding any %u argument to be the user name to create.
+ If this script successfully creates the user then smbd will continue on as though the UNIX user already existed. In this way, UNIX users are dynamically created to match existing Windows NT accounts.
+ See also , , .
+
+Example: /usr/local/samba/bin/add_user %u</string>
+ <string id="POL_5268249C_58BD_59DA_B44F_DA9109370C58">add user to group script</string>
+ <string id="POL_5268249C_58BD_59DA_B44F_DA9109370C58_Help">Full path to the script that will be called when a user is added to a group using the Windows NT domain administration tools. It will be run by smbd 8 AS ROOT. Any %g will be replaced with the group name and any %u will be replaced with the user name.
+ Note that the adduser command used in the example below does not support the used syntax on all systems.
+
+Example: /usr/sbin/adduser %u %g</string>
+ <string id="POL_89206841_7524_5BFF_872C_444F45C82318">allow nt4 crypto</string>
+ <string id="POL_89206841_7524_5BFF_872C_444F45C82318_Help">This option controls whether the netlogon server (currently only in 'active directory domain controller' mode), will reject clients which does not support NETLOGON_NEG_STRONG_KEYS nor NETLOGON_NEG_SUPPORTS_AES.
+ This option was added with Samba 4.2.0. It may lock out clients which worked fine with Samba versions up to 4.1.x. as the effective default was "yes" there, while it is "no" now.
+ If you have clients without RequireStrongKey = 1 in the registry, you may need to set "allow nt4 crypto = yes", until you have fixed all clients.
+ "allow nt4 crypto = yes" allows weak crypto to be negotiated, maybe via downgrade attacks.
+ This option yields precedence to the 'reject md5 clients' option.</string>
+ <string id="POL_9A41AF51_88E9_5566_B12E_36DEA5C42D49">auth event notification</string>
+ <string id="POL_9A41AF51_88E9_5566_B12E_36DEA5C42D49_Help">When enabled, this option causes Samba (acting as an Active Directory Domain Controller) to stream authentication events across the internal message bus. Scripts built using Samba's python bindings can listen to these events by registering as the service auth_event.
+ This should be considered a developer option (it assists in the Samba testsuite) rather than a facility for external auditing, as message delivery is not guaranteed (a feature that the testsuite works around). Additionally Samba must be compiled with the jansson support for this option to be effective.
+ The authentication events are also logged via the normal logging methods when the is set appropriately.</string>
+ <string id="POL_1CAC5DAB_3CB5_586A_AB6F_84E39DDF4796">delete group script</string>
+ <string id="POL_1CAC5DAB_3CB5_586A_AB6F_84E39DDF4796_Help">This is the full pathname to a script that will be run AS ROOT by smbd 8 when a group is requested to be deleted. It will expand any %g to the group name passed. This script is only useful for installations using the Windows NT domain administration tools.</string>
+ <string id="POL_789E0632_E8D7_5FD6_86C6_0EBD079D28C4">delete user from group script</string>
+ <string id="POL_789E0632_E8D7_5FD6_86C6_0EBD079D28C4_Help">Full path to the script that will be called when a user is removed from a group using the Windows NT domain administration tools. It will be run by smbd 8 AS ROOT. Any %g will be replaced with the group name and any %u will be replaced with the user name.
+
+Example: /usr/sbin/deluser %u %g</string>
+ <string id="POL_A399CF3E_C0C6_594B_8F31_F2AA4A18B5AC">delete user script</string>
+ <string id="POL_A399CF3E_C0C6_594B_8F31_F2AA4A18B5AC_Help">This is the full pathname to a script that will be run by smbd 8 when managing users with remote RPC (NT) tools.
+ This script is called when a remote client removes a user from the server, normally using 'User Manager for Domains' or rpcclient.
+ This script should delete the given UNIX username.
+
+Example: /usr/local/samba/bin/del_user %u</string>
+ <string id="POL_B35B056A_EEB8_5B89_9FCC_127565F4A6AC">domain logons</string>
+ <string id="POL_B35B056A_EEB8_5B89_9FCC_127565F4A6AC_Help">If set to yes, the Samba server will provide the netlogon service for Windows 9X network logons for the it is in. This will also cause the Samba server to act as a domain controller for NT4 style domain services. For more details on setting up this feature see the Domain Control chapter of the Samba HOWTO Collection.</string>
+ <string id="POL_3B3E3AD6_FB80_5225_8EDA_6066E5987CE1">enable privileges</string>
+ <string id="POL_3B3E3AD6_FB80_5225_8EDA_6066E5987CE1_Help">This deprecated parameter controls whether or not smbd will honor privileges assigned to specific SIDs via either net rpc rights or one of the Windows user and group manager tools. This parameter is enabled by default. It can be disabled to prevent members of the Domain Admins group from being able to assign privileges to users or groups which can then result in certain smbd operations running as root that would normally run under the context of the connected user.
+ An example of how privileges can be used is to assign the right to join clients to a Samba controlled domain without providing root access to the server via smbd.
+ Please read the extended description provided in the Samba HOWTO documentation.</string>
+ <string id="POL_130E1C0E_9AED_52F5_B1AB_20FD88C999E8">init logon delay</string>
+ <string id="POL_130E1C0E_9AED_52F5_B1AB_20FD88C999E8_Help">This parameter specifies a delay in milliseconds for the hosts configured for delayed initial samlogon with .</string>
+ <string id="POL_EEBDC4C9_64BA_58DF_B7A3_C384D6972690">init logon delayed hosts</string>
+ <string id="POL_EEBDC4C9_64BA_58DF_B7A3_C384D6972690_Help">This parameter takes a list of host names, addresses or networks for which the initial samlogon reply should be delayed (so other DCs get preferred by XP workstations if there are any).
+ The length of the delay can be specified with the parameter.
+
+Example: 150.203.5. myhost.mynet.de</string>
+ <string id="POL_2FCE2207_11A6_5B55_9ECC_49D171438176">logon drive</string>
+ <string id="POL_2FCE2207_11A6_5B55_9ECC_49D171438176_Help">This parameter specifies the local path to which the home directory will be connected (see ) and is only used by NT Workstations.
+ Note that this option is only useful if Samba is set up as a logon server.
+
+Example: h:</string>
+ <string id="POL_12DCA5BB_14ED_5BC6_AB9D_E6A57E943B24">logon home</string>
+ <string id="POL_12DCA5BB_14ED_5BC6_AB9D_E6A57E943B24_Help">This parameter specifies the home directory location when a Win95/98 or NT Workstation logs into a Samba PDC. It allows you to do C:\>NET USE H: /HOME
+ from a command prompt, for example.
+ This option takes the standard substitutions, allowing you to have separate logon scripts for each user or machine.
+ This parameter can be used with Win9X workstations to ensure that roaming profiles are stored in a subdirectory of the user's home directory. This is done in the following way:
+ logon home = \\%N\%U\profile
+ This tells Samba to return the above string, with substitutions made when a client requests the info, generally in a NetUserGetInfo request. Win9X clients truncate the info to \\server\share when a user does
+ net use /home but use the whole string when dealing with profiles.
+ Note that in prior versions of Samba, the was returned rather than logon home. This broke net use /home but allowed profiles outside the home directory. The current implementation is correct, and can be used for profiles if you use the above trick.
+ Disable this feature by setting "" - using the empty string.
+ This option is only useful if Samba is set up as a logon server.
+
+Example: \\remote_smb_server\%U</string>
+ <string id="POL_6C04D9F3_27E3_51A9_82B5_BEB5265E1236">logon path</string>
+ <string id="POL_6C04D9F3_27E3_51A9_82B5_BEB5265E1236_Help">This parameter specifies the directory where roaming profiles (Desktop, NTuser.dat, etc) are stored. Contrary to previous versions of these manual pages, it has nothing to do with Win 9X roaming profiles. To find out how to handle roaming profiles for Win 9X system, see the parameter.
+ This option takes the standard substitutions, allowing you to have separate logon scripts for each user or machine. It also specifies the directory from which the "Application Data", desktop, start menu, network neighborhood, programs and other folders, and their contents, are loaded and displayed on your Windows NT client.
+ The share and the path must be readable by the user for the preferences and directories to be loaded onto the Windows NT client. The share must be writeable when the user logs in for the first time, in order that the Windows NT client can create the NTuser.dat and other directories. Thereafter, the directories and any of the contents can, if required, be made read-only. It is not advisable that the NTuser.dat file be made read-only - rename it to NTuser.man to achieve the desired effect (a MANdatory profile).
+ Windows clients can sometimes maintain a connection to the [homes] share, even though there is no user logged in. Therefore, it is vital that the logon path does not include a reference to the homes share (i.e. setting this parameter to \\%N\homes\profile_path will cause problems).
+ This option takes the standard substitutions, allowing you to have separate logon scripts for each user or machine.
+ Do not quote the value. Setting this as \\%N\profile\%U will break profile handling. Where the tdbsam or ldapsam passdb backend is used, at the time the user account is created the value configured for this parameter is written to the passdb backend and that value will over-ride the parameter value present in the smb.conf file. Any error present in the passdb backend account record must be edited using the appropriate tool (pdbedit on the command-line, or any other locally provided system tool).
+ Note that this option is only useful if Samba is set up as a domain controller.
+ Disable the use of roaming profiles by setting the value of this parameter to the empty string. For example, "". Take note that even if the default setting in the smb.conf file is the empty string, any value specified in the user account settings in the passdb backend will over-ride the effect of setting this parameter to null. Disabling of all roaming profile use requires that the user account settings must also be blank.
+ An example of use is:
+
+logon path = \\PROFILESERVER\PROFILE\%U</string>
+ <string id="POL_D354C217_6C18_5AD8_B0A2_DDC89463D0C6">logon script</string>
+ <string id="POL_D354C217_6C18_5AD8_B0A2_DDC89463D0C6_Help">This parameter specifies the batch file (.bat) or NT command file (.cmd) to be downloaded and run on a machine when a user successfully logs in. The file must contain the DOS style CR/LF line endings. Using a DOS-style editor to create the file is recommended. The script must be a relative path to the service. If the [netlogon] service specifies a of /usr/local/samba/netlogon, and STARTUP.BAT, then the file that will be downloaded is:
+ /usr/local/samba/netlogon/STARTUP.BAT
+
+ The contents of the batch file are entirely your choice. A suggested command would be to add NET TIME \\SERVER /SET /YES, to force every machine to synchronize clocks with the same time server. Another use would be to add NET USE U: \\SERVER\UTILS for commonly used utilities, or
+
+NET USE Q: \\SERVER\ISO9001_QA
+ for example.
+ Note that it is particularly important not to allow write access to the [netlogon] share, or to grant users write permission on the batch files in a secure environment, as this would allow the batch files to be arbitrarily modified and security to be breached.
+ This option takes the standard substitutions, allowing you to have separate logon scripts for each user or machine.
+ This option is only useful if Samba is set up as a logon server in a classic domain controller role.
+ If Samba is set up as an Active Directory domain controller, LDAP attribute scriptPath
+ is used instead. For configurations where ldapsam is in use,
+ this option only defines a default value in case LDAP attribute sambaLogonScript
+ is missing.
+
+Example: scripts\%U.bat</string>
+ <string id="POL_0AABECB8_5A60_50DA_973A_7EED1138DB0C">reject md5 clients</string>
+ <string id="POL_0AABECB8_5A60_50DA_973A_7EED1138DB0C_Help">This option controls whether the netlogon server (currently only in 'active directory domain controller' mode), will reject clients which does not support NETLOGON_NEG_SUPPORTS_AES.
+ You can set this to yes if all domain members support aes. This will prevent downgrade attacks.
+ This option takes precedence to the 'allow nt4 crypto' option.</string>
+ <string id="POL_68A94D8F_DA35_5CEC_90E6_4FB245FF32D3">set primary group script</string>
+ <string id="POL_68A94D8F_DA35_5CEC_90E6_4FB245FF32D3_Help">Thanks to the Posix subsystem in NT a Windows User has a primary group in addition to the auxiliary groups. This script sets the primary group in the unix user database when an administrator sets the primary group from the windows user manager or when fetching a SAM with net rpc vampire. %u will be replaced with the user whose primary group is to be set. %g will be replaced with the group to set.
+
+Example: /usr/sbin/usermod -g '%g' '%u'</string>
+ <string id="POL_5CDF89E1_F318_5495_BEA0_DA44F0542D49">shutdown script</string>
+ <string id="POL_5CDF89E1_F318_5495_BEA0_DA44F0542D49_Help">This a full path name to a script called by smbd
+ 8 that should start a shutdown procedure.
+ If the connected user possesses the SeRemoteShutdownPrivilege, right, this command will be run as root.
+ The %z %t %r %f variables are expanded as follows: %z will be substituted with the shutdown message sent to the server. %t will be substituted with the number of seconds to wait before effectively starting the shutdown procedure. %r will be substituted with the switch -r. It means reboot after shutdown for NT. %f will be substituted with the switch -f. It means force the shutdown even if applications do not respond for NT.
+ Shutdown script example:
+
+#!/bin/bash
+
+time=$2
+let time="${time} / 60"
+let time="${time} + 1"
+
+/sbin/shutdown $3 $4 +$time $1 &
+
+
+ Shutdown does not return so we need to launch it in background.
+
+Example: /usr/local/samba/sbin/shutdown %m %t %r %f</string>
+ <string id="POL_3F1B0630_F3F0_5FDE_B66B_1A315CC059B3">add share command</string>
+ <string id="POL_3F1B0630_F3F0_5FDE_B66B_1A315CC059B3_Help">Samba 2.2.0 introduced the ability to dynamically add and delete shares via the Windows NT 4.0 Server Manager. The add share command is used to define an external program or script which will add a new service definition to smb.conf.
+ In order to successfully execute the add share command, smbd requires that the administrator connects using a root account (i.e. uid == 0) or has the SeDiskOperatorPrivilege. Scripts defined in the add share command parameter are executed as root.
+ When executed, smbd will automatically invoke the add share command with five parameters.
+ configFile - the location of the global smb.conf file.
+ shareName - the name of the new share.
+ pathName - path to an **existing** directory on disk.
+ comment - comment string to associate with the new share.
+ max connections Number of maximum simultaneous connections to this share.
+ This parameter is only used to add file shares. To add printer shares, see the .
+
+Example: /usr/local/bin/addshare</string>
+ <string id="POL_66A8EC32_6235_5E7C_A085_189166239268">afs token lifetime</string>
+ <string id="POL_66A8EC32_6235_5E7C_A085_189166239268_Help">This parameter controls the lifetime of tokens that the AFS fake-kaserver claims. In reality these never expire but this lifetime controls when the afs client will forget the token.
+ Set this parameter to 0 to get NEVERDATE.</string>
+ <string id="POL_78946CAB_73BD_507E_96D5_C643814290D0">afs username map</string>
+ <string id="POL_78946CAB_73BD_507E_96D5_C643814290D0_Help">If you are using the fake kaserver AFS feature, you might want to hand-craft the usernames you are creating tokens for. For example this is necessary if you have users from several domain in your AFS Protection Database. One possible scheme to code users as DOMAIN+User as it is done by winbind with the + as a separator.
+ The mapped user name must contain the cell name to log into, so without setting this parameter there will be no token.
+
+Example: %u@afs.samba.org</string>
+ <string id="POL_DEF84B6C_B415_56EB_B3E7_1ED683BFEDE5">allow insecure wide links</string>
+ <string id="POL_DEF84B6C_B415_56EB_B3E7_1ED683BFEDE5_Help">In normal operation the option which allows the server to follow symlinks outside of a share path is automatically disabled when are enabled on a Samba server. This is done for security purposes to prevent UNIX clients creating symlinks to areas of the server file system that the administrator does not wish to export. Setting to true disables the link between these two parameters, removing this protection and allowing a site to configure the server to follow symlinks (by setting to "true") even when is turned on. It is not recommended to enable this option unless you fully understand the implications of allowing the server to follow symbolic links created by UNIX clients. For most normal Samba configurations this would be considered a security hole and setting this parameter is not recommended. This option was added at the request of sites who had deliberately set Samba up in this way and needed to continue supporting this functionality without having to patch the Samba code.</string>
+ <string id="POL_8539DC0B_8971_5145_8173_C77681F13A94">allow unsafe cluster upgrade</string>
+ <string id="POL_8539DC0B_8971_5145_8173_C77681F13A94_Help">If set to no (the default), smbd checks at startup if other smbd versions are running in the cluster and refuses to start if so. This is done to protect data corruption in internal data structures due to incompatible Samba versions running concurrently in the same cluster. Setting this parameter to yes disables this safety check.</string>
+ <string id="POL_A05EAA54_C6F4_567A_8DE6_7541F9B11046">async smb echo handler</string>
+ <string id="POL_A05EAA54_C6F4_567A_8DE6_7541F9B11046_Help">This parameter specifies whether Samba should fork the async smb echo handler. It can be beneficial if your file system can block syscalls for a very long time. In some circumstances, it prolongs the timeout that Windows uses to determine whether a connection is dead. This parameter is only for SMB1. For SMB2 and above TCP keepalives can be used instead.</string>
+ <string id="POL_087EEAB6_7F83_50CF_A3D0_97B4C6F94F67">auto services</string>
+ <string id="POL_087EEAB6_7F83_50CF_A3D0_97B4C6F94F67_Help">This is a list of services that you want to be automatically added to the browse lists. This is most useful for homes and printers services that would otherwise not be visible.
+ Note that if you just want all printers in your printcap file loaded then the option is easier.
+
+Example: fred lp colorlp</string>
+ <string id="POL_5518624A_7DB9_51BA_A891_F00A40152354">cache directory</string>
+ <string id="POL_5518624A_7DB9_51BA_A891_F00A40152354_Help">Usually, most of the TDB files are stored in the lock directory. Since Samba 3.4.0, it is possible to differentiate between TDB files with persistent data and TDB files with non-persistent data using the state directory and the cache directory options.
+ This option specifies the directory for storing TDB files containing non-persistent data that will be kept across service restarts. The directory should be placed on persistent storage, but the data can be safely deleted by an administrator.
+
+Example: /var/run/samba/locks/cache</string>
+ <string id="POL_3E23F826_A699_511F_9370_F79DBB4977A9">change notify</string>
+ <string id="POL_3E23F826_A699_511F_9370_F79DBB4977A9_Help">This parameter specifies whether Samba should reply to a client's file change notify requests.
+ You should never need to change this parameter</string>
+ <string id="POL_3EF254FF_4CC2_58A5_9A1B_4E0655610DCA">change share command</string>
+ <string id="POL_3EF254FF_4CC2_58A5_9A1B_4E0655610DCA_Help">Samba 2.2.0 introduced the ability to dynamically add and delete shares via the Windows NT 4.0 Server
+Manager. The change share command is used to define an external
+program or script which will modify an existing service definition in smb.conf.
+ In order to successfully execute the change share command, smbd requires that the administrator connects using a root account (i.e. uid == 0) or has the SeDiskOperatorPrivilege. Scripts defined in the change share command parameter are executed as root.
+ When executed, smbd will automatically invoke the change share command with six parameters.
+ configFile - the location of the global smb.conf file.
+ shareName - the name of the new share.
+ pathName - path to an **existing** directory on disk.
+ comment - comment string to associate with the new share.
+ max connections Number of maximum simultaneous connections to this share.
+ CSC policy - client side caching policy in string form. Valid values are: manual, documents, programs, disable.
+ This parameter is only used to modify existing file share definitions. To modify printer shares, use the "Printers..." folder as seen when browsing the Samba host.
+
+Example: /usr/local/bin/changeshare</string>
+ <string id="POL_93ADB149_A45A_56A2_9462_0BE437084E47">cluster addresses</string>
+ <string id="POL_93ADB149_A45A_56A2_9462_0BE437084E47_Help">With this parameter you can add additional addresses that nmbd will register with a WINS server. Similarly, these addresses will be registered by default when net ads dns register is called with yes configured.
+
+Example: 10.0.0.1 10.0.0.2 10.0.0.3</string>
+ <string id="POL_306A8E87_1400_5208_8ABF_B9802BFA685B">clustering</string>
+ <string id="POL_306A8E87_1400_5208_8ABF_B9802BFA685B_Help">This parameter specifies whether Samba should contact ctdb for accessing its tdb files and use ctdb as a backend for its messaging backend.
+ Set this parameter to yes only if you have a cluster setup with ctdb running.</string>
+ <string id="POL_2D29302D_8AD7_5BC3_B681_8C54D0A61E68">config file</string>
+ <string id="POL_2D29302D_8AD7_5BC3_B681_8C54D0A61E68_Help">This allows you to override the config file to use, instead of the default (usually smb.conf). There is a chicken and egg problem here as this option is set in the config file!
+ For this reason, if the name of the config file has changed when the parameters are loaded then it will reload them from the new config file.
+ This option takes the usual substitutions, which can be very useful.
+ If the config file doesn't exist then it won't be loaded (allowing you to special case the config files of just a few clients).
+
+Example: /usr/local/samba/lib/smb.conf.%m</string>
+ <string id="POL_3838911B_D4E6_50BD_B168_85F113E29165">ctdbd socket</string>
+ <string id="POL_3838911B_D4E6_50BD_B168_85F113E29165_Help">If you set clustering=yes, you need to tell Samba where ctdbd listens on its unix domain socket. The default path as of ctdb 1.0 is /tmp/ctdb.socket which you have to explicitly set for Samba in smb.conf.
+
+Example: /tmp/ctdb.socket</string>
+ <string id="POL_57D6924C_3F94_5C29_8F63_39808A84FA0F">ctdb locktime warn threshold</string>
+ <string id="POL_57D6924C_3F94_5C29_8F63_39808A84FA0F_Help">In a cluster environment using Samba and ctdb it is critical that locks on central ctdb-hosted databases like locking.tdb are not held for long. With the current Samba architecture it happens that Samba takes a lock and while holding that lock makes file system calls into the shared cluster file system. This option makes Samba warn if it detects that it has held locks for the specified number of milliseconds. If this happens, smbd will emit a debug level 0 message into its logs and potentially into syslog. The most likely reason for such a log message is that an operation of the cluster file system Samba exports is taking longer than expected. The messages are meant as a debugging aid for potential cluster problems.
+ The default value of 0 disables this logging.</string>
+ <string id="POL_6392B974_5997_5E87_916F_FCDCCCCA6069">ctdb timeout</string>
+ <string id="POL_6392B974_5997_5E87_916F_FCDCCCCA6069_Help">This parameter specifies a timeout in milliseconds for the connection between Samba and ctdb. It is only valid if you have compiled Samba with clustering and if you have set clustering=yes. When something in the cluster blocks, it can happen that we wait indefinitely long for ctdb, just adding to the blocking condition. In a well-running cluster this should never happen, but there are too many components in a cluster that might have hickups. Choosing the right balance for this value is very tricky, because on a busy cluster long service times to transfer something across the cluster might be valid. Setting it too short will degrade the service your cluster presents, setting it too long might make the cluster itself not recover from something severely broken for too long. Be aware that if you set this parameter, this needs to be in the file smb.conf, it is not really helpful to put this into a registry configuration (typical on a cluster), because to access the registry contact to ctdb is required. Setting ctdb timeout to n makes any process waiting longer than n milliseconds for a reply by the cluster panic. Setting it to 0 (the default) makes Samba block forever, which is the highly recommended default.</string>
+ <string id="POL_65E02D5E_EC95_5CD1_9976_6FF4E023ADDD">default service</string>
+ <string id="POL_65E02D5E_EC95_5CD1_9976_6FF4E023ADDD_Help">This parameter specifies the name of a service which will be connected to if the service actually requested cannot be found. Note that the square brackets are NOT given in the parameter value (see example below).
+ There is no default value for this parameter. If this parameter is not given, attempting to connect to a nonexistent service results in an error.
+ Typically the default service would be a , service. Also note that the apparent service name will be changed to equal that of the requested service, this is very useful as it allows you to use macros like %S to make a wildcard service.
+ Note also that any "_" characters in the name of the service used in the default service will get mapped to a "/". This allows for interesting things.
+
+Example: pub</string>
+ <string id="POL_6CD86A19_3EBF_5E3B_A686_462CA044C5D8">delete share command</string>
+ <string id="POL_6CD86A19_3EBF_5E3B_A686_462CA044C5D8_Help">Samba 2.2.0 introduced the ability to dynamically add and delete shares via the Windows NT 4.0 Server Manager. The delete share command is used to define an external program or script which will remove an existing service definition from smb.conf.
+ In order to successfully execute the delete share command, smbd requires that the administrator connects using a root account (i.e. uid == 0) or has the SeDiskOperatorPrivilege. Scripts defined in the delete share command parameter are executed as root.
+ When executed, smbd will automatically invoke the delete share command with two parameters.
+ configFile - the location of the global smb.conf file.
+ shareName - the name of the existing service.
+ This parameter is only used to remove file shares. To delete printer shares, see the .
+
+Example: /usr/local/bin/delshare</string>
+ <string id="POL_EA272781_6D7D_5FD5_96BF_069193C67F65">dsdb event notification</string>
+ <string id="POL_EA272781_6D7D_5FD5_96BF_069193C67F65_Help">When enabled, this option causes Samba (acting as an Active Directory Domain Controller) to stream Samba database events across the internal message bus. Scripts built using Samba's python bindings can listen to these events by registering as the service dsdb_event.
+ This should be considered a developer option (it assists in the Samba testsuite) rather than a facility for external auditing, as message delivery is not guaranteed (a feature that the testsuite works around).
+ The Samba database events are also logged via the normal logging methods when the is set appropriately.</string>
+ <string id="POL_560BC356_6AEC_5D1A_9859_6479FE0F97C0">dsdb group change notification</string>
+ <string id="POL_560BC356_6AEC_5D1A_9859_6479FE0F97C0_Help">When enabled, this option causes Samba (acting as an Active Directory Domain Controller) to stream group membership change events across the internal message bus. Scripts built using Samba's python bindings can listen to these events by registering as the service dsdb_group_event.
+ This should be considered a developer option (it assists in the Samba testsuite) rather than a facility for external auditing, as message delivery is not guaranteed (a feature that the testsuite works around).
+ The group events are also logged via the normal logging methods when the is set appropriately.</string>
+ <string id="POL_2CF8E791_3F03_5CE3_AC93_0B8078E9667D">dsdb password event notification</string>
+ <string id="POL_2CF8E791_3F03_5CE3_AC93_0B8078E9667D_Help">When enabled, this option causes Samba (acting as an Active Directory Domain Controller) to stream password change and reset events across the internal message bus. Scripts built using Samba's python bindings can listen to these events by registering as the service password_event.
+ This should be considered a developer option (it assists in the Samba testsuite) rather than a facility for external auditing, as message delivery is not guaranteed (a feature that the testsuite works around).
+ The password events are also logged via the normal logging methods when the is set appropriately.</string>
+ <string id="POL_C8A040D9_B798_5FE4_A736_BAD9C81CE976">elasticsearch:mappings</string>
+ <string id="POL_C8A040D9_B798_5FE4_A736_BAD9C81CE976_Help">Path to a file specifying metadata attribute mappings in JSON format. Use
+ by the Elasticsearch backend of the Spotlight RPC service.
+
+Example: /usr/share/foo/mymappings.json</string>
+ <string id="POL_66C9072D_C818_5DFB_AB72_5EDDD4CAE999">fss: prune stale</string>
+ <string id="POL_66C9072D_C818_5DFB_AB72_5EDDD4CAE999_Help">When enabled, Samba's File Server Remote VSS Protocol (FSRVP) server checks all FSRVP initiated snapshots on startup, and removes any corresponding state (including share definitions) for nonexistent snapshot paths.
+
+Example: yes</string>
+ <string id="POL_A7F4325A_910F_5437_B911_6D94050EF882">fss: sequence timeout</string>
+ <string id="POL_A7F4325A_910F_5437_B911_6D94050EF882_Help">The File Server Remote VSS Protocol (FSRVP) server includes a message sequence timer to ensure cleanup on unexpected client disconnect. This parameter overrides the default timeout between FSRVP operations. FSRVP timeouts can be completely disabled via a value of 0.
+
+Example: 0</string>
+ <string id="POL_529A6287_1697_57CA_A6D0_811F61A441A0">homedir map</string>
+ <string id="POL_529A6287_1697_57CA_A6D0_811F61A441A0_Help">If is yes, and smbd 8 is also acting as a Win95/98 logon server then this parameter specifies the NIS (or YP) map from which the server for the user's home directory should be extracted. At present, only the Sun auto.home map format is understood. The form of the map is:
+
+username server:/some/file/system
+ and the program will extract the servername from before the first ':'. There should probably be a better parsing system that copes with different map formats and also Amd (another automounter) maps. A working NIS client is required on the system for this option to work.
+
+Example: amd.homedir</string>
+ <string id="POL_3EE25C0A_C920_54B4_8B7B_D0A91CF3E3F1">kernel change notify</string>
+ <string id="POL_3EE25C0A_C920_54B4_8B7B_D0A91CF3E3F1_Help">This parameter specifies whether Samba should ask the kernel for change notifications in directories so that SMB clients can refresh whenever the data on the server changes.
+ This parameter is only used when your kernel supports change notification to user programs using the inotify interface.</string>
+ <string id="POL_15EAB330_0CF4_537E_AD96_8FCECB55194F">lock directory</string>
+ <string id="POL_15EAB330_0CF4_537E_AD96_8FCECB55194F_Help">This option specifies the directory where lock files will be placed. The lock files are used to implement the option.
+ Note: This option can not be set inside registry configurations. The files placed in this directory are not required across service restarts and can be safely placed on volatile storage (e.g. tmpfs in Linux)
+
+Example: /var/run/samba/locks</string>
+ <string id="POL_A53007F8_7951_51F3_9753_B6FA4B38B9B7">log writeable files on exit</string>
+ <string id="POL_A53007F8_7951_51F3_9753_B6FA4B38B9B7_Help">When the network connection between a CIFS client and Samba dies, Samba has no option but to simply shut down the server side of the network connection. If this happens, there is a risk of data corruption because the Windows client did not complete all write operations that the Windows application requested. Setting this option to "yes" makes smbd log with a level 0 message a list of all files that have been opened for writing when the network connection died. Those are the files that are potentially corrupted. It is meant as an aid for the administrator to give him a list of files to do consistency checks on.</string>
+ <string id="POL_7DD9B43E_A2B8_59F8_9927_2B56698E65B6">message command</string>
+ <string id="POL_7DD9B43E_A2B8_59F8_9927_2B56698E65B6_Help">This specifies what command to run when the server receives a WinPopup style message.
+ This would normally be a command that would deliver the message somehow. How this is to be done is up to your imagination.
+ An example is:
+
+message command = csh -c 'xedit %s;rm %s' &
+
+ This delivers the message using xedit, then removes it afterwards. NOTE THAT IT IS VERY IMPORTANT THAT THIS COMMAND RETURN IMMEDIATELY. That's why I have the '&' on the end. If it doesn't return immediately then your PCs may freeze when sending messages (they should recover after 30 seconds, hopefully).
+ All messages are delivered as the global guest user. The command takes the standard substitutions, although %u won't work (%U may be better in this case).
+ Apart from the standard substitutions, some additional ones apply. In particular:
+ %s = the filename containing the message. %t = the destination that the message was sent to (probably the server name).
+ %f = who the message is from.
+ You could make this command send mail, or whatever else takes your fancy. Please let us know of any really interesting ideas you have.
+ Here's a way of sending the messages as mail to root:
+
+message command = /bin/mail -s 'message from %f on %m' root < %s; rm %s
+
+ If you don't have a message command then the message won't be delivered and Samba will tell the sender there was an error. Unfortunately WfWg totally ignores the error code and carries on regardless, saying that the message was delivered.
+ If you want to silently delete it then try:
+
+message command = rm %s
+
+Example: csh -c 'xedit %s; rm %s' &</string>
+ <string id="POL_3BDFEE33_A965_5CA9_BC8C_7E5FDA1BB1D5">nbt client socket address</string>
+ <string id="POL_3BDFEE33_A965_5CA9_BC8C_7E5FDA1BB1D5_Help">This option allows you to control what address Samba will send NBT client packets from, and process replies using, including in nmbd. Setting this option should never be necessary on usual Samba servers running only one nmbd.
+ By default Samba will send UDP packets from the OS default address for the destination, and accept replies on 0.0.0.0. This parameter is deprecated. See Yes and for the previous behaviour of controlling the normal listening sockets.
+
+Example: 192.168.2.20</string>
+ <string id="POL_C4D98472_F115_59FD_A3E6_A7984D662B99">ncalrpc dir</string>
+ <string id="POL_C4D98472_F115_59FD_A3E6_A7984D662B99_Help">This directory will hold a series of named pipes to allow RPC over inter-process communication. This will allow Samba and other unix processes to interact over DCE/RPC without using TCP/IP. Additionally a sub-directory 'np' has restricted permissions, and allows a trusted communication channel between Samba processes
+
+Example: /var/run/samba/ncalrpc</string>
+ <string id="POL_4308D035_8B4B_575A_8984_BAC33A169EBA">NIS homedir</string>
+ <string id="POL_4308D035_8B4B_575A_8984_BAC33A169EBA_Help">Get the home share server from a NIS map. For UNIX systems that use an automounter, the user's home directory will often be mounted on a workstation on demand from a remote server.
+ When the Samba logon server is not the actual home directory server, but is mounting the home directories via NFS then two network hops would be required to access the users home directory if the logon server told the client to use itself as the SMB server for home directories (one over SMB and one over NFS). This can be very slow.
+ This option allows Samba to return the home share as being on a different server to the logon server and as long as a Samba daemon is running on the home directory server, it will be mounted on the Samba client directly from the directory server. When Samba is returning the home share to the client, it will consult the NIS map specified in and return the server listed there.
+ Note that for this option to work there must be a working NIS system and the Samba server with this option must also be a logon server.</string>
+ <string id="POL_359CDEF8_9711_56A5_8621_C50718A5B8A1">nmbd bind explicit broadcast</string>
+ <string id="POL_359CDEF8_9711_56A5_8621_C50718A5B8A1_Help">This option causes nmbd 8 to explicitly bind to the broadcast address of the local subnets. This is needed to make nmbd work correctly in combination with the option. You should not need to unset this option.</string>
+ <string id="POL_23418947_2DAF_54B3_812C_D9B43F49CFCB">panic action</string>
+ <string id="POL_23418947_2DAF_54B3_812C_D9B43F49CFCB_Help">This is a Samba developer option that allows a system command to be called when either smbd 8 or nmbd 8 crashes. This is usually used to draw attention to the fact that a problem occurred.
+
+Example: /bin/sleep 90000</string>
+ <string id="POL_C5C3267E_6E80_5311_96A5_B492C8C3C0AF">perfcount module</string>
+ <string id="POL_C5C3267E_6E80_5311_96A5_B492C8C3C0AF_Help">This parameter specifies the perfcount backend to be used when monitoring SMB operations. Only one perfcount module may be used, and it must implement all of the apis contained in the smb_perfcount_handler structure defined in smb.h.</string>
+ <string id="POL_02EAE588_9ED7_589C_A454_5B168B65A48A">pid directory</string>
+ <string id="POL_02EAE588_9ED7_589C_A454_5B168B65A48A_Help">This option specifies the directory where pid files will be placed.
+
+Example: /var/run/</string>
+ <string id="POL_77C5FC2D_BBFA_5B4E_906F_ED49B11BF069">registry shares</string>
+ <string id="POL_77C5FC2D_BBFA_5B4E_906F_ED49B11BF069_Help">This turns on or off support for share definitions read from registry. Shares defined in smb.conf take precedence over shares with the same name defined in registry. See the section on registry-based configuration for details.
+ Note that this parameter defaults to no, but it is set to yes when config backend is set to registry.
+
+Example: yes</string>
+ <string id="POL_0FB22970_94A4_5403_888E_3CF8242A955C">remote announce</string>
+ <string id="POL_0FB22970_94A4_5403_888E_3CF8242A955C_Help">This option allows you to setup nmbd 8 to periodically announce itself to arbitrary IP addresses with an arbitrary workgroup name.
+ This is useful if you want your Samba server to appear in a remote workgroup for which the normal browse propagation rules don't work. The remote workgroup can be anywhere that you can send IP packets to.
+ For example:
+
+remote announce = 192.168.2.255/SERVERS 192.168.4.255/STAFF
+ the above line would cause nmbd to announce itself to the two given IP addresses using the given workgroup names. If you leave out the workgroup name, then the one given in the parameter is used instead.
+ The IP addresses you choose would normally be the broadcast addresses of the remote networks, but can also be the IP addresses of known browse masters if your network config is that stable.
+ See the chapter on Network Browsing in the Samba-HOWTO book.</string>
+ <string id="POL_B570A06A_7945_5818_B81D_D27007986548">remote browse sync</string>
+ <string id="POL_B570A06A_7945_5818_B81D_D27007986548_Help">This option allows you to setup nmbd 8 to periodically request synchronization of browse lists with the master browser of a Samba server that is on a remote segment. This option will allow you to gain browse lists for multiple workgroups across routed networks. This is done in a manner that does not work with any non-Samba servers.
+ This is useful if you want your Samba server and all local clients to appear in a remote workgroup for which the normal browse propagation rules don't work. The remote workgroup can be anywhere that you can send IP packets to.
+ For example:
+
+remote browse sync = 192.168.2.255 192.168.4.255
+ the above line would cause nmbd to request the master browser on the specified subnets or addresses to synchronize their browse lists with the local server.
+ The IP addresses you choose would normally be the broadcast addresses of the remote networks, but can also be the IP addresses of known browse masters if your network config is that stable. If a machine IP address is given Samba makes NO attempt to validate that the remote machine is available, is listening, nor that it is in fact the browse master on its segment.
+ The may be used on networks where there is no WINS server, and may be used on disjoint networks where each network has its own WINS server.</string>
+ <string id="POL_BA134175_B8C1_5781_9585_AF3A47C44354">reset on zero vc</string>
+ <string id="POL_BA134175_B8C1_5781_9585_AF3A47C44354_Help">This boolean option controls whether an incoming SMB1 session setup should kill other connections coming from the same IP. This matches
+ the default Windows 2003 behaviour.
+ Setting this parameter to yes becomes necessary when you have a flaky network and windows decides to reconnect while the old connection still has files with share modes open. These files become inaccessible over the new connection.
+ The client sends a zero VC on the new connection, and Windows 2003 kills all other connections coming from the same IP. This way the locked files are accessible again.
+ Please be aware that enabling this option will kill connections behind a masquerading router, and will not trigger for clients that only use SMB2 or SMB3.</string>
+ <string id="POL_F0071286_C011_5F1C_A520_2DD14DF7682C">rpc_daemon:DAEMON</string>
+ <string id="POL_F0071286_C011_5F1C_A520_2DD14DF7682C_Help">Defines whether to use the embedded code or start a separate daemon for the defined rpc services. The rpc_daemon prefix must be followed by the server name, and a value.
+ Two possible values are currently supported: disabled fork
+ The classic method is to run rpc services as internal daemons embedded in smbd, therefore the external daemons are disabled by default.
+ Choosing the fork option will cause samba to fork a separate process for each daemon configured this way. Each daemon may in turn fork a number of children used to handle requests from multiple smbds and direct tcp/ip connections (if the Endpoint Mapper is enabled). Communication with smbd happens over named pipes and require that said pipes are forward to the external daemon (see ).
+ Forked RPC Daemons support dynamically forking children to handle connections. The heuristics about how many children to keep around and how fast to allow them to fork and also how many clients each child is allowed to handle concurrently is defined by parametrical options named after the daemon. Five options are currently supported: prefork_min_children prefork_max_children prefork_spawn_rate prefork_max_allowed_clients prefork_child_min_life
+ To set one of these options use the following syntax: daemonname:prefork_min_children = 5
+ Samba includes separate daemons for spoolss, lsarpc/lsass, netlogon, samr, FSRVP and mdssvc(Spotlight). Currently five daemons are available and they are called: epmd lsasd spoolssd fssd mdssd Example: rpc_daemon:spoolssd = fork</string>
+ <string id="POL_820BF686_A78C_5314_A371_3633A8448DC2">rpc_server:SERVER</string>
+ <string id="POL_820BF686_A78C_5314_A371_3633A8448DC2_Help">With this option you can define if a rpc service should be running internal/embedded in smbd or should be redirected to an external daemon like Samba4, the endpoint mapper daemon, the spoolss daemon or the new LSA service daemon. The rpc_server prefix must be followed by the pipe name, and a value.
+ This option can be set for each available rpc service in Samba. The following list shows all available pipe names services you can modify with this option.
+ epmapper - Endpoint Mapper winreg - Remote Registry Service srvsvc - Remote Server Services lsarpc - Local Security Authority samr - Security Account Management netlogon - Netlogon Remote Protocol netdfs - Settings for Distributed File System dssetup - Active Directory Setup wkssvc - Workstation Services spoolss - Network Printing Spooler svcctl - Service Control ntsvcs - Plug and Play Services eventlog - Event Logger initshutdown - Init Shutdown Service mdssvc - Spotlight
+ Three possible values currently supported are: embedded external disabled
+ The classic method is to run every pipe as an internal function embedded in smbd. The defaults may vary depending on the service.
+ Choosing the external option allows one to run a separate daemon or even a completely independent (3rd party) server capable of interfacing with samba via the MS-RPC interface over named pipes.
+ Currently in Samba3 we support four daemons, spoolssd, epmd, lsasd and mdssd. These daemons can be enabled using the rpc_daemon option. For spoolssd you have to enable the daemon and proxy the named pipe with:
+ Examples: rpc_daemon:lsasd = fork rpc_server:lsarpc = external rpc_server:samr = external rpc_server:netlogon = external
+ rpc_server:spoolss = external rpc_server:epmapper = disabled
+ rpc_daemon:mdssd = fork rpc_server:mdssvc = external
+ There is one special option which allows you to enable rpc services to listen for ncacn_ip_tcp connections too. Currently this is only used for testing and doesn't scale!
+ rpc_server:tcpip = yes</string>
+ <string id="POL_70434A64_4979_53D2_80EE_09FBF1562741">smbd profiling level</string>
+ <string id="POL_70434A64_4979_53D2_80EE_09FBF1562741_Help">This parameter allows the administrator to enable profiling support. Possible values are off, count and on.
+
+Example: on</string>
+ <string id="POL_9598A191_3D22_5B49_8188_8D6901A5B4CE">state directory</string>
+ <string id="POL_9598A191_3D22_5B49_8188_8D6901A5B4CE_Help">Usually, most of the TDB files are stored in the lock directory. Since Samba 3.4.0, it is possible to differentiate between TDB files with persistent data and TDB files with non-persistent data using the state directory and the cache directory options.
+ This option specifies the directory where TDB files containing important persistent data will be stored.
+
+Example: /var/run/samba/locks/state</string>
+ <string id="POL_73FD8B56_579A_5BC6_A49A_4000BE94A02F">usershare allow guests</string>
+ <string id="POL_73FD8B56_579A_5BC6_A49A_4000BE94A02F_Help">This parameter controls whether user defined shares are allowed to be accessed by non-authenticated users or not. It is the equivalent of allowing people who can create a share the option of setting guest ok = yes in a share definition. Due to its security sensitive nature, the default is set to off.</string>
+ <string id="POL_A0CE47E8_AE8A_5602_8265_1C8D3AEC6064">usershare max shares</string>
+ <string id="POL_A0CE47E8_AE8A_5602_8265_1C8D3AEC6064_Help">This parameter specifies the number of user defined shares that are allowed to be created by users belonging to the group owning the usershare directory. If set to zero (the default) user defined shares are ignored.</string>
+ <string id="POL_411611B5_93F6_546F_B68B_05167A064628">usershare owner only</string>
+ <string id="POL_411611B5_93F6_546F_B68B_05167A064628_Help">This parameter controls whether the pathname exported by a user defined shares must be owned by the user creating the user defined share or not. If set to True (the default) then smbd checks that the directory path being shared is owned by the user who owns the usershare file defining this share and refuses to create the share if not. If set to False then no such check is performed and any directory path may be exported regardless of who owns it.</string>
+ <string id="POL_DD97B40A_CB2A_5818_8D39_F94911EB3F13">usershare path</string>
+ <string id="POL_DD97B40A_CB2A_5818_8D39_F94911EB3F13_Help">This parameter specifies the absolute path of the directory on the filesystem used to store the user defined share definition files. This directory must be owned by root, and have no access for other, and be writable only by the group owner. In addition the "sticky" bit must also be set, restricting rename and delete to owners of a file (in the same way the /tmp directory is usually configured). Members of the group owner of this directory are the users allowed to create usershares. For example, a valid usershare directory might be /usr/local/samba/lib/usershares, set up as follows. ls -ld /usr/local/samba/lib/usershares/ drwxrwx--T 2 root power_users 4096 2006-05-05 12:27 /usr/local/samba/lib/usershares/ In this case, only members of the group "power_users" can create user defined shares.</string>
+ <string id="POL_4AAFAB11_EB55_5600_A574_08E074B5DC28">usershare prefix allow list</string>
+ <string id="POL_4AAFAB11_EB55_5600_A574_08E074B5DC28_Help">This parameter specifies a list of absolute pathnames the root of which are allowed to be exported by user defined share definitions. If the pathname to be exported doesn't start with one of the strings in this list, the user defined share will not be allowed. This allows the Samba administrator to restrict the directories on the system that can be exported by user defined shares. If there is a "usershare prefix deny list" and also a "usershare prefix allow list" the deny list is processed first, followed by the allow list, thus leading to the most restrictive interpretation.
+
+Example: /home /data /space</string>
+ <string id="POL_1D783E13_3E5A_5FEB_B1C0_486FF385960E">usershare prefix deny list</string>
+ <string id="POL_1D783E13_3E5A_5FEB_B1C0_486FF385960E_Help">This parameter specifies a list of absolute pathnames the root of which are NOT allowed to be exported by user defined share definitions. If the pathname exported starts with one of the strings in this list the user defined share will not be allowed. Any pathname not starting with one of these strings will be allowed to be exported as a usershare. This allows the Samba administrator to restrict the directories on the system that can be exported by user defined shares. If there is a "usershare prefix deny list" and also a "usershare prefix allow list" the deny list is processed first, followed by the allow list, thus leading to the most restrictive interpretation.
+
+Example: /etc /dev /private</string>
+ <string id="POL_2974E59A_2225_59CA_A4C8_C967FDB0E588">usershare template share</string>
+ <string id="POL_2974E59A_2225_59CA_A4C8_C967FDB0E588_Help">User defined shares only have limited possible parameters such as path, guest ok, etc. This parameter allows usershares to "cloned" from an existing share. If "usershare template share" is set to the name of an existing share, then all usershares created have their defaults set from the parameters set on this share. The target share may be set to be invalid for real file sharing by setting the parameter "-valid = False" on the template share definition. This causes it not to be seen as a real exported share but to be able to be used as a template for usershares.
+
+Example: template_share</string>
+ <string id="POL_99ADA47F_F025_52B8_B8F5_DDFA0EEFEF31">utmp</string>
+ <string id="POL_99ADA47F_F025_52B8_B8F5_DDFA0EEFEF31_Help">This boolean parameter is only available if Samba has been configured and compiled with the option --with-utmp. If set to yes then Samba will attempt to add utmp or utmpx records (depending on the UNIX system) whenever a connection is made to a Samba server. Sites may use this to record the user connecting to a Samba share.
+ Due to the requirements of the utmp record, we are required to create a unique identifier for the incoming user. Enabling this option creates an n^2 algorithm to find this number. This may impede performance on large installations.</string>
+ <string id="POL_21565354_4253_5482_97D2_9C2558461C47">utmp directory</string>
+ <string id="POL_21565354_4253_5482_97D2_9C2558461C47_Help">This parameter is only available if Samba has been configured and compiled with the option --with-utmp. It specifies a directory pathname that is used to store the utmp or utmpx files (depending on the UNIX system) that record user connections to a Samba server. By default this is not set, meaning the system will use whatever utmp file the native system is set to use (usually /var/run/utmp on Linux).
+
+Example: /var/run/utmp</string>
+ <string id="POL_4F8E9BC0_CFAB_52F8_9C49_B8BB7400E60A">wtmp directory</string>
+ <string id="POL_4F8E9BC0_CFAB_52F8_9C49_B8BB7400E60A_Help">This parameter is only available if Samba has been configured and compiled with the option --with-utmp. It specifies a directory pathname that is used to store the wtmp or wtmpx files (depending on the UNIX system) that record user connections to a Samba server. The difference with the utmp directory is the fact that user info is kept after a user has logged out. By default this is not set, meaning the system will use whatever utmp file the native system is set to use (usually /var/run/wtmp on Linux).
+
+Example: /var/log/wtmp</string>
+ <string id="POL_83F826D3_2069_552C_8376_C0512E99728D">addport command</string>
+ <string id="POL_83F826D3_2069_552C_8376_C0512E99728D_Help">Samba 3.0.23 introduced support for adding printer ports remotely using the Windows "Add Standard TCP/IP Port Wizard". This option defines an external program to be executed when smbd receives a request to add a new Port to the system. The script is passed two parameters:
+ port name device URI
+
+ The deviceURI is in the format of socket://<hostname>[:<portnumber>] or lpd://<hostname>/<queuename>.
+
+Example: /etc/samba/scripts/addport.sh</string>
+ <string id="POL_B4BE84FF_FB13_5496_AC34_B15BF764F654">addprinter command</string>
+ <string id="POL_B4BE84FF_FB13_5496_AC34_B15BF764F654_Help">With the introduction of MS-RPC based printing
+ support for Windows NT/2000 clients in Samba 2.2, The MS Add
+ Printer Wizard (APW) icon is now also available in the
+ "Printers..." folder displayed a share listing. The APW
+ allows for printers to be add remotely to a Samba or Windows
+ NT/2000 print server.
+ For a Samba host this means that the printer must be
+ physically added to the underlying printing system.
+ The addprinter command
+ defines a script to be run which
+ will perform the necessary operations for adding the printer
+ to the print system and to add the appropriate service definition
+ to the smb.conf file in order that it can be
+ shared by smbd
+ 8.
+ The addprinter command is
+ automatically invoked with the following parameter (in
+ order):
+ printer name share name port name driver name location Windows 9x driver location
+
+ All parameters are filled in from the PRINTER_INFO_2 structure sent
+ by the Windows NT/2000 client with one exception. The "Windows 9x
+ driver location" parameter is included for backwards compatibility
+ only. The remaining fields in the structure are generated from answers
+ to the APW questions.
+
+ Once the addprinter command has
+ been executed, smbd will reparse the
+ smb.conf to determine if the share defined by the APW
+ exists. If the sharename is still invalid, then smbd
+ will return an ACCESS_DENIED error to the client.
+
+
+ The addprinter command program
+ can output a single line of text,
+ which Samba will set as the port the new printer is connected to.
+ If this line isn't output, Samba won't reload its printer shares.
+
+Example: /usr/bin/addprinter</string>
+ <string id="POL_D9D048A2_779C_5D85_A26E_131535508B70">cups connection timeout</string>
+ <string id="POL_D9D048A2_779C_5D85_A26E_131535508B70_Help">This parameter is only applicable if is set to cups.
+
+
+
+ If set, this option specifies the number of seconds that smbd will wait
+ whilst trying to contact to the CUPS server. The connection will fail
+ if it takes longer than this number of seconds.
+
+Example: 60</string>
+ <string id="POL_AB9D00A2_AB72_5D21_94C6_8EC1238F2793">cups encrypt</string>
+ <string id="POL_AB9D00A2_AB72_5D21_94C6_8EC1238F2793_Help">This parameter is only applicable if is set to cups and if you use CUPS newer than 1.0.x.It is used to define whether or not Samba should use encryption when talking to the CUPS server. Possible values are auto, yes and no
+ When set to auto we will try to do a TLS handshake on each CUPS connection setup. If that fails, we will fall back to unencrypted operation.</string>
+ <string id="POL_CDEAD263_A87A_550A_A067_3FF8C0C60986">cups server</string>
+ <string id="POL_CDEAD263_A87A_550A_A067_3FF8C0C60986_Help">This parameter is only applicable if is set to cups.
+
+
+
+ If set, this option overrides the ServerName option in the CUPS client.conf. This is
+ necessary if you have virtual samba servers that connect to different CUPS daemons.
+
+
+ Optionally, a port can be specified by separating the server name and port number with a colon. If no port was specified, the default port for IPP (631) will be used.
+
+Example: mycupsserver
+
+Example: mycupsserver:1631</string>
+ <string id="POL_7CC90037_633A_5C8D_99C5_380E6B2E1EF0">deleteprinter command</string>
+ <string id="POL_7CC90037_633A_5C8D_99C5_380E6B2E1EF0_Help">With the introduction of MS-RPC based printer
+ support for Windows NT/2000 clients in Samba 2.2, it is now
+ possible to delete a printer at run time by issuing the
+ DeletePrinter() RPC call.
+ For a Samba host this means that the printer must be
+ physically deleted from the underlying printing system. The
+ defines a script to be run which
+ will perform the necessary operations for removing the printer
+ from the print system and from smb.conf.
+
+ The is
+ automatically called with only one parameter: .
+ Once the has
+ been executed, smbd will reparse the
+ smb.conf to check that the associated printer no longer exists.
+ If the sharename is still valid, then smbd
+ will return an ACCESS_DENIED error to the client.
+
+Example: /usr/bin/removeprinter</string>
+ <string id="POL_60B548F0_E8B3_576F_B520_D4954AF3ED8E">disable spoolss</string>
+ <string id="POL_60B548F0_E8B3_576F_B520_D4954AF3ED8E_Help">Enabling this parameter will disable Samba's support
+ for the SPOOLSS set of MS-RPC's and will yield identical behavior
+ as Samba 2.0.x. Windows NT/2000 clients will downgrade to using
+ Lanman style printing commands. Windows 9x/ME will be unaffected by
+ the parameter. However, this will also disable the ability to upload
+ printer drivers to a Samba server via the Windows NT Add Printer
+ Wizard or by using the NT printer properties dialog window. It will
+ also disable the capability of Windows NT/2000 clients to download
+ print drivers from the Samba host upon demand.
+ Be very careful about enabling this parameter.</string>
+ <string id="POL_EAFBD5E6_54EC_5776_A757_5401DE77BBCE">enable spoolss</string>
+ <string id="POL_EAFBD5E6_54EC_5776_A757_5401DE77BBCE_Help">Inverted synonym for .</string>
+ <string id="POL_88C2E1AE_E15B_561A_83B3_A7A7610CB3A2">enumports command</string>
+ <string id="POL_88C2E1AE_E15B_561A_83B3_A7A7610CB3A2_Help">The concept of a "port" is fairly foreign
+ to UNIX hosts. Under Windows NT/2000 print servers, a port
+ is associated with a port monitor and generally takes the form of
+ a local port (i.e. LPT1:, COM1:, FILE:) or a remote port
+ (i.e. LPD Port Monitor, etc...). By default, Samba has only one
+ port defined--"Samba Printer Port". Under
+ Windows NT/2000, all printers must have a valid port name.
+ If you wish to have a list of ports displayed (smbd
+ does not use a port name for anything) other than
+ the default "Samba Printer Port", you
+ can define enumports command to point to
+ a program which should generate a list of ports, one per line,
+ to standard output. This listing will then be used in response
+ to the level 1 and 2 EnumPorts() RPC.
+
+Example: /usr/bin/listports</string>
+ <string id="POL_5247D3AE_60E1_526B_B3A0_956818E2EA49">iprint server</string>
+ <string id="POL_5247D3AE_60E1_526B_B3A0_956818E2EA49_Help">This parameter is only applicable if is set to iprint.
+
+
+
+ If set, this option overrides the ServerName option in the CUPS client.conf. This is
+ necessary if you have virtual samba servers that connect to different CUPS daemons.
+
+Example: MYCUPSSERVER</string>
+ <string id="POL_A6ACC104_2480_55A0_A53C_D38DFF7A093B">load printers</string>
+ <string id="POL_A6ACC104_2480_55A0_A53C_D38DFF7A093B_Help">A boolean variable that controls whether all
+ printers in the printcap will be loaded for browsing by default.
+ See the section for
+ more details.</string>
+ <string id="POL_5CC89C3B_45B2_5C52_ADE0_79FB968E5EDE">lpq cache time</string>
+ <string id="POL_5CC89C3B_45B2_5C52_ADE0_79FB968E5EDE_Help">This controls how long lpq info will be cached for to prevent the lpq command being called too often. A separate cache is kept for each variation of the lpq command used by the system, so if you use different lpq commands for different users then they won't share cache information.
+ The cache files are stored in /tmp/lpq.xxxx where xxxx is a hash of the lpq command in use.
+ The default is 30 seconds, meaning that the cached results of a previous identical lpq command will be used if the cached data is less than 30 seconds old. A large value may be advisable if your lpq command is very slow.
+
+A value of 0 will disable caching completely.
+
+Example: 10</string>
+ <string id="POL_45819251_B577_5069_AA0C_AD798BFDC903">os2 driver map</string>
+ <string id="POL_45819251_B577_5069_AA0C_AD798BFDC903_Help">The parameter is used to define the absolute
+ path to a file containing a mapping of Windows NT printer driver
+ names to OS/2 printer driver names. The format is:
+ <nt driver name> = <os2 driver name>.<device name>
+ For example, a valid entry using the HP LaserJet 5
+ printer driver would appear as HP LaserJet 5L = LASERJET.HP
+ LaserJet 5L.
+
+ The need for the file is due to the printer driver namespace problem described in
+ the chapter on Classical Printing in the Samba3-HOWTO book. For more
+ details on OS/2 clients, please refer to chapter on other clients in the Samba3-HOWTO book.</string>
+ <string id="POL_40CAC79E_549A_5AAA_8FD3_DDF6FDC3EF35">printcap cache time</string>
+ <string id="POL_40CAC79E_549A_5AAA_8FD3_DDF6FDC3EF35_Help">This option specifies the number of seconds before the printing
+ subsystem is again asked for the known printers.
+
+
+ Setting this parameter to 0 disables any rescanning for new
+ or removed printers after the initial startup.
+
+Example: 600</string>
+ <string id="POL_A0530959_BE77_53B1_82AC_B3E11CA6D2D8">printcap name</string>
+ <string id="POL_A0530959_BE77_53B1_82AC_B3E11CA6D2D8_Help">This parameter may be used to override the compiled-in default printcap name used by the server (usually /etc/printcap). See the discussion of the [printers] section above for reasons why you might want to do this.
+
+ To use the CUPS printing interface set printcap name = cups . This should be supplemented by an additional setting cups in the [global] section. printcap name = cups will use the "dummy" printcap created by CUPS, as specified in your CUPS configuration file.
+
+
+ On System V systems that use lpstat to
+ list available printers you can use printcap name = lpstat
+ to automatically obtain lists of available printers. This
+ is the default for systems that define SYSV at configure time in
+ Samba (this includes most System V based systems). If
+ printcap name is set to lpstat on
+ these systems then Samba will launch lpstat -v and
+ attempt to parse the output to obtain a printer list.
+
+ A minimal printcap file would look something like this:
+
+print1|My Printer 1
+print2|My Printer 2
+print3|My Printer 3
+print4|My Printer 4
+print5|My Printer 5
+
+ where the '|' separates aliases of a printer. The fact that the second alias has a space in it gives a hint to Samba that it's a comment.
+
+ Under AIX the default printcap name is /etc/qconfig. Samba will assume the file is in AIX qconfig format if the string qconfig appears in the printcap filename.
+
+Example: /etc/myprintcap</string>
+ <string id="POL_73B2297D_6138_544A_BAF8_A31CC8192C22">show add printer wizard</string>
+ <string id="POL_73B2297D_6138_544A_BAF8_A31CC8192C22_Help">With the introduction of MS-RPC based printing support
+ for Windows NT/2000 client in Samba 2.2, a "Printers..." folder will
+ appear on Samba hosts in the share listing. Normally this folder will
+ contain an icon for the MS Add Printer Wizard (APW). However, it is
+ possible to disable this feature regardless of the level of privilege
+ of the connected user.
+ Under normal circumstances, the Windows NT/2000 client will
+ open a handle on the printer server with OpenPrinterEx() asking for
+ Administrator privileges. If the user does not have administrative
+ access on the print server (i.e is not root or has granted the
+ SePrintOperatorPrivilege), the OpenPrinterEx()
+ call fails and the client makes another open call with a request for
+ a lower privilege level. This should succeed, however the APW
+ icon will not be displayed.
+ Disabling the show add printer wizard
+ parameter will always cause the OpenPrinterEx() on the server to fail. Thus the APW icon will never be displayed.
+
+This does not prevent the same user from having administrative privilege on an individual printer.</string>
+ <string id="POL_3CD8EF2C_23D9_58C5_A92C_3E1C2E4F3A4A">spoolss: architecture</string>
+ <string id="POL_3CD8EF2C_23D9_58C5_A92C_3E1C2E4F3A4A_Help">Windows spoolss print clients only allow association of server-side drivers with printers when the driver architecture matches the advertised print server architecture. Samba's spoolss print server architecture can be changed using this parameter.
+
+Example: Windows x64</string>
+ <string id="POL_DE5BD97B_EB5B_571A_98EE_814B2C006262">spoolss: os_major</string>
+ <string id="POL_DE5BD97B_EB5B_571A_98EE_814B2C006262_Help">Windows might require a new os version number. This option allows to modify the build number. The complete default version number is: 5.0.2195 (Windows 2000). The example is 6.1.7601 (Windows 2008 R2).
+
+Example: 6</string>
+ <string id="POL_5EB4315D_6DDE_50E9_A228_2F5062CB23B9">spoolss: os_minor</string>
+ <string id="POL_5EB4315D_6DDE_50E9_A228_2F5062CB23B9_Help">Windows might require a new os version number. This option allows to modify the build number. The complete default version number is: 5.0.2195 (Windows 2000). The example is 6.1.7601 (Windows 2008 R2).
+
+Example: 1</string>
+ <string id="POL_FEE2B5DC_E367_5173_8A6A_43EB82F22680">spoolss: os_build</string>
+ <string id="POL_FEE2B5DC_E367_5173_8A6A_43EB82F22680_Help">Windows might require a new os version number. This option allows to modify the build number. The complete default version number is: 5.0.2195 (Windows 2000). The example is 6.1.7601 (Windows 2008 R2).
+
+Example: 7601</string>
+ <string id="POL_6E7AC428_65F6_5006_97A7_B985AE445E43">spoolss_client: os_major</string>
+ <string id="POL_6E7AC428_65F6_5006_97A7_B985AE445E43_Help">Windows might require a new os version number. This option allows to modify the build number. The complete default version number is: 6.1.7007 (Windows 7 and Windows Server 2008 R2).</string>
+ <string id="POL_732E108C_5701_547E_903E_6112EDF3E999">spoolss_client: os_minor</string>
+ <string id="POL_732E108C_5701_547E_903E_6112EDF3E999_Help">Windows might require a new os version number. This option allows to modify the build number. The complete default version number is: 6.1.7007 (Windows 7 and Windows Server 2008 R2).</string>
+ <string id="POL_CBC8563A_7BEB_54F3_8554_74815EF130DF">spoolss_client: os_build</string>
+ <string id="POL_CBC8563A_7BEB_54F3_8554_74815EF130DF_Help">Windows might require a new os version number. This option allows to modify the build number. The complete default version number is: 6.1.7007 (Windows 7 and Windows Server 2008 R2).</string>
+ <string id="POL_A51777A2_FA82_5D61_B7E1_9B223537A750">cldap port</string>
+ <string id="POL_A51777A2_FA82_5D61_B7E1_9B223537A750_Help">This option controls the port used by the CLDAP protocol.
+
+Example: 3389</string>
+ <string id="POL_E2162FCB_2AF4_5BED_8254_84C87787CAA8">client ipc max protocol</string>
+ <string id="POL_E2162FCB_2AF4_5BED_8254_84C87787CAA8_Help">The value of the parameter (a string) is the highest
+ protocol level that will be supported for IPC$ connections as DCERPC transport.
+
+ Normally this option should not be set as the automatic
+ negotiation phase in the SMB protocol takes care of choosing
+ the appropriate protocol.
+
+ The value default refers to the latest
+ supported protocol, currently SMB3_11.
+
+ See for a full list
+ of available protocols. The values CORE, COREPLUS, LANMAN1, LANMAN2
+ are silently upgraded to NT1.
+
+Example: SMB2_10</string>
+ <string id="POL_86DD41DB_D3AE_5445_8E2D_335E8182ECDF">client ipc min protocol</string>
+ <string id="POL_86DD41DB_D3AE_5445_8E2D_335E8182ECDF_Help">This setting controls the minimum protocol version that the will be attempted to use for IPC$ connections as DCERPC transport.
+ Normally this option should not be set as the automatic negotiation phase in the SMB protocol takes care of choosing the appropriate protocol.
+ The value default refers to the higher value of NT1 and the effective value of .
+ See for a full list of available protocols. The values CORE, COREPLUS, LANMAN1, LANMAN2 are silently upgraded to NT1.
+
+Example: SMB3_11</string>
+ <string id="POL_8E18914D_E4D5_5B9E_8641_02F84DEA8092">client max protocol</string>
+ <string id="POL_8E18914D_E4D5_5B9E_8641_02F84DEA8092_Help">The value of the parameter (a string) is the highest
+ protocol level that will be supported by the client.
+
+ Possible values are :
+ CORE: Earliest version. No concept of user names. COREPLUS: Slight improvements on CORE for efficiency.
+ LANMAN1: First modern version of the protocol. Long filename support.
+ LANMAN2: Updates to Lanman1 protocol.
+ NT1: Current up to date version of the protocol. Used by Windows NT. Known as CIFS.
+ SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and later versions of Windows. SMB2 has sub protocols available. SMB2_02: The earliest SMB2 version. SMB2_10: Windows 7 SMB2 version. By default SMB2 selects the SMB2_10 variant.
+ SMB3: The same as SMB2. Used by Windows 8. SMB3 has sub protocols available. SMB3_00: Windows 8 SMB3 version. SMB3_02: Windows 8.1 SMB3 version. SMB3_11: Windows 10 SMB3 version. By default SMB3 selects the SMB3_11 variant.
+
+
+ Normally this option should not be set as the automatic
+ negotiation phase in the SMB protocol takes care of choosing
+ the appropriate protocol.
+
+ The value default refers to SMB3_11.
+
+ IPC$ connections for DCERPC e.g. in winbindd, are handled by the
+ option.
+
+Example: LANMAN1</string>
+ <string id="POL_277C30D1_A2C2_5AB4_8748_A9ECC063AE91">client min protocol</string>
+ <string id="POL_277C30D1_A2C2_5AB4_8748_A9ECC063AE91_Help">This setting controls the minimum protocol version that the client will attempt to use.
+ Normally this option should not be set as the automatic negotiation phase in the SMB protocol takes care of choosing the appropriate protocol unless you connect to a legacy SMB1-only server.
+ See client max protocol for a full list of available protocols.
+ IPC$ connections for DCERPC e.g. in winbindd, are handled by the option.
+ Note that most command line tools support --option='client min protocol=NT1', so it may not be required to enable SMB1 protocols globally in smb.conf.
+
+Example: NT1</string>
+ <string id="POL_89A40B64_721B_55DF_841D_C3481F32C2FF">client use spnego</string>
+ <string id="POL_89A40B64_721B_55DF_841D_C3481F32C2FF_Help">This variable controls whether Samba clients will try
+ to use Simple and Protected NEGOtiation (as specified by rfc2478) with
+ supporting servers (including WindowsXP, Windows2000 and Samba
+ 3.0) to agree upon an authentication
+ mechanism. This enables Kerberos authentication in particular.
+
+ When is also set to
+ yes extended security (SPNEGO) is required
+ in order to use NTLMv2 only within NTLMSSP. This behavior was
+ introduced with the patches for CVE-2016-2111.</string>
+ <string id="POL_FCF4AF88_1B2D_5A6E_B630_7E88FA13F4EB">dcerpc endpoint servers</string>
+ <string id="POL_FCF4AF88_1B2D_5A6E_B630_7E88FA13F4EB_Help">Specifies which DCE/RPC endpoint servers should be run.
+
+Example: rpcecho</string>
+ <string id="POL_73CE9581_7CF3_5CD8_ABBD_3DD273E7ED10">defer sharing violations</string>
+ <string id="POL_73CE9581_7CF3_5CD8_ABBD_3DD273E7ED10_Help">Windows allows specifying how a file will be shared with other processes when it is opened. Sharing violations occur when a file is opened by a different process using options that violate the share settings specified by other processes. This parameter causes smbd to act as a Windows server does, and defer returning a "sharing violation" error message for up to one second, allowing the client to close the file causing the violation in the meantime.
+ UNIX by default does not have this behaviour.
+ There should be no reason to turn off this parameter, as it is designed to enable Samba to more correctly emulate Windows.</string>
+ <string id="POL_951C9DAC_2C21_58B0_8B22_D9D2CCEB1755">dgram port</string>
+ <string id="POL_951C9DAC_2C21_58B0_8B22_D9D2CCEB1755_Help">Specifies which ports the server should listen on for NetBIOS datagram traffic.</string>
+ <string id="POL_401F735E_7E1F_5EBC_A3E3_9642A9F023DA">disable netbios</string>
+ <string id="POL_401F735E_7E1F_5EBC_A3E3_9642A9F023DA_Help">Enabling this parameter will disable netbios support
+ in Samba. Netbios is the only available form of browsing in
+ all windows versions except for 2000 and XP.
+
+ Clients that only support netbios won't be able to
+ see your samba server when netbios support is disabled.</string>
+ <string id="POL_6BB5884D_D948_5765_B165_FCB496E3A64A">enable asu support</string>
+ <string id="POL_6BB5884D_D948_5765_B165_FCB496E3A64A_Help">Hosts running the "Advanced Server for Unix (ASU)" product
+ require some special accommodations such as creating a builtin [ADMIN$]
+ share that only supports IPC connections. The has been the default
+ behavior in smbd for many years. However, certain Microsoft applications
+ such as the Print Migrator tool require that the remote server support
+ an [ADMIN$] file share. Disabling this parameter allows for creating
+ an [ADMIN$] file share in smb.conf.</string>
+ <string id="POL_D389B35D_C2C8_5971_A195_FBD8C0AAC94C">eventlog list</string>
+ <string id="POL_D389B35D_C2C8_5971_A195_FBD8C0AAC94C_Help">This option defines a list of log names that Samba will
+ report to the Microsoft EventViewer utility. The listed
+ eventlogs will be associated with tdb file on disk in the
+ $(statedir)/eventlog.
+
+
+
+ The administrator must use an external process to parse the normal
+ Unix logs such as /var/log/messages
+ and write then entries to the eventlog tdb files. Refer to the
+ eventlogadm(8) utility for how to write eventlog entries.
+
+Example: Security Application Syslog Apache</string>
+ <string id="POL_04CE2D0D_386E_5CA3_B450_F1BC9FC9CC9B">large readwrite</string>
+ <string id="POL_04CE2D0D_386E_5CA3_B450_F1BC9FC9CC9B_Help">This parameter determines whether or not
+ smbd
+ 8 supports the new 64k
+ streaming read and write variant SMB requests introduced with
+ Windows 2000. Note that due to Windows 2000 client redirector bugs
+ this requires Samba to be running on a 64-bit capable operating
+ system such as IRIX, Solaris or a Linux 2.4 kernel. Can improve
+ performance by 10% with Windows 2000 clients. Defaults to on. Not as tested as some other Samba code paths.</string>
+ <string id="POL_63F5048E_6174_5012_8637_738DD79034E5">lsa over netlogon</string>
+ <string id="POL_63F5048E_6174_5012_8637_738DD79034E5_Help">Setting this deprecated option will allow the RPC server in the AD DC to answer the LSARPC interface on the \pipe\netlogon IPC pipe.
+ When enabled, this matches the behaviour of Microsoft's Windows, due to their internal implementation choices.
+ If it is disabled (the default), the AD DC can offer improved performance, as the netlogon server is decoupled and can run as multiple processes.</string>
+ <string id="POL_87E8C778_F6AC_5666_8855_D40F11853504">max mux</string>
+ <string id="POL_87E8C778_F6AC_5666_8855_D40F11853504_Help">This option controls the maximum number of
+ outstanding simultaneous SMB operations that Samba tells the client it will allow. You should never need to set this parameter.</string>
+ <string id="POL_E754670E_4295_5CAC_8817_8C848E31BA0B">max ttl</string>
+ <string id="POL_E754670E_4295_5CAC_8817_8C848E31BA0B_Help">This option tells nmbd
+ 8 what the default 'time to live'
+ of NetBIOS names should be (in seconds) when nmbd is
+ requesting a name using either a broadcast packet or from a WINS server. You should never need to change this parameter. The default is 3 days.</string>
+ <string id="POL_0AAACA11_DE41_5664_A306_F44D752598C5">max xmit</string>
+ <string id="POL_0AAACA11_DE41_5664_A306_F44D752598C5_Help">This option controls the maximum packet size
+ that will be negotiated by Samba's
+ smbd8
+ for the SMB1 protocol. The default is 16644, which
+ matches the behavior of Windows 2000. A value below 2048 is likely to cause problems.
+ You should never need to change this parameter from its default value.
+
+Example: 8192</string>
+ <string id="POL_24E58521_FFD2_5ADE_A9C8_4050EE408BC2">min receivefile size</string>
+ <string id="POL_24E58521_FFD2_5ADE_A9C8_4050EE408BC2_Help">This option changes the behavior of smbd
+8 when processing SMBwriteX calls. Any incoming
+SMBwriteX call on a non-signed SMB/CIFS connection greater than this value will not be processed in the normal way but will
+be passed to any underlying kernel recvfile or splice system call (if there is no such
+call Samba will emulate in user space). This allows zero-copy writes directly from network
+socket buffers into the filesystem buffer cache, if available. It may improve performance
+but user testing is recommended. If set to zero Samba processes SMBwriteX calls in the
+normal way. To enable POSIX large write support (SMB/CIFS writes up to 16Mb) this option must be
+nonzero. The maximum value is 128k. Values greater than 128k will be silently set to 128k.
+Note this option will have NO EFFECT if set on a SMB signed connection.
+The default is zero, which disables this option.</string>
+ <string id="POL_1DDE423B_1CCB_5179_87D3_1FEE7D4CA621">name resolve order</string>
+ <string id="POL_1DDE423B_1CCB_5179_87D3_1FEE7D4CA621_Help">This option is used by the programs in the Samba
+ suite to determine what naming services to use and in what order
+ to resolve host names to IP addresses. Its main purpose to is to
+ control how netbios name resolution is performed. The option takes a space
+ separated string of name resolution options.
+
+ The options are: "lmhosts", "host",
+ "wins" and "bcast". They cause names to be
+ resolved as follows:
+
+ lmhosts : Lookup an IP address in the Samba lmhosts file. If the line in lmhosts has no name type attached to the NetBIOS name (see the manpage for lmhosts for details) then any name type matches for lookup.
+ host : Do a standard host name to IP address resolution, using the system /etc/hosts , NIS, or DNS lookups. This method of name resolution is operating system depended for instance on IRIX or Solaris this may be controlled by the /etc/nsswitch.conf file. Note that this method is used only if the NetBIOS name type being queried is the 0x20 (server) name type or 0x1c (domain controllers). The latter case is only useful for active directory domains and results in a DNS query for the SRV RR entry matching _ldap._tcp.domain.
+ wins : Query a name with the IP address listed in the wins server parameter. If no WINS server has been specified this method will be ignored.
+ bcast : Do a broadcast on each of the known local interfaces listed in the parameter. This is the least reliable of the name resolution methods as it depends on the target host being on a locally connected subnet.
+
+
+ The example below will cause the local lmhosts file to be examined
+ first, followed by a broadcast attempt, followed by a normal
+ system hostname lookup.
+
+ When Samba is functioning in ADS security mode (security = ads)
+ it is advised to use following settings for name resolve order:
+
+ name resolve order = wins bcast
+
+ DC lookups will still be done via DNS, but fallbacks to netbios names will not inundate your DNS servers with needless queries for DOMAIN<0x1c> lookups.
+
+Example: lmhosts bcast host</string>
+ <string id="POL_B1C3F6FC_E4FB_58A7_9CE4_50090EF8FF17">nbt port</string>
+ <string id="POL_B1C3F6FC_E4FB_58A7_9CE4_50090EF8FF17_Help">Specifies which port the server should use for NetBIOS over IP name services traffic.</string>
+ <string id="POL_E2A4C01A_1EFC_5826_9D3A_A4AD065518EF">nt pipe support</string>
+ <string id="POL_E2A4C01A_1EFC_5826_9D3A_A4AD065518EF_Help">This boolean parameter controls whether
+ smbd
+ 8 will allow Windows NT
+ clients to connect to the NT SMB specific IPC$
+ pipes. This is a developer debugging option and can be left alone.</string>
+ <string id="POL_C1F0941D_67B4_55EA_A915_6F5E9A945E57">nt status support</string>
+ <string id="POL_C1F0941D_67B4_55EA_A915_6F5E9A945E57_Help">This boolean parameter controls whether smbd
+ 8 will negotiate NT specific status
+ support with Windows NT/2k/XP clients. This is a developer debugging option and should be left alone.
+ If this option is set to no then Samba offers
+ exactly the same DOS error codes that versions prior to Samba 2.2.3
+ reported.
+
+ You should not need to ever disable this parameter.</string>
+ <string id="POL_CDB6A4B8_D076_5332_9EA2_CC994C8B45C7">read raw</string>
+ <string id="POL_CDB6A4B8_D076_5332_9EA2_CC994C8B45C7_Help">This is ignored if is set,
+ because this feature is incompatible with raw read SMB requests
+
+ If enabled, raw reads allow reads of 65535 bytes in
+ one packet. This typically provides a major performance benefit for some very, very old clients.
+
+
+ However, some clients either negotiate the allowable
+ block size incorrectly or are incapable of supporting larger block sizes, and for these clients you may need to disable raw reads.
+
+In general this parameter should be viewed as a system tuning tool and left severely alone.</string>
+ <string id="POL_F9AD06B5_1870_5BE4_87A9_08E3821667E4">rpc big endian</string>
+ <string id="POL_F9AD06B5_1870_5BE4_87A9_08E3821667E4_Help">Setting this option will force the RPC client and server to transfer data in big endian.
+ If it is disabled, data will be transferred in little endian.
+ The behaviour is independent of the endianness of the host machine.</string>
+ <string id="POL_380E7843_58D7_505E_9092_392FE1FC4BA2">rpc server port</string>
+ <string id="POL_380E7843_58D7_505E_9092_392FE1FC4BA2_Help">Specifies which port the server should listen on for DCE/RPC over TCP/IP traffic. This controls the default port for all protocols, except for NETLOGON. If unset, the first available port from is used, e.g. 49152. The NETLOGON server will use the next available port, e.g. 49153. To change this port use (eg) rpc server port:netlogon = 4000. Furthermore, all RPC servers can have the port they use specified independenty, with (for example) rpc server port:drsuapi = 5000.
+ This option applies currently only when samba 8 runs as an active directory domain controller.
+ The default value 0 causes Samba to select the first available port from .</string>
+ <string id="POL_D910FC29_975B_5105_97C8_BD75D68FDC5F">server max protocol</string>
+ <string id="POL_D910FC29_975B_5105_97C8_BD75D68FDC5F_Help">The value of the parameter (a string) is the highest
+ protocol level that will be supported by the server.
+
+ Possible values are :
+ LANMAN1: First modern version of the protocol. Long filename support.
+ LANMAN2: Updates to Lanman1 protocol.
+ NT1: Current up to date version of the protocol. Used by Windows NT. Known as CIFS.
+ SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and later versions of Windows. SMB2 has sub protocols available. SMB2_02: The earliest SMB2 version. SMB2_10: Windows 7 SMB2 version. By default SMB2 selects the SMB2_10 variant.
+ SMB3: The same as SMB2. Used by Windows 8. SMB3 has sub protocols available. SMB3_00: Windows 8 SMB3 version. SMB3_02: Windows 8.1 SMB3 version. SMB3_11: Windows 10 SMB3 version. By default SMB3 selects the SMB3_11 variant.
+
+
+ Normally this option should not be set as the automatic
+ negotiation phase in the SMB protocol takes care of choosing
+ the appropriate protocol.
+
+Example: LANMAN1</string>
+ <string id="POL_98D56061_466A_5DDE_BFF3_8A194DE5FE2E">server min protocol</string>
+ <string id="POL_98D56061_466A_5DDE_BFF3_8A194DE5FE2E_Help">This setting controls the minimum protocol version that the server will allow the client to use.
+ Normally this option should not be set as the automatic negotiation phase in the SMB protocol takes care of choosing the appropriate protocol unless you have legacy clients which are SMB1 capable only.
+ See server max protocol for a full list of available protocols.
+
+Example: NT1</string>
+ <string id="POL_2A034462_D418_5914_B24C_6535DD368A66">share:fake_fscaps</string>
+ <string id="POL_2A034462_D418_5914_B24C_6535DD368A66_Help">This is needed to support some special application that makes QFSINFO calls to check whether we set the SPARSE_FILES bit (0x40). If this bit is not set that particular application refuses to work against Samba. With 64 the SPARSE_FILES file system capability flag is set. Use other decimal values to specify the bitmask you need to fake.</string>
+ <string id="POL_A3F9ABC7_494B_5007_B5A1_1DA0B9FC345D">smb2 max credits</string>
+ <string id="POL_A3F9ABC7_494B_5007_B5A1_1DA0B9FC345D_Help">This option controls the maximum number of outstanding simultaneous SMB2 operations
+that Samba tells the client it will allow. This is similar to the
+parameter for SMB1. You should never need to set this parameter.
+
+The default is 8192 credits, which is the same as a Windows 2008R2 SMB2 server.</string>
+ <string id="POL_209C2DE8_5843_50FC_9B61_A3F3EBFE95B5">smb2 max read</string>
+ <string id="POL_209C2DE8_5843_50FC_9B61_A3F3EBFE95B5_Help">This option specifies the protocol value that smbd
+8 will return to a client, informing the client of the largest
+size that may be returned by a single SMB2 read call.
+
+The maximum is 8388608 bytes (8MiB), which is the same as a Windows Server 2012 r2.
+Please note that the default is 8MiB, but it's limit is based on the
+smb2 dialect (64KiB for SMB == 2.0, 8MiB for SMB >= 2.1 with LargeMTU).
+Large MTU is not supported over NBT (tcp port 139).</string>
+ <string id="POL_0696582B_7928_558B_B4DA_9A0C647CFBB8">smb2 max trans</string>
+ <string id="POL_0696582B_7928_558B_B4DA_9A0C647CFBB8_Help">This option specifies the protocol value that smbd
+8 will return to a client, informing the client of the largest
+size of buffer that may be used in querying file meta-data via QUERY_INFO and related SMB2 calls.
+
+The maximum is 8388608 bytes (8MiB), which is the same as a Windows Server 2012 r2.
+Please note that the default is 8MiB, but it's limit is based on the
+smb2 dialect (64KiB for SMB == 2.0, 1MiB for SMB >= 2.1 with LargeMTU).
+Large MTU is not supported over NBT (tcp port 139).</string>
+ <string id="POL_DA17FE47_6637_50D0_9AD1_A95AAA49F717">smb2 max write</string>
+ <string id="POL_DA17FE47_6637_50D0_9AD1_A95AAA49F717_Help">This option specifies the protocol value that smbd
+8 will return to a client, informing the client of the largest
+size that may be sent to the server by a single SMB2 write call.
+
+The maximum is 8388608 bytes (8MiB), which is the same as a Windows Server 2012 r2.
+Please note that the default is 8MiB, but it's limit is based on the
+smb2 dialect (64KiB for SMB == 2.0, 8MiB for SMB => 2.1 with LargeMTU).
+Large MTU is not supported over NBT (tcp port 139).</string>
+ <string id="POL_97C2005C_F45B_5675_B450_75842A4139F0">smb ports</string>
+ <string id="POL_97C2005C_F45B_5675_B450_75842A4139F0_Help">Specifies which ports the server should listen on for SMB traffic.</string>
+ <string id="POL_5B8B1A0B_AC6B_5E89_8FDE_4CBE538A9CB8">svcctl list</string>
+ <string id="POL_5B8B1A0B_AC6B_5E89_8FDE_4CBE538A9CB8_Help">This option defines a list of init scripts that smbd
+ will use for starting and stopping Unix services via the Win32
+ ServiceControl API. This allows Windows administrators to
+ utilize the MS Management Console plug-ins to manage a
+ Unix server running Samba.
+
+ The administrator must create a directory
+ name svcctl in Samba's $(libdir)
+ and create symbolic links to the init scripts in
+ /etc/init.d/. The name of the links
+ must match the names given as part of the svcctl list.
+
+Example: cups postfix portmap httpd</string>
+ <string id="POL_0E701672_524B_56CE_9C43_D9DE631558EA">time server</string>
+ <string id="POL_0E701672_524B_56CE_9C43_D9DE631558EA_Help">This parameter determines if nmbd
+ 8 advertises itself as a time server to Windows
+clients.</string>
+ <string id="POL_B8322D3C_E4C4_5EAD_AE99_B912C35C56C8">unicode</string>
+ <string id="POL_B8322D3C_E4C4_5EAD_AE99_B912C35C56C8_Help">Specifies whether the server and client should support unicode.
+ If this option is set to false, the use of ASCII will be forced.</string>
+ <string id="POL_4A31BF60_B9E4_5E35_B979_A1C15754CA9A">unix extensions</string>
+ <string id="POL_4A31BF60_B9E4_5E35_B979_A1C15754CA9A_Help">This boolean parameter controls whether Samba
+ implements the CIFS UNIX extensions, as defined by HP.
+ These extensions enable Samba to better serve UNIX CIFS clients
+ by supporting features such as symbolic links, hard links, etc...
+ These extensions require a similarly enabled client, and are of
+ no current use to Windows clients.
+
+ Note if this parameter is turned on, the
+ parameter will automatically be disabled.
+
+
+ See the parameter
+ if you wish to change this coupling between the two parameters.</string>
+ <string id="POL_911349A8_68E0_5370_B0C8_1E5D4DD47DA4">write raw</string>
+ <string id="POL_911349A8_68E0_5370_B0C8_1E5D4DD47DA4_Help">This is ignored if is set,
+ because this feature is incompatible with raw write SMB requests
+
+ If enabled, raw writes allow writes of 65535 bytes in
+ one packet. This typically provides a major performance benefit for some very, very old clients.
+
+
+ However, some clients either negotiate the allowable
+ block size incorrectly or are incapable of supporting larger block sizes, and for these clients you may need to disable raw writes.
+
+In general this parameter should be viewed as a system tuning tool and left severely alone.</string>
+ <string id="POL_585034D0_C9E6_568C_AF40_354A01C24E02">server multi channel support</string>
+ <string id="POL_585034D0_C9E6_568C_AF40_354A01C24E02_Help">This boolean parameter controls whether
+ smbd
+ 8 will support
+ SMB3 multi-channel.
+
+ This parameter was added with version 4.4.
+
+ Warning: Note that this feature is still considered experimental.
+ Use it at your own risk: Even though it may seem to work well in testing,
+ it may result in data corruption under some race conditions.
+ Future releases may improve this situation.
+
+
+ Due to dependencies to kernel APIs of Linux or FreeBSD, it's only possible
+ to use this feature on Linux and FreeBSD for now. For testing this restriction
+ can be overwritten by specifying force:server multi channel support=yes
+ in addition.</string>
+ <string id="POL_4553EC0B_4966_52CE_83C6_948DAC67A281">smb2 disable lock sequence checking</string>
+ <string id="POL_4553EC0B_4966_52CE_83C6_948DAC67A281_Help">This boolean parameter controls whether
+ smbd
+ 8 will disable
+ lock sequence checking even for multi-channel connections
+ as well as durable handles.
+
+
+ The [MS-SMB2] specification (under 3.3.5.14 Receiving an SMB2 LOCK Request)
+ documents that a server should do lock sequence if Open.IsResilient or Open.IsDurable
+ or Open.IsPersistent is TRUE or if Connection.Dialect belongs to the SMB 3.x dialect
+ family and Connection.ServerCapabilities includes SMB2_GLOBAL_CAP_MULTI_CHANNEL.
+
+
+ But Windows Server (at least up to v2004) only does these checks
+ for the Open.IsResilient and Open.IsPersistent.
+ That means they do not implement the behavior specified
+ in [MS-SMB2].
+
+ By default Samba behaves according to the specification
+ and sends smb2 oplock break notification retries.
+
+ Warning: Only enable this option if existing clients can't
+ handle lock sequence checking for handles without Open.IsResilient and Open.IsPersistent.
+ And it turns out that the Windows Server behavior is required.
+
+ Note: it's likely that this option will be removed again
+ if future Windows versions change their behavior.
+
+ Note: Samba does not implement Open.IsResilient and Open.IsPersistent yet.
+
+Example: yes</string>
+ <string id="POL_690A701E_D101_57E5_A180_30E9E54B8B38">smb2 disable oplock break retry</string>
+ <string id="POL_690A701E_D101_57E5_A180_30E9E54B8B38_Help">This boolean parameter controls whether
+ smbd
+ 8 will trigger
+ smb2 oplock break notification retries when using
+ yes.
+
+
+ The [MS-SMB2] specification documents that a server should
+ send smb2 oplock break notification retries on all available channel
+ to the given client.
+
+ But Windows Server versions (at least up to 2019) do not send
+ smb2 oplock break notification retries on channel failures.
+ That means they do not implement the behavior specified
+ in [MS-SMB2].
+
+ By default Samba behaves according to the specification
+ and send smb2 oplock break notification retries.
+
+ Warning: Only enable this option if existing clients can't
+ handle possible retries and it turns out that the Windows Server
+ behavior is required.
+
+ Note: it's likely that this option gets removed again
+ if future Windows versions change their behavior.
+
+ Note: this only applies to oplocks and not SMB2 leases.
+
+Example: yes</string>
+ <string id="POL_7564C5C4_88AA_576B_A9E8_091901A3D6E0">rpc server dynamic port range</string>
+ <string id="POL_7564C5C4_88AA_576B_A9E8_091901A3D6E0_Help">This parameter tells the RPC server which port range it is allowed to use to create a listening socket for LSA, SAM, Netlogon and others without wellknown tcp ports. The first value is the lowest number of the port range and the second the highest. This applies to RPC servers in all server roles.</string>
+ <string id="POL_8D3A68BB_46F0_55A8_B53F_A4AA70C39B46">algorithmic rid base</string>
+ <string id="POL_8D3A68BB_46F0_55A8_B53F_A4AA70C39B46_Help">This determines how Samba will use its
+ algorithmic mapping from uids/gid to the RIDs needed to construct
+ NT Security Identifiers.
+
+
+ Setting this option to a larger value could be useful to sites
+ transitioning from WinNT and Win2k, as existing user and
+ group rids would otherwise clash with system users etc.
+
+
+ All UIDs and GIDs must be able to be resolved into SIDs for
+ the correct operation of ACLs on the server. As such the algorithmic
+ mapping can't be 'turned off', but pushing it 'out of the way' should
+ resolve the issues. Users and groups can then be assigned 'low' RIDs
+ in arbitrary-rid supporting backends.
+
+Example: 100000</string>
+ <string id="POL_4A36DCFC_E9DB_5CD6_A67B_F94F3D95224F">allow dcerpc auth level connect</string>
+ <string id="POL_4A36DCFC_E9DB_5CD6_A67B_F94F3D95224F_Help">This option controls whether DCERPC services are allowed to be used with DCERPC_AUTH_LEVEL_CONNECT, which provides authentication, but no per message integrity nor privacy protection.
+ Some interfaces like samr, lsarpc and netlogon have a hard-coded default of no and epmapper, mgmt and rpcecho have a hard-coded default of yes.
+ The behavior can be overwritten per interface name (e.g. lsarpc, netlogon, samr, srvsvc, winreg, wkssvc ...) by using 'allow dcerpc auth level connect:interface = yes' as option.
+ This option yields precedence to the implementation specific restrictions. E.g. the drsuapi and backupkey protocols require DCERPC_AUTH_LEVEL_PRIVACY. The dnsserver protocol requires DCERPC_AUTH_LEVEL_INTEGRITY.
+
+Example: yes</string>
+ <string id="POL_F3A8A539_E774_5498_B8B7_5D295841A159">allow trusted domains</string>
+ <string id="POL_F3A8A539_E774_5498_B8B7_5D295841A159_Help">This option only takes effect when the option is set to
+ server, domain or ads.
+ If it is set to no, then attempts to connect to a resource from
+ a domain or workgroup other than the one which smbd is running
+ in will fail, even if that domain is trusted by the remote server
+ doing the authentication.
+ This is useful if you only want your Samba server to
+ serve resources to users in the domain it is a member of. As
+ an example, suppose that there are two domains DOMA and DOMB. DOMB
+ is trusted by DOMA, which contains the Samba server. Under normal
+ circumstances, a user with an account in DOMB can then access the
+ resources of a UNIX account with the same account name on the
+ Samba server even if they do not have an account in DOMA. This
+ can make implementing a security boundary difficult.</string>
+ <string id="POL_DF7112E5_5322_5A42_A1AD_45085CB6EC86">binddns dir</string>
+ <string id="POL_DF7112E5_5322_5A42_A1AD_45085CB6EC86_Help">This parameters defines the directory samba will use to store the configuration
+ files for bind, such as named.conf.
+
+ NOTE: The bind dns directory needs to be on the same mount point as the private
+ directory!</string>
+ <string id="POL_41C0408D_BF8C_5BA3_992E_6D58CF58FF84">check password script</string>
+ <string id="POL_41C0408D_BF8C_5BA3_992E_6D58CF58FF84_Help">The name of a program that can be used to check password
+ complexity. The password is sent to the program's standard input.
+
+ The program must return 0 on a good password, or any other value
+ if the password is bad.
+ In case the password is considered weak (the program does not return 0) the
+ user will be notified and the password change will fail.
+
+ In Samba AD, this script will be run AS ROOT by
+ samba 8
+ without any substitutions.
+
+ Note that starting with Samba 4.11 the following environment variables are exported to the script:
+
+ SAMBA_CPS_ACCOUNT_NAME is always present and contains the sAMAccountName of user, the is the same as the %u substitutions in the none AD DC case.
+ SAMBA_CPS_USER_PRINCIPAL_NAME is optional in the AD DC case if the userPrincipalName is present.
+ SAMBA_CPS_FULL_NAME is optional if the displayName is present.
+
+
+ Note: In the example directory is a sample program called crackcheck
+ that uses cracklib to check the password quality.
+
+Example: /usr/local/sbin/crackcheck</string>
+ <string id="POL_9869726F_8F58_512B_A708_C7360AC9146F">client ipc signing</string>
+ <string id="POL_9869726F_8F58_512B_A708_C7360AC9146F_Help">This controls whether the client is allowed or required to use SMB signing for IPC$
+ connections as DCERPC transport. Possible values
+ are auto, mandatory
+ and disabled.
+
+
+ When set to mandatory or default, SMB signing is required.
+
+ When set to auto, SMB signing is offered, but not enforced and if set
+ to disabled, SMB signing is not offered either.
+
+ Connections from winbindd to Active Directory Domain Controllers
+ always enforce signing.</string>
+ <string id="POL_309DB173_58D7_5326_B21D_8DF044225CB9">client lanman auth</string>
+ <string id="POL_309DB173_58D7_5326_B21D_8DF044225CB9_Help">This parameter determines whether or not smbclient
+ 8 and other samba client
+ tools will attempt to authenticate itself to servers using the
+ weaker LANMAN password hash. If disabled, only server which support NT
+ password hashes (e.g. Windows NT/2000, Samba, etc... but not
+ Windows 95/98) will be able to be connected from the Samba client.
+
+ The LANMAN encrypted response is easily broken, due to its
+ case-insensitive nature, and the choice of algorithm. Clients
+ without Windows 95/98 servers are advised to disable
+ this option.
+
+ Disabling this option will also disable the client plaintext auth option.
+
+ Likewise, if the client ntlmv2
+ auth parameter is enabled, then only NTLMv2 logins will be
+ attempted.</string>
+ <string id="POL_0F39ED01_BB64_5653_839C_CB26A70EC531">client NTLMv2 auth</string>
+ <string id="POL_0F39ED01_BB64_5653_839C_CB26A70EC531_Help">This parameter determines whether or not smbclient
+ 8 will attempt to
+ authenticate itself to servers using the NTLMv2 encrypted password
+ response.
+
+ If enabled, only an NTLMv2 and LMv2 response (both much more
+ secure than earlier versions) will be sent. Older servers
+ (including NT4 < SP4, Win9x and Samba 2.2) are not compatible with
+ NTLMv2 when not in an NTLMv2 supporting domain
+
+ Similarly, if enabled, NTLMv1, client lanman auth and client plaintext auth
+ authentication will be disabled. This also disables share-level
+ authentication.
+
+ If disabled, an NTLM response (and possibly a LANMAN response)
+ will be sent by the client, depending on the value of client lanman auth.
+
+ Note that Windows Vista and later versions already use
+ NTLMv2 by default, and some sites (particularly those following
+ 'best practice' security polices) only allow NTLMv2 responses, and
+ not the weaker LM or NTLM.
+
+ When is also set to
+ yes extended security (SPNEGO) is required
+ in order to use NTLMv2 only within NTLMSSP. This behavior was
+ introduced with the patches for CVE-2016-2111.</string>
+ <string id="POL_94342D11_937E_5F14_BBEA_C9B370F6A523">client plaintext auth</string>
+ <string id="POL_94342D11_937E_5F14_BBEA_C9B370F6A523_Help">Specifies whether a client should send a plaintext password if the server does not support encrypted passwords.</string>
+ <string id="POL_DCB591D5_0F63_58EC_A0BB_F5F81064B714">client schannel</string>
+ <string id="POL_DCB591D5_0F63_58EC_A0BB_F5F81064B714_Help">This option is deprecated with Samba 4.8 and will be removed in future. At the same time the default changed to yes, which will be the hardcoded behavior in future.
+
+
+
+ This controls whether the client offers or even demands the use of the netlogon schannel.
+ no does not offer the schannel,
+ auto offers the schannel but does not
+ enforce it, and yes denies access
+ if the server is not able to speak netlogon schannel.
+
+
+ Note that for active directory domains this is hardcoded to
+ yes.
+
+ This option yields precedence to the option.
+
+Example: auto</string>
+ <string id="POL_F35419AB_2114_5382_8060_B1AAED24F2A1">client signing</string>
+ <string id="POL_F35419AB_2114_5382_8060_B1AAED24F2A1_Help">This controls whether the client is allowed or required to use SMB signing. Possible values
+ are auto, mandatory
+ and disabled.
+
+
+ When set to auto or default, SMB signing is offered, but not enforced.
+
+ When set to mandatory, SMB signing is required and if set
+ to disabled, SMB signing is not offered either.
+
+ IPC$ connections for DCERPC e.g. in winbindd, are handled by the
+ option.</string>
+ <string id="POL_F761A7A7_2852_560C_B6D7_A50C613C5431">client use spnego principal</string>
+ <string id="POL_F761A7A7_2852_560C_B6D7_A50C613C5431_Help">This parameter determines whether or not
+ smbclient
+ 8 and other samba components
+ acting as a client will attempt to use the server-supplied
+ principal sometimes given in the SPNEGO exchange.
+
+ If enabled, Samba can attempt to use Kerberos to contact
+ servers known only by IP address. Kerberos relies on names, so
+ ordinarily cannot function in this situation.
+
+ This is a VERY BAD IDEA for security reasons, and so this
+ parameter SHOULD NOT BE USED. It will be removed in a future
+ version of Samba.
+
+ If disabled, Samba will use the name used to look up the
+ server when asking the KDC for a ticket. This avoids situations
+ where a server may impersonate another, soliciting authentication
+ as one principal while being known on the network as another.
+
+
+ Note that Windows XP SP2 and later versions already follow
+ this behaviour, and Windows Vista and later servers no longer
+ supply this 'rfc4178 hint' principal on the server side.
+
+ This parameter is deprecated in Samba 4.2.1 and will be removed
+ (along with the functionality) in a later release of Samba.</string>
+ <string id="POL_158C42B4_685B_5FDE_BF9D_C42504E8C09C">debug encryption</string>
+ <string id="POL_158C42B4_685B_5FDE_BF9D_C42504E8C09C_Help">This option will make the smbd server and client code using
+ libsmb (smbclient, smbget, smbspool, ...) dump the Session Id,
+ the decrypted Session Key, the Signing Key, the Application Key,
+ the Encryption Key and the Decryption Key every time an SMB3+
+ session is established. This information will be printed in logs
+ at level 0.
+
+
+ Warning: access to these values enables the decryption of any
+ encrypted traffic on the dumped sessions. This option should
+ only be enabled for debugging purposes.</string>
+ <string id="POL_8853D1A2_6482_58E1_9748_192D92523750">dedicated keytab file</string>
+ <string id="POL_8853D1A2_6482_58E1_9748_192D92523750_Help">Specifies the absolute path to the kerberos keytab file when is set to "dedicated keytab".
+
+Example: /usr/local/etc/krb5.keytab</string>
+ <string id="POL_3C1941B5_4894_501A_A7FD_F0C6BCE77DA9">encrypt passwords</string>
+ <string id="POL_3C1941B5_4894_501A_A7FD_F0C6BCE77DA9_Help">This parameter has been deprecated since Samba 4.11 and
+ support for plaintext (as distinct from NTLM, NTLMv2
+ or Kerberos authentication)
+ will be removed in a future Samba release.
+ That is, in the future, the current default of
+ encrypt passwords = yes
+ will be the enforced behaviour.
+ This boolean controls whether encrypted passwords
+ will be negotiated with the client. Note that Windows NT 4.0 SP3 and
+ above and also Windows 98 will by default expect encrypted passwords
+ unless a registry entry is changed. To use encrypted passwords in
+ Samba see the chapter "User Database" in the Samba HOWTO Collection.
+
+
+
+ MS Windows clients that expect Microsoft encrypted passwords and that
+ do not have plain text password support enabled will be able to
+ connect only to a Samba server that has encrypted password support
+ enabled and for which the user accounts have a valid encrypted password.
+ Refer to the smbpasswd command man page for information regarding the
+ creation of encrypted passwords for user accounts.
+
+
+
+ The use of plain text passwords is NOT advised as support for this feature
+ is no longer maintained in Microsoft Windows products. If you want to use
+ plain text passwords you must set this parameter to no.
+
+
+ In order for encrypted passwords to work correctly
+ smbd
+ 8 must either
+ have access to a local smbpasswd
+ 5 file (see the smbpasswd
+ 8 program for information on how to set up
+ and maintain this file), or set the [domain|ads] parameter which
+ causes smbd to authenticate against another server.</string>
+ <string id="POL_99472FC1_E6CE_5476_9EC3_EB2EF52862AE">guest account</string>
+ <string id="POL_99472FC1_E6CE_5476_9EC3_EB2EF52862AE_Help">This is a username which will be used for access
+ to services which are specified as (see below). Whatever privileges this
+ user has will be available to any client connecting to the guest service.
+ This user must exist in the password file, but does not require
+ a valid login. The user account "ftp" is often a good choice
+ for this parameter.
+
+
+ On some systems the default guest account "nobody" may not
+ be able to print. Use another account in this case. You should test
+ this by trying to log in as your guest user (perhaps by using the
+ su - command) and trying to print using the
+ system print command such as lpr(1) or
+ lp(1).
+
+ This parameter does not accept % macros, because
+ many parts of the system require this value to be constant for correct operation.
+
+Example: ftp</string>
+ <string id="POL_75BBDBCB_46D1_55DE_9A7C_9EEA7DD026BF">kerberos encryption types</string>
+ <string id="POL_75BBDBCB_46D1_55DE_9A7C_9EEA7DD026BF_Help">This parameter determines the encryption types to use when operating
+ as a Kerberos client. Possible values are all,
+ strong, and legacy.
+
+
+ Samba uses a Kerberos library (MIT or Heimdal) to obtain Kerberos
+ tickets. This library is normally configured outside of Samba, using
+ the krb5.conf file. This file may also include directives to configure
+ the encryption types to be used. However, Samba implements Active Directory
+ protocols and algorithms to locate a domain controller. In order to
+ force the Kerberos library into using the correct domain controller,
+ some Samba processes, such as
+ winbindd
+ 8 and
+ net
+ 8, build a private krb5.conf
+ file for use by the Kerberos library while being invoked from Samba.
+ This private file controls all aspects of the Kerberos library operation,
+ and this parameter controls how the encryption types are configured
+ within this generated file, and therefore also controls the encryption
+ types negotiable by Samba.
+
+
+ When set to all, all active directory
+ encryption types are allowed.
+
+
+ When set to strong, only AES-based encryption
+ types are offered. This can be used in hardened environments to prevent
+ downgrade attacks.
+
+
+ When set to legacy, only RC4-HMAC-MD5
+ is allowed. Avoiding AES this way has one a very specific use.
+ Normally, the encryption type is negotiated between the peers.
+ However, there is one scenario in which a Windows read-only domain
+ controller (RODC) advertises AES encryption, but then proxies the
+ request to a writeable DC which may not support AES encryption,
+ leading to failure of the handshake. Setting this parameter to
+ legacy would cause samba not to negotiate AES
+ encryption. It is assumed of course that the weaker legacy
+ encryption types are acceptable for the setup.</string>
+ <string id="POL_4AE746EE_4A10_55CC_8934_7E4FEF028E4D">kerberos method</string>
+ <string id="POL_4AE746EE_4A10_55CC_8934_7E4FEF028E4D_Help">Controls how kerberos tickets are verified.
+ Valid options are: secrets only - use only the secrets.tdb for ticket verification (default)
+ system keytab - use only the system keytab for ticket verification
+ dedicated keytab - use a dedicated keytab for ticket verification
+ secrets and keytab - use the secrets.tdb first, then the system keytab
+ The major difference between "system keytab" and "dedicated keytab" is that the latter method relies on kerberos to find the correct keytab entry instead of filtering based on expected principals.
+ When the kerberos method is in "dedicated keytab" mode, must be set to specify the location of the keytab file.</string>
+ <string id="POL_C0E75830_A92F_5E76_A2CF_8E864DF58497">kpasswd port</string>
+ <string id="POL_C0E75830_A92F_5E76_A2CF_8E864DF58497_Help">Specifies which ports the Kerberos server should listen on for password changes.</string>
+ <string id="POL_37987863_7B25_5531_81BE_8EB427F3D0E1">krb5 port</string>
+ <string id="POL_37987863_7B25_5531_81BE_8EB427F3D0E1_Help">Specifies which port the KDC should listen on for Kerberos traffic.</string>
+ <string id="POL_91CB69F0_B95B_565D_B50D_0BC441ED9E34">lanman auth</string>
+ <string id="POL_91CB69F0_B95B_565D_B50D_0BC441ED9E34_Help">This parameter has been deprecated since Samba 4.11 and
+ support for LanMan (as distinct from NTLM, NTLMv2 or
+ Kerberos authentication)
+ will be removed in a future Samba release.
+ That is, in the future, the current default of
+ lanman auth = no
+ will be the enforced behaviour.
+
+ This parameter determines whether or not smbd
+ 8 will attempt to
+ authenticate users or permit password changes
+ using the LANMAN password hash. If disabled, only clients which support NT
+ password hashes (e.g. Windows NT/2000 clients, smbclient, but not
+ Windows 95/98 or the MS DOS network client) will be able to
+ connect to the Samba host.
+
+ The LANMAN encrypted response is easily broken, due to its
+ case-insensitive nature, and the choice of algorithm. Servers
+ without Windows 95/98/ME or MS DOS clients are advised to disable
+ this option.
+
+ When this parameter is set to no this
+ will also result in sambaLMPassword in Samba's passdb being
+ blanked after the next password change. As a result of that
+ lanman clients won't be able to authenticate, even if lanman
+ auth is re-enabled later on.
+
+ Unlike the encrypt
+ passwords option, this parameter cannot alter client
+ behaviour, and the LANMAN response will still be sent over the
+ network. See the client lanman
+ auth to disable this for Samba's clients (such as smbclient)
+
+ This parameter is overridden by ntlm
+ auth, so unless that it is also set to
+ ntlmv1-permitted or yes,
+ then only NTLMv2 logins will be permitted and no LM hash will be
+ stored. All modern clients support NTLMv2, and but some older
+ clients require special configuration to use it.</string>
+ <string id="POL_89CBBE4F_9104_594C_88D1_F9C11246B21F">log nt token command</string>
+ <string id="POL_89CBBE4F_9104_594C_88D1_F9C11246B21F_Help">This option can be set to a command that will be called when new nt tokens are created.
+ This is only useful for development purposes.</string>
+ <string id="POL_6BE3D165_D5BE_5252_A0A2_31CD0E777478">map to guest</string>
+ <string id="POL_6BE3D165_D5BE_5252_A0A2_31CD0E777478_Help">This parameter can take four different values, which tell
+ smbd
+ 8 what to do with user
+ login requests that don't match a valid UNIX user in some way.
+
+ The four settings are :
+
+ Never - Means user login requests with an invalid password are rejected. This is the default. Bad User - Means user logins with an invalid password are rejected, unless the username does not exist, in which case it is treated as a guest login and mapped into the .
+ Bad Password - Means user logins with an invalid password are treated as a guest login and mapped into the . Note that this can cause problems as it means that any user incorrectly typing their password will be silently logged on as "guest" - and will not know the reason they cannot access files they think they should - there will have been no message given to them that they got their password wrong. Helpdesk services will hate you if you set the map to guest parameter this way :-). Bad Uid - Is only applicable when Samba is configured in some type of domain mode security (security = {domain|ads}) and means that user logins which are successfully authenticated but which have no valid Unix user account (and smbd is unable to create one) should be mapped to the defined guest account. This was the default behavior of Samba 2.x releases. Note that if a member server is running winbindd, this option should never be required because the nss_winbind library will export the Windows domain users and groups to the underlying OS via the Name Service Switch interface.
+
+
+ Note that this parameter is needed to set up "Guest"
+ share services. This is because in these modes the name of the resource being
+ requested is not sent to the server until after
+ the server has successfully authenticated the client so the server
+ cannot make authentication decisions at the correct time (connection
+ to the share) for "Guest" shares.
+
+Example: Bad User</string>
+ <string id="POL_56EEE2C2_6458_524A_95A8_C59B86A453E0">mit kdc command</string>
+ <string id="POL_56EEE2C2_6458_524A_95A8_C59B86A453E0_Help">This option specifies the path to the MIT kdc binary.
+
+ If the KDC is not installed in the default location and wasn't
+ correctly detected during build then you should modify this variable and
+ point it to the correct binary.
+
+Example: /opt/mit/sbin/krb5kdc</string>
+ <string id="POL_E82BE4E4_3F51_5B03_9809_03101186CE80">ntlm auth</string>
+ <string id="POL_E82BE4E4_3F51_5B03_9809_03101186CE80_Help">This parameter determines whether or not smbd
+ 8 will attempt to
+ authenticate users using the NTLM encrypted password response for
+ this local passdb (SAM or account database).
+
+ If disabled, both NTLM and LanMan authentication against the
+ local passdb is disabled.
+
+ Note that these settings apply only to local users,
+ authentication will still be forwarded to and NTLM authentication
+ accepted against any domain we are joined to, and any trusted
+ domain, even if disabled or if NTLMv2-only is enforced here. To
+ control NTLM authentiation for domain users, this must option must
+ be configured on each DC.
+
+ By default with ntlm auth set to
+ ntlmv2-only only NTLMv2 logins will be
+ permitted. All modern clients support NTLMv2 by default, but some older
+ clients will require special configuration to use it.
+
+ The primary user of NTLMv1 is MSCHAPv2 for VPNs and 802.1x.
+
+ The available settings are:
+
+
+
+ ntlmv1-permitted (alias yes) - Allow NTLMv1 and above for all clients.
+ This is the required setting for to enable the lanman auth parameter.
+
+
+
+
+ ntlmv2-only (alias no) - Do not allow NTLMv1 to be used, but permit NTLMv2.
+
+
+
+ mschapv2-and-ntlmv2-only - Only
+ allow NTLMv1 when the client promises that it is providing
+ MSCHAPv2 authentication (such as the ntlm_auth tool).
+
+
+
+ disabled - Do not accept NTLM (or
+ LanMan) authentication of any level, nor permit
+ NTLM password changes.
+
+
+
+
+ The default changed from yes to
+ no with Samba 4.5. The default changed again
+ to ntlmv2-only with Samba 4.7, however the
+ behaviour is unchanged.</string>
+ <string id="POL_BEB01EAD_B60E_5832_BDD5_5C8ACE276FD4">ntp signd socket directory</string>
+ <string id="POL_BEB01EAD_B60E_5832_BDD5_5C8ACE276FD4_Help">This setting controls the location of the socket that the NTP daemon uses to communicate with Samba for signing packets.
+ If a non-default path is specified here, then it is also necessary to make NTP aware of the new path using the ntpsigndsocket directive in ntp.conf.</string>
+ <string id="POL_C04AB7ED_DBC2_50A6_8082_AD0D6CCB758A">null passwords</string>
+ <string id="POL_C04AB7ED_DBC2_50A6_8082_AD0D6CCB758A_Help">Allow or disallow client access to accounts that have null passwords.
+
+ See also smbpasswd 5.</string>
+ <string id="POL_E305251F_7C82_54A6_8F9D_CFBB7934B1DF">obey pam restrictions</string>
+ <string id="POL_E305251F_7C82_54A6_8F9D_CFBB7934B1DF_Help">When Samba 3.0 is configured to enable PAM support
+ (i.e. --with-pam), this parameter will control whether or not Samba
+ should obey PAM's account and session management directives. The
+ default behavior is to use PAM for clear text authentication only
+ and to ignore any account or session management. Note that Samba
+ always ignores PAM for authentication in the case of yes. The reason
+ is that PAM modules cannot support the challenge/response
+ authentication mechanism needed in the presence of SMB password encryption.</string>
+ <string id="POL_DD8E3C33_F1AE_59CB_B2B6_3358FFBF41AF">old password allowed period</string>
+ <string id="POL_DD8E3C33_F1AE_59CB_B2B6_3358FFBF41AF_Help">Number of minutes to permit an NTLM login after a password change or reset using the old password. This allows the user to re-cache the new password on multiple clients without disrupting a network reconnection in the meantime.
+
+ This parameter only applies when is set to Active Directory Domain Controller</string>
+ <string id="POL_B65F086B_4235_5646_8C8B_AF4C16B6E4AD">pam password change</string>
+ <string id="POL_B65F086B_4235_5646_8C8B_AF4C16B6E4AD_Help">With the addition of better PAM support in Samba 2.2,
+ this parameter, it is possible to use PAM's password change control
+ flag for Samba. If enabled, then PAM will be used for password
+ changes when requested by an SMB client instead of the program listed in
+ .
+ It should be possible to enable this without changing your
+ parameter for most setups.</string>
+ <string id="POL_755D3500_5D11_5DF0_82AC_E5E964C7707B">passdb backend</string>
+ <string id="POL_755D3500_5D11_5DF0_82AC_E5E964C7707B_Help">This option allows the administrator to chose which backend
+ will be used for storing user and possibly group information. This allows
+ you to swap between different storage mechanisms without recompile.
+
+ The parameter value is divided into two parts, the backend's name, and a 'location'
+ string that has meaning only to that particular backed. These are separated
+ by a : character.
+
+ Available backends can include: smbpasswd - The old plaintext passdb backend. Some Samba features will not work if this passdb backend is used. Takes a path to the smbpasswd file as an optional argument. tdbsam - The TDB based password storage
+ backend. Takes a path to the TDB as an optional argument (defaults to passdb.tdb
+ in the directory. ldapsam - The LDAP based passdb
+ backend. Takes an LDAP URL as an optional argument (defaults to
+ ldap://localhost) LDAP connections should be secured where possible. This may be done using either
+ Start-TLS (see ) or by
+ specifying ldaps:// in
+ the URL argument.
+
+ Multiple servers may also be specified in double-quotes. Whether multiple servers are supported or not and the exact syntax depends on the LDAP library you use.
+
+
+ Examples of use are:
+
+passdb backend = tdbsam:/etc/samba/private/passdb.tdb
+
+or multi server LDAP URL with OpenLDAP library:
+
+passdb backend = ldapsam:"ldap://ldap-1.example.com ldap://ldap-2.example.com"
+
+or multi server LDAP URL with Netscape based LDAP library:
+
+passdb backend = ldapsam:"ldap://ldap-1.example.com ldap-2.example.com"</string>
+ <string id="POL_2F42A35D_FAD2_545A_9ACE_84CD88BEBDB4">passdb expand explicit</string>
+ <string id="POL_2F42A35D_FAD2_545A_9ACE_84CD88BEBDB4_Help">This parameter controls whether Samba substitutes %-macros in the passdb fields if they are explicitly set. We used to expand macros here, but this turned out to be a bug because the Windows client can expand a variable %G_osver% in which %G would have been substituted by the user's primary group.</string>
+ <string id="POL_87D22064_A317_506A_8057_62D7EB06E246">passwd chat</string>
+ <string id="POL_87D22064_A317_506A_8057_62D7EB06E246_Help">This string controls the "chat"
+ conversation that takes places between smbd
+ 8 and the local password changing
+ program to change the user's password. The string describes a
+ sequence of response-receive pairs that smbd
+ 8 uses to determine what to send to the
+ and what to expect back. If the expected output is not
+ received then the password is not changed.
+
+ This chat sequence is often quite site specific, depending
+ on what local methods are used for password control (such as NIS
+ etc).
+
+ Note that this parameter only is used if the parameter is set to yes. This sequence is
+ then called AS ROOT when the SMB password in the
+ smbpasswd file is being changed, without access to the old password
+ cleartext. This means that root must be able to reset the user's password without
+ knowing the text of the previous password. In the presence of
+ NIS/YP, this means that the must
+ be executed on the NIS master.
+
+
+ The string can contain the macro %n which is substituted
+ for the new password. The old password (%o) is only available when
+ has been disabled.
+ The chat sequence can also contain the standard macros
+ \n, \r, \t and \s to give line-feed, carriage-return, tab
+ and space. The chat sequence string can also contain
+ a '*' which matches any sequence of characters. Double quotes can
+ be used to collect strings with spaces in them into a single
+ string.
+
+ If the send string in any part of the chat sequence is a full
+ stop ".", then no string is sent. Similarly, if the
+ expect string is a full stop then no string is expected.
+
+ If the parameter is set to yes, the chat pairs may be matched in any order, and success is determined by the PAM result, not any particular output. The \n macro is ignored for PAM conversions.
+
+Example: "*Enter NEW password*" %n\n "*Reenter NEW password*" %n\n "*Password changed*"</string>
+ <string id="POL_FB5B5BAF_88EA_547F_B6C1_C26EF698C89B">passwd chat debug</string>
+ <string id="POL_FB5B5BAF_88EA_547F_B6C1_C26EF698C89B_Help">This boolean specifies if the passwd chat script
+ parameter is run in debug mode. In this mode the
+ strings passed to and received from the passwd chat are printed
+ in the smbd
+ 8 log with a
+
+ of 100. This is a dangerous option as it will allow plaintext passwords
+ to be seen in the smbd log. It is available to help
+ Samba admins debug their passwd chat scripts
+ when calling the passwd program and should
+ be turned off after this has been done. This option has no effect if the
+ parameter is set. This parameter is off by default.</string>
+ <string id="POL_885CA09B_77E8_5E63_85E8_108397557B0B">passwd chat timeout</string>
+ <string id="POL_885CA09B_77E8_5E63_85E8_108397557B0B_Help">This integer specifies the number of seconds smbd will wait for an initial
+ answer from a passwd chat script being run. Once the initial answer is received
+ the subsequent answers must be received in one tenth of this time. The default it
+ two seconds.</string>
+ <string id="POL_E710453F_700A_5430_BE8D_5364117F7E85">passwd program</string>
+ <string id="POL_E710453F_700A_5430_BE8D_5364117F7E85_Help">The name of a program that can be used to set
+ UNIX user passwords. Any occurrences of %u
+ will be replaced with the user name. The user name is checked for
+ existence before calling the password changing program.
+
+ Also note that many passwd programs insist in reasonable
+ passwords, such as a minimum length, or the inclusion
+ of mixed case chars and digits. This can pose a problem as some clients
+ (such as Windows for Workgroups) uppercase the password before sending
+ it.
+
+ Note that if the unix
+ password sync parameter is set to yes
+ then this program is called AS ROOT
+ before the SMB password in the smbpasswd
+ file is changed. If this UNIX password change fails, then
+ smbd will fail to change the SMB password also
+ (this is by design).
+
+ If the unix password sync parameter
+ is set this parameter MUST USE ABSOLUTE PATHS
+ for ALL programs called, and must be examined
+ for security implications. Note that by default unix
+ password sync is set to no.
+
+Example: /bin/passwd %u</string>
+ <string id="POL_77F6400F_03D4_53F9_AB7B_E0464F72E61F">password hash gpg key ids</string>
+ <string id="POL_77F6400F_03D4_53F9_AB7B_E0464F72E61F_Help">If samba is running as an active directory domain controller, it is possible to store the cleartext password of accounts in a PGP/OpenGPG encrypted form.
+ You can specify one or more recipients by key id or user id. Note that 32bit key ids are not allowed, specify at least 64bit.
+ The value is stored as 'Primary:SambaGPG' in the supplementalCredentials attribute.
+ As password changes can occur on any domain controller, you should configure this on each of them. Note that this feature is currently available only on Samba domain controllers.
+ This option is only available if samba was compiled with gpgme support.
+ You may need to export the GNUPGHOME environment variable before starting samba. It is strongly recommended to only store the public key in this location. The private key is not used for encryption and should be only stored where decryption is required.
+ Being able to restore the cleartext password helps, when they need to be imported into other authentication systems later (see samba-tool user getpassword) or you want to keep the passwords in sync with another system, e.g. an OpenLDAP server (see samba-tool user syncpasswords).
+ While this option needs to be configured on all domain controllers, the samba-tool user syncpasswords command should run on a single domain controller only (typically the PDC-emulator).
+
+Example: 4952E40301FAB41A
+
+Example: selftest@samba.example.com
+
+Example: selftest@samba.example.com, 4952E40301FAB41A</string>
+ <string id="POL_5EA8345D_5B61_554F_AAF5_2C069A37DFCA">password hash userPassword schemes</string>
+ <string id="POL_5EA8345D_5B61_554F_AAF5_2C069A37DFCA_Help">This parameter determines whether or not
+samba
+8 acting as an Active
+Directory Domain Controller will attempt to store additional
+passwords hash types for the user
+
+The values are stored as 'Primary:userPassword' in the
+supplementalCredentials
+attribute. The value of this option is a hash type.
+
+The currently supported hash types are:
+
+
+ CryptSHA256
+
+
+ CryptSHA512
+
+
+
+Multiple instances of a hash type may be computed and stored.
+The password hashes are calculated using the
+crypt
+3 call.
+The number of rounds used to compute the hash can be specified by adding
+':rounds=xxxx' to the hash type, i.e. CryptSHA512:rounds=4500 would calculate
+an SHA512 hash using 4500 rounds. If not specified the Operating System
+defaults for
+crypt
+3 are used.
+
+
+As password changes can occur on any domain controller,
+you should configure this on each of them. Note that this feature is
+currently available only on Samba domain controllers.
+
+Currently the NT Hash of the password is recorded when these hashes
+are calculated and stored. When retrieving the hashes the current value of the
+NT Hash is checked against the stored NT Hash. This detects password changes
+that have not updated the password hashes. In this case
+samba-tool user will ignore the stored
+hash values.
+
+
+Being able to obtain the hashed password helps, when
+they need to be imported into other authentication systems
+later (see samba-tool user
+getpassword) or you want to keep the passwords in
+sync with another system, e.g. an OpenLDAP server (see
+samba-tool user
+syncpasswords).
+
+unix password sync
+
+Example: CryptSHA256
+
+Example: CryptSHA256 CryptSHA512
+
+Example: CryptSHA256:rounds=5000 CryptSHA512:rounds=7000</string>
+ <string id="POL_1D36B51B_8AB7_593A_95D8_93B12C9F9EFA">password server</string>
+ <string id="POL_1D36B51B_8AB7_593A_95D8_93B12C9F9EFA_Help">By specifying the name of a domain controller with this option,
+ and using security = [ads|domain]
+ it is possible to get Samba
+ to do all its username/password validation using a specific remote server.
+
+ Ideally, this option
+ should not be used, as the default '*' indicates to Samba
+ to determine the best DC to contact dynamically, just as all other hosts in an
+ AD domain do. This allows the domain to be maintained (addition
+ and removal of domain controllers) without modification to
+ the smb.conf file. The cryptographic protection on the authenticated RPC calls
+ used to verify passwords ensures that this default is safe.
+
+ It is strongly recommended that you use the
+ default of '*', however if in your particular
+ environment you have reason to specify a particular DC list, then
+ the list of machines in this option must be a list of names or IP
+ addresses of Domain controllers for the Domain. If you use the
+ default of '*', or list several hosts in the password server option then smbd will try each in turn till it
+ finds one that responds. This is useful in case your primary
+ server goes down.
+
+ If the list of servers contains both names/IP's and the '*'
+ character, the list is treated as a list of preferred
+ domain controllers, but an auto lookup of all remaining DC's
+ will be added to the list as well. Samba will not attempt to optimize
+ this list by locating the closest DC.
+ If parameter is a name, it is looked up using the
+ parameter and so may resolved
+ by any method and order described in that parameter.
+
+Example: NT-PDC, NT-BDC1, NT-BDC2, *
+
+Example: windc.mydomain.com:389 192.168.1.101 *</string>
+ <string id="POL_4605CA34_85F3_51DB_8BCE_C56B51AA39BF">preload modules</string>
+ <string id="POL_4605CA34_85F3_51DB_8BCE_C56B51AA39BF_Help">This is a list of paths to modules that should be loaded into smbd before a client connects. This improves the speed of smbd when reacting to new connections somewhat.
+
+Example: /usr/lib/samba/passdb/mysql.so</string>
+ <string id="POL_5103CDE2_436D_5FB9_8633_6BB5EBB59406">private dir</string>
+ <string id="POL_5103CDE2_436D_5FB9_8633_6BB5EBB59406_Help">This parameters defines the directory
+ smbd will use for storing such files as smbpasswd
+ and secrets.tdb.</string>
+ <string id="POL_7DB136EF_7DAD_5A4F_8C40_F3079FCB925F">raw NTLMv2 auth</string>
+ <string id="POL_7DB136EF_7DAD_5A4F_8C40_F3079FCB925F_Help">This parameter determines whether or not smbd
+ 8 will allow SMB1 clients without
+ extended security (without SPNEGO) to use NTLMv2 authentication.
+
+ If this option, lanman auth
+ and ntlm auth are all disabled,
+ then only clients with SPNEGO support will be permitted.
+ That means NTLMv2 is only supported within NTLMSSP.</string>
+ <string id="POL_E4D542FC_3D67_5397_9AC3_3868BB017F03">rename user script</string>
+ <string id="POL_E4D542FC_3D67_5397_9AC3_3868BB017F03_Help">This is the full pathname to a script that will be run as root by smbd 8 under special circumstances described below.
+ When a user with admin authority or SeAddUserPrivilege rights renames a user (e.g.: from the NT4 User Manager for Domains), this script will be run to rename the POSIX user. Two variables, %uold and %unew, will be substituted with the old and new usernames, respectively. The script should return 0 upon successful completion, and nonzero otherwise.
+ The script has all responsibility to rename all the necessary data that is accessible in this posix method. This can mean different requirements for different backends. The tdbsam and smbpasswd backends will take care of the contents of their respective files, so the script is responsible only for changing the POSIX username, and other data that may required for your circumstances, such as home directory. Please also consider whether or not you need to rename the actual home directories themselves. The ldapsam backend will not make any changes, because of the potential issues with renaming the LDAP naming attribute. In this case the script is responsible for changing the attribute that samba uses (uid) for locating users, as well as any data that needs to change for other applications using the same directory.</string>
+ <string id="POL_7D42E3F0_DE0E_57E0_8EAF_F56111560EA3">restrict anonymous</string>
+ <string id="POL_7D42E3F0_DE0E_57E0_8EAF_F56111560EA3_Help">The setting of this parameter determines whether SAMR and LSA DCERPC services can be accessed anonymously. This corresponds to the following Windows Server registry options:
+ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
+ The option also affects the browse option which is required by legacy clients which rely on Netbios browsing. While modern Windows version should be fine with restricting the access there could still be applications relying on anonymous access.
+ Setting 1 will disable anonymous SAMR access.
+ Setting 2 will, in addition to restricting SAMR access, disallow anonymous connections to the IPC$ share in general. Setting yes on any share will remove the security advantage.</string>
+ <string id="POL_6745DAC3_A866_5519_83C8_8086C063AAB7">root directory</string>
+ <string id="POL_6745DAC3_A866_5519_83C8_8086C063AAB7_Help">The server will chroot() (i.e.
+ Change its root directory) to this directory on startup. This is
+ not strictly necessary for secure operation. Even without it the
+ server will deny access to files not in one of the service entries.
+ It may also check for, and deny access to, soft links to other
+ parts of the filesystem, or attempts to use ".." in file names
+ to access other directories (depending on the setting of the parameter).
+
+
+ Adding a root directory entry other
+ than "/" adds an extra level of security, but at a price. It
+ absolutely ensures that no access is given to files not in the
+ sub-tree specified in the root directory
+ option, including some files needed for
+ complete operation of the server. To maintain full operability
+ of the server you will need to mirror some system files
+ into the root directory tree. In particular
+ you will need to mirror /etc/passwd (or a
+ subset of it), and any binaries or configuration files needed for
+ printing (if required). The set of files that must be mirrored is
+ operating system dependent.
+
+Example: /homes/smb</string>
+ <string id="POL_9218F54E_BE22_57C0_BEF2_489F89B7D3BA">samba kcc command</string>
+ <string id="POL_9218F54E_BE22_57C0_BEF2_489F89B7D3BA_Help">This option specifies the path to the Samba KCC command. This script is used for replication topology replication.
+ It should not be necessary to modify this option except for testing purposes or if the samba_kcc was installed in a non-default location.
+
+Example: /usr/local/bin/kcc</string>
+ <string id="POL_86AEEBA8_5181_54A2_A436_FD35443F7C03">security</string>
+ <string id="POL_86AEEBA8_5181_54A2_A436_FD35443F7C03_Help">This option affects how clients respond to
+ Samba and is one of the most important settings in the
+ smb.conf file.
+
+ The default is security = user, as this is
+ the most common setting, used for a standalone file server or a DC.
+
+ The alternatives are
+ security = ads or security = domain
+ , which support joining Samba to a Windows domain
+
+ You should use security = user and
+ if you
+ want to mainly setup shares without a password (guest shares). This
+ is commonly used for a shared printer server.
+ The different settings will now be explained.
+
+
+ SECURITY = AUTO
+
+ This is the default security setting in Samba, and causes Samba to consult
+ the parameter (if set) to determine the security mode.
+
+ SECURITY = USER
+
+ If is not specified, this is the default security setting in Samba.
+ With user-level security a client must first "log-on" with a
+ valid username and password (which can be mapped using the
+ parameter). Encrypted passwords (see the parameter) can also
+ be used in this security mode. Parameters such as and if set are then applied and
+ may change the UNIX user to use on this connection, but only after
+ the user has been successfully authenticated.
+
+ Note that the name of the resource being
+ requested is not sent to the server until after
+ the server has successfully authenticated the client. This is why
+ guest shares don't work in user level security without allowing
+ the server to automatically map unknown users into the .
+ See the parameter for details on doing this.
+
+ SECURITY = DOMAIN
+
+ This mode will only work correctly if net
+ 8 has been used to add this
+ machine into a Windows NT Domain. It expects the parameter to be set to yes. In this
+ mode Samba will try to validate the username/password by passing
+ it to a Windows NT Primary or Backup Domain Controller, in exactly
+ the same way that a Windows NT Server would do.
+
+ Note that a valid UNIX user must still
+ exist as well as the account on the Domain Controller to allow
+ Samba to have a valid UNIX account to map file access to.
+
+ Note that from the client's point
+ of view security = domain is the same
+ as security = user. It only
+ affects how the server deals with the authentication,
+ it does not in any way affect what the client sees.
+
+ Note that the name of the resource being
+ requested is not sent to the server until after
+ the server has successfully authenticated the client. This is why
+ guest shares don't work in user level security without allowing
+ the server to automatically map unknown users into the .
+ See the parameter for details on doing this.
+
+ See also the parameter and the parameter.
+ SECURITY = ADS In this mode, Samba will act as a domain member in an ADS realm. To operate in this mode, the machine running Samba will need to have Kerberos installed and configured and Samba will need to be joined to the ADS realm using the net utility. Note that this mode does NOT make Samba operate as a Active Directory Domain Controller.
+ Note that this forces yes and yes for the primary domain.
+ Read the chapter about Domain Membership in the HOWTO for details.
+
+Example: DOMAIN</string>
+ <string id="POL_925F9081_BDD3_5BE8_BB73_89EBE3A0A8F0">server role</string>
+ <string id="POL_925F9081_BDD3_5BE8_BB73_89EBE3A0A8F0_Help">This option determines the basic operating mode of a Samba
+ server and is one of the most important settings in the smb.conf file.
+
+ The default is server role = auto, as causes
+ Samba to operate according to the setting, or if not
+ specified as a simple file server that is not connected to any domain.
+
+ The alternatives are
+ server role = standalone or server role = member server
+ , which support joining Samba to a Windows domain, along with server role = domain controller, which run Samba as a Windows domain controller.
+
+ You should use server role = standalone and
+ if you
+ want to mainly setup shares without a password (guest shares). This
+ is commonly used for a shared printer server.
+ SERVER ROLE = AUTO
+
+ This is the default server role in Samba, and causes Samba to consult
+ the parameter (if set) to determine the server role, giving compatible behaviours to previous Samba versions.
+
+ SERVER ROLE = STANDALONE
+
+ If is also not specified, this is the default security setting in Samba.
+ In standalone operation, a client must first "log-on" with a
+ valid username and password (which can be mapped using the
+ parameter) stored on this machine. Encrypted passwords (see the parameter) are by default
+ used in this security mode. Parameters such as and if set are then applied and
+ may change the UNIX user to use on this connection, but only after
+ the user has been successfully authenticated.
+
+ SERVER ROLE = MEMBER SERVER
+
+ This mode will only work correctly if net
+ 8 has been used to add this
+ machine into a Windows Domain. It expects the parameter to be set to yes. In this
+ mode Samba will try to validate the username/password by passing
+ it to a Windows or Samba Domain Controller, in exactly
+ the same way that a Windows Server would do.
+
+ Note that a valid UNIX user must still
+ exist as well as the account on the Domain Controller to allow
+ Samba to have a valid UNIX account to map file access to. Winbind can provide this.
+
+ SERVER ROLE = CLASSIC PRIMARY DOMAIN CONTROLLER
+
+ This mode of operation runs a classic Samba primary domain
+ controller, providing domain logon services to Windows and Samba
+ clients of an NT4-like domain. Clients must be joined to the domain to
+ create a secure, trusted path across the network. There must be
+ only one PDC per NetBIOS scope (typically a broadcast network or
+ clients served by a single WINS server).
+
+ SERVER ROLE = CLASSIC BACKUP DOMAIN CONTROLLER
+
+ This mode of operation runs a classic Samba backup domain
+ controller, providing domain logon services to Windows and Samba
+ clients of an NT4-like domain. As a BDC, this allows
+ multiple Samba servers to provide redundant logon services to a
+ single NetBIOS scope.
+
+ SERVER ROLE = ACTIVE DIRECTORY DOMAIN CONTROLLER
+
+ This mode of operation runs Samba as an active directory
+ domain controller, providing domain logon services to Windows and
+ Samba clients of the domain. This role requires special
+ configuration, see the Samba4
+ HOWTO
+
+Example: ACTIVE DIRECTORY DOMAIN CONTROLLER</string>
+ <string id="POL_6B0930DB_3CC7_57DB_8798_A6B6D3AF05B9">server schannel</string>
+ <string id="POL_6B0930DB_3CC7_57DB_8798_A6B6D3AF05B9_Help">This option is deprecated with Samba 4.8 and will be removed in future. At the same time the default changed to yes, which will be the hardcoded behavior in future. If you have the need for the behavior of "auto" to be kept, please file a bug at https://bugzilla.samba.org.
+
+
+ This controls whether the server offers or even demands the use of the netlogon schannel. no does not offer the schannel, auto offers the schannel but does not enforce it, and yes denies access if the client is not able to speak netlogon schannel. This is only the case for Windows NT4 before SP4.
+
+ Please note that with this set to no, you will have to apply the WindowsXP WinXP_SignOrSeal.reg registry patch found in the docs/registry subdirectory of the Samba distribution tarball.
+
+Example: auto</string>
+ <string id="POL_6DC4F5E8_3493_5D3C_8E35_D928C38C2604">server signing</string>
+ <string id="POL_6DC4F5E8_3493_5D3C_8E35_D928C38C2604_Help">This controls whether the client is allowed or required to use SMB1 and SMB2 signing. Possible values
+ are default, auto, mandatory
+ and disabled.
+
+
+ By default, and when smb signing is set to
+ default, smb signing is required when
+ is active directory
+ domain controller and disabled otherwise.
+
+ When set to auto, SMB1 signing is offered, but not enforced.
+ When set to mandatory, SMB1 signing is required and if set
+ to disabled, SMB signing is not offered either.
+
+ For the SMB2 protocol, by design, signing cannot be disabled. In the case
+ where SMB2 is negotiated, if this parameter is set to disabled,
+ it will be treated as auto. Setting it to mandatory
+ will still require SMB2 clients to use signing.</string>
+ <string id="POL_7C0D1957_E0F4_5B60_805D_FBA7399D8737">smb passwd file</string>
+ <string id="POL_7C0D1957_E0F4_5B60_805D_FBA7399D8737_Help">This option sets the path to the encrypted smbpasswd file. By
+ default the path to the smbpasswd file is compiled into Samba.
+
+
+ An example of use is:
+
+smb passwd file = /etc/samba/smbpasswd</string>
+ <string id="POL_94D60BE2_185E_5EC1_8E58_146C4B17C1E7">tls cafile</string>
+ <string id="POL_94D60BE2_185E_5EC1_8E58_146C4B17C1E7_Help">This option can be set to a file (PEM format) containing CA certificates of root CAs to trust to sign certificates or intermediate CA certificates. This path is relative to if the path does not start with a /.</string>
+ <string id="POL_A9FA5D2E_2052_5A81_812D_83A2952DF38B">tls certfile</string>
+ <string id="POL_A9FA5D2E_2052_5A81_812D_83A2952DF38B_Help">This option can be set to a file (PEM format) containing the RSA certificate. This path is relative to if the path does not start with a /.</string>
+ <string id="POL_C3E30BBB_123E_55E6_9693_7FF6CCF7488D">tls crlfile</string>
+ <string id="POL_C3E30BBB_123E_55E6_9693_7FF6CCF7488D_Help">This option can be set to a file containing a certificate revocation list (CRL). This path is relative to if the path does not start with a /.</string>
+ <string id="POL_ABFC90A0_6AA2_5372_85E6_FCD989E458EE">tls dh params file</string>
+ <string id="POL_ABFC90A0_6AA2_5372_85E6_FCD989E458EE_Help">This option can be set to a file with Diffie-Hellman parameters which will be used with DH ciphers. This path is relative to if the path does not start with a /.</string>
+ <string id="POL_0F91E806_ADD5_59A1_B4FA_E99A51FED659">tls enabled</string>
+ <string id="POL_0F91E806_ADD5_59A1_B4FA_E99A51FED659_Help">If this option is set to yes, then Samba will use TLS when possible in communication.</string>
+ <string id="POL_D245CE57_C525_5967_A452_F28BFDB9509B">tls keyfile</string>
+ <string id="POL_D245CE57_C525_5967_A452_F28BFDB9509B_Help">This option can be set to a file (PEM format) containing the RSA private key. This file must be accessible without a pass-phrase, i.e. it must not be encrypted. This path is relative to if the path does not start with a /.</string>
+ <string id="POL_6DB833DB_F8B8_5A20_8E2A_6B7D8E298B9D">tls verify peer</string>
+ <string id="POL_6DB833DB_F8B8_5A20_8E2A_6B7D8E298B9D_Help">This controls if and how strict the client will verify the peer's certificate and name. Possible values are (in increasing order): no_check, ca_only, ca_and_name_if_available, ca_and_name and as_strict_as_possible.
+ When set to no_check the certificate is not verified at all, which allows trivial man in the middle attacks.
+ When set to ca_only the certificate is verified to be signed from a ca specified in the option. Setting to a valid file is required. The certificate lifetime is also verified. If the option is configured, the certificate is also verified against the ca crl.
+ When set to ca_and_name_if_available all checks from ca_only are performed. In addition, the peer hostname is verified against the certificate's name, if it is provided by the application layer and not given as an ip address string.
+ When set to ca_and_name all checks from ca_and_name_if_available are performed. In addition the peer hostname needs to be provided and even an ip address is checked against the certificate's name.
+ When set to as_strict_as_possible all checks from ca_and_name are performed. In addition the needs to be configured. Future versions of Samba may implement additional checks.</string>
+ <string id="POL_82913C09_64C3_59C3_8303_3A815661F70E">unix password sync</string>
+ <string id="POL_82913C09_64C3_59C3_8303_3A815661F70E_Help">This boolean parameter controls whether Samba
+ attempts to synchronize the UNIX password with the SMB password
+ when the encrypted SMB password in the smbpasswd file is changed.
+ If this is set to yes the program specified in the passwd
+ program parameter is called AS ROOT -
+ to allow the new UNIX password to be set without access to the
+ old UNIX password (as the SMB password change code has no
+ access to the old password cleartext, only the new).
+
+ This option has no effect if samba
+ is running as an active directory domain controller, in that case have a
+ look at the option and the
+ samba-tool user syncpasswords command.</string>
+ <string id="POL_37EE4890_B571_50D5_B6D7_3462FF89BCE1">username level</string>
+ <string id="POL_37EE4890_B571_50D5_B6D7_3462FF89BCE1_Help">This option helps Samba to try and 'guess' at
+ the real UNIX username, as many DOS clients send an all-uppercase
+ username. By default Samba tries all lowercase, followed by the
+ username with the first letter capitalized, and fails if the
+ username is not found on the UNIX machine.
+
+ If this parameter is set to non-zero the behavior changes.
+ This parameter is a number that specifies the number of uppercase
+ combinations to try while trying to determine the UNIX user name. The
+ higher the number the more combinations will be tried, but the slower
+ the discovery of usernames will be. Use this parameter when you have
+ strange usernames on your UNIX machine, such as AstrangeUser
+ .
+
+ This parameter is needed only on UNIX systems that have case
+ sensitive usernames.
+
+Example: 5</string>
+ <string id="POL_086EBC7E_1D72_5C67_9447_F5F6E36EFA8F">username map</string>
+ <string id="POL_086EBC7E_1D72_5C67_9447_F5F6E36EFA8F_Help">This option allows you to specify a file containing a mapping of usernames from the clients to the server. This can be used for several purposes. The most common is to map usernames that users use on DOS or Windows machines to those that the UNIX box uses. The other is to map multiple users to a single username so that they can more easily share files.
+
+ Please note that for user mode security, the username map is applied prior to validating the user credentials. Domain member servers (domain or ads) apply the username map after the user has been successfully authenticated by the domain controller and require fully qualified entries in the map table (e.g. biddle = DOMAIN\foo).
+
+ The map file is parsed line by line. Each line should contain a single UNIX username on the left then a '=' followed by a list of usernames on the right. The list of usernames on the right may contain names of the form @group in which case they will match any UNIX username in that group. The special client name '*' is a wildcard and matches any name. Each line of the map file may be up to 1023 characters long.
+
+ The file is processed on each line by taking the supplied username and comparing it with each username on the right hand side of the '=' signs. If the supplied name matches any of the names on the right hand side then it is replaced with the name on the left. Processing then continues with the next line.
+
+ If any line begins with a '#' or a ';' then it is ignored.
+
+ If any line begins with an '!' then the processing will stop after that line if a mapping was done by the line. Otherwise mapping continues with every line being processed. Using '!' is most useful when you have a wildcard mapping line later in the file.
+
+ For example to map from the name admin or administrator to the UNIX name root you would use:
+
+root = admin administrator
+ Or to map anyone in the UNIX group system to the UNIX name sys you would use:
+
+sys = @system
+
+
+ You can have as many mappings as you like in a username map file.
+
+
+ If your system supports the NIS NETGROUP option then the netgroup database is checked before the /etc/group database for matching groups.
+
+ You can map Windows usernames that have spaces in them by using double quotes around the name. For example:
+
+tridge = "Andrew Tridgell"
+
+ would map the windows username "Andrew Tridgell" to the unix username "tridge".
+
+ The following example would map mary and fred to the unix user sys, and map the rest to guest. Note the use of the
+ '!' to tell Samba to stop processing if it gets a match on that line:
+
+!sys = mary fred
+guest = *
+
+
+
+ Note that the remapping is applied to all occurrences of usernames. Thus if you connect to \\server\fred and fred is remapped to mary then you will actually be connecting to \\server\mary and will need to supply a password suitable for mary not fred. The only exception to this is the username passed to a Domain Controller (if you have one). The DC will receive whatever username the client supplies without modification.
+
+
+ Also note that no reverse mapping is done. The main effect this has is with printing. Users who have been mapped may have trouble deleting print jobs as PrintManager under WfWg will think they don't own the print job.
+
+ Samba versions prior to 3.0.8 would only support reading the fully qualified username (e.g.: DOMAIN\user) from the username map when performing a kerberos login from a client. However, when looking up a map entry for a user authenticated by NTLM[SSP], only the login name would be used for matches. This resulted in inconsistent behavior sometimes even on the same server.
+
+
+
+ The following functionality is obeyed in version 3.0.8 and later:
+
+
+
+ When performing local authentication, the username map is applied to the login name before attempting to authenticate
+ the connection.
+
+
+
+ When relying upon a external domain controller for validating authentication requests, smbd will apply the username map
+ to the fully qualified username (i.e. DOMAIN\user) only after the user has been successfully authenticated.
+
+
+
+ An example of use is:
+
+username map = /usr/local/samba/lib/users.map</string>
+ <string id="POL_0FE7956E_5744_5658_A2ED_8433C45918D7">username map cache time</string>
+ <string id="POL_0FE7956E_5744_5658_A2ED_8433C45918D7_Help">Mapping usernames with the or features of Samba can be relatively expensive. During login of a user, the mapping is done several times. In particular, calling the can slow down logins if external databases have to be queried from the script being called.
+ The parameter controls a mapping cache. It specifies the number of seconds a mapping from the username map file or script is to be efficiently cached. The default of 0 means no caching is done.
+
+Example: 60</string>
+ <string id="POL_7C2B49D9_45DE_5D97_B844_9F509F86D211">username map script</string>
+ <string id="POL_7C2B49D9_45DE_5D97_B844_9F509F86D211_Help">This script is a mutually exclusive alternative to the parameter. This parameter specifies and external program or script that must accept a single command line option (the username transmitted in the authentication request) and return a line on standard output (the name to which the account should mapped). In this way, it is possible to store username map tables in an LDAP or NIS directory services.
+
+Example: /etc/samba/scripts/mapusers.sh</string>
+ <string id="POL_22AAB8AC_4E62_5B51_BC38_C9340E8AC56E">tls priority</string>
+ <string id="POL_22AAB8AC_4E62_5B51_BC38_C9340E8AC56E_Help">This option can be set to a string describing the TLS protocols
+ to be supported in the parts of Samba that use GnuTLS, specifically
+ the AD DC.
+
+ The string is appended to the default priority list of GnuTLS.
+ The valid options are described in the
+ GNUTLS
+ Priority-Strings documentation at http://gnutls.org/manual/html_node/Priority-Strings.html
+
+ The SSL3.0 protocol will be disabled.</string>
+ <string id="POL_08DDB9FE_1D88_5264_BEB0_6D60420CE12B">aio max threads</string>
+ <string id="POL_08DDB9FE_1D88_5264_BEB0_6D60420CE12B_Help">The integer parameter specifies the maximum number of
+ threads each smbd process will create when doing parallel asynchronous IO
+ calls. If the number of outstanding calls is greater than this
+ number the requests will not be refused but go onto a queue
+ and will be scheduled in turn as outstanding requests complete.
+
+
+ aio read size
+ aio write size</string>
+ <string id="POL_0F98F240_9B2D_5788_AC7C_7B2ECDAE60A2">deadtime</string>
+ <string id="POL_0F98F240_9B2D_5788_AC7C_7B2ECDAE60A2_Help">The value of the parameter (a decimal integer)
+ represents the number of minutes of inactivity before a connection
+ is considered dead, and it is disconnected. The deadtime only takes
+ effect if the number of open files is zero.
+ This is useful to stop a server's resources being
+ exhausted by a large number of inactive connections.
+
+ Most clients have an auto-reconnect feature when a
+ connection is broken so in most cases this parameter should be
+ transparent to users.
+
+ Using this parameter with a timeout of a few minutes
+ is recommended for most systems.
+
+ A deadtime of zero indicates that no auto-disconnection should be performed.
+
+Example: 15</string>
+ <string id="POL_BAC6D3CB_A32D_5702_93FD_289B714016C3">getwd cache</string>
+ <string id="POL_BAC6D3CB_A32D_5702_93FD_289B714016C3_Help">This is a tuning option. When this is enabled a
+ caching algorithm will be used to reduce the time taken for getwd()
+ calls. This can have a significant impact on performance, especially
+ when the parameter is set to no.</string>
+ <string id="POL_0FB07FB9_33B4_5ECF_9725_9B7A38F863AF">hostname lookups</string>
+ <string id="POL_0FB07FB9_33B4_5ECF_9725_9B7A38F863AF_Help">Specifies whether samba should use (expensive)
+ hostname lookups or use the ip addresses instead. An example place
+ where hostname lookups are currently used is when checking
+ the hosts deny and hosts allow.
+
+Example: yes</string>
+ <string id="POL_C2D014CF_45D1_5A08_9727_3F2B500A4D58">keepalive</string>
+ <string id="POL_C2D014CF_45D1_5A08_9727_3F2B500A4D58_Help">The value of the parameter (an integer) represents
+ the number of seconds between keepalive
+ packets. If this parameter is zero, no keepalive packets will be
+ sent. Keepalive packets, if sent, allow the server to tell whether
+ a client is still present and responding.
+
+ Keepalives should, in general, not be needed if the socket
+ has the SO_KEEPALIVE attribute set on it by default. (see ).
+Basically you should only use this option if you strike difficulties.
+
+ Please note this option only applies to SMB1 client connections, and
+ has no effect on SMB2 clients.
+
+Example: 600</string>
+ <string id="POL_AF4738EE_230C_5D39_A4CE_F270B28FE9AB">max disk size</string>
+ <string id="POL_AF4738EE_230C_5D39_A4CE_F270B28FE9AB_Help">This option allows you to put an upper limit
+ on the apparent size of disks. If you set this option to 100
+ then all shares will appear to be not larger than 100 MB in
+ size.
+
+ Note that this option does not limit the amount of
+ data you can put on the disk. In the above case you could still
+ store much more than 100 MB on the disk, but if a client ever asks
+ for the amount of free disk space or the total disk size then the
+ result will be bounded by the amount specified in max
+ disk size.
+
+ This option is primarily useful to work around bugs
+ in some pieces of software that can't handle very large disks,
+ particularly disks over 1GB in size.
+
+ A max disk size of 0 means no limit.
+
+Example: 1000</string>
+ <string id="POL_21C3BE22_42E5_544F_97AB_732B2163839B">max open files</string>
+ <string id="POL_21C3BE22_42E5_544F_97AB_732B2163839B_Help">This parameter limits the maximum number of
+ open files that one smbd
+ 8 file
+ serving process may have open for a client at any one time.
+ This parameter can be set very high (16384) as Samba uses
+ only one bit per unopened file. Setting this parameter lower than
+ 16384 will cause Samba to complain and set this value back to
+ the minimum of 16384, as Windows 7 depends on this number of
+ open file handles being available.
+
+ The limit of the number of open files is usually set
+ by the UNIX per-process file descriptor limit rather than
+ this parameter so you should never need to touch this parameter.</string>
+ <string id="POL_67BA8388_A439_54EA_8A1B_B6D2CCD8BB9B">max smbd processes</string>
+ <string id="POL_67BA8388_A439_54EA_8A1B_B6D2CCD8BB9B_Help">This parameter limits the maximum number of smbd
+ 8 processes concurrently running on a system and is intended
+ as a stopgap to prevent degrading service to clients in the event that the server has insufficient
+ resources to handle more than this number of connections. Remember that under normal operating
+ conditions, each user will have an smbd
+ 8 associated with him or her to handle connections to all
+ shares from a given host.
+
+ For a Samba ADDC running the standard process model this option
+ limits the number of processes forked to handle requests.
+ Currently new processes are only forked for ldap and netlogon
+ requests.
+
+Example: 1000</string>
+ <string id="POL_7CB978B4_3314_5AE7_9821_574DC024294B">name cache timeout</string>
+ <string id="POL_7CB978B4_3314_5AE7_9821_574DC024294B_Help">Specifies the number of seconds it takes before
+ entries in samba's hostname resolve cache time out. If
+ the timeout is set to 0. the caching is disabled.
+
+Example: 0</string>
+ <string id="POL_93A78BFD_8C1E_5643_8329_A90FF5CE5A6B">socket options</string>
+ <string id="POL_93A78BFD_8C1E_5643_8329_A90FF5CE5A6B_Help">Modern server operating systems are tuned for high
+ network performance in the majority of situations; when you set socket
+ options you are overriding those settings. Linux in particular has an
+ auto-tuning mechanism for buffer sizes that will be disabled if you
+ specify a socket buffer size. This can potentially cripple your
+ TCP/IP stack.
+
+ Getting the socket options correct can make a big difference to
+ your performance, but getting them wrong can degrade it by just as
+ much. As with any other low level setting, if you must make changes
+ to it, make small changes and test the effect
+ before making any large changes.
+
+
+
+ This option allows you to set socket options
+ to be used when talking with the client.
+
+ Socket options are controls on the networking layer
+ of the operating systems which allow the connection to be
+ tuned.
+
+ This option will typically be used to tune your Samba server
+ for optimal performance for your local network. There is no way
+ that Samba can know what the optimal parameters are for your net,
+ so you must experiment and choose them yourself. We strongly
+ suggest you read the appropriate documentation for your operating
+ system first (perhaps man
+ setsockopt will help).
+
+ You may find that on some systems Samba will say
+ "Unknown socket option" when you supply an option. This means you
+ either incorrectly typed it or you need to add an include file
+ to includes.h for your OS. If the latter is the case please
+ send the patch to
+ samba-technical@lists.samba.org.
+
+ Any of the supported socket options may be combined
+ in any way you like, as long as your OS allows it.
+
+ This is the list of socket options currently settable
+ using this option:
+
+
+ SO_KEEPALIVE
+ SO_REUSEADDR
+ SO_BROADCAST
+ TCP_NODELAY TCP_KEEPCNT * TCP_KEEPIDLE * TCP_KEEPINTVL *
+ IPTOS_LOWDELAY
+ IPTOS_THROUGHPUT SO_REUSEPORT
+ SO_SNDBUF *
+ SO_RCVBUF *
+ SO_SNDLOWAT *
+ SO_RCVLOWAT * SO_SNDTIMEO * SO_RCVTIMEO * TCP_FASTACK * TCP_QUICKACK TCP_NODELAYACK TCP_KEEPALIVE_THRESHOLD * TCP_KEEPALIVE_ABORT_THRESHOLD * TCP_DEFER_ACCEPT * TCP_USER_TIMEOUT *
+
+
+ Those marked with a '*' take an integer
+ argument. The others can optionally take a 1 or 0 argument to enable
+ or disable the option, by default they will be enabled if you
+ don't specify 1 or 0.
+
+ To specify an argument use the syntax SOME_OPTION = VALUE
+ for example SO_SNDBUF = 8192. Note that you must
+ not have any spaces before or after the = sign.
+
+ If you are on a local network then a sensible option
+ might be:
+
+ socket options = IPTOS_LOWDELAY
+
+ If you have a local network then you could try:
+
+ socket options = IPTOS_LOWDELAY TCP_NODELAY
+
+ If you are on a wide area network then perhaps try
+ setting IPTOS_THROUGHPUT.
+
+ Note that several of the options may cause your Samba server to fail completely. Use these options with caution!
+
+Example: IPTOS_LOWDELAY</string>
+ <string id="POL_3FD02174_8A27_5426_848C_B3123EA8C4C3">use mmap</string>
+ <string id="POL_3FD02174_8A27_5426_848C_B3123EA8C4C3_Help">This global parameter determines if the tdb internals of Samba can
+ depend on mmap working correctly on the running system. Samba requires a coherent
+ mmap/read-write system memory cache. Currently only OpenBSD and HPUX do not have such a
+ coherent cache, and on those platforms this parameter is overridden internally
+ to be effectively no. On all systems this parameter should be left alone. This
+ parameter is provided to help the Samba developers track down problems with
+ the tdb internal code.</string>
+ <string id="POL_77FC1090_5D4B_587E_BD3B_DAE9F7A9682F">get quota command</string>
+ <string id="POL_77FC1090_5D4B_587E_BD3B_DAE9F7A9682F_Help">The get quota command should only be used whenever there is no operating system API available from the OS that samba can use.
+ This option is only available Samba was compiled with quotas support.
+ This parameter should specify the path to a script that queries the quota information for the specified user/group for the partition that the specified directory is on.
+ Such a script is being given 3 arguments:
+ directory type of query uid of user or gid of group
+ The directory is actually mostly just "." - It needs to be treated relatively to the current working directory that the script can also query.
+ The type of query can be one of:
+ 1 - user quotas 2 - user default quotas (uid = -1) 3 - group quotas 4 - group default quotas (gid = -1)
+ This script should print one line as output with spaces between the columns. The printed columns should be:
+ 1 - quota flags (0 = no quotas, 1 = quotas enabled, 2 = quotas enabled and enforced) 2 - number of currently used blocks 3 - the softlimit number of blocks 4 - the hardlimit number of blocks 5 - currently used number of inodes 6 - the softlimit number of inodes 7 - the hardlimit number of inodes 8 (optional) - the number of bytes in a block(default is 1024)
+
+Example: /usr/local/sbin/query_quota</string>
+ <string id="POL_B093DF52_6C77_5327_AC90_AAC6AF6CB126">host msdfs</string>
+ <string id="POL_B093DF52_6C77_5327_AC90_AAC6AF6CB126_Help">If set to yes, Samba will act as a Dfs server, and allow Dfs-aware clients to browse Dfs trees hosted on the server.
+ See also the share level parameter. For more information on setting up a Dfs tree on Samba, refer to the MSFDS chapter in the book Samba3-HOWTO.</string>
+ <string id="POL_6B9A8C91_49AF_58C8_931C_0304B60491D2">set quota command</string>
+ <string id="POL_6B9A8C91_49AF_58C8_931C_0304B60491D2_Help">The set quota command should only be used whenever there is no operating system API available from the OS that samba can use.
+ This option is only available if Samba was compiled with quota support.
+ This parameter should specify the path to a script that can set quota for the specified arguments.
+ The specified script should take the following arguments:
+ 1 - path to where the quota needs to be set. This needs to be interpreted relative to the current working directory that the script may also check for. 2 - quota type 1 - user quotas 2 - user default quotas (uid = -1) 3 - group quotas 4 - group default quotas (gid = -1) 3 - id (uid for user, gid for group, -1 if N/A) 4 - quota state (0 = disable, 1 = enable, 2 = enable and enforce) 5 - block softlimit 6 - block hardlimit 7 - inode softlimit 8 - inode hardlimit 9(optional) - block size, defaults to 1024
+ The script should output at least one line of data on success. And nothing on failure.
+
+Example: /usr/local/sbin/set_quota</string>
+ <string id="POL_6A683A86_8075_55FF_B1E6_D7874A3539AA">apply group policies</string>
+ <string id="POL_6A683A86_8075_55FF_B1E6_D7874A3539AA_Help">This option controls whether winbind will execute the gpupdate command defined in on the Group Policy update interval. The Group Policy update interval is defined as every 90 minutes, plus a random offset between 0 and 30 minutes. This applies Group Policy Machine polices to the client or KDC and machine policies to a server.
+
+Example: yes</string>
+ <string id="POL_0471CC71_51D5_58F6_A00A_6E8B283C3AF5">create krb5 conf</string>
+ <string id="POL_0471CC71_51D5_58F6_A00A_6E8B283C3AF5_Help">Setting this parameter to no prevents winbind from creating custom krb5.conf files. Winbind normally does this because the krb5 libraries are not AD-site-aware and thus would pick any domain controller out of potentially very many. Winbind is site-aware and makes the krb5 libraries use a local DC by creating its own krb5.conf files. Preventing winbind from doing this might become necessary if you have to add special options into your system-krb5.conf that winbind does not see.</string>
+ <string id="POL_46FF92BD_F484_5B2C_A639_ACBE73F15F3A">idmap backend</string>
+ <string id="POL_46FF92BD_F484_5B2C_A639_ACBE73F15F3A_Help">The idmap backend provides a plugin interface for Winbind to use varying backends to store SID/uid/gid mapping tables.
+ This option specifies the default backend that is used when no special configuration set, but it is now deprecated in favour of the new spelling .</string>
+ <string id="POL_309434B4_68BA_53E0_BDF9_CA589711EA29">idmap cache time</string>
+ <string id="POL_309434B4_68BA_53E0_BDF9_CA589711EA29_Help">This parameter specifies the number of seconds that Winbind's idmap interface will cache positive SID/uid/gid query results. By
+ default, Samba will cache these results for one week.</string>
+ <string id="POL_066B06D4_3BC0_5CFA_80A9_D2B1C046B5B0">idmap gid</string>
+ <string id="POL_066B06D4_3BC0_5CFA_80A9_D2B1C046B5B0_Help">The idmap gid parameter specifies the range of group ids for the default idmap configuration. It is now deprecated in favour of .
+ See the option.
+
+Example: 10000-20000</string>
+ <string id="POL_9B5D009F_1EBE_5E94_A46B_8644157A6061">idmap negative cache time</string>
+ <string id="POL_9B5D009F_1EBE_5E94_A46B_8644157A6061_Help">This parameter specifies the number of seconds that Winbind's idmap interface will cache negative SID/uid/gid query results.</string>
+ <string id="POL_37D1856A_CAF9_5395_AC8E_8E0F3E9C03E4">idmap uid</string>
+ <string id="POL_37D1856A_CAF9_5395_AC8E_8E0F3E9C03E4_Help">The idmap uid parameter specifies the range of user ids for the default idmap configuration. It is now deprecated in favour of .
+ See the option.
+
+Example: 10000-20000</string>
+ <string id="POL_283F0A5F_5841_5D1D_8EE3_D2715805A463">include system krb5 conf</string>
+ <string id="POL_283F0A5F_5841_5D1D_8EE3_D2715805A463_Help">Setting this parameter to no will prevent winbind to include the system /etc/krb5.conf file into the krb5.conf file it creates. See also . This option only applies to Samba built with MIT Kerberos.</string>
+ <string id="POL_61C9E6AE_96EF_5E8D_9AB8_7598584D391E">neutralize nt4 emulation</string>
+ <string id="POL_61C9E6AE_96EF_5E8D_9AB8_7598584D391E_Help">This option controls whether winbindd sends the NETLOGON_NEG_NEUTRALIZE_NT4_EMULATION flag in order to bypass the NT4 emulation of a domain controller.
+ Typically you should not need set this. It can be useful for upgrades from NT4 to AD domains.
+ The behavior can be controlled per netbios domain by using 'neutralize nt4 emulation:NETBIOSDOMAIN = yes' as option.</string>
+ <string id="POL_D8459DE9_6E91_58A6_8E4E_83BFBB41AE4E">reject md5 servers</string>
+ <string id="POL_D8459DE9_6E91_58A6_8E4E_83BFBB41AE4E_Help">This option controls whether winbindd requires support for aes support for the netlogon secure channel.
+ The following flags will be required NETLOGON_NEG_ARCFOUR, NETLOGON_NEG_SUPPORTS_AES, NETLOGON_NEG_PASSWORD_SET2 and NETLOGON_NEG_AUTHENTICATED_RPC.
+ You can set this to yes if all domain controllers support aes. This will prevent downgrade attacks.
+ The behavior can be controlled per netbios domain by using 'reject md5 servers:NETBIOSDOMAIN = yes' as option.
+ This option takes precedence to the option.</string>
+ <string id="POL_E3A88031_AF89_5D12_9F48_5BD36B25F58C">require strong key</string>
+ <string id="POL_E3A88031_AF89_5D12_9F48_5BD36B25F58C_Help">This option controls whether winbindd requires support for md5 strong key support for the netlogon secure channel.
+ The following flags will be required NETLOGON_NEG_STRONG_KEYS, NETLOGON_NEG_ARCFOUR and NETLOGON_NEG_AUTHENTICATED_RPC.
+ You can set this to no if some domain controllers only support des. This might allows weak crypto to be negotiated, may via downgrade attacks.
+ The behavior can be controlled per netbios domain by using 'require strong key:NETBIOSDOMAIN = no' as option.
+ Note for active directory domain this option is hardcoded to 'yes'
+ This option yields precedence to the option.
+ This option takes precedence to the option.</string>
+ <string id="POL_D55FF104_CF84_512D_9962_D01784923C49">template homedir</string>
+ <string id="POL_D55FF104_CF84_512D_9962_D01784923C49_Help">When filling out the user information for a Windows NT user, the winbindd 8 daemon uses this parameter to fill in the home directory for that user. If the string %D is present it is substituted with the user's Windows NT domain name. If the string %U is present it is substituted with the user's Windows NT user name.</string>
+ <string id="POL_A317595E_2C79_5B73_9043_CEB7525F6692">template shell</string>
+ <string id="POL_A317595E_2C79_5B73_9043_CEB7525F6692_Help">When filling out the user information for a Windows NT user, the winbindd 8 daemon uses this parameter to fill in the login shell for that user.</string>
+ <string id="POL_F8F9B8BF_2D26_5079_928E_7168BBCA91BE">winbind cache time</string>
+ <string id="POL_F8F9B8BF_2D26_5079_928E_7168BBCA91BE_Help">This parameter specifies the number of seconds the winbindd 8 daemon will cache user and group information before querying a Windows NT server again.
+
+ This does not apply to authentication requests, these are always evaluated in real time unless the option has been enabled.</string>
+ <string id="POL_07E24EA1_B340_5215_BDBB_5248537F9540">winbindd socket directory</string>
+ <string id="POL_07E24EA1_B340_5215_BDBB_5248537F9540_Help">This setting controls the location of the winbind daemon's socket. Except within automated test scripts, this should not be altered, as the client tools (nss_winbind etc) do not honour this parameter. Client tools must then be advised of the altered path with the WINBINDD_SOCKET_DIR environment variable.</string>
+ <string id="POL_8FEAD8B9_8097_5BA2_BD78_7BB0AA8691C1">winbind enum groups</string>
+ <string id="POL_8FEAD8B9_8097_5BA2_BD78_7BB0AA8691C1_Help">On large installations using winbindd 8 it may be necessary to suppress the enumeration of groups through the setgrent(), getgrent() and endgrent() group of system calls. If the winbind enum groups parameter is no, calls to the getgrent() system call will not return any data.
+
+Turning off group enumeration may cause some programs to behave oddly.</string>
+ <string id="POL_FAB1BAAD_85CD_5FE6_B0AA_AC48B77ACCCC">winbind enum users</string>
+ <string id="POL_FAB1BAAD_85CD_5FE6_B0AA_AC48B77ACCCC_Help">On large installations using winbindd 8 it may be necessary to suppress the enumeration of users through the setpwent(), getpwent() and endpwent() group of system calls. If the winbind enum users parameter is no, calls to the getpwent system call will not return any data.
+
+Turning off user enumeration may cause some programs to behave oddly. For example, the finger program relies on having access to the full user list when searching for matching usernames.</string>
+ <string id="POL_2B331ECE_5A4A_5DE9_8DBF_EFBCE108F070">winbind expand groups</string>
+ <string id="POL_2B331ECE_5A4A_5DE9_8DBF_EFBCE108F070_Help">This option controls the maximum depth that winbindd
+ will traverse when flattening nested group memberships of Windows domain groups. This is different from the option
+ which implements the Windows NT4 model of local group nesting. The "winbind expand groups"
+ parameter specifically applies to the membership of domain groups.
+ This option also affects the return of non nested group memberships of Windows domain users. With the new default "winbind expand groups = 0" winbind does not query group memberships at all.
+ Be aware that a high value for this parameter can result in system slowdown as the main parent winbindd daemon must perform the group unrolling and will be unable to answer incoming NSS or authentication requests during this time.
+ The default value was changed from 1 to 0 with Samba 4.2. Some broken applications (including some implementations of newgrp and sg) calculate the group memberships of users by traversing groups, such applications will require "winbind expand groups = 1". But the new default makes winbindd more reliable as it doesn't require SAMR access to domain controllers of trusted domains.</string>
+ <string id="POL_7F3A4DCD_923C_5586_AFFB_1BA559F399CB">winbind:ignore domains</string>
+ <string id="POL_7F3A4DCD_923C_5586_AFFB_1BA559F399CB_Help">Allows one to enter a list of trusted domains winbind should
+ ignore (untrust). This can avoid the overhead of resources from
+ attempting to login to DCs that should not be communicated with.
+
+Example: DOMAIN1, DOMAIN2</string>
+ <string id="POL_FE5A1763_2311_55A2_AB2E_10D92C3A7FC4">winbind max clients</string>
+ <string id="POL_FE5A1763_2311_55A2_AB2E_10D92C3A7FC4_Help">This parameter specifies the maximum number of clients the winbindd 8 daemon can connect with. The parameter is not a hard limit. The winbindd 8 daemon configures itself to be able to accept at least that many connections, and if the limit is reached, an attempt is made to disconnect idle clients.</string>
+ <string id="POL_57855ED8_E596_52E6_A8F8_B710E76BD0F6">winbind max domain connections</string>
+ <string id="POL_57855ED8_E596_52E6_A8F8_B710E76BD0F6_Help">This parameter specifies the maximum number of simultaneous connections that the winbindd 8 daemon should open to the domain controller of one domain. Setting this parameter to a value greater than 1 can improve scalability with many simultaneous winbind requests, some of which might be slow. Note that if is set to Yes, then only one DC connection is allowed per domain, regardless of this setting.
+
+Example: 10</string>
+ <string id="POL_6C096F2D_4DB1_5E05_84BB_9E9E3E0708BB">winbind nested groups</string>
+ <string id="POL_6C096F2D_4DB1_5E05_84BB_9E9E3E0708BB_Help">If set to yes, this parameter activates the support for nested
+ groups. Nested groups are also called local groups or
+ aliases. They work like their counterparts in Windows: Nested
+ groups are defined locally on any machine (they are shared
+ between DC's through their SAM) and can contain users and
+ global groups from any trusted SAM. To be able to use nested
+ groups, you need to run nss_winbind.</string>
+ <string id="POL_7C9859FE_6BA0_526D_A308_9454D3063550">winbind normalize names</string>
+ <string id="POL_7C9859FE_6BA0_526D_A308_9454D3063550_Help">This parameter controls whether winbindd will replace whitespace in user and group names with an underscore (_) character. For example, whether the name "Space Kadet" should be replaced with the string "space_kadet". Frequently Unix shell scripts will have difficulty with usernames contains whitespace due to the default field separator in the shell. If your domain possesses names containing the underscore character, this option may cause problems unless the name aliasing feature is supported by your nss_info plugin.
+
+ This feature also enables the name aliasing API which can be used to make domain user and group names to a non-qualified version. Please refer to the manpage for the configured idmap and nss_info plugin for the specifics on how to configure name aliasing for a specific configuration. Name aliasing takes precedence (and is mutually exclusive) over the whitespace replacement mechanism discussed previously.
+
+Example: yes</string>
+ <string id="POL_3D3D280A_1D60_58AA_A7BD_54D13DDBE1A6">winbind nss info</string>
+ <string id="POL_3D3D280A_1D60_58AA_A7BD_54D13DDBE1A6_Help">This parameter is designed to control how Winbind retrieves Name Service Information to construct a user's home directory and login shell. Currently the following settings are available:
+ template - The default, using the parameters of template shell and template homedir)
+ <sfu | sfu20 | rfc2307 > - When Samba is running in security = ads and your Active Directory Domain Controller does support the Microsoft "Services for Unix" (SFU) LDAP schema, winbind can retrieve the login shell and the home directory attributes directly from your Directory Server. For SFU 3.0 or 3.5 simply choose "sfu", if you use SFU 2.0 please choose "sfu20". Note that for the idmap backend idmap_ad you need to configure those settings in the idmap configuration section. Make sure to consult the documentation of the idmap backend that you are using.
+
+Example: sfu</string>
+ <string id="POL_34B48F10_7723_5E77_A57B_AE606BBB43B7">winbind offline logon</string>
+ <string id="POL_34B48F10_7723_5E77_A57B_AE606BBB43B7_Help">This parameter is designed to control whether Winbind should allow one to login with the pam_winbind module using Cached Credentials. If enabled, winbindd will store user credentials from successful logins encrypted in a local cache.
+
+Example: yes</string>
+ <string id="POL_05A14875_99EE_5000_A1E2_100D2F7B079F">winbind reconnect delay</string>
+ <string id="POL_05A14875_99EE_5000_A1E2_100D2F7B079F_Help">This parameter specifies the number of seconds the winbindd 8 daemon will wait between attempts to contact a Domain controller for a domain that is determined to be down or not contactable.</string>
+ <string id="POL_98A94538_AA09_51C8_A96D_ACB0B314F5F4">winbind refresh tickets</string>
+ <string id="POL_98A94538_AA09_51C8_A96D_ACB0B314F5F4_Help">This parameter is designed to control whether Winbind should refresh Kerberos Tickets retrieved using the pam_winbind module.
+
+Example: yes</string>
+ <string id="POL_96B1E9F8_5418_5EA0_8B87_614B45822D92">winbind request timeout</string>
+ <string id="POL_96B1E9F8_5418_5EA0_8B87_614B45822D92_Help">This parameter specifies the number of seconds the winbindd 8 daemon will wait before disconnecting either a client connection with no outstanding requests (idle) or a client connection with a request that has remained outstanding (hung) for longer than this number of seconds.</string>
+ <string id="POL_FEC015B1_6B0B_5D76_B23D_71363578FAF7">winbind rpc only</string>
+ <string id="POL_FEC015B1_6B0B_5D76_B23D_71363578FAF7_Help">Setting this parameter to yes forces winbindd to use RPC instead of LDAP to retrieve information from Domain
+ Controllers.</string>
+ <string id="POL_412B470E_EC88_556F_B9DE_1952C70E45B1">winbind scan trusted domains</string>
+ <string id="POL_412B470E_EC88_556F_B9DE_1952C70E45B1_Help">This option only takes effect when the option is set to
+ domain or ads.
+ If it is set to yes (the default), winbindd periodically tries to scan for new
+ trusted domains and adds them to a global list inside of winbindd.
+ The list can be extracted with wbinfo --trusted-domains --verbose.
+ This matches the behaviour of Samba 4.7 and older.
+
+ The construction of that global list is not reliable and often
+ incomplete in complex trust setups. In most situations the list is
+ not needed any more for winbindd to operate correctly.
+ E.g. for plain file serving via SMB using a simple idmap setup
+ with autorid, tdb or ad.
+ However some more complex setups require the list, e.g.
+ if you specify idmap backends for specific domains.
+ Some pam_winbind setups may also require the global list.
+
+ If you have a setup that doesn't require the global list, you should set
+ no.</string>
+ <string id="POL_6247DEB4_05CC_51B8_A8CB_1FF7DEDA741C">winbind sealed pipes</string>
+ <string id="POL_6247DEB4_05CC_51B8_A8CB_1FF7DEDA741C_Help">This option controls whether any requests from winbindd to domain controllers pipe will be sealed. Disabling sealing can be useful for debugging purposes.
+ The behavior can be controlled per netbios domain by using 'winbind sealed pipes:NETBIOSDOMAIN = no' as option.</string>
+ <string id="POL_7E1E179F_7E0D_5CB4_BDAA_B8EDF41428CC">winbind separator</string>
+ <string id="POL_7E1E179F_7E0D_5CB4_BDAA_B8EDF41428CC_Help">This parameter allows an admin to define the character used when listing a username of the form of DOMAIN \user. This parameter is only applicable when using the pam_winbind.so and nss_winbind.so modules for UNIX services.
+ Please note that setting this parameter to + causes problems with group membership at least on glibc systems, as the character + is used as a special character for NIS in /etc/group.
+
+Example: +</string>
+ <string id="POL_1780A1A5_0535_5D0B_8105_2129879E3C40">winbind use default domain</string>
+ <string id="POL_1780A1A5_0535_5D0B_8105_2129879E3C40_Help">This parameter specifies whether the winbindd 8 daemon should operate on users without domain component in their username. Users without a domain component are treated as is part of the winbindd server's own domain. While this does not benefit Windows users, it makes SSH, FTP and e-mail function in a way much closer to the way they would in a native unix system. This option should be avoided if possible. It can cause confusion about responsibilities for a user or group. In many situations it is not clear whether winbind or /etc/passwd should be seen as authoritative for a user, likewise for groups.
+
+Example: yes</string>
+ <string id="POL_71A1842A_9526_5BF9_A0FC_07322D2C6C81">winbind use krb5 enterprise principals</string>
+ <string id="POL_71A1842A_9526_5BF9_A0FC_07322D2C6C81_Help">winbindd is able to get kerberos tickets for pam_winbind with krb5_auth or wbinfo -K/--krb5auth=.
+ winbindd (at least on a domain member) is never be able to have a complete picture of the trust topology (which is managed by the DCs). There might be uPNSuffixes and msDS-SPNSuffixes values, which don't belong to any AD domain at all.
+ With no winbindd don't even get an incomplete picture of the topology.
+ It is not really required to know about the trust topology. We can just rely on the [K]DCs of our primary domain (e.g. PRIMARY.A.EXAMPLE.COM) and use enterprise principals e.g. upnfromB@B.EXAMPLE.COM@PRIMARY.A.EXAMPLE.COM and follow the WRONG_REALM referrals in order to find the correct DC. The final principal might be userfromB@INTERNALB.EXAMPLE.PRIVATE.
+ With yes winbindd enterprise principals will be used.
+
+Example: yes</string>
+ <string id="POL_B05D0593_B0CE_52A9_977C_E7A897EEA307">dns proxy</string>
+ <string id="POL_B05D0593_B0CE_52A9_977C_E7A897EEA307_Help">Specifies that nmbd 8 when acting as a WINS server and finding that a NetBIOS name has not been registered, should treat the NetBIOS name word-for-word as a DNS name and do a lookup with the DNS server for that name on behalf of the name-querying client.
+ Note that the maximum length for a NetBIOS name is 15 characters, so the DNS name (or DNS alias) can likewise only be 15 characters, maximum.
+ nmbd spawns a second copy of itself to do the DNS name lookup requests, as doing a name lookup is a blocking action.</string>
+ <string id="POL_C1A54865_BE76_5627_B737_BBB708AEC44C">max wins ttl</string>
+ <string id="POL_C1A54865_BE76_5627_B737_BBB708AEC44C_Help">This option tells smbd
+ 8 when acting as a WINS server (yes) what the maximum
+ 'time to live' of NetBIOS names that nmbd
+ will grant will be (in seconds). You should never need to change this parameter. The default is 6 days (518400 seconds).</string>
+ <string id="POL_BEE0A696_13BD_578B_B448_1E0A01AB915A">min wins ttl</string>
+ <string id="POL_BEE0A696_13BD_578B_B448_1E0A01AB915A_Help">This option tells nmbd
+ 8
+ when acting as a WINS server (yes) what the minimum 'time to live'
+ of NetBIOS names that nmbd will grant will be (in
+ seconds). You should never need to change this parameter. The default
+ is 6 hours (21600 seconds).</string>
+ <string id="POL_890DE0DC_C0FC_565A_A1D3_AD06EFAC41ED">nbtd:wins_prepend1Bto1Cqueries</string>
+ <string id="POL_890DE0DC_C0FC_565A_A1D3_AD06EFAC41ED_Help">Normally queries for 0x1C names (all logon servers for a domain) will return the first address of the 0x1B names (domain master browser and PDC) as first address in the result list. As many client only use the first address in the list by default, all clients will use the same server (the PDC). Windows servers have an option to disable this behavior (since Windows 2000 Service Pack 2).</string>
+ <string id="POL_06F0FFB1_F595_57BB_B964_6D419A02F468">nbtd:wins_wins_randomize1Clist</string>
+ <string id="POL_06F0FFB1_F595_57BB_B964_6D419A02F468_Help">Normally queries for 0x1C names will return the addresses in the same order as they're stored in the database, that means first all addresses which have been directly registered at the local wins server and then all addresses registered at other servers. Windows servers have an option to change this behavior and randomize the returned addresses. Set this parameter to "yes" and Samba will sort the address list depending on the client address and the matching bits of the addresses, the first address is randomized based on depending on the "nbtd:wins_randomize1Clist_mask" parameter.</string>
+ <string id="POL_F63D2A1E_D6BA_516E_995D_F9FEE05D49DB">nbtd:wins_randomize1Clist_mask</string>
+ <string id="POL_F63D2A1E_D6BA_516E_995D_F9FEE05D49DB_Help">If the "nbtd:wins_randomize1Clist" parameter is set to "yes", then randomizing of the first returned address is based on the specified netmask. If there are addresses which are in the same subnet as the client address, the first returned address is randomly chosen out them. Otherwise the first returned address is randomly chosen out of all addresses.</string>
+ <string id="POL_D0A83CCC_07AF_553B_84AE_4824377AE692">winsdb:local_owner</string>
+ <string id="POL_D0A83CCC_07AF_553B_84AE_4824377AE692_Help">This specifies the address that is stored in the winsOwner attribute, of locally registered winsRecord-objects. The default is to use the ip-address of the first network interface.</string>
+ <string id="POL_06442D20_4739_5DE0_820F_516416AD0ECF">winsdb:dbnosync</string>
+ <string id="POL_06442D20_4739_5DE0_820F_516416AD0ECF_Help">This parameter disables fsync() after changes of the WINS database.</string>
+ <string id="POL_F7271C08_2949_53E0_809D_9B976AB9DE2E">wins hook</string>
+ <string id="POL_F7271C08_2949_53E0_809D_9B976AB9DE2E_Help">When Samba is running as a WINS server this allows you to call an external program for all changes to the WINS database. The primary use for this option is to allow the dynamic update of external name resolution databases such as dynamic DNS.
+ The wins hook parameter specifies the name of a script or executable that will be called as follows:
+ wins_hook operation name nametype ttl IP_list
+ The first argument is the operation and is one of "add", "delete", or "refresh". In most cases the operation can be ignored as the rest of the parameters provide sufficient information. Note that "refresh" may sometimes be called when the name has not previously been added, in that case it should be treated as an add.
+ The second argument is the NetBIOS name. If the name is not a legal name then the wins hook is not called. Legal names contain only letters, digits, hyphens, underscores and periods.
+ The third argument is the NetBIOS name type as a 2 digit hexadecimal number.
+ The fourth argument is the TTL (time to live) for the name in seconds. The fifth and subsequent arguments are the IP addresses currently registered for that name. If this list is empty then the name should be deleted.
+ An example script that calls the BIND dynamic DNS update program nsupdate is provided in the examples directory of the Samba source code.</string>
+ <string id="POL_A1E6C0E7_38BA_5583_816D_73C91FCAADB4">wins proxy</string>
+ <string id="POL_A1E6C0E7_38BA_5583_816D_73C91FCAADB4_Help">This is a boolean that controls if nmbd 8 will respond to broadcast name queries on behalf of other hosts. You may need to set this to yes for some older clients.</string>
+ <string id="POL_31C40FB1_1B0A_5AA3_80F9_7914AC38FD99">wins server</string>
+ <string id="POL_31C40FB1_1B0A_5AA3_80F9_7914AC38FD99_Help">This specifies the IP address (or DNS name: IP address for preference) of the WINS server that nmbd 8 should register with. If you have a WINS server on your network then you should set this to the WINS server's IP.
+ You should point this at your WINS server if you have a multi-subnetted network.
+ If you want to work in multiple namespaces, you can give every wins server a 'tag'. For each tag, only one (working) server will be queried for a name. The tag should be separated from the ip address by a colon.
+ You need to set up Samba to point to a WINS server if you have multiple subnets and wish cross-subnet browsing to work correctly. See the chapter in the Samba3-HOWTO on Network Browsing.
+
+Example: mary:192.9.200.1 fred:192.168.3.199 mary:192.168.2.61
+
+
+Example: 192.9.200.1 192.168.2.61</string>
+ <string id="POL_44517D2D_845B_5F7B_90F2_F7BD0DA063A9">wins support</string>
+ <string id="POL_44517D2D_845B_5F7B_90F2_F7BD0DA063A9_Help">This boolean controls if the nmbd 8 process in Samba will act as a WINS server. You should not set this to yes unless you have a multi-subnetted network and you wish a particular nmbd to be your WINS server. Note that you should NEVER set this to yes on more than one machine in your network.</string>
+ <string id="POL_8A035569_9C85_59DC_9BF8_241994D4E947">wreplsrv:periodic_interval</string>
+ <string id="POL_8A035569_9C85_59DC_9BF8_241994D4E947_Help">This maximum interval in seconds between 2 periodically scheduled runs where we check for wins.ldb changes and do push notifications to our push partners. Also wins_config.ldb changes are checked in that interval and partner configuration reloads are done.</string>
+ <string id="POL_186864AE_CE31_5628_BA4E_6B9F06F087E5">wreplsrv:propagate name releases</string>
+ <string id="POL_186864AE_CE31_5628_BA4E_6B9F06F087E5_Help">If this parameter is enabled, then explicit (from the client) and implicit (via the scavenging) name releases are propagated to the other servers directly, even if there are still other addresses active, this applies to SPECIAL GROUP (2) and MULTIHOMED (3) entries. Also the replication conflict merge algorithm for SPECIAL GROUP (2) entries discards replica addresses where the address owner is the local server, if the address was not stored locally before. The merge result is propagated directly in case an address was discarded. A Windows servers doesn't propagate name releases of SPECIAL GROUP (2) and MULTIHOMED (3) entries directly, which means that Windows servers may return different results to name queries for SPECIAL GROUP (2) and MULTIHOMED (3) names. The option doesn't have much negative impact if Windows servers are around, but be aware that they might return unexpected results.</string>
+ <string id="POL_8DC9CC59_A490_5F52_8C69_A9EEC802C48C">wreplsrv:scavenging_interval</string>
+ <string id="POL_8DC9CC59_A490_5F52_8C69_A9EEC802C48C_Help">This is the interval in s between 2 scavenging runs which clean up the WINS database and changes the states of expired name records. Defaults to half of the value of wreplsrv:renew_interval.</string>
+ <string id="POL_DB737BF2_9B47_5895_A3F8_D51BBD764222">wreplsrv:tombstone_extra_timeout</string>
+ <string id="POL_DB737BF2_9B47_5895_A3F8_D51BBD764222_Help">This is the time in s the server needs to be up till we'll remove tombstone records from our database. Defaults to 3 days.</string>
+ <string id="POL_30D1C3B2_BDCD_5A5C_A131_11E1E6DA2A76">wreplsrv:tombstone_interval</string>
+ <string id="POL_30D1C3B2_BDCD_5A5C_A131_11E1E6DA2A76_Help">This is the interval in s till released records of the WINS server become tombstone. Defaults to 6 days.</string>
+ <string id="POL_F19C445A_AFD5_51B6_B87A_E42499C3C5D8">wreplsrv:tombstone_timeout</string>
+ <string id="POL_F19C445A_AFD5_51B6_B87A_E42499C3C5D8_Help">This is the interval in s till tombstone records are deleted from the WINS database. Defaults to 1 day.</string>
+ <string id="POL_8CF1FEA3_BD3E_53C0_9F73_34050187A91E">wreplsrv:verify_interval</string>
+ <string id="POL_8CF1FEA3_BD3E_53C0_9F73_34050187A91E_Help">This is the interval in s till we verify active replica records with the owning WINS server. Unfortunately not implemented yet. Defaults to 24 days.</string>
+ <string id="CAT_9DEF582D_447A_47E9_A1F5_363558D03FA9">Messages</string>
+ <string id="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07">Message of the day</string>
+ <string id="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07_Help"> The contents of /etc/motd are displayed after a successful login but just before it executes the login shell.</string>
+ <string id="POL_68E9155C_CB49_428E_AFE0_B89316FFD948">Login Prompt Message</string>
+ <string id="POL_68E9155C_CB49_428E_AFE0_B89316FFD948_Help"> The issue file may contain certain escape codes to display the system name, date, time etc. All escape codes consist of a backslash (\) immediately followed by one of the characters listed below.
+
+ 4 or 4{interface}
+ Insert the IPv4 address of the specified network interface (for example: \4{eth0}). If the interface argument is not specified, then select the first fully configured (UP, non-LOCALBACK, RUNNING) interface. If not any configured interface is found, fall back to the IP address of the machine's hostname.
+
+ 6 or 6{interface}
+ The same as \4 but for IPv6.
+
+ b Insert the baudrate of the current line.
+
+ d Insert the current date.
+
+ e or e{name}
+ Translate the human-readable name to an escape sequence and insert it (for example: \e{red}Alert text.\e{reset}). If the name argument is not specified, then insert \033. The currently supported names are: black, blink, blue, bold, brown, cyan, darkgray, gray, green, halfbright, lightblue, lightcyan, lightgray, lightgreen, lightmagenta, lightred, magenta, red, reset, reverse, and yellow. All unknown names are silently ignored.
+
+ s Insert the system name (the name of the operating system). Same as 'uname -s'. See also the \S escape code.
+
+ S or S{VARIABLE}
+ Insert the VARIABLE data from /etc/os-release. If this file does not exist then fall back to /usr/lib/os-release. If the VARIABLE argument is not specified, then use PRETTY_NAME from the file or the system name (see \s). This escape code allows to keep /etc/issue distribution and release independent. Note that \S{ANSI_COLOR} is converted to the real terminal escape sequence.
+
+ l Insert the name of the current tty line.
+
+ m Insert the architecture identifier of the machine. Same as 'uname -m'.
+
+ n Insert the nodename of the machine, also known as the hostname. Same as 'uname -n'.
+
+ o Insert the NIS domainname of the machine. Same as 'hostname -d'.
+
+ O Insert the DNS domainname of the machine.
+
+ r Insert the release number of the OS. Same as 'uname -r'.
+
+ t Insert the current time.
+
+ u Insert the number of current users logged in.
+
+ U Insert the string "1 user" or "<n> users" where <n> is the number of current users logged in.
+
+ v Insert the version of the OS, that is, the build-date and such.</string>
+ <string id="CAT_371A8FF5_990F_47DD_B200_D436AC28A4F9">Firewalld</string>
+ <string id="POL_ADABE9E0_FFF9_4FFE_A105_03E646C79978">Zones</string>
+ <string id="POL_ADABE9E0_FFF9_4FFE_A105_03E646C79978_Help">A list of zones to create. Existing zones on the host will be unaffected.
+
+Rule creation for zones is handled in the Rules setting.</string>
+ <string id="POL_B21F349F_4BF6_473E_8452_047D714F156C">Rules</string>
+ <string id="POL_B21F349F_4BF6_473E_8452_047D714F156C_Help">A JSON dictionary, containing zones paired with a list of rules.
+
+For example, to create rules for the Work and Home zones, specify the following JSON:
+
+{
+ "work": [
+ {"rule": {"family": "ipv4"}, "source address": "172.25.1.7", "service name": "ftp", "reject": {}},
+ {"rule": {}, "source address": "172.25.1.8", "service name": "ftp", "reject": {}}
+ ],
+ "home": [
+ {"rule": {}, "protocol value": "icmp", "reject": {}},
+ {"rule": {"family": "ipv4"}, "source address": "192.168.1.2/32", "service name": "telnet", "accept": {"limit value": "1/m"}}
+ ]
+}
+
+An improperly formatted JSON will be ignored.
+
+The rule structure loosely follows the Firewalld Rich Language Documentation.
+
+General rule structure:
+{
+ "rule": {
+ "family": "ipv4 | ipv6",
+ "priority": "priority"
+ },
+ "source [not] address | mac | ipset": "address[/mask] | mac-address | ipset",
+ "destination [not] address": "address[/mask]",
+ "service name": "service name",
+ "port": {
+ "port": "port value",
+ "protocol": "tcp | udp"
+ }
+ "protocol value": "protocol value",
+ "icmp-block name": "icmptype name",
+ "Masquerade": true|false,
+ "icmp-type": "icmptype name",
+ "forward-port": {
+ "port": "port value",
+ "protocol": "tcp | udp",
+ "to-port": "port value",
+ "to-addr": "address"
+ },
+ "source-port": {
+ "port": "port value",
+ "protocol": "tcp | udp"
+ },
+ "log": {
+ "prefix": "prefix text",
+ "level": "emerg | alert | crit | error | warning | notice | info | debug",
+ "limit value": "rate/duration"
+ },
+ "audit": {
+ "limit value": "rate/duration"
+ },
+ "accept" : {
+ "limit value": "rate/duration"
+ } | "reject": {
+ "type": "reject type",
+ "limit value": "rate/duration"
+ } | "drop": {
+ "limit value": "rate/duration"
+ } | "mark": {
+ "set": "mark[/mask]",
+ "limit value": "rate/duration"
+ }
+}</string>
+ </stringTable>
+ <presentationTable>
+ <presentation id="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061">
+ <listBox refId="LST_2E9A4684_3C0E_415B_8FD6_D4AF68BC8AC6">Script and arguments</listBox>
+ </presentation>
+ <presentation id="POL_825D441F_905E_4C7E_9E4B_03013697C6C1">
+ <listBox refId="LST_1AA93D59_6372_4F1E_90BB_D4CBBBB77238">Script and arguments</listBox>
+ </presentation>
+ <presentation id="POL_D298F3BD_44D9_426D_AF11_3163D31582F6">
+ <listBox refId="LST_8BC6757D_B1FB_4780_83B4_F85F27BF6E60">Script and arguments</listBox>
+ </presentation>
+ <presentation id="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674">
+ <listBox refId="LST_1E7198A6_7850_4CAB_B656_BC18752564FC">Script and arguments</listBox>
+ </presentation>
+ <presentation id="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3">
+ <listBox refId="LST_4F4BA073_4F7B_4B64_A61D_8E75257A4B9F">Sudoers commands</listBox>
+ </presentation>
+ <presentation id="POL_A3D6C2F2_2798_527E_861E_FA8BADBBE6E6">
+ <textBox refId="TXT_F940E18B_16AE_594B_9669_96417E695AC9">
+ <label>additional dns hostnames</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_AC8777B4_88D7_5A1A_BB7E_E47AB5DBD6AA">
+ <checkBox refId="CHK_5C837672_BFBB_592A_907C_E378BEEDA2E4">bind interfaces only</checkBox>
+ </presentation>
+ <presentation id="POL_D03F1811_D0CA_56CF_9D18_B480E9B5AFAD">
+ <textBox refId="TXT_03C82812_CCD0_5E35_8FA1_2704BAF796E9">
+ <label>config backend</label>
+ <defaultValue>file</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DE840DAF_58CD_5B21_A76B_70740BD125A1">
+ <textBox refId="TXT_CF5594A6_FA4A_5AB4_881B_AD9270CE3523">
+ <label>dos charset</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3783DBBE_7F1F_52B4_BECB_6176E8D43AE1">
+ <checkBox defaultChecked="true" refId="CHK_A51834ED_BBB9_52C3_A7C5_A566ABE7AB3D">enable core files</checkBox>
+ </presentation>
+ <presentation id="POL_5EE2E645_A509_5C51_94FE_4F84668AC869">
+ <textBox refId="TXT_3E2FB206_740F_580E_889D_B53C2540732C">
+ <label>mdns name</label>
+ <defaultValue>netbios</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_32EB220A_5721_51EC_810C_0BEF4B9EA706">
+ <checkBox defaultChecked="true" refId="CHK_03FFDBD4_C185_5951_954F_189B0D4C40DA">multicast dns register</checkBox>
+ </presentation>
+ <presentation id="POL_51EEB44F_42B8_5CEA_8DA6_CB78139F4804">
+ <textBox refId="TXT_6A12C17F_F8CF_56F3_8D82_43CAB3C57F55">
+ <label>netbios aliases</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_4AEFFAC4_3FBE_5DFA_9D3F_D78B50416B7C">
+ <textBox refId="TXT_34827D8A_E97C_590B_BD8A_6DEA6A354BE8">
+ <label>netbios name</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_24E6BE64_5FEA_56A1_83AF_844C8A96E96D">
+ <textBox refId="TXT_0ED12914_E653_5CDA_9F46_E1C3AB2FC32E">
+ <label>netbios scope</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0901DFB6_7C73_5D10_82CC_5D77CD14685D">
+ <decimalTextBox defaultValue="10" refId="DXT_F0896598_D8F1_579A_B01D_09A48282AC76"/>
+ </presentation>
+ <presentation id="POL_26F4B846_C66B_5649_AA7E_B06E899017CA">
+ <decimalTextBox defaultValue="4" refId="DXT_BD459D8F_47F9_558D_A641_97892C9E577E"/>
+ </presentation>
+ <presentation id="POL_9C3E188A_07B9_5354_A206_DD0FA0B4A235">
+ <decimalTextBox defaultValue="120" refId="DXT_16991D04_74C7_54C3_9E4F_52EF9C9AEDB4"/>
+ </presentation>
+ <presentation id="POL_609F7E6F_9AAC_56B4_B098_4E63BBBB98B4">
+ <textBox refId="TXT_5B075596_6622_5C89_A426_B9DA3F43AC3A">
+ <label>realm</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_68ED4DED_E13E_5C54_BD04_23E499D77D51">
+ <textBox refId="TXT_E2BF4D58_613E_5C2D_850A_C3585BC311C2">
+ <label>server services</label>
+ <defaultValue>s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_584FF155_77A9_5209_AC2F_071DEAB5FA42">
+ <textBox refId="TXT_EC20B2FC_7658_536F_A876_F0B61196042C">
+ <label>server string</label>
+ <defaultValue>Samba %v</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3D10A56C_5C5B_516D_8718_0112384056DB">
+ <textBox refId="TXT_682410E7_F583_5A97_BB60_6BBAA190DA1C">
+ <label>share backend</label>
+ <defaultValue>classic</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A64B2059_EC1C_5759_94E8_CD95EEB42F35">
+ <textBox refId="TXT_3F03354B_7221_5D54_8D25_FA3229D9A026">
+ <label>unix charset</label>
+ <defaultValue>UTF-8</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_38764DE0_53DC_587E_A94B_7C03323B0C69">
+ <textBox refId="TXT_A1CD4626_197B_582B_9C09_E35945F84ECF">
+ <label>workgroup</label>
+ <defaultValue>WORKGROUP</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DD5ADDCF_E8DF_50F9_9847_E821787C2C3C">
+ <textBox refId="TXT_18F101C1_8754_5052_8D12_3D4B3755A739">
+ <label>interfaces</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EECBA792_3D9C_5624_A01E_F5876EF8224D">
+ <checkBox defaultChecked="true" refId="CHK_1D40EF50_9DF5_5D95_B5EF_406C4F3774B8">browse list</checkBox>
+ </presentation>
+ <presentation id="POL_414481A1_7B9D_551A_96F0_B235A226F141">
+ <textBox refId="TXT_69092348_8194_5EA4_9EB2_AFFFF4A2A6C8">
+ <label>domain master</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_25D5E28F_5847_5A16_8CF5_01E528D1807D">
+ <checkBox defaultChecked="true" refId="CHK_7A02FE2C_82BF_50CE_91F0_14B1191E7258">enhanced browsing</checkBox>
+ </presentation>
+ <presentation id="POL_7356F015_5915_5A1E_9154_AEE48849DC85">
+ <textBox refId="TXT_9C07BE5E_EF60_51EC_B26C_CEA97CD41C69">
+ <label>lm announce</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_37CB9A35_D06B_581B_8BBC_96F636F2DF0D">
+ <decimalTextBox defaultValue="60" refId="DXT_6B8EAB54_6B9E_5EE3_BBB3_286F512AC0F9"/>
+ </presentation>
+ <presentation id="POL_00BB67E5_7846_53BF_990A_8B7D03F9D88E">
+ <checkBox defaultChecked="true" refId="CHK_CFD7EF58_DD73_5465_B0CE_4C6B4E35F416">local master</checkBox>
+ </presentation>
+ <presentation id="POL_99809647_A4DC_5363_8E8B_A27B51B90E87">
+ <decimalTextBox defaultValue="20" refId="DXT_3DF3E95D_2453_53C1_A98D_DB040E45E676"/>
+ </presentation>
+ <presentation id="POL_69BB8325_FE45_56C0_8D34_F23EC38D2107">
+ <textBox refId="TXT_82D47B73_2C75_5779_A283_E9A39FD54705">
+ <label>preferred master</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F664E709_2422_5047_BD55_E95C422B6B33">
+ <textBox refId="TXT_BEC7C085_5840_5531_9E64_A727E258569A">
+ <label>allow dns updates</label>
+ <defaultValue>secure only</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C69048CD_ABF0_5333_B5CB_7455D5F226FF">
+ <textBox refId="TXT_64C9BBC7_F73A_5844_A613_08685212F33C">
+ <label>dns forwarder</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F9D5C585_21FD_5990_BE36_3A58B7AF326B">
+ <textBox refId="TXT_05BC3827_6AE7_54BF_8E0C_008D698CC732">
+ <label>dns update command</label>
+ <defaultValue>/samba_dnsupdate</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2363A474_4143_52A2_A69B_05285C98E4CF">
+ <checkBox refId="CHK_3104780C_9730_550D_8DF9_5C5A226B2AAE">dns zone scavenging</checkBox>
+ </presentation>
+ <presentation id="POL_F2F11B02_D190_5766_95DC_FDB846EEEB13">
+ <textBox refId="TXT_A8FD53BD_1ED7_54DB_9A7C_159348F47A6D">
+ <label>gpo update command</label>
+ <defaultValue>/samba-gpupdate</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A83B176D_D2FE_5F41_9977_9A16F5B8C5ED">
+ <decimalTextBox defaultValue="604800" refId="DXT_E5687DEB_DB51_5266_ACDB_2E619982BAD7"/>
+ </presentation>
+ <presentation id="POL_5BD73E55_C69F_5CCF_8D91_2513716FB1C6">
+ <textBox refId="TXT_3BA3F934_5C9D_5EAB_BAEB_7FBDAE0268F5">
+ <label>nsupdate command</label>
+ <defaultValue>/usr/bin/nsupdate -g</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E38856B0_C9B1_5577_9055_C48A4CCE499C">
+ <textBox refId="TXT_041114D6_313A_501F_BFC9_FD004546248B">
+ <label>spn update command</label>
+ <defaultValue>/samba_spnupdate</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C2FCADD1_1EF0_5726_9CDE_0E155B0B6575">
+ <decimalTextBox defaultValue="1" refId="DXT_0BA0C537_293A_525C_AC5C_9BB5C0524277"/>
+ </presentation>
+ <presentation id="POL_620B56BA_84B7_5E72_AC2D_4F0574FBB199">
+ <textBox refId="TXT_241061E9_3BDA_5AFE_87CB_13C53A164649">
+ <label>mangling method</label>
+ <defaultValue>hash2</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E59D859C_7C78_5AB6_8DE3_27F672637189">
+ <decimalTextBox defaultValue="512" refId="DXT_EA859956_0483_500A_9962_8A26A8B81BB4"/>
+ </presentation>
+ <presentation id="POL_6BB5939F_7CE6_588E_A6E2_B114EF17F60F">
+ <checkBox defaultChecked="true" refId="CHK_45471F8A_D0BD_53A3_B51F_393DE6CC03D2">stat cache</checkBox>
+ </presentation>
+ <presentation id="POL_BE2B9E4A_5ABE_543F_8564_4CBDD1AF9179">
+ <textBox refId="TXT_4A85EF32_894F_50AF_9917_B7F431720A82">
+ <label>client ldap sasl wrapping</label>
+ <defaultValue>sign</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F4937393_B88E_5B26_89F5_F9933BEBEF8B">
+ <textBox refId="TXT_4B00C10F_7EBB_52D5_9AD1_C893F9C094C5">
+ <label>ldap admin dn</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_5187BD6B_3008_59FC_887D_1C89E807B11E">
+ <decimalTextBox defaultValue="2" refId="DXT_87AD8E93_91B6_5439_B928_9776BF986ED0"/>
+ </presentation>
+ <presentation id="POL_96311867_A4DE_5B57_BD8C_3D25B5084F68">
+ <checkBox refId="CHK_2BC96AC0_ECEF_55D4_AEA4_039FDD24C999">ldap delete dn</checkBox>
+ </presentation>
+ <presentation id="POL_193E7C6B_E70E_55EB_AB50_3788B93F4607">
+ <textBox refId="TXT_FCC83065_2F1A_585B_A998_85AA52D99537">
+ <label>ldap deref</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E6D23CDA_DABC_5749_BEF1_D15FF80E02BF">
+ <textBox refId="TXT_DEC758B4_6B3C_5882_B0B8_386473EECFD3">
+ <label>ldap follow referral</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_6C44A469_31FA_512A_AB08_ACDADD5B7238">
+ <textBox refId="TXT_B51FB55F_3A49_539E_A77A_7F7F2AF2CC39">
+ <label>ldap group suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_83D7A344_AE69_5DCA_A3D9_A79DF817A7D4">
+ <textBox refId="TXT_E49CAB56_E62A_5930_99DE_EEC0B04DBCF4">
+ <label>ldap idmap suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_07D748C7_B6EA_558D_B652_62F9BC2E9A1B">
+ <textBox refId="TXT_2B9911E2_33DC_5CB0_A9CC_E7DD7B2A5799">
+ <label>ldap machine suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F831F898_66A7_53D3_B6EA_B90065F7EF41">
+ <decimalTextBox defaultValue="1000" refId="DXT_1C52332B_FC98_54CA_8C3D_64E63D450DD7"/>
+ </presentation>
+ <presentation id="POL_068B0430_6CF2_5CAC_BDC8_F7074411AA6C">
+ <textBox refId="TXT_03529C2D_378A_5BE4_A342_9FF088AC8396">
+ <label>ldap passwd sync</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DC0C1ABD_D8CE_5175_A9AB_D58661AACFB1">
+ <decimalTextBox defaultValue="1000" refId="DXT_B21A5F63_507D_5407_B582_DA64138C6B97"/>
+ </presentation>
+ <presentation id="POL_F12B9752_4939_52A6_9A5E_52FFF53FC34F">
+ <textBox refId="TXT_3ADB0A83_AA24_5C68_BD2E_3723FC2F2268">
+ <label>ldapsam:editposix</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_90ECE51D_8CF8_50F9_809F_87A024DDCAAE">
+ <textBox refId="TXT_B10770E9_1959_5A4A_8D44_F070923C2A12">
+ <label>ldapsam:trusted</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B58FAA75_79BA_53E3_A895_69D6DE3E547E">
+ <textBox refId="TXT_9F11612E_1A6E_5CF7_BC96_4ADBD123A76D">
+ <label>ldap server require strong auth</label>
+ <defaultValue>yes</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D6465FAC_2205_59C0_A3E6_1F1DE4C50A58">
+ <textBox refId="TXT_950B2F92_3A19_5FC4_839A_3226C858811C">
+ <label>ldap ssl</label>
+ <defaultValue>start tls</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EAF3D0F1_C7E5_5864_AE5D_FBF9F6102FF4">
+ <checkBox refId="CHK_0D06C9D8_3A6A_509E_9B4A_DE497AFA6B58">ldap ssl ads</checkBox>
+ </presentation>
+ <presentation id="POL_208E2789_E8A9_53CA_B756_2694096B8DAF">
+ <textBox refId="TXT_ABB81954_F41C_5FAD_BD35_873007549C27">
+ <label>ldap suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D76D653B_C2A3_5939_BF95_9BAE0CF6C88C">
+ <decimalTextBox defaultValue="15" refId="DXT_8B73DF13_A7A3_57B4_A4BE_AC816E59EBAB"/>
+ </presentation>
+ <presentation id="POL_B3FBC8E2_DD5D_5CEA_9FC5_44687CF36BB5">
+ <textBox refId="TXT_B9F4F586_8F61_53D2_AFEE_B2011D0DFF43">
+ <label>ldap user suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_94ABA1F3_F411_52AE_ADAA_72B53F9198CA">
+ <decimalTextBox defaultValue="256000" refId="DXT_B7AEDDC2_0B5A_5C1C_AFA0_7518773C5F5F"/>
+ </presentation>
+ <presentation id="POL_A2C8FD60_A284_5409_B130_B135DEE4B615">
+ <decimalTextBox defaultValue="16777216" refId="DXT_1B597D08_FFDB_5BA4_ABD9_31A8446A3625"/>
+ </presentation>
+ <presentation id="POL_695C7E25_8C69_519C_907E_9A71D1FE2EC3">
+ <decimalTextBox defaultValue="256000" refId="DXT_6FA557BE_E2D9_54CC_9A8D_FAA4BFCD552A"/>
+ </presentation>
+ <presentation id="POL_60E126C5_9E79_54DC_B201_A3E643352D00">
+ <decimalTextBox defaultValue="200" refId="DXT_8D517C10_BE65_5D58_AC86_8A21017F479A"/>
+ </presentation>
+ <presentation id="POL_6B50B6B6_D038_54C5_BD82_9D377C2E8C0C">
+ <decimalTextBox defaultValue="0" refId="DXT_14C326D8_5326_5883_95FA_D903E07A457A"/>
+ </presentation>
+ <presentation id="POL_D9E75BB0_F19B_5F72_A58E_22718E614EB3">
+ <checkBox defaultChecked="true" refId="CHK_8649286E_DE5D_5DE7_A836_AA15E736A911">smb2 leases</checkBox>
+ </presentation>
+ <presentation id="POL_D7003A7B_D00A_51AE_8D40_7446533B2974">
+ <checkBox refId="CHK_4915975F_60D1_5187_9E6A_F835D1086622">debug class</checkBox>
+ </presentation>
+ <presentation id="POL_CF714212_43A8_52ED_BDAD_B1D6F82A6EF9">
+ <checkBox defaultChecked="true" refId="CHK_ADDEF100_7619_5056_B632_ECEF204DBEC8">debug hires timestamp</checkBox>
+ </presentation>
+ <presentation id="POL_CF524D7E_11CA_5027_9777_5398DD2804B4">
+ <checkBox refId="CHK_6D39A340_480D_596C_A9F5_3412FC28765D">debug pid</checkBox>
+ </presentation>
+ <presentation id="POL_BDF671C9_3811_5B19_AB78_5F12B25CEC84">
+ <checkBox refId="CHK_2367747B_4E47_503A_A92C_1EA98AC3D5CC">debug prefix timestamp</checkBox>
+ </presentation>
+ <presentation id="POL_B76DE893_21E7_5B6A_81AB_23B8F00D782D">
+ <checkBox refId="CHK_5BD4217F_5C51_59D6_9582_3037FB4B6E4F">debug uid</checkBox>
+ </presentation>
+ <presentation id="POL_BACB061C_C7A0_5830_80FE_15FA009DEAA2">
+ <decimalTextBox defaultValue="0" refId="DXT_DBF1992F_D735_55E7_9029_AE5D9EBA66FB"/>
+ </presentation>
+ <presentation id="POL_B51CE2D4_7EFD_577E_97EC_8EEA650C0F0F">
+ <decimalTextBox defaultValue="10" refId="DXT_2D488F55_5DE8_5AC6_85AE_F77BE4429364"/>
+ </presentation>
+ <presentation id="POL_1C03B9BE_5E74_58CF_A649_CDFD9E91F6CC">
+ <textBox refId="TXT_2C83A41B_5CDA_5130_8343_1278307321CD">
+ <label>log file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_FA6B22DA_628C_5C5E_8BAD_97BBCE0E4F1F">
+ <textBox refId="TXT_2533346E_4C1C_5ACB_9355_B40495EB63CD">
+ <label>logging</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C4E11396_B289_5D98_9F39_6BD19BBB4330">
+ <textBox refId="TXT_60E8D3F6_8EC7_5FDC_8645_3E4E3EF85512">
+ <label>log level</label>
+ <defaultValue>0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EA5127A5_4C6A_5B8A_9D52_D5D17D9E8AFE">
+ <decimalTextBox defaultValue="5000" refId="DXT_60E6F44F_5185_576D_91C2_9B10FB853416"/>
+ </presentation>
+ <presentation id="POL_69FD7A6B_0BA2_570F_9BB1_B869C7404630">
+ <decimalTextBox defaultValue="1" refId="DXT_FCD3912D_FD93_54A5_91E4_A834457B8F2E"/>
+ </presentation>
+ <presentation id="POL_FD3A0B38_1664_58B4_983A_3A21EC4A76EA">
+ <checkBox refId="CHK_88778A4E_D102_588A_A01C_E930BEE81D6C">syslog only</checkBox>
+ </presentation>
+ <presentation id="POL_AB153BC2_9291_51D0_81AC_1A78B1A0DE6F">
+ <checkBox defaultChecked="true" refId="CHK_16FD7E9E_1FCF_58D9_940E_42D45860825B">timestamp logs</checkBox>
+ </presentation>
+ <presentation id="POL_7C7A3857_7762_5F1F_BDB5_A621FEBD0E99">
+ <textBox refId="TXT_6716C37B_3C84_5AB4_8A8D_B6D070787CEB">
+ <label>abort shutdown script</label>
+ <defaultValue>""</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A6105481_F59A_5B08_8B4C_B100EF112BD9">
+ <textBox refId="TXT_BB6CFFBF_3E2F_5FDF_A2CC_E255231A3370">
+ <label>add group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_01C79ED8_2727_54DF_AF75_96E5A25722DD">
+ <textBox refId="TXT_C3FD37B5_A643_57DF_AE57_048E75B21BDF">
+ <label>add machine script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_BA7787E8_0D26_5963_8F44_498B278A4703">
+ <textBox refId="TXT_56C28546_216A_5AFF_B212_FFEC207F3FFD">
+ <label>add user script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_077466DB_CB4D_5489_8934_C2F22592D94A">
+ <textBox refId="TXT_218549FC_FD8A_5036_8199_9B2AB628624F">
+ <label>add user to group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8F632169_4F0C_500B_BE8B_88960312C345">
+ <checkBox refId="CHK_61299541_E6C3_50AD_9CCD_409DBABC3DA2">allow nt4 crypto</checkBox>
+ </presentation>
+ <presentation id="POL_5A6DC206_1A48_5FFE_8B2D_897EF95CCBAD">
+ <checkBox refId="CHK_F34DA878_4D45_5E26_8454_77BAE0D9FCAA">auth event notification</checkBox>
+ </presentation>
+ <presentation id="POL_3152501B_87A8_5907_AAD5_00B3F7752516">
+ <textBox refId="TXT_F75A550B_6B11_57A4_9EAD_27361359E4CB">
+ <label>delete group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_676F211D_0B27_54F6_9FF0_1B6F6CC88CA6">
+ <textBox refId="TXT_E6287F6E_CDD6_57CC_A6CF_59E26391473A">
+ <label>delete user from group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3033EDC8_8938_5A64_A8B9_1F7349DC1149">
+ <textBox refId="TXT_1FC62BD1_6541_5C03_B233_B5DE1B987775">
+ <label>delete user script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_27365CD7_D0DF_5A41_9140_A1C6970CB3D0">
+ <checkBox refId="CHK_B67618DB_ED7B_5A2E_AC14_C2E808E1A927">domain logons</checkBox>
+ </presentation>
+ <presentation id="POL_49526C11_2F64_5D85_A25D_A90D2152195E">
+ <checkBox defaultChecked="true" refId="CHK_A6532133_05F0_5D5F_983E_8924AB2334D5">enable privileges</checkBox>
+ </presentation>
+ <presentation id="POL_026CF0E2_B95C_5B67_BBAA_E95C5F809B28">
+ <decimalTextBox defaultValue="100" refId="DXT_1FD373A1_8A61_5884_9208_07A886F6334F"/>
+ </presentation>
+ <presentation id="POL_B9587C82_562E_5CA5_8BBD_835B3940D00D">
+ <textBox refId="TXT_633A0D2D_C7E6_54EF_BCE0_46ECFB6B2C1E">
+ <label>init logon delayed hosts</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_84F161E0_6C65_55C2_9DB5_CC61E66CEA9F">
+ <textBox refId="TXT_8F910181_D80D_58A5_937D_186E347E6433">
+ <label>logon drive</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_508CD547_53D7_59ED_BB1F_E6EE939C1AF2">
+ <textBox refId="TXT_3C94DDFB_94DD_598E_BC0D_B70465DA9C0C">
+ <label>logon home</label>
+ <defaultValue>\\%N\%U</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_204A522A_CF55_5E96_A2AD_B58E105AA80C">
+ <textBox refId="TXT_05B40781_B875_53DD_B1DD_4CA590B56E4A">
+ <label>logon path</label>
+ <defaultValue>\\%N\%U\profile</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A1B5FFEC_19C2_5415_ACE0_38E5D118E369">
+ <textBox refId="TXT_C1B894A7_BDF5_52B8_AC59_900953D453AC">
+ <label>logon script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DD7A32CE_6F63_596B_8E15_43B11C82E2AF">
+ <checkBox refId="CHK_805FD143_5242_56DE_BD51_0B514A588E9F">reject md5 clients</checkBox>
+ </presentation>
+ <presentation id="POL_2AD85924_5D09_571B_B048_E996EC819C57">
+ <textBox refId="TXT_B00F123E_2430_5EA0_A543_92D22A0F5FD4">
+ <label>set primary group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A8F30942_8D30_583F_8C0F_877BD20D9B26">
+ <textBox refId="TXT_74A021FE_F97F_5D54_9C4E_023D1964D37E">
+ <label>shutdown script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F0D581AB_54B4_58AA_9B84_6794FB8D3D55">
+ <textBox refId="TXT_C77D6CE7_BED5_52A8_BD8C_0259439992FA">
+ <label>add share command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_91CEEB79_E73B_563E_84CC_0C1483141142">
+ <decimalTextBox defaultValue="604800" refId="DXT_FBB1DAD6_26B9_5FB1_9678_EB499E48CC26"/>
+ </presentation>
+ <presentation id="POL_77D04206_AF73_51DE_9BE8_63524E440826">
+ <textBox refId="TXT_22E4592F_8119_5A26_AF4F_0624F1AC5E0E">
+ <label>afs username map</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_5FA91D1E_B675_5681_9FE8_E14B3E1BA737">
+ <checkBox refId="CHK_AC4E2E8E_74FE_5FD1_B6F4_3637B4582348">allow insecure wide links</checkBox>
+ </presentation>
+ <presentation id="POL_153D9711_80CD_56CD_8A51_DDA71A3800C0">
+ <checkBox refId="CHK_D36441A8_7E2F_5174_8483_4DFE0503C16D">allow unsafe cluster upgrade</checkBox>
+ </presentation>
+ <presentation id="POL_DFD4B19F_8874_5AE7_83CE_F8F507F26D51">
+ <checkBox refId="CHK_E37B6C82_F04E_5025_B457_01D9296753BE">async smb echo handler</checkBox>
+ </presentation>
+ <presentation id="POL_AA42E677_62D1_5408_A8B7_98222854E79B">
+ <textBox refId="TXT_34B124B0_A219_5575_BFDC_EAC426D7A3A5">
+ <label>auto services</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2099F7FC_F033_5E2F_B2D0_17E1CCB2969A">
+ <textBox refId="TXT_07FAF490_385F_5A63_8A03_BF34531D019D">
+ <label>cache directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2CD315A0_5DDA_5123_A973_79C1DE40BC82">
+ <checkBox defaultChecked="true" refId="CHK_1A966B04_20C5_5E97_8C75_71519DB4783C">change notify</checkBox>
+ </presentation>
+ <presentation id="POL_2D514759_876D_5B59_B854_8DC51888BB02">
+ <textBox refId="TXT_B8991748_9729_56D2_8DAD_5BAFEC5A7A8A">
+ <label>change share command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_239BABBB_C9C7_538A_B6CF_0FA2FC980562">
+ <textBox refId="TXT_E05A6480_11BB_5FF4_8E6E_37E281DA95F6">
+ <label>cluster addresses</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_92925554_781D_56B7_958E_DD33A753ED22">
+ <checkBox refId="CHK_D800E6F3_FB17_5561_9C47_88EB4384129D">clustering</checkBox>
+ </presentation>
+ <presentation id="POL_F2210D02_1B94_561B_9B05_1C5B896AF6D4">
+ <textBox refId="TXT_EB6161C1_BF92_5E6F_A106_AAE90FBD9EBD">
+ <label>config file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2EED8B7C_AF41_514A_A33D_8100A5F831AC">
+ <textBox refId="TXT_E56A7A49_B6A1_502F_AF0E_A3944A5DBFFA">
+ <label>ctdbd socket</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0DE178AC_0A5A_5CDD_8BE6_0E24150CF2BA">
+ <decimalTextBox defaultValue="0" refId="DXT_BB942009_69C3_5BAD_8507_AF692DF05CA1"/>
+ </presentation>
+ <presentation id="POL_026C959C_5371_5698_903A_03F46EEDEBE9">
+ <decimalTextBox defaultValue="0" refId="DXT_8A4C2887_09B3_542A_A22B_EEC3404DBEF8"/>
+ </presentation>
+ <presentation id="POL_C16447B8_9E34_57E6_A1F7_A6F87E66CF73">
+ <textBox refId="TXT_70112D53_C921_5D1F_9AFC_15D4890131CE">
+ <label>default service</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_41887133_D321_5526_B73E_2D5BEDA6B644">
+ <textBox refId="TXT_7B81ED14_1277_5697_B4DE_2CCFB8F79BC3">
+ <label>delete share command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B93F17F1_6F2A_5D04_AC96_EA043AC87144">
+ <checkBox refId="CHK_3D317248_E078_5FDD_B3C7_B7051C10506D">dsdb event notification</checkBox>
+ </presentation>
+ <presentation id="POL_ED5A8D54_C086_5C46_985E_746D4ED62FEA">
+ <checkBox refId="CHK_F76A8EFA_4388_54E3_B283_976BA2DD2A2E">dsdb group change notification</checkBox>
+ </presentation>
+ <presentation id="POL_5B2313F4_5239_57E8_88E9_822DBB4C0E77">
+ <checkBox refId="CHK_4B61A9A1_8E18_56CF_9B9E_6904A78328A0">dsdb password event notification</checkBox>
+ </presentation>
+ <presentation id="POL_B86BF972_B64C_57B2_9E82_96C5EECFAFA7">
+ <textBox refId="TXT_7AB84D08_FB4A_5676_B106_B4DB68C5F577">
+ <label>elasticsearch:mappings</label>
+ <defaultValue>/elasticsearch_mappings.json</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_444019F3_369A_5807_805C_AB00E59CDD4B">
+ <checkBox refId="CHK_9EA28A80_4AA6_5D4A_8A14_E22205D488CD">fss: prune stale</checkBox>
+ </presentation>
+ <presentation id="POL_472F0591_240C_5E5D_827C_49E760A75B8E">
+ <decimalTextBox refId="DXT_D5D56481_74EE_5D10_8476_B3FDB82AE518"/>
+ </presentation>
+ <presentation id="POL_DADF0887_C19B_5B14_9CEF_6721596557EB">
+ <textBox refId="TXT_B001AD6C_7FA0_5EE0_8C4D_D506EECFF497">
+ <label>homedir map</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_AFF4FEEA_8C88_5AED_9414_F4A320074A99">
+ <checkBox defaultChecked="true" refId="CHK_F273132D_C805_596F_A0E1_B6ECB4752ADB">kernel change notify</checkBox>
+ </presentation>
+ <presentation id="POL_4F279322_30AA_564B_844F_7827454574D2">
+ <textBox refId="TXT_A384C210_BD62_5E63_B7EB_BC26844F51C8">
+ <label>lock directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1120E96A_0F8E_5827_A6D2_3CA7AD66D689">
+ <checkBox refId="CHK_EB18668D_E754_524B_B2D7_CC74BA90421D">log writeable files on exit</checkBox>
+ </presentation>
+ <presentation id="POL_63067D3C_4F00_5193_92FE_A58651D4BACC">
+ <textBox refId="TXT_18DDFF0D_D5DB_5617_AE32_D93BE7E38C4B">
+ <label>message command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8765A188_6EFA_515B_B602_8F67140CFE7F">
+ <textBox refId="TXT_C551A0C4_E3B9_5985_9492_C7F42D10E75C">
+ <label>nbt client socket address</label>
+ <defaultValue>0.0.0.0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D7C62F7B_B1B6_57B3_AE48_34D09A88ECFE">
+ <textBox refId="TXT_1A090CE6_58F5_56F0_A29C_175CADD196D7">
+ <label>ncalrpc dir</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_CCC72421_6131_58BC_BFE1_D9EC7399CD57">
+ <checkBox refId="CHK_8E5A65B4_42A2_5F00_8558_E69C28758E1B">NIS homedir</checkBox>
+ </presentation>
+ <presentation id="POL_3E9DEECC_9015_5720_9251_CF804FAB2602">
+ <checkBox defaultChecked="true" refId="CHK_49457A99_B4CF_594B_B796_916B9AB74838">nmbd bind explicit broadcast</checkBox>
+ </presentation>
+ <presentation id="POL_5A63DA17_F433_5414_A47F_26C5B9BE57C2">
+ <textBox refId="TXT_A21115E3_D3E1_505B_9D2C_84A3DC428246">
+ <label>panic action</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_50CDC71F_7927_5631_A40A_C0BD12899CA1">
+ <textBox refId="TXT_6C7D4E2F_9ABE_5C67_9A8C_18D11AEF6038">
+ <label>perfcount module</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A02E7761_E359_5528_A160_F2B67024244F">
+ <textBox refId="TXT_DC19A229_4604_5CC9_8C83_CA2A1323653A">
+ <label>pid directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C030CCF1_08E7_5B6F_9239_F19B792C2157">
+ <checkBox refId="CHK_0200BA53_C2E5_5136_8A69_D8561A556A50">registry shares</checkBox>
+ </presentation>
+ <presentation id="POL_ADE18BC6_D01E_58CF_98FA_BCDCC7CDDC37">
+ <textBox refId="TXT_D765EA37_D1F5_50B2_91CE_49E66F462943">
+ <label>remote announce</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2D35EC75_4D7A_533F_96C8_3A331BDEDF34">
+ <textBox refId="TXT_F44D8D8A_1E1F_5BEE_AB4F_B3DAAFB7DBA9">
+ <label>remote browse sync</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2594A0C3_CF98_5B89_B182_1BB9C275B742">
+ <checkBox refId="CHK_57B96280_EA3D_5DAC_83DE_13338587A0D6">reset on zero vc</checkBox>
+ </presentation>
+ <presentation id="POL_17837A58_88D4_5F29_8D41_479688BD8CBD">
+ <textBox refId="TXT_90158AA7_C0BE_5650_9204_2AFC0BD9D5E8">
+ <label>rpc_daemon:DAEMON</label>
+ <defaultValue>disabled</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_AC41C088_31DF_569D_8FC8_8747C4A30548">
+ <textBox refId="TXT_31E1741F_829C_5B90_9A2F_B0E0DC5F1E75">
+ <label>rpc_server:SERVER</label>
+ <defaultValue>embedded</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1233682B_A71D_5081_9CF1_F5112A62EE3B">
+ <textBox refId="TXT_B5965925_60A9_5A4E_B348_80C590F7AF7A">
+ <label>smbd profiling level</label>
+ <defaultValue>off</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C2788566_CBC3_59A3_80A2_72D92E42C276">
+ <textBox refId="TXT_58CF9CC7_1A14_55B0_8E4E_52E962A10EE4">
+ <label>state directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_6AF97A17_10D7_553C_8CEC_09C8466A2AA4">
+ <checkBox refId="CHK_2D14A430_BA96_5B3F_970F_CE1AE9F7E8AA">usershare allow guests</checkBox>
+ </presentation>
+ <presentation id="POL_35B0CCC2_C387_5AED_9345_A2E4DE654F5F">
+ <decimalTextBox defaultValue="0" refId="DXT_AD83F27E_4FF7_5E8D_A441_0A8925C9D917"/>
+ </presentation>
+ <presentation id="POL_4E1A7DA3_3014_5C3C_9B0B_1919ECADACFB">
+ <checkBox defaultChecked="true" refId="CHK_950CF79D_4898_55EB_A6A8_24F2A6867B1D">usershare owner only</checkBox>
+ </presentation>
+ <presentation id="POL_F2D66EF9_F99C_5347_A075_E8733603E83D">
+ <textBox refId="TXT_D24709D9_FFEF_5871_AF49_5E3A3466761C">
+ <label>usershare path</label>
+ <defaultValue>/usershares</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_568D23D8_683D_5E32_96B8_5CCF81F0BDEC">
+ <textBox refId="TXT_C0DF82DC_7C0A_5B7F_9B93_19D517976672">
+ <label>usershare prefix allow list</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8A095F7E_AF4C_5F23_8C6D_327CF9225A8E">
+ <textBox refId="TXT_0CE59443_3FA6_5849_9671_8D70B1EA7E50">
+ <label>usershare prefix deny list</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_ABD81045_A7F0_5D9D_93E5_0D96C0BD7AA8">
+ <textBox refId="TXT_029600AB_FD39_52B7_AE5D_AE0D7138153A">
+ <label>usershare template share</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_238B28BE_5F6B_5251_B47B_4932EA213DAE">
+ <checkBox refId="CHK_651BA339_0B8E_5456_99AA_E4CD4BE64F51">utmp</checkBox>
+ </presentation>
+ <presentation id="POL_BB0E4D55_D6E9_5FDD_A75B_59F7403CF67C">
+ <textBox refId="TXT_C85A703E_0428_51EF_8A2A_D4803BE9446E">
+ <label>utmp directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2AD1815C_5DBC_5A7E_8DC9_CEE194030C59">
+ <textBox refId="TXT_CF0F4D90_5001_57CB_A6C8_58575659305D">
+ <label>wtmp directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_63B9016C_EBE5_5EA7_85B0_493E3155F943">
+ <textBox refId="TXT_63999B72_41DB_5A45_A6DE_66574F1F442F">
+ <label>addport command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_778F868C_7119_5059_9D0D_62B468410A7D">
+ <textBox refId="TXT_5581F365_D9D7_535E_A25B_A58F2FBABCBB">
+ <label>addprinter command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E4EA6E76_DFE6_5C90_8D2F_544185E10581">
+ <decimalTextBox defaultValue="30" refId="DXT_21FF9D0E_70B9_5790_9877_F218D435CAA2"/>
+ </presentation>
+ <presentation id="POL_5A6F3F97_C655_501A_8A1D_D3B96E22D189">
+ <textBox refId="TXT_90A3BD2E_13EF_5BC9_970F_32A3CE582200">
+ <label>cups encrypt</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_713C453D_7C4E_5446_99F0_93FDC97CBD6E">
+ <textBox refId="TXT_E3EF87B6_2525_530F_96D9_36770179DBEF">
+ <label>cups server</label>
+ <defaultValue>""</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_7801A389_C366_5376_9D03_631BD51C46C4">
+ <textBox refId="TXT_6477B02C_3AE4_5724_B00B_0A11F16A1ECD">
+ <label>deleteprinter command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8AEEC70D_CC12_55A5_A39F_ED0C3A3B652E">
+ <checkBox refId="CHK_BA883BE5_77CE_5478_BBC8_10B796EF09C2">disable spoolss</checkBox>
+ </presentation>
+ <presentation id="POL_D8A14125_4BEE_575E_B7A2_A6D2809A0CC9">
+ <checkBox defaultChecked="true" refId="CHK_76C31A1A_3CCA_54F4_A09B_01ED9C31465A">enable spoolss</checkBox>
+ </presentation>
+ <presentation id="POL_E95AFA3E_7680_5281_88E1_BC2B9DE7C60D">
+ <textBox refId="TXT_9B7FB891_910F_5AB1_96BC_432F871E50AA">
+ <label>enumports command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D0CE14C7_93FC_54DA_84A8_FB6579A01A95">
+ <textBox refId="TXT_CEDD5E8E_4BCB_515F_B962_7C06E9E4EBE6">
+ <label>iprint server</label>
+ <defaultValue>""</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2AA9A3C9_2D35_5140_AAFD_5A6D4A8B46A9">
+ <checkBox defaultChecked="true" refId="CHK_01150395_D329_542B_8848_2D352BA599CA">load printers</checkBox>
+ </presentation>
+ <presentation id="POL_CB7375CD_3BD9_5AFF_885F_5CD41077D92A">
+ <decimalTextBox defaultValue="30" refId="DXT_86697EF6_0F2B_59EA_AC0A_2A6B16860DC2"/>
+ </presentation>
+ <presentation id="POL_6C573DCA_ADF2_503D_86F1_167FB4B20390">
+ <textBox refId="TXT_60176F30_80AE_5289_8984_1213DB736520">
+ <label>os2 driver map</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_4E996FBA_21B1_54D2_AF3E_0290231D9225">
+ <decimalTextBox defaultValue="750" refId="DXT_30FEC2C2_FB9E_59DC_86AC_0952A9904B2F"/>
+ </presentation>
+ <presentation id="POL_9E502331_FC16_56A6_BAA2_8A4F8CD7403E">
+ <textBox refId="TXT_8288D727_1C29_5CDF_A162_3F5701E803B2">
+ <label>printcap name</label>
+ <defaultValue>/etc/printcap</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_63DFC41F_0FA5_52C6_95CC_071B309E09A9">
+ <checkBox defaultChecked="true" refId="CHK_21859C56_D5DA_5C2E_9215_BA75864C9B4B">show add printer wizard</checkBox>
+ </presentation>
+ <presentation id="POL_C105B217_101D_5080_B2F2_28F453585AF3">
+ <textBox refId="TXT_C9E18177_8584_5290_8B40_37D46546DDB1">
+ <label>spoolss: architecture</label>
+ <defaultValue>Windows NT x86</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B7405490_DE98_5CC9_A096_8B6F690536A5">
+ <decimalTextBox defaultValue="5" refId="DXT_1D4352B8_DB79_5551_A486_7D4D33F8D4D9"/>
+ </presentation>
+ <presentation id="POL_5049AEF7_B2E3_5F11_BB76_CD05A0F405D1">
+ <decimalTextBox defaultValue="0" refId="DXT_6F51D95E_66DD_50B2_B62F_7665EF471B52"/>
+ </presentation>
+ <presentation id="POL_52B0D644_BD3A_5C9D_873F_3DF18D2FDB60">
+ <decimalTextBox defaultValue="2195" refId="DXT_B21A8651_347B_5648_94FA_37B943B6A547"/>
+ </presentation>
+ <presentation id="POL_4B72C056_F162_529E_A137_1F557D5FDFCE">
+ <decimalTextBox defaultValue="6" refId="DXT_6188EEA1_529A_508D_B9D5_378CAB822D89"/>
+ </presentation>
+ <presentation id="POL_1855B435_5BFA_512B_A805_E30B09CFD23F">
+ <decimalTextBox defaultValue="1" refId="DXT_A21AB0C1_D47D_5B8C_8609_171B9D2F4C27"/>
+ </presentation>
+ <presentation id="POL_F173249E_078E_531E_A8DC_85931745FBF9">
+ <decimalTextBox defaultValue="7007" refId="DXT_EC7D7A9D_C0D7_5665_9030_9C85D402BDB1"/>
+ </presentation>
+ <presentation id="POL_A3C35AAF_A7F5_5DCD_B328_C7ABD0F2FDFF">
+ <decimalTextBox defaultValue="389" refId="DXT_BCC54168_D5A8_5014_903F_D0689B350906"/>
+ </presentation>
+ <presentation id="POL_7D6BFF26_946F_5B18_B213_0B9EE147C3C9">
+ <textBox refId="TXT_BC8B7A29_65FA_5B55_BC11_A7574ECD0AA8">
+ <label>client ipc max protocol</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_4D5635CC_F944_5F32_83F0_7730FC9DE680">
+ <textBox refId="TXT_2FAFBF21_5429_5CF1_9152_921CF9CEEC6C">
+ <label>client ipc min protocol</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_79B1D2DB_C2F7_57FA_8D6F_83D756A43A40">
+ <textBox refId="TXT_6E173477_D6E4_5C47_BC6C_5961404DB0CD">
+ <label>client max protocol</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E5D3402E_7A4B_555E_AC54_E5C7AE196EF2">
+ <textBox refId="TXT_30573924_1A09_5202_8DF8_9B24FA69C14E">
+ <label>client min protocol</label>
+ <defaultValue>SMB2_02</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B86463E0_7A50_5BD1_9CD5_A43C20A5E087">
+ <checkBox defaultChecked="true" refId="CHK_5549EDCC_940D_5AEA_8465_B771FEE013BC">client use spnego</checkBox>
+ </presentation>
+ <presentation id="POL_F0990CDC_21DF_538D_9282_2749E00AF99E">
+ <textBox refId="TXT_E8C89EE3_FF60_5216_A5C7_803A3AA8D790">
+ <label>dcerpc endpoint servers</label>
+ <defaultValue>epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_BD3F8921_7AF6_57F8_894A_9C73D40C6202">
+ <checkBox defaultChecked="true" refId="CHK_AA0DA4CF_4431_509C_8E2D_27BD0DD5CCAB">defer sharing violations</checkBox>
+ </presentation>
+ <presentation id="POL_0C775437_E6FD_5657_9A04_AF137F18FACE">
+ <decimalTextBox defaultValue="138" refId="DXT_8E6D975D_6C56_56F9_9853_60394A2CEFA7"/>
+ </presentation>
+ <presentation id="POL_614DA2E7_D77F_5434_9C73_137D1D89D086">
+ <checkBox refId="CHK_D433FDEC_A984_5B75_AD88_924962077009">disable netbios</checkBox>
+ </presentation>
+ <presentation id="POL_35845C32_CE1D_5395_A07C_142BCFD9744C">
+ <checkBox refId="CHK_31A76B18_E56F_57E6_BBC1_A5988C8D731C">enable asu support</checkBox>
+ </presentation>
+ <presentation id="POL_000AF517_65A2_5220_B1DD_7187EFC59AAB">
+ <textBox refId="TXT_3A3CA4FB_B0F0_5D20_AA43_D6CAECA189E1">
+ <label>eventlog list</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B4BFA8D2_FF42_5E4A_ADE8_D7829A2CC94A">
+ <checkBox defaultChecked="true" refId="CHK_21EE7A7A_DF8F_56F7_85FB_6EC5DD083DD6">large readwrite</checkBox>
+ </presentation>
+ <presentation id="POL_644A4C74_3ECB_5A01_8E2B_1FA9E74EC778">
+ <checkBox refId="CHK_52E0D939_4722_5165_AAFE_A5FD7584E12C">lsa over netlogon</checkBox>
+ </presentation>
+ <presentation id="POL_EAE8C258_343E_522B_A09C_69E9FD81B535">
+ <decimalTextBox defaultValue="50" refId="DXT_549D41B9_4692_55A3_B8C0_11D91DBCC133"/>
+ </presentation>
+ <presentation id="POL_2BAFBEFD_9CEA_53C2_9E78_04807EA6531F">
+ <decimalTextBox defaultValue="259200" refId="DXT_F5E2AC7A_E892_5316_81C3_368BC6F5E4C4"/>
+ </presentation>
+ <presentation id="POL_7D30022C_3DDE_56D1_8D07_D90741127527">
+ <decimalTextBox defaultValue="16644" refId="DXT_8A171231_CF95_5684_B665_9B1F5B046ABD"/>
+ </presentation>
+ <presentation id="POL_02E42B0E_C3F3_5E0B_83C1_6F3ABFEEF251">
+ <decimalTextBox defaultValue="0" refId="DXT_0B40F1AE_EF9C_58E0_9E35_6D119671AAE1"/>
+ </presentation>
+ <presentation id="POL_9AA4C867_EE0B_5742_94F0_4D2243C2E368">
+ <textBox refId="TXT_7C9CF069_5856_5D63_94DD_AF9530B8D495">
+ <label>name resolve order</label>
+ <defaultValue>lmhosts wins host bcast</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0EAD5917_3B68_5B59_92E1_69BD263150EA">
+ <decimalTextBox defaultValue="137" refId="DXT_F06BA6AF_533A_520F_B2E1_EA508FF26E55"/>
+ </presentation>
+ <presentation id="POL_3FA711F7_BD87_5CF6_9A5A_77CF771AAFF2">
+ <checkBox defaultChecked="true" refId="CHK_DAAC7C86_8FD9_55BF_9125_9C95E2D52AFE">nt pipe support</checkBox>
+ </presentation>
+ <presentation id="POL_85D402BD_4D59_5CE0_8EA2_3331CABD23CA">
+ <checkBox defaultChecked="true" refId="CHK_95DD62AA_03E3_5679_AD11_D5616CD25255">nt status support</checkBox>
+ </presentation>
+ <presentation id="POL_9045A4F7_5DED_5A70_B01D_D92B419B6634">
+ <checkBox defaultChecked="true" refId="CHK_B11F35D5_3196_5D92_9B1D_9C746F9162FA">read raw</checkBox>
+ </presentation>
+ <presentation id="POL_9926B5F8_3F22_569B_BB6C_06F2CDF21381">
+ <checkBox refId="CHK_CCA3E37C_1A5F_5493_BFC6_AD75B7AEF1D7">rpc big endian</checkBox>
+ </presentation>
+ <presentation id="POL_56DBEBB2_3508_5C9E_91B2_3E55EF357FFB">
+ <decimalTextBox defaultValue="0" refId="DXT_9489E35C_10BA_57DF_BCA8_E482D719B220"/>
+ </presentation>
+ <presentation id="POL_738E8CDC_C229_5926_8153_E0009CC07424">
+ <textBox refId="TXT_B22408B0_8FF5_5F41_BB61_F89CF80FB1C4">
+ <label>server max protocol</label>
+ <defaultValue>SMB3</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_00778E7A_F34D_546E_9FA8_3968A937392B">
+ <textBox refId="TXT_633970D9_6038_55ED_856F_A39492AE0173">
+ <label>server min protocol</label>
+ <defaultValue>SMB2_02</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B33A00A2_B848_59D9_9C41_582F886C008A">
+ <textBox refId="TXT_3C8506A1_3A67_58AF_BB1F_DD3A931A7FBE">
+ <label>share:fake_fscaps</label>
+ <defaultValue>0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0BC6C240_419F_5F72_9A24_DA191CFFE18E">
+ <decimalTextBox defaultValue="8192" refId="DXT_4FCC3712_A2B7_5C65_933A_621697E78E8F"/>
+ </presentation>
+ <presentation id="POL_908FC006_7CE8_5B56_A049_A3E582C281F3">
+ <decimalTextBox defaultValue="8388608" refId="DXT_8D17E70E_8AA1_5DEC_86C2_154031314317"/>
+ </presentation>
+ <presentation id="POL_84ED1A25_58B9_5C00_8261_11A7D387EAB9">
+ <decimalTextBox defaultValue="8388608" refId="DXT_0923E7AF_8C15_54FD_A360_41E09D67D24C"/>
+ </presentation>
+ <presentation id="POL_A1955D87_2287_524B_9A8C_454C8218F590">
+ <decimalTextBox defaultValue="8388608" refId="DXT_AC8EA085_B897_5581_8260_25EC8761048F"/>
+ </presentation>
+ <presentation id="POL_796581A5_F65E_5D31_BB5C_2CC641B8D03C">
+ <textBox refId="TXT_07CA0480_16BB_5E14_B1E8_716E293305F7">
+ <label>smb ports</label>
+ <defaultValue>445 139</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C141D92D_B912_54D7_88D6_CC3A12A4739D">
+ <textBox refId="TXT_7312B2B6_2E91_5D9E_BE33_A1C73675950E">
+ <label>svcctl list</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_747C776B_2150_5FD4_9A47_9832FD35EBC5">
+ <checkBox refId="CHK_838A32D7_1BA5_55CB_9FA4_95280DFB26F6">time server</checkBox>
+ </presentation>
+ <presentation id="POL_69C69BCA_D38B_54E1_817C_E6993FF1AB91">
+ <checkBox defaultChecked="true" refId="CHK_2280B94E_EB17_5A5E_80F0_B48BE0CBC2CB">unicode</checkBox>
+ </presentation>
+ <presentation id="POL_063DDC7C_E490_5F1B_866D_06D25ABAED90">
+ <checkBox defaultChecked="true" refId="CHK_E429FAE8_6D3B_5B56_8EFF_B3B7C25B3DE1">unix extensions</checkBox>
+ </presentation>
+ <presentation id="POL_CC4C4C4D_0BA2_52C2_A510_1C4F669856F3">
+ <checkBox defaultChecked="true" refId="CHK_4FD77295_65FD_5553_AB18_D6CF04394DAB">write raw</checkBox>
+ </presentation>
+ <presentation id="POL_D1D0620C_FFC1_5C7D_9733_4005F5F61A8D">
+ <checkBox refId="CHK_82B2446C_9CAB_5880_AF33_2803AE49B294">server multi channel support</checkBox>
+ </presentation>
+ <presentation id="POL_D0AC80B8_9AFD_5848_B779_1E43C144D7B3">
+ <checkBox refId="CHK_B6B60597_42F0_58D3_98BB_DB6B75D07112">smb2 disable lock sequence checking</checkBox>
+ </presentation>
+ <presentation id="POL_85DD283F_59E2_5E1D_A694_D52FD7C7627A">
+ <checkBox refId="CHK_B83E6646_94FD_5882_B57A_15B4BA0AABFD">smb2 disable oplock break retry</checkBox>
+ </presentation>
+ <presentation id="POL_9E9B6ADB_2118_5108_9C2D_9899DDDC59AF">
+ <textBox refId="TXT_28520FBC_2959_5800_B0C5_FE205973260B">
+ <label>rpc server dynamic port range</label>
+ <defaultValue>49152-65535</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_9B792D3F_06B3_5683_92D9_45D323276228">
+ <decimalTextBox defaultValue="1000" refId="DXT_9EFB50AC_B3B6_51C1_AD40_298F546733DC"/>
+ </presentation>
+ <presentation id="POL_F30A212E_4A35_5E67_8902_5D28B4E37CE7">
+ <checkBox refId="CHK_EAA911EE_CB2D_5459_AF50_DC1CA4719686">allow dcerpc auth level connect</checkBox>
+ </presentation>
+ <presentation id="POL_2725BCA8_877C_519D_A248_D6EE701DAD53">
+ <checkBox defaultChecked="true" refId="CHK_83FBBE91_8F41_5C06_BD1D_9A47A10B07FE">allow trusted domains</checkBox>
+ </presentation>
+ <presentation id="POL_92DB14AD_A920_5D74_BA74_0C51B13AECBF">
+ <textBox refId="TXT_D70FDB73_012F_5168_8371_B68B4B2FF60E">
+ <label>binddns dir</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C95900AB_E4E2_5313_9EF5_9AC181CD63A7">
+ <textBox refId="TXT_D6E02483_EC02_52E1_AB5A_E65E2C7FD5C8">
+ <label>check password script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0DDAC1B2_5E35_5770_B177_333E21EF2A80">
+ <textBox refId="TXT_28B76952_9A9C_5E2D_89C6_28CA8ABBEFD4">
+ <label>client ipc signing</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_045DA01B_9A96_5BB1_A5AD_9EA38ECFC199">
+ <checkBox refId="CHK_5203727D_209F_5E8A_AA94_F9DC1BB27027">client lanman auth</checkBox>
+ </presentation>
+ <presentation id="POL_B1954186_3F6B_5F1F_B066_9105058C20A6">
+ <checkBox defaultChecked="true" refId="CHK_B6DB6C5E_8C6F_5288_B469_0C54B947EA2F">client NTLMv2 auth</checkBox>
+ </presentation>
+ <presentation id="POL_676B4751_B95E_5720_A513_203DC3A33B5C">
+ <checkBox refId="CHK_3DCC027B_9C81_5EDE_A64D_D6F956AFE5B8">client plaintext auth</checkBox>
+ </presentation>
+ <presentation id="POL_C3248F39_498F_5B9B_B82D_E99AB08FD0AF">
+ <textBox refId="TXT_4A77A711_9230_5D41_A77C_97123E4789B7">
+ <label>client schannel</label>
+ <defaultValue>yes</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0A922D59_F39C_57B5_82CE_E08DB4EFC5F9">
+ <textBox refId="TXT_E3513F2F_1C85_5D8C_8DEE_741059C1F393">
+ <label>client signing</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_952DF975_FF04_55BD_8C6B_1D0CF167106B">
+ <checkBox refId="CHK_E5D1CBBE_5B07_5559_8885_E8F6DBA75A18">client use spnego principal</checkBox>
+ </presentation>
+ <presentation id="POL_D9E8EB33_0AE9_5DA5_BA48_00221DCE75EB">
+ <checkBox refId="CHK_711A458E_DC58_57EC_B315_0FEF0D2354BF">debug encryption</checkBox>
+ </presentation>
+ <presentation id="POL_B7875E95_FF94_5579_956F_6E2CEB41AB91">
+ <textBox refId="TXT_F17E81EB_DEBF_56F4_B372_D6F61F5516E3">
+ <label>dedicated keytab file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1EE4C27C_051F_55A6_8385_E55B6776D7E4">
+ <checkBox defaultChecked="true" refId="CHK_EC390E59_1CA4_5C42_960E_B0EEA3B0C1F4">encrypt passwords</checkBox>
+ </presentation>
+ <presentation id="POL_59E14991_089B_550D_A563_8FB90A8333FB">
+ <textBox refId="TXT_92855060_EFF4_5BCA_B30B_10C364F30E2E">
+ <label>guest account</label>
+ <defaultValue>nobody</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_772B9223_59BD_57E8_8FA7_17AF0E0EC8EC">
+ <textBox refId="TXT_751BA79F_27EA_55BE_B787_D424CBD47CED">
+ <label>kerberos encryption types</label>
+ <defaultValue>all</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F11FAFDE_22DF_5BB6_9F63_007597D313BD">
+ <textBox refId="TXT_30977E18_9746_5A78_A6DC_82AC5157781F">
+ <label>kerberos method</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F37DD404_E28E_50F2_BFF4_90142620EA2F">
+ <decimalTextBox defaultValue="464" refId="DXT_3E0E91A2_1877_54F2_AFFE_13F912C4B534"/>
+ </presentation>
+ <presentation id="POL_E6FCD1B7_7104_5EF9_BAA7_73E15CC49EE2">
+ <decimalTextBox defaultValue="88" refId="DXT_41AD8F69_347F_58D1_9DA4_B9A600C32EAE"/>
+ </presentation>
+ <presentation id="POL_F77B9807_0B1E_5EA5_A1CB_62B310FE5034">
+ <checkBox refId="CHK_7460D4AE_3934_5090_9E10_BBF60CD5A983">lanman auth</checkBox>
+ </presentation>
+ <presentation id="POL_3D0B6848_AEF7_54A0_8FA0_B6EAD987D449">
+ <textBox refId="TXT_E576122E_9E34_5B1D_9362_2EF751F22E3F">
+ <label>log nt token command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_32F00B99_2861_5EFE_B961_1F52B4FC0530">
+ <textBox refId="TXT_12B82358_1926_5FEC_B016_946E52DDC7A7">
+ <label>map to guest</label>
+ <defaultValue>Never</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_6D23275C_279D_571C_8835_3DA99356979C">
+ <textBox refId="TXT_4C14ACC2_4652_5801_BF08_1D9E81090E16">
+ <label>mit kdc command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3AE05749_32F8_5D7C_BEF0_D0DFB206EA34">
+ <textBox refId="TXT_E71B9BA6_F3A9_510D_AE73_34CC2E7AF19F">
+ <label>ntlm auth</label>
+ <defaultValue>ntlmv2-only</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_7A4CC1D5_FF89_5D5A_9711_B783227B92CE">
+ <textBox refId="TXT_9AB44C0C_849E_55AD_BF88_30862CC83464">
+ <label>ntp signd socket directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1F95F2F6_790E_5946_8F22_F93441D1B91D">
+ <checkBox refId="CHK_905844C6_A433_5422_9020_A275A062AB6F">null passwords</checkBox>
+ </presentation>
+ <presentation id="POL_4B855392_C467_5D42_B793_3EC858462C02">
+ <checkBox refId="CHK_FFDDD176_BDAB_58E3_A455_F60861FD2C63">obey pam restrictions</checkBox>
+ </presentation>
+ <presentation id="POL_F388E520_9E19_53AC_9AFA_D6DAAE139BFE">
+ <decimalTextBox defaultValue="60" refId="DXT_1D580B43_F65E_5F39_A938_BE0D03A04F2B"/>
+ </presentation>
+ <presentation id="POL_FC62DA5F_6B94_5AD6_B9E6_51A9F5F52E2E">
+ <checkBox refId="CHK_49F56502_4B93_5C98_A4BB_327120E5F7D8">pam password change</checkBox>
+ </presentation>
+ <presentation id="POL_6F5A4F7B_B2BC_50D0_84F6_64202749462B">
+ <textBox refId="TXT_38925248_C56C_5F67_959E_45860FA3CEDE">
+ <label>passdb backend</label>
+ <defaultValue>tdbsam</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F3E8ECEA_80D4_529F_8F7B_97B8847E3101">
+ <checkBox refId="CHK_4D782AF0_E6B7_5C3E_AE8F_90D07527724B">passdb expand explicit</checkBox>
+ </presentation>
+ <presentation id="POL_EE00148B_DAEA_5039_B087_B342E865E3AE">
+ <textBox refId="TXT_9E734663_521F_5654_A01C_E8B5C19A4684">
+ <label>passwd chat</label>
+ <defaultValue>*new*password* %n\n *new*password* %n\n *changed*</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A0D04F58_1760_5152_AE42_748ABA7B15D8">
+ <checkBox refId="CHK_6F2AD6B8_489E_512B_A7CC_EDB6FA628D1E">passwd chat debug</checkBox>
+ </presentation>
+ <presentation id="POL_0F8503B0_2D17_54A4_AECA_C8954FC2F1B3">
+ <decimalTextBox defaultValue="2" refId="DXT_849C03F3_A9CF_5B20_81B9_D4EEE2435447"/>
+ </presentation>
+ <presentation id="POL_484C71CF_D856_514E_A645_C94805B51752">
+ <textBox refId="TXT_97FDEF1F_BA9C_5995_BB37_93AF59ADB59C">
+ <label>passwd program</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DE8AED8D_92DF_5DC8_A412_F374508B2DF2">
+ <textBox refId="TXT_DF9C4D42_5129_5D7A_A155_18F2DBB5B2E7">
+ <label>password hash gpg key ids</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E57A4D09_C62A_5ACB_BA14_A52FB3A14D54">
+ <textBox refId="TXT_8F89431E_D922_5610_8770_40BD094BA98D">
+ <label>password hash userPassword schemes</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8DF1C787_4DD3_5769_981D_AD98697D5FAB">
+ <textBox refId="TXT_2BD70FBF_B577_55F7_B757_5DE68D1ECB4B">
+ <label>password server</label>
+ <defaultValue>*</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_576D7547_5317_5D19_9105_4BFD5714D591">
+ <textBox refId="TXT_799A2EBA_FC4C_53C2_B724_0838399601DF">
+ <label>preload modules</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0B74AC8D_E102_5E02_9B21_D264A6662698">
+ <textBox refId="TXT_97A88495_3A90_5773_AF8C_5D35B63E672A">
+ <label>private dir</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_84F44316_118C_5460_A9E9_022AE89D6BC7">
+ <checkBox refId="CHK_C2793981_4BCD_5CDF_8F7B_7AD01E207D2C">raw NTLMv2 auth</checkBox>
+ </presentation>
+ <presentation id="POL_81A0C9F8_E865_532F_8FF6_EA55C23E6417">
+ <textBox refId="TXT_3697BE5E_8DCE_5701_A121_A7E36F07CE6C">
+ <label>rename user script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_61F81501_C5C3_5F3F_8A89_4490F25812D1">
+ <decimalTextBox defaultValue="0" refId="DXT_B5114D77_9A2D_5FB4_8862_313764FA836F"/>
+ </presentation>
+ <presentation id="POL_82E70187_3C79_5C38_837A_F6F7660F7D10">
+ <textBox refId="TXT_00392C71_F9D4_5A75_8082_F7806B6B7564">
+ <label>root directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_487E924D_1F5E_52FA_9DD7_7C893DC03299">
+ <textBox refId="TXT_98D641EC_FAA9_546B_A032_3D7D3D0B28E2">
+ <label>samba kcc command</label>
+ <defaultValue>/samba_kcc</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1D7DD262_FBC1_53B0_8981_D664D2793B98">
+ <textBox refId="TXT_94515E41_3367_514F_978D_FB02F7C7ABD1">
+ <label>security</label>
+ <defaultValue>AUTO</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E94725FD_24A2_5499_9793_E27F2E3D82AB">
+ <textBox refId="TXT_7688CBD7_E2F8_573B_AA8D_9EF8C47630F8">
+ <label>server role</label>
+ <defaultValue>AUTO</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_51A99ED6_90F2_5884_904E_FBB01AE99010">
+ <textBox refId="TXT_0DC074F0_E1DE_5232_B834_889409466FB7">
+ <label>server schannel</label>
+ <defaultValue>yes</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_5FCA2961_E0AB_5E89_8361_C30A3FBAB1EC">
+ <textBox refId="TXT_90F5A286_21F2_5FE7_97F9_88EF3C9B636C">
+ <label>server signing</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_619FBE76_46C6_5CD4_8FAB_F6031B681197">
+ <textBox refId="TXT_A5857127_9668_5119_9FB1_28989C19BE29">
+ <label>smb passwd file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F01FFF92_4BCB_5309_8B5C_3910D8E2EE4D">
+ <textBox refId="TXT_18E2AB7A_7B3D_5588_8E22_91549B53719E">
+ <label>tls cafile</label>
+ <defaultValue>tls/ca.pem</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2D715716_887A_5F22_B8BF_F4D8239F9576">
+ <textBox refId="TXT_24A9FF35_91AF_50B7_9C8B_DCB8815A3B19">
+ <label>tls certfile</label>
+ <defaultValue>tls/cert.pem</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_823C796B_2B4A_5733_B90D_9179CA58C03D">
+ <textBox refId="TXT_3B707725_83FA_511D_BBC2_69122D141655">
+ <label>tls crlfile</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EE10300D_C58D_5AF3_819F_6707ACE727E9">
+ <textBox refId="TXT_EB8D2F6A_9929_5004_BD04_03EB0F381453">
+ <label>tls dh params file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D1A081CF_40D1_5505_9E0F_1DF2B67DC69F">
+ <checkBox defaultChecked="true" refId="CHK_FBD1856B_6C06_5CF4_9A53_DDF372A2250F">tls enabled</checkBox>
+ </presentation>
+ <presentation id="POL_686F2495_B4CA_5D83_95E3_BF372A1857A3">
+ <textBox refId="TXT_45D2AB07_CCD6_5350_A04D_DB915B7B79A3">
+ <label>tls keyfile</label>
+ <defaultValue>tls/key.pem</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_869E3C32_6369_5FB5_B149_F982FB872384">
+ <textBox refId="TXT_09331402_B0D6_59B2_8C69_2758849398CE">
+ <label>tls verify peer</label>
+ <defaultValue>as_strict_as_possible</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_6B1AC895_029E_5686_B072_4BD0BD8B7C4D">
+ <checkBox refId="CHK_1E20CD87_5BB4_5449_9E0C_BFFBE014C934">unix password sync</checkBox>
+ </presentation>
+ <presentation id="POL_821FE87C_398B_5051_A106_BB4C41475FA2">
+ <decimalTextBox defaultValue="0" refId="DXT_55E19EF4_DFB4_5F5F_8DF5_D88E4874D090"/>
+ </presentation>
+ <presentation id="POL_4A737F54_FE8F_5996_AE22_5AD683E96F64">
+ <textBox refId="TXT_F413607F_E22F_5652_B367_376C260376CF">
+ <label>username map</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B01C544C_C17F_58BE_A8C5_B8B93A5D6D6B">
+ <decimalTextBox defaultValue="0" refId="DXT_54B979EE_6AB6_5CFA_9EE0_CAF728D8EC17"/>
+ </presentation>
+ <presentation id="POL_D6C75311_EF00_56FB_BB7E_2AED9360F004">
+ <textBox refId="TXT_C8B62E8A_0311_5EC2_A8CF_70B60E1BD044">
+ <label>username map script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D915E5DA_6227_5AF7_84CC_C5FF9079D441">
+ <textBox refId="TXT_55A11C3A_195F_55F9_852D_0D62FD18327B">
+ <label>tls priority</label>
+ <defaultValue>NORMAL:-VERS-SSL3.0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_5413F647_D5E0_5620_B00D_101274974D25">
+ <decimalTextBox defaultValue="100" refId="DXT_8BBF5B06_26CE_5BCE_B851_7B1D4E5BA791"/>
+ </presentation>
+ <presentation id="POL_B9BCD3D7_045F_57C2_9347_4258B5841D4B">
+ <decimalTextBox defaultValue="10080" refId="DXT_1C7D2B97_728C_587E_880B_EDEF41300FAB"/>
+ </presentation>
+ <presentation id="POL_29E85EE4_9F4B_5824_AAD0_B71BC3AD529A">
+ <checkBox defaultChecked="true" refId="CHK_18CC19EE_D0BD_5776_9816_F100799183AB">getwd cache</checkBox>
+ </presentation>
+ <presentation id="POL_9FC38F18_A498_5A48_A001_E1C9DF302BAD">
+ <checkBox refId="CHK_04B2F1DF_E88E_5792_B491_793217A0C8C8">hostname lookups</checkBox>
+ </presentation>
+ <presentation id="POL_A09855DC_589A_515D_B123_3846F60F4908">
+ <decimalTextBox defaultValue="300" refId="DXT_3DAC248C_C8A8_5C1C_8CFB_443894213FC9"/>
+ </presentation>
+ <presentation id="POL_8C101F96_8BD1_5E91_ACA0_813AA7EB6F03">
+ <decimalTextBox defaultValue="0" refId="DXT_4DAE2123_2535_5E0D_BCD1_D5D819A750B9"/>
+ </presentation>
+ <presentation id="POL_571D0589_CE6E_50D9_A04F_4070993911D4">
+ <decimalTextBox defaultValue="16384" refId="DXT_E36137FA_C613_5FBE_B6FE_1A0554C4130E"/>
+ </presentation>
+ <presentation id="POL_4B0BF94D_F644_5874_9963_FB1DB672DFCF">
+ <decimalTextBox defaultValue="0" refId="DXT_3DC584F7_71D3_5762_BB59_FB55D524AF1D"/>
+ </presentation>
+ <presentation id="POL_CCB2A269_DED1_5A89_B0EA_AC8B9A248E01">
+ <decimalTextBox defaultValue="660" refId="DXT_23802D96_34E6_5E30_BB47_2839CFF09E5E"/>
+ </presentation>
+ <presentation id="POL_D0EACF0A_A7EC_5114_84E9_A119EAB06054">
+ <textBox refId="TXT_9F944C4E_3CCB_5C34_AC11_84D5E8AE9675">
+ <label>socket options</label>
+ <defaultValue>TCP_NODELAY</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0BEE9D62_728C_5BEC_B208_C6413ACB23CA">
+ <checkBox defaultChecked="true" refId="CHK_AE0F9277_9994_5245_9AF5_2FE2694EADB3">use mmap</checkBox>
+ </presentation>
+ <presentation id="POL_F0BBD72A_2F52_5518_978A_E4DE80EA63A7">
+ <textBox refId="TXT_1299FC9B_B974_5807_B85B_96EF03DF6E7E">
+ <label>get quota command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1B9A680B_C7D9_5909_A73A_4A88884B1A1A">
+ <checkBox defaultChecked="true" refId="CHK_D8B6A576_57BD_5C1B_8503_D7514BF9A79A">host msdfs</checkBox>
+ </presentation>
+ <presentation id="POL_23841534_EA5C_5066_9A34_A81201DFA255">
+ <textBox refId="TXT_CB4EB282_B71E_5E88_AAD0_CBE322ED1354">
+ <label>set quota command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A8D8A049_7017_5627_B698_79DB288ACF3D">
+ <checkBox refId="CHK_E3F6F2BF_E5EF_5ECD_B4EF_525C704252CE">apply group policies</checkBox>
+ </presentation>
+ <presentation id="POL_322C552E_7DC6_57F9_845A_F76107A65059">
+ <checkBox defaultChecked="true" refId="CHK_4D19E247_9D41_57FC_A81B_7AAA3DA70D22">create krb5 conf</checkBox>
+ </presentation>
+ <presentation id="POL_D65A78B4_B284_51E5_86B8_548907E5B99E">
+ <textBox refId="TXT_E8A538AD_C502_5298_A571_D37AF30908B1">
+ <label>idmap backend</label>
+ <defaultValue>tdb</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D9437864_AD98_5DE6_A280_76BF74DF6241">
+ <decimalTextBox defaultValue="604800" refId="DXT_9707658F_1F28_5859_A19A_74FA303C63FD"/>
+ </presentation>
+ <presentation id="POL_DADA8FE7_2FB0_5AFE_AE6F_5CDE2F6C835A">
+ <textBox refId="TXT_8E0B0FA4_3946_55DD_9AD6_B31C5AC79265">
+ <label>idmap gid</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_595CE1B7_F379_543C_99B1_DDF5DCBB2034">
+ <decimalTextBox defaultValue="120" refId="DXT_DB0243EE_0466_539F_8844_6C0FFDEC6AA3"/>
+ </presentation>
+ <presentation id="POL_1493AE04_9E17_51E3_BF56_61A594C41065">
+ <textBox refId="TXT_5BC5E3D4_DCD5_5F0A_92C3_74C651DE0CEA">
+ <label>idmap uid</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_BFD4E3E9_B3CF_5703_95C9_D5AF443628EC">
+ <checkBox defaultChecked="true" refId="CHK_09A137C2_9429_5D4A_A327_A5F475E367AE">include system krb5 conf</checkBox>
+ </presentation>
+ <presentation id="POL_B2DF30E2_2C79_5DB4_BDD4_2A72F3AAE4D1">
+ <checkBox refId="CHK_5CF9E5FF_8158_5689_9FD3_E408D710EC13">neutralize nt4 emulation</checkBox>
+ </presentation>
+ <presentation id="POL_D5D3240F_0956_5A05_8847_1B20DF57BEC8">
+ <checkBox refId="CHK_25E7D915_B85C_5F5B_9A60_056A326ED8F5">reject md5 servers</checkBox>
+ </presentation>
+ <presentation id="POL_5D72D99B_EFA5_5B2F_8616_2FBE8DBBCF81">
+ <checkBox defaultChecked="true" refId="CHK_C103A13B_7017_50F6_A337_C2A90DAE4419">require strong key</checkBox>
+ </presentation>
+ <presentation id="POL_A7D4A2B5_A2CB_5BE6_A7D2_111FFC0BB9C5">
+ <textBox refId="TXT_A6A67F77_1744_5905_9C6F_A3468BBFC424">
+ <label>template homedir</label>
+ <defaultValue>/home/%D/%U</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D7A44478_576C_554E_B31A_5316A836F68E">
+ <textBox refId="TXT_73F5972B_1879_58A0_9815_A627E1F6D5BC">
+ <label>template shell</label>
+ <defaultValue>/bin/false</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EE40BE14_5D1D_5ED4_845C_E7E51C529C2B">
+ <decimalTextBox defaultValue="300" refId="DXT_22E52F9D_8E44_59CE_ACC2_916D022CDFA6"/>
+ </presentation>
+ <presentation id="POL_76E2E87A_908A_5F9A_AA09_FF096575D9A7">
+ <textBox refId="TXT_C06A3052_6AD2_53D9_BD21_2A738D8BB155">
+ <label>winbindd socket directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_91508E50_D468_5787_B9AD_BD8160522742">
+ <checkBox refId="CHK_F53BC663_D7A1_5D33_8C57_9EC32E71DC68">winbind enum groups</checkBox>
+ </presentation>
+ <presentation id="POL_F4AED7E2_E1E5_50C5_BBCA_C543EB5E383E">
+ <checkBox refId="CHK_08E1CF79_DDA7_588B_B86D_590B4967C1C0">winbind enum users</checkBox>
+ </presentation>
+ <presentation id="POL_FE94B125_13A6_5560_A963_34F8F6C8F4D6">
+ <decimalTextBox defaultValue="0" refId="DXT_B28BA151_1969_59E2_B275_C81CA16B5A23"/>
+ </presentation>
+ <presentation id="POL_7548D0E2_C166_5A7A_9701_063C15E4172D">
+ <textBox refId="TXT_3C8A3138_1C1C_5FFF_A3F7_513DEA315389">
+ <label>winbind:ignore domains</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DD3D412F_8AD9_54B9_8D5A_A0501DF3AB07">
+ <decimalTextBox defaultValue="200" refId="DXT_C2980001_BA2C_57BA_8C1B_F973C067028B"/>
+ </presentation>
+ <presentation id="POL_BE09D431_FA6A_5383_994E_1AEA3E9EEC4A">
+ <decimalTextBox defaultValue="1" refId="DXT_6F41A5F1_F003_54F4_88AF_9CC14C5B64F0"/>
+ </presentation>
+ <presentation id="POL_2ABFD1ED_23F7_5C67_8ECD_3F7EE2752B7D">
+ <checkBox defaultChecked="true" refId="CHK_EE309E41_F404_5CE1_AC86_5E795D0C979A">winbind nested groups</checkBox>
+ </presentation>
+ <presentation id="POL_4542EFF0_F19C_5215_92F8_0B006803D437">
+ <checkBox refId="CHK_E9249CF9_4820_553B_B406_5560E8B3DEFF">winbind normalize names</checkBox>
+ </presentation>
+ <presentation id="POL_62688BAF_1F03_5CF4_888F_4B88677FF4AC">
+ <textBox refId="TXT_B2B0FF5C_C714_52AC_BAFE_846EC003D31E">
+ <label>winbind nss info</label>
+ <defaultValue>template</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_053CBE3D_DD33_522A_9B34_9AFF4044D454">
+ <checkBox refId="CHK_5945AB58_D8F0_5BA1_9964_D8E69AF19CBB">winbind offline logon</checkBox>
+ </presentation>
+ <presentation id="POL_3BF15158_B942_5458_999E_4FEBCA3A2290">
+ <decimalTextBox defaultValue="30" refId="DXT_BEC37822_5BBB_56AE_B122_DFA48B55FF4A"/>
+ </presentation>
+ <presentation id="POL_46E902CB_4766_50A8_8A8A_86893347E86F">
+ <checkBox refId="CHK_9DDF19FA_7129_5F46_82E2_FED21BCF9048">winbind refresh tickets</checkBox>
+ </presentation>
+ <presentation id="POL_9F679274_5E36_5B71_BBB3_880590FFB5A4">
+ <decimalTextBox defaultValue="60" refId="DXT_542C16F7_4011_5AFF_A127_7A773681E95B"/>
+ </presentation>
+ <presentation id="POL_B5754213_7C07_59E8_BE54_44BD0B64A8ED">
+ <checkBox refId="CHK_2EB29672_8B33_566A_AFE5_41BFDBE0F72E">winbind rpc only</checkBox>
+ </presentation>
+ <presentation id="POL_923523CB_9B7D_5261_93D6_B5FD86FC39E4">
+ <checkBox defaultChecked="true" refId="CHK_3CAC88EA_556D_5AA8_8A29_282B574B2743">winbind scan trusted domains</checkBox>
+ </presentation>
+ <presentation id="POL_FFF6590E_C5E7_5680_9A62_61DC88079555">
+ <checkBox defaultChecked="true" refId="CHK_E93252A7_06C7_566B_B7E6_8D4D7AADFB8D">winbind sealed pipes</checkBox>
+ </presentation>
+ <presentation id="POL_A55D34ED_E614_5500_9F7B_A07E0EE1F7BE">
+ <textBox refId="TXT_25CC57B6_941F_525A_99F8_1C041F206D9B">
+ <label>winbind separator</label>
+ <defaultValue>\</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_14AE5941_E62F_53FC_95AE_441E7EF43F56">
+ <checkBox refId="CHK_BF4DA096_841C_5A0D_A5E3_CD564122C924">winbind use default domain</checkBox>
+ </presentation>
+ <presentation id="POL_4B5E805D_7C7A_5CCE_AAB2_FBD0B9CC6D2E">
+ <checkBox refId="CHK_7E9390CD_05D9_570F_A761_7B5A605BA1F9">winbind use krb5 enterprise principals</checkBox>
+ </presentation>
+ <presentation id="POL_DBC0E447_01F4_5B72_BA4E_E9248006FD96">
+ <checkBox defaultChecked="true" refId="CHK_243E92BD_CBA1_50BC_BD4D_87B750B6FABB">dns proxy</checkBox>
+ </presentation>
+ <presentation id="POL_2E4CDFD7_AB3A_5898_B4A1_44EDABBEE713">
+ <decimalTextBox defaultValue="518400" refId="DXT_761AB0AD_EED6_5734_BC07_88D6599EF57F"/>
+ </presentation>
+ <presentation id="POL_584FFB0D_E6B4_51B1_B65D_FBFD4D40C4D9">
+ <decimalTextBox defaultValue="21600" refId="DXT_153EA1D4_FC29_50AF_878D_5695C6C186CD"/>
+ </presentation>
+ <presentation id="POL_6D6BFEF8_655A_59B7_B17E_050ADA0FAD0F">
+ <textBox refId="TXT_4B630740_3B6C_5FCF_9B93_46CD46767198">
+ <label>nbtd:wins_prepend1Bto1Cqueries</label>
+ <defaultValue>yes</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F145528D_6177_5DA0_9730_05420DF91116">
+ <textBox refId="TXT_A7D6BC38_6BF1_56CF_85B2_FEEA5DAB1A45">
+ <label>nbtd:wins_wins_randomize1Clist</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1D8649CE_6826_507E_A697_A06B2B693295">
+ <textBox refId="TXT_845EC4E4_224C_5FE8_B43E_3F417E26E1F8">
+ <label>nbtd:wins_randomize1Clist_mask</label>
+ <defaultValue>255.255.255.0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8A6CF1A8_12F0_5EC4_B588_658C72C10C4B">
+ <textBox refId="TXT_5A9C87F1_E213_5A53_AD54_9B3AFAB13F9C">
+ <label>winsdb:local_owner</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_4B068333_B3F0_5408_A84F_05BFDB2AD521">
+ <textBox refId="TXT_DE8267A0_F6DE_5043_AFDA_3D98B6494A6D">
+ <label>winsdb:dbnosync</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_61D06DDC_5FC1_5A27_9953_0522C71D3C81">
+ <textBox refId="TXT_7AC86D1C_8F55_5202_9960_E3F76BE03021">
+ <label>wins hook</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DA957F88_D7CE_566D_A902_4CCDEF755586">
+ <checkBox refId="CHK_F6AECF98_9DF6_5B4D_8F4C_1A262B314282">wins proxy</checkBox>
+ </presentation>
+ <presentation id="POL_8F4113F9_15A6_5E26_9F02_7CA7971BE6C9">
+ <textBox refId="TXT_C1395789_AF99_5B0A_89F7_DD274EC794EA">
+ <label>wins server</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0F35BC3D_B809_53E1_9BFD_1765E5E4E934">
+ <checkBox refId="CHK_BE0D6F0B_4FEE_5580_AD27_507FBCC53AB5">wins support</checkBox>
+ </presentation>
+ <presentation id="POL_1009764B_DAB3_56F8_A766_B45CFC524A5E">
+ <textBox refId="TXT_A8EC94D1_CDB1_5E5B_A2D7_D4FDDD78655D">
+ <label>wreplsrv:periodic_interval</label>
+ <defaultValue>15</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_17929B31_DDBB_5B79_AD9D_F0C7EB54BFFA">
+ <textBox refId="TXT_C4483400_9388_5705_BB16_A9CD61B3FC01">
+ <label>wreplsrv:propagate name releases</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E9361CA3_1260_52FE_AD12_742A86788475">
+ <textBox refId="TXT_7E454192_9281_5588_8F18_A4C13837C555">
+ <label>wreplsrv:scavenging_interval</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D3F0B860_C5A4_5E2A_983F_90B40B5AEF46">
+ <textBox refId="TXT_C4470E01_F859_5E45_B342_290D5974C4D0">
+ <label>wreplsrv:tombstone_extra_timeout</label>
+ <defaultValue>259200</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0CA9F8A3_6092_57F4_8CCC_114358C3B9EB">
+ <textBox refId="TXT_D81F8827_96DE_500F_B1B8_D6EF10D165FE">
+ <label>wreplsrv:tombstone_interval</label>
+ <defaultValue>518400</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B06D59DA_A8FC_53AF_AB8F_9C00812D8832">
+ <textBox refId="TXT_B8A345EA_EAA9_524C_A511_8121FD7A5EA1">
+ <label>wreplsrv:tombstone_timeout</label>
+ <defaultValue>86400</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3F2ADB29_E0AE_5723_BC18_0B7ABC97BBE7">
+ <textBox refId="TXT_F35F7924_DBD3_5F6F_B247_7F4893C63844">
+ <label>wreplsrv:verify_interval</label>
+ <defaultValue>2073600</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07">
+ <textBox refId="TXT_609C208A_3B4D_48F1_8A15_C0DF08EAD4D6">
+ <label>Message of the day</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_68E9155C_CB49_428E_AFE0_B89316FFD948">
+ <textBox refId="TXT_8075D9EA_6E15_4B2A_833A_B918EE90856F">
+ <label>Login Prompt Message</label>
+ <defaultValue>Welcome to \s \r \l</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_ADABE9E0_FFF9_4FFE_A105_03E646C79978">
+ <listBox refId="LST_5B9AE80A_6529_4313_A9A1_764DF5320930">Firewalld Zones</listBox>
+ </presentation>
+ <presentation id="POL_B21F349F_4BF6_473E_8452_047D714F156C">
+ <textBox refId="TXT_76109A0B_AA79_4F69_ADFC_2B3CA52763D2">
+ <label>Firewalld Rules</label>
+ <defaultValue>{}</defaultValue>
+ </textBox>
+ </presentation>
+ </presentationTable>
+ </resources>
+</policyDefinitionResources>
diff --git a/libgpo/admx/ru-RU/GNOME_Settings.adml b/libgpo/admx/ru-RU/GNOME_Settings.adml new file mode 100644 index 0000000..491bf45 --- /dev/null +++ b/libgpo/admx/ru-RU/GNOME_Settings.adml @@ -0,0 +1,110 @@ +<policyDefinitionResources revision="1.0" schemaVersion="1.0"> + <displayName> + </displayName> + <description> + </description> + <resources> + <stringTable> + <string id="SUPPORTED_SAMBA_4_15">Samba 4.15</string> + <string id="CAT_351B0FDF_55F3_4904_AC71_D3A6CF8DB323">Настройки GNOME</string> + <string id="POL_541A888A_A96D_4A21_9A8F_1021EF6D2F25">Разрешить использовать онлайн-аккаунты</string> + <string id="POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC">Онлайн-аккаунты только из белого списка</string> + <string id="POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC_Help">Учетные записи GNOME Online (GOA) используются для интеграции песональных сетевых учетных записей с GNOME Desktop и приложениями. Пользователь может добавить свои онлайн-аккаунты, такие как Google, Facebook, Flickr, ownCloud и другие, с помощью приложения Online Accounts. +Как системный администратор вы можете: +выборочно включить несколько онлайн-аккаунтов.</string> + <string id="POL_541A888A_A96D_4A21_9A8F_1021EF6D2F25_Help">Учетные записи GNOME Online (GOA) используются для интеграции песональных сетевых учетных записей с GNOME Desktop и приложениями. Пользователь может добавить свои онлайн-аккаунты, такие как Google, Facebook, Flickr, ownCloud и другие, с помощью приложения Online Accounts. +Как системный администратор вы можете: +включить все онлайн-аккаунты; +выключить все онлайн-аккаунты.</string> + <string id="POL_6307C5EA_766A_4D39_BBAE_B1F9A651F08C">Отключить доступ к коммандной строке</string> + <string id="POL_6307C5EA_766A_4D39_BBAE_B1F9A651F08C_Help">Чтобы отключить доступ к командной строке для пользователя рабочего стола, вам необходимо внести изменения в конфигурацию в различных контекстах. Имейте в виду, что следующие шаги не удаляют разрешения пользователя рабочего стола на доступ к командной строке, а скорее удаляют способы, которыми пользователь рабочего стола может получить доступ к командной строке. + +Установите ключ GSettings org.gnome.desktop.lockdown.disable-command-line, который запрещает пользователю доступ к терминалу или указание командной строки для выполнения (командная строка Alt + F2). + +Запретить пользователям доступ к командной строке Alt + F2. + +Отключите переключение на виртуальные терминалы (VT) с помощью сочетаний клавиш Ctrl + Alt + "функциональная клавиша", изменив конфигурацию X-сервера. + +Удалите Терминал и все другие терминальные приложения из обзора действий в оболочке GNOME. Вам также необходимо запретить пользователю устанавливать новое приложение терминала.</string> + <string id="POL_373CCAD2_D0BC_49A3_A078_10CB073AA949">Отключить сохранение файлов</string> + <string id="POL_373CCAD2_D0BC_49A3_A078_10CB073AA949_Help">Вы можете отключить диалоговые окна «Сохранить» и «Сохранить как». Это может быть полезно, если вы предоставляете временный доступ пользователю или не хотите, чтобы пользователь сохранял файлы на компьютер. + +ВНИМАНИЕ: эта функция будет работать только в приложениях, которые ее поддерживают! Эта функция включена не во всех приложениях GNOME и сторонних разработчиков. Эти изменения не повлияют на приложения, которые не поддерживают эту функцию.</string> + <string id="POL_2B71227C_C44B_4F77_B32A_FF92F312BCE2">Отключить печать</string> + <string id="POL_2B71227C_C44B_4F77_B32A_FF92F312BCE2_Help">Вы можете отключить отображение диалогового окна печати для пользователей. Это может быть полезно, если вы предоставляете временный доступ пользователю или не хотите, чтобы пользователь печатал на сетевых принтерах. + +ВНИМАНИЕ: эта функция будет работать только в приложениях, которые ее поддерживают! Эта функция включена не во всех приложениях GNOME и сторонних разработчиков. Эти изменения не повлияют на приложения, которые не поддерживают эту функцию.</string> + <string id="POL_F5785112_422C_4426_BF69_164FED2D6075">Отключить повторное разбиение дискового пространства</string> + <string id="POL_F5785112_422C_4426_BF69_164FED2D6075_Help">polkit позволяет вам устанавливать разрешения для отдельных операций. Для udisks2, утилиты для служб управления дисками, конфигурация находится по адресу /usr/share/polkit-1/actions/org.freedesktop.udisks2.policy. Этот файл содержит набор действий и значений по умолчанию, которые могут быть изменены системным администратором. + +СОВЕТ: Конфигурация polkit в /etc переопределяет те, которые поставляются пакетами в /usr/share.</string> + <string id="POL_DBD5262E_1014_4778_92C8_C3258C0D8EEE">Отключить выход пользователя из системы</string> + <string id="POL_DBD5262E_1014_4778_92C8_C3258C0D8EEE_Help">Предотвращение выхода пользователя из системы полезно для особых типов развертываний GNOME (автоматические киоски, общедоступные терминалы доступа в Интернет и т.д.). + +ВАЖНО: Пользователи могут избежать блокировки выхода из системы, переключившись на другого пользователя. По этой причине рекомендуется также отключить переключение пользователей при настройке системы.</string> + <string id="POL_E5211A0E_F684_4E93_B62B_4F6B8BE5BBAD">Отключить переключение пользователей</string> + <string id="POL_E5211A0E_F684_4E93_B62B_4F6B8BE5BBAD_Help">Предотвращение выхода пользователя из системы полезно для особых типов развертываний GNOME (автоматические киоски, общедоступные терминалы доступа в Интернет и т. Д.). + +ВАЖНО: Пользователи могут избежать блокировки выхода из системы, переключившись на другого пользователя. По этой причине рекомендуется также отключить переключение пользователей при настройке системы.</string> + <string id="POL_942D0D38_C946_4805_8339_92B661BE64E7">Запретить вход по отпечатку пальца</string> + <string id="POL_942D0D38_C946_4805_8339_92B661BE64E7_Help">Пользователи со сканером отпечатков пальцев могут использовать свои отпечатки пальцев вместо пароля для входа в систему. Пользователь должен настроить вход по отпечатку пальца, прежде чем его можно будет использовать. + +Считыватели отпечатков пальцев не всегда надежны, поэтому вы можете отключить вход в систему с помощью считывателя по соображениям безопасности. + </string> + <string id="POL_0906773B_31CA_48E7_B173_A2A8435FA31C">Заблокировать включенные расширения</string> + <string id="POL_0906773B_31CA_48E7_B173_A2A8435FA31C_Help">В оболочке GNOME вы можете запретить пользователю включать или отключать расширения, заблокировав ключи org.gnome.shell.enabled-extensions и org.gnome.shell.development-tools. Это позволяет вам предоставить набор расширений, которые должен использовать пользователь. + +Блокировка ключа org.gnome.shell.development-tools гарантирует, что пользователь не сможет использовать встроенный отладчик и инспектор GNOME Shell (Looking Glass) для отключения любых обязательных расширений.</string> + <string id="POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B">Заблокировать определенные настройки</string> + <string id="POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B_Help">Используя режим блокировки в dconf, вы можете запретить пользователям изменять определенные настройки. Без блокировки системных настроек, пользовательские настройки имеют приоритет над настройками системы. + +Чтобы заблокировать ключ или подпуть dconf, вам необходимо создать подкаталог locks в каталоге ключевых файлов. Файлы внутри этого каталога содержат список ключей или подкаталогов для блокировки. Как и в случае с ключевыми файлами, вы можете добавить любое количество файлов в этот каталог.</string> + <string id="CAT_7E067B4B_2FE1_4AAD_8D76_54209466A491">Пользовательские настройки</string> + <string id="POL_1F00D0C9_3190_42E1_870F_33A0E560E873">Тёмный экран, когда пользователь бездействует</string> + <string id="POL_1F00D0C9_3190_42E1_870F_33A0E560E873_Help">Вы можете сделать экран компьютера тёмным после того, как компьютер не используется (простаивает) в течение некоторого времени.</string> + <string id="POL_05BFA99F_C8C1_4486_AA35_CFB72EF94CAE">Создать ключ</string> + <string id="POL_93280789_E7BA_4EB8_924B_61BA1EEB0437">Включенные расширения</string> + <string id="POL_93280789_E7BA_4EB8_924B_61BA1EEB0437_Help">Ключ enabled-extensions указывает включенные расширения с помощью uuid расширений.</string> + </stringTable> + <presentationTable> + <presentation id="POL_B00E46C8_3837_4FE2_91EF_3C13D50B0BDC"> + <listBox refId="LST_B2FA2836_7FE0_4C2D_9D40_073E4BBDF0F3"> + </listBox> + </presentation> + <presentation id="POL_1DE280F7_3BE5_4DDD_BE10_5A31D6E7ED9B"> + <listBox refId="LST_19198E2B_79A2_4263_B09E_CC40151A265B">Настройки</listBox> + </presentation> + <presentation id="POL_1F00D0C9_3190_42E1_870F_33A0E560E873"> + <decimalTextBox refId="DXT_B46B9503_767D_43E6_8844_8852AC9211C9" defaultValue="300">Время задержки, после которого включается режим ожидания</decimalTextBox> + <decimalTextBox refId="DXT_C652079A_D03D_4DE0_A43A_F5AC3F416F4D" defaultValue="30">Яркость в режиме ожидания</decimalTextBox> + </presentation> + <presentation id="POL_05BFA99F_C8C1_4486_AA35_CFB72EF94CAE"> + <comboBox refId="CMB_F3CCB880_E12B_4068_8B8A_66DE04211F69"> + <label>Создать ключ</label> + <default>Правый Alt</default> + <suggestion>Правый Alt</suggestion> + <suggestion>Левый Win</suggestion> + <suggestion>3rd level of Left Win</suggestion> + <suggestion>Правый Win</suggestion> + <suggestion>3rd level of Right Win</suggestion> + <suggestion>Меню</suggestion> + <suggestion>3rd level of Menu</suggestion> + <suggestion>Левый Ctrl</suggestion> + <suggestion>3rd level of Left Ctrl</suggestion> + <suggestion>Правый Ctrl</suggestion> + <suggestion>3rd level of Right Ctrl</suggestion> + <suggestion>Caps Lock</suggestion> + <suggestion>3rd level of Caps Lock</suggestion> + <suggestion>The "< >" key</suggestion> + <suggestion>3rd level of the "< >" key</suggestion> + <suggestion>Pause</suggestion> + <suggestion>PrtSc</suggestion> + <suggestion>Scroll Lock</suggestion> + </comboBox> + </presentation> + <presentation id="POL_93280789_E7BA_4EB8_924B_61BA1EEB0437"> + <listBox refId="LST_FAD2DD29_CDD9_45BC_99CA_1C47084D09A8">Включенные расширения</listBox> + </presentation> + </presentationTable> + </resources> +</policyDefinitionResources> diff --git a/libgpo/admx/ru-RU/samba.adml b/libgpo/admx/ru-RU/samba.adml new file mode 100644 index 0000000..7ecec41 --- /dev/null +++ b/libgpo/admx/ru-RU/samba.adml @@ -0,0 +1,5403 @@ +<?xml version="1.0" ?>
+<policyDefinitionResources revision="1.0" schemaVersion="1.0">
+ <displayName>
+ </displayName>
+ <description>
+ </description>
+ <resources>
+ <stringTable>
+ <string id="CAT_3338C1DD_8A00_4273_8547_158D8B8C19E9">Samba</string>
+ <string id="CAT_7D8D7DC8_5A9D_4BE1_8227_F09CDD5AFFC6">Настройки Unix</string>
+ <string id="CAT_2B6D622C_5721_4C23_A2D6_5C70D6E059BA">Скрипты</string>
+ <string id="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061">Ежедневно</string>
+ <string id="POL_825D441F_905E_4C7E_9E4B_03013697C6C1">Ежечасно</string>
+ <string id="POL_D298F3BD_44D9_426D_AF11_3163D31582F6">Ежемесячно</string>
+ <string id="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674">Еженедельно</string>
+ <string id="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3">Управление разрешениями Sudo</string>
+ <string id="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061_Help">Этот параметр политики позволяет выполнять команды, локальные или удаленные, ежедневно.</string>
+ <string id="POL_825D441F_905E_4C7E_9E4B_03013697C6C1_Help">Этот параметр политики позволяет выполнять команды, локальные или удаленные, ежечасно.</string>
+ <string id="POL_D298F3BD_44D9_426D_AF11_3163D31582F6_Help">Этот параметр политики позволяет выполнять команды, локальные или удаленные, ежемесячно.</string>
+ <string id="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674_Help">Этот параметр политики позволяет выполнять команды, локальные или удаленные, еженедельно.</string>
+ <string id="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3_Help">Эта политика настраивает файл sudoers со специальными строками.</string>
+ <string id="CAT_10827749_64ED_5052_87F7_E81AD421856A">smb.conf</string>
+ <string id="POL_33AAE399_07A8_5CC8_882A_393E4B96B259">additional dns hostnames</string>
+ <string id="POL_33AAE399_07A8_5CC8_882A_393E4B96B259_Help">Список дополнительных DNS-имен, по которым можно идентифицировать этот хост.
+
+Значение по умолчанию:
+пустая строка (нет дополнительных DNS-имен)
+
+Пример:
+host2.example.com host3.other.com</string>
+ <string id="POL_3CD2A970_826E_518E_B5F0_5E6725FF354D">bind interfaces only</string>
+ <string id="POL_3CD2A970_826E_518E_B5F0_5E6725FF354D_Help">Этот глобальный параметр позволяет администратору Samba ограничивать интерфейсы на машине, обслуживающие запросы SMB. Это по-разному затрагивает файловую службу smbd(8) и службу имён nmbd(8).
+
+Если установить этот параметр, то служба имён nmbd связывается по портам 137 и 138 на интерфейсах, перечисленных в параметре 'interfaces'. А также c интерфейсом «все адреса» (0.0.0.0) на портах 137 и 138 для чтения широковещательных сообщений. Если этот параметр не установлен, то служба nmbd будет обслуживать запросы имён на всех этих сокетах. Если параметр установлен, то nmbd проверит исходный адрес любых входящих пакетов на широковещательных сокетах и откажется от любого, который не соответствует широковещательным адресам интерфейсов в списке параметра 'interfaces'. Поскольку одноадресные пакеты принимаются другими сокетами, это позволяет nmbd отказывать в обслуживании имен машинам, которые посылают пакеты с интерфейсов, не перечисленных в списке параметра 'interfaces'. Однако подделка IP-адреса источника обходит эту простую проверку защиты nmbd, поэтому этот параметр не следует серьезно использовать в качестве средства безопасности для nmbd.
+
+Для службы файлов эта опция заставляет smbd(8) связываться только с теми интерфейсами, которые перечисленны в параметре 'interfaces'. Таким образом, ограничиваются сети, которые будет обслуживать smbd, до пакетов, поступающих через эти интерфейсы. Обратите внимание, что нельзя использовать этот параметр для машин, которые обслуживаются через PPP или другие непостоянные или нешироковещательные сетевые интерфейсы, поскольку эта опция не справится с непостоянными интерфейсами.
+
+Если установлена эта опция и в список интерфейсов не добавлен адрес 127.0.0.1 (параметр 'interfaces'), то smbpasswd(8) не будет работать, как ожидалось, т.к. для изменения пользователем SMB пароля, smbpasswd по умолчанию подключается к адресу localhost 127.0.0.1 в качестве SMB клиента для отправки запроса на изменение пароля. Нужно либо добавить адрес 127.0.0.1 в параметре 'interfaces', либо заставить smbpasswd использовать IP-адрес основного интерфейса локального хоста с помощью параметра smbpasswd(8): -r remote machine (при этом, в качестве remote machine указывается IP-адрес основного интерфейса локального хоста).
+
+Значение по умолчанию:
+bind interfaces only = no</string>
+ <string id="POL_109FA3A4_0F92_5052_A7D9_D4BBCA75F765">config backend</string>
+ <string id="POL_109FA3A4_0F92_5052_A7D9_D4BBCA75F765_Help">Этот параметр определяет бэкэнд для хранения конфигурации. Возможные значения: file (по умолчанию) или registry (реестр). Когда при загрузке smb.conf обнаруживается значение 'config backend = registry', то прочитанная конфигурация отбрасывается, и вместо этого читаются глобальные параметры из реестра. Таким образом, считывается только конфигурация реестра. Параметры общих ресурсов не читаются сразу, но устанавливается параметр 'registry shares = yes'.
+
+Примечание. Этот параметр нельзя установить в самой конфигурации реестра.
+
+Значение по умолчанию:
+file
+
+Пример:
+registry</string>
+ <string id="POL_08734B25_7265_5D0B_B857_B2E831B624F1">dos charset</string>
+ <string id="POL_08734B25_7265_5D0B_B857_B2E831B624F1_Help">DOS SMB клиенты предполагают, что сервер имеет ту же кодировку, что и они. Эта опция определяет кодировку Samba для работы с DOS клиентами.
+
+Значение по умолчанию зависит от того, какие кодировки были установлены. Samba попробует использовать кодировку 850, но снизит скорость передачи данных до ASCII, если кодировка 850 не доступна. Выполните testparm(1), чтобы проверить значение по умолчанию в вашей системе.
+
+Значения по умолчанию нет</string>
+ <string id="POL_4CCDFFB7_07DF_58F9_904E_13A024A3F54A">enable core files</string>
+ <string id="POL_4CCDFFB7_07DF_58F9_904E_13A024A3F54A_Help">Этот параметр указывает, должны ли дампы ядра записываться во внутренние выходы. Обычно этот параметр установлен (enable core files = yes). Никогда не нужно менять значение этого параметра.
+
+Значение по умолчанию:
+enable core files = yes</string>
+ <string id="POL_5B751E57_31A9_5EC2_A3CD_A8511D74FCFB">mdns name</string>
+ <string id="POL_5B751E57_31A9_5EC2_A3CD_A8511D74FCFB_Help">Этот параметр управляет именем, которое multicast DNS поддерживает как свой hostname.
+
+У этого параметра есть два специальных значения: netbios и mdns.
+
+По умолчанию используется имя NetBIOS, которое обычно представляет собой имя хоста, написанное заглавными буквами.
+
+Если параметр имеет значение mdns, будут использованы настройки имени хоста из используемой библиотеки MDNS.
+
+Значение по умолчанию:
+netbios
+</string>
+ <string id="POL_461A8AAF_F51E_5FF5_9433_A8D25BBCF783">multicast dns register</string>
+ <string id="POL_461A8AAF_F51E_5FF5_9433_A8D25BBCF783_Help">Если Samba скомпилирована с соответствующей поддержкой и если эта опция включена, Samba станет анонсировать сведения о себе с помощью служб multicast DNS, например, предоставляемых демоном Avahi.
+
+Значение по умолчанию:
+multicast dns register = yes</string>
+ <string id="POL_04F98D09_4223_5390_B66F_A6DA05F97FCC">netbios aliases</string>
+ <string id="POL_04F98D09_4223_5390_B66F_A6DA05F97FCC_Help">Это список имен NetBIOS, которые объявит демон nmbd как дополнительные имена, которые известны серверу Samba. Это позволяет одному компьютеру, на котором запущен сервер Samba, быть объявленным под несколькими именами. Если машина выполняет роль сервера просмотра (browse server) или сервера входа в систему (logon server), ни одно из этих имен не будет объявлено ни как сервер просмотра, ни как сервер входа в систему, только основное имя машины будет объявлено с этими возможностями.
+
+Значение по умолчанию:
+пустая строка (без дополнительных имен)
+
+Пример:
+TEST TEST1 TEST2</string>
+ <string id="POL_90CE7832_31B7_51D8_9EF2_92FEF396F49B">netbios name</string>
+ <string id="POL_90CE7832_31B7_51D8_9EF2_92FEF396F49B_Help">Эта опция устанавливает имя NetBIOS, по которому будет доступен сервер Samba. По умолчанию используется первая часть доменного имени хоста. Если машина является сервером просмотра (browse server) или сервером входа в систему (logon server), это имя (или первая часть доменного имени) будет использоваться в качестве имени и этих сервисов.
+
+Обратите внимание, что максимальная длина имени NetBIOS составляет 15 символов.
+
+В Samba имеется ошибка, из-за которой нарушается процедура просмотра и доступа к общим ресурсам, если NetBIOS-имя имеет значение "PIPE".
+
+Значение по умолчанию:
+netbios name = #DNS-имя хоста
+
+Пример:
+MYNAME</string>
+ <string id="POL_3B93FDE1_6461_572C_AD2E_6AEEAE4EA949">netbios scope</string>
+ <string id="POL_3B93FDE1_6461_572C_AD2E_6AEEAE4EA949_Help">Эта опция устанавливает диапазон NetBIOS, в котором будет работать Samba. Значение этого параметра не следует изменять, если только на каждом компьютере в локальной сети также не установлено такое же значение.
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_E633B0BE_9CF3_5D79_A9F1_CB782C82A19C">prefork backoff increment</string>
+ <string id="POL_E633B0BE_9CF3_5D79_A9F1_CB782C82A19C_Help">Эта опция указывает количество секунд, добавленных к задержке перед перезапуском мастера prefork или рабочего процесса. Первоначальная задержка при перезапуске равна нулю, значение параметра 'prefork backoff increment' добавляется к задержке при каждом перезапуске, до значения указанного в параметре 'prefork maximum backoff'.
+
+Кроме того, можно задать отсрочку для отдельного сервиса, используя параметр 'prefork backoff increment: service name'. Например, если 'prefork backoff increment:ldap = 2', то отсрочка каждый раз увеличивается на 2.
+
+Если 'prefork backoff increment = 2' и prefork 'maximum backoff = 5', то первый перезапуск будет с нулевой задержкой, второй перезапуск будет с задержкой в 2 секунды, а третий и последующие перезапуски будут с задержкой в 4 секунды.
+
+Значение по умолчанию:
+10
+</string>
+ <string id="POL_B4E848BD_E606_552C_8C9F_3F8CC1AEF191">prefork children</string>
+ <string id="POL_B4E848BD_E606_552C_8C9F_3F8CC1AEF191_Help">Эта опция контролирует количество рабочих процессов, которые запускаются для каждой службы при включенной модели процесса prefork (см. samba(8) -M). Потомки prefork запускаются только для тех служб, которые поддерживают prefork (в настоящее время это ldap, kdc и netlogon). Для процессов, которые не поддерживают предварительную загрузку, все запросы обрабатываются одним процессом для этой службы.
+
+Значение этого параметра должно быть кратно количеству ЦП, доступных на сервере.
+
+Кроме того, количество дочерних элементов prefork можно указать для отдельной службы с помощью параметра 'prefork children: service name', например, для установки количества рабочих процессов ldap: 'prefork children:ldap = 8'.
+
+Значение по умолчанию:
+4</string>
+ <string id="POL_D721EFAF_A53D_57B7_9639_3859CF9CE31E">prefork maximum backoff</string>
+ <string id="POL_D721EFAF_A53D_57B7_9639_3859CF9CE31E_Help">Эта опция контролирует максимальную задержку перед перезапуском упавшего prefork процесса.
+
+Значение по умолчанию:
+120</string>
+ <string id="POL_1630255E_61BA_5686_B3E0_995F8C4DAA5E">realm</string>
+ <string id="POL_1630255E_61BA_5686_B3E0_995F8C4DAA5E_Help">Эта опция определяет используемую область Kerberos. Область используется в качестве эквивалента ADS домена NT4. Обычно это DNS-имя сервера Kerberos.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+mysambabox.mycompany.com</string>
+ <string id="POL_E1D45258_0E70_5AF8_AE28_DAB6B318BB8A">server services</string>
+ <string id="POL_E1D45258_0E70_5AF8_AE28_DAB6B318BB8A_Help">Этот параметр содержит службы, которые будет запускать демон Samba.
+
+Запись в файле smb.conf может либо полностью переопределить предыдущее значение, либо можно добавить или удалить записи к предыдущему значению, путём добавления к ним префикса «+» или «-».
+
+Значение по умолчанию:
+s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns
+
+Пример:
+-s3fs, +smb</string>
+ <string id="POL_351CFFDA_9DC3_54FB_BE9A_E434F0DB9955">server string</string>
+ <string id="POL_351CFFDA_9DC3_54FB_BE9A_E434F0DB9955_Help">Эта опция определяет, какая строка будет отображаться в поле для комментариев к принтеру в диспетчере печати и рядом с IPC-соединением в сетевом представлении. Это может быть любая строка, которую следует показать пользователям.
+
+Также опция устанавливает, что будет отображаться в списках просмотра рядом с именем машины.
+
+Переменные подстановки:
+ * %v будет заменен номером версии Samba.
+
+ * %h будет заменено на имя компьютера (hostname).
+
+Значение по умолчанию:
+Samba %v
+
+Пример:
+University of GNUs Samba Server</string>
+ <string id="POL_32A7428D_00FC_5203_9943_2BDCDC3D9E0D">share backend</string>
+ <string id="POL_32A7428D_00FC_5203_9943_2BDCDC3D9E0D_Help">Этот параметр указывает бэкенд, который будет использоваться для доступа к конфигурации общих файловых ресурсов.
+
+По умолчанию общие файловые ресурсы Samba настраиваются в файле smb.conf.
+
+На данный момент других поддерживаемых бэкендов нет.
+
+Значение по умолчанию:
+classic</string>
+ <string id="POL_ABDCEE90_90DE_55C2_A2DC_1C7D017F4B2B">unix charset</string>
+ <string id="POL_ABDCEE90_90DE_55C2_A2DC_1C7D017F4B2B_Help">Эта опция задает кодировку, которую использует Samba на unix-машине. Samba необходимо знать кодировку, чтобы иметь возможность преобразовывать текст в кодировки, которые используют другие клиенты SMB.
+
+Также эта кодировка будет использована в аргументах скриптов, используемых Samba.
+
+Значение по умолчанию:
+UTF-8
+
+Пример:
+ASCII</string>
+ <string id="POL_D1FAAF87_1E1E_596F_A915_BE72D67A5DC5">workgroup</string>
+ <string id="POL_D1FAAF87_1E1E_596F_A915_BE72D67A5DC5_Help">Эта настройка указывает, в какой рабочей группе будет находиться сервер при запросе клиентов. Обратите внимание, что этот параметр также управляет доменным именем, используемым с параметром 'security = domain'.
+
+Значение по умолчанию:
+WORKGROUP
+
+Пример:
+MYGROUP</string>
+ <string id="POL_163183B9_195A_5290_927E_08FBB6C76AA0">interfaces</string>
+ <string id="POL_163183B9_195A_5290_927E_08FBB6C76AA0_Help">Параметр позволяет переопределить список сетевых интерфейсов по умолчанию, которые Samba будет использовать для просмотра ресурсов сети, регистрации имён и другого трафика NetBIOS через TCP/IP (NBT). По умолчанию Samba запрашивает ядро для получения списка всех активных интерфейсов и использует любые интерфейсы, которые поддерживают широковещательную рассылку, кроме 127.0.0.1.
+
+Параметр принимает список интерфейсов в виде строки. Каждая строка может быть в любой из следующих форм:
+
+ * Имя сетевого интерфейса (например, eth0). Эта форма может включать подстановочные знаки, например, eth* будет соответствовать любому интерфейсу, начинающемуся с подстроки «eth».
+
+ * IP-адрес. Маска подсети определяется из списка интерфейсов полученного у ядра.
+
+ * пара IP-адрес/маска;
+
+ * пара адрес сети/маска.
+
+Параметр «маска» может быть представлен в битовой размерности (например, 24 для сети класса C) или в виде полной маски подсети с разделителями в виде десятичной точки.
+
+Параметр «IP-адрес» может указываться либо полным десятичным IP-адресом, разделённым точками или указанием имени хоста (hostname), которое будет разрешено с помощью обычных механизмов разрешения имени хоста ОС.
+
+По умолчанию Samba включает все активные интерфейсы, поддерживающие широковещательную передачу, за исключением адаптера обратной связи (IP-адрес 127.0.0.1).
+
+Чтобы поддерживать многоканальные конфигурации SMB3, smbd понимает некоторые дополнительные параметры, которые могут быть добавлены после фактического интерфейса с помощью расширенного синтаксиса (обратите внимание, что кавычки важны для обработки символов «;» и «,»):
+
+ "interface[;key1=value1[,key2=value2[...]]]"
+
+Возможные ключи — speed (скорость), capability (пропускная способность) и if_index. Скорость указывается в битах в секунду. Пропускная способность — RSS и RDMA. If_index следует использовать с осторожностью: значения не должны совпадать с индексами, используемыми ядром. Обратите внимание, что эти параметры в основном предназначены для тестирования и разработки, а не для промышленного использования. По крайней мере, в системах Linux эти значения должны определяться автоматически, но настройки могут служить последним средством, когда автоопределение не работает или недоступно. Указанные значения заменяют автоматически обнаруженные значения.
+
+Значение по умолчанию:
+пустая строка
+
+Ниже приведены примеры. В первых двух примерах настраиваются три сетевых интерфейса, соответствующие устройству eth0 и IP-адресам 192.168.2.10 и 192.168.3.10. Сетевая маска двух последних интерфейсов будет установлена на 255.255.255.0.
+
+В остальных примерах показано, как можно указать дополнительные параметры для каждого интерфейса. Обратите внимание на возможное использование символов «;» и «,», что делает необходимым использование двойных кавычек.
+
+Пример:
+eth0 192.168.2.10/24 192.168.3.10/255.255.255.0
+
+Пример:
+eth0, 192.168.2.10/24; 192.168.3.10/255.255.255.0
+
+Пример:
+"eth0;if_index=65,speed=1000000000,capability=RSS"
+
+Пример:
+"lo;speed=1000000000" "eth0;capability=RSS"
+
+Пример:
+"lo;speed=1000000000" , "eth0;capability=RSS"
+
+Пример:
+"eth0;capability=RSS" , "rdma1;capability=RDMA" ; "rdma2;capability=RSS,capability=RDMA"</string>
+ <string id="POL_25731B61_FC84_5A83_93AE_296F7D6311C4">browse list</string>
+ <string id="POL_25731B61_FC84_5A83_93AE_296F7D6311C4_Help">Параметр устанавливает, обслужит ли smbd(8) список просмотра клиенту, выполняющему вызов NetServerEnum. Обычно 'browse list = yes'. Никогда не следует изменять значение этого параметра.
+
+Значение по умолчанию:
+browse list = yes</string>
+ <string id="POL_3E9E3188_6F1A_54F8_8E13_265E2AD1BE71">domain master</string>
+ <string id="POL_3E9E3188_6F1A_54F8_8E13_265E2AD1BE71_Help">Разрешает smbd(8) сопоставлять список просмотра WAN сети. Включение этой области заставляет nmbd требовать NetBIOS имя домена, идентифицирующее его как мастер браузер домена для данной рабочей группы. Местные мастер браузеры в изолированных подсетях передадут этому nmbd свои локальные списки просмотра и потом запросят у smbd законченную копию списка для всей глобальной сети. Клиенты локальных мастер браузеров получат от своих изолированных мастер браузеров списки всей глобальной сети, вместо списка изолированной подсети.
+
+Обратите внимание, что Windows NT Primary Domain Controllers ожидают, что у них есть возможность требовать NetBIOS имя домена, которое идентифицирует их как мастер браузер домена по умолчанию (и нет способа заставить Windows NT PDC не требовать этого). Это означает, что если этот параметр установлен, и nmbd запрашивает специальное имя для рабочей группы раньше, чем Windows NT PDC, то перекрёстный просмотр подсети будет вести себя странно, и может потерпеть неудачу.
+
+Если 'domain logons' включен, то по умолчанию включается параметр 'domain master'. Если 'domain logons' не включен (по умолчанию), тогда ни один 'domain master' не включен по умолчанию.
+
+Если 'domain logons = yes' и 'domain master = yes', в результате Samba — PDC. Если 'domain master = no', Samba — BDC. Как правило, этот параметр должен быть иметь значение no только на резервном контроллере домена.
+
+Значение по умолчанию:
+auto</string>
+ <string id="POL_E14519D2_9B84_5A1B_B4A4_89F6151BFCE2">enhanced browsing</string>
+ <string id="POL_E14519D2_9B84_5A1B_B4A4_89F6151BFCE2_Help">Эта опция включает перекрестный обзор подсетей, добавленный в Samba, но не являющийся стандартным для Windows.
+
+Сначала Samba просматривает WINS-сервер для всех Domain Master Browsers, сопровождаемых синхронизацией обзора с каждым из возвращенных DMBs (Domain Master Browsers). Потом синхронизируются списки просмотра со всеми известными DMBs.
+
+Можно отключить эту опцию, если есть проблема с пустыми рабочими группами, не исчезающими из списков просмотра. Из-за ограничений протоколов обзора эти расширения могут заставить пустую рабочую группу оставаться в сетевом окружении навсегда, что может раздражать.
+
+В основном, лучше оставить эту опцию включенной, поскольку она делает перекрестный обзор намного более надежным.
+
+По умолчанию:
+enhanced browsing = yes
+ </string>
+ <string id="POL_7E8FBFDB_CBDD_5CE7_B101_07AB8AA71209">lm announce</string>
+ <string id="POL_7E8FBFDB_CBDD_5CE7_B101_07AB8AA71209_Help">Этот параметр отвечает за рассылку демоном nmbd широковещательных пакетов lanman, которые требуются клиентам OS/2 для того, чтобы увидеть Samba в их сетевом окружении. Этот параметр может принимать три значения yes, no, или auto. Значение по умолчанию auto. Если выставлено no, Samba никогда не будет посылать широковещательные пакеты lanman. Если выставлено yes, Samba будет посылать пакеты с интервалом, указанным в параметре 'lm interval'. Если выставлено auto, Samba не будет посылать такие пакеты, но будет слушать сеть на предмет таких пакетов. Если в сети появится такой пакет, то Samba тоже начнет рассылать такие пакеты с интервалом, указанным в параметре 'lm interval'.
+
+По умолчанию:
+auto
+
+Пример:
+yes
+</string>
+ <string id="POL_6D665B21_1F08_5183_B9CD_CFD712C1D4AB">lm interval</string>
+ <string id="POL_6D665B21_1F08_5183_B9CD_CFD712C1D4AB_Help">Если серверу Samba указано посылать широковещательные пакеты lanman, необходимые клиентам OS/2 (см. параметр 'lm announce'), тогда параметр 'lm interval' указывает интервал в секундах, через который следует посылать такие пакеты. Если этот параметр равен 0, то такие пакеты не будут рассылаться вовсе, даже не смотря на значение параметра 'lm announce'.
+
+Значение по умолчанию:
+60
+
+Пример:
+120</string>
+ <string id="POL_40EA4C73_20A7_580A_A830_0EDA7FC72B7D">local master</string>
+ <string id="POL_40EA4C73_20A7_580A_A830_0EDA7FC72B7D_Help">Эта опция разрешает демону nmbd попытаться стать локальным мастер-браузером в этой подсети. Если параметр выключен (local master = no), то nmbd даже не будет пытаться стать мастер-браузером в этой подсети и будет проигрывать все выборы мастер-браузера. По умолчанию, этот параметр установлен (local master = yes), но это не значит, что Samba станет мастер-браузером в подсети. Это означает лишь, что nmbd будет участвовать в выборах мастер-браузера.
+
+Выключение этого параметра (local master = no) приведет к тому, что nmbd никогда не станет мастер-браузером.
+
+Значение по умолчанию:
+local master = yes
+</string>
+ <string id="POL_95C311BC_3067_5654_A978_70326D928F48">os level</string>
+ <string id="POL_95C311BC_3067_5654_A978_70326D928F48_Help">Значение этого параметра (целое число) устанавливает уровень сервера Samba, который используется в выборах обозревателя. Значение этого параметра определяет, имеет ли шансы демон nmbd(8) стать мастер-браузером (master browser) для 'workgroup' в пределах действия широковещательных запросов.
+
+Заметьте, что по умолчанию, Samba будет выигрывать все выборы у всех операционных систем кроме контроллера домена Windows NT 4.0/2000. Это означает, что неправильно сконфигурированная Samba может эффективно изолировать подсеть для просмотра. Этот параметр, в основном, конфигурируется автоматически в Samba-3 и очень редко требуется переопределять его значение. См. раздел «Network Browsing» руководства Samba3-HOWTO для получения более детальной информации, относящейся к этому параметру. Заметьте, что максимальное значение этого параметра 255. Если поставить значение большее 255, то отсчет начнется с 0!
+
+Значение по умолчанию:
+20
+
+Пример:
+65</string>
+ <string id="POL_516D10CE_AECD_50DE_B4F5_D9DBF85FA582">preferred master</string>
+ <string id="POL_516D10CE_AECD_50DE_B4F5_D9DBF85FA582_Help">Этот параметр указывает на то, будет ли демон nmbd(8) предпочитаемым мастер-браузером (master browser) для его рабочей группы или нет.
+
+Если значение этого параметра установлено в yes, то при загрузке, демон nmbd будет форсировать выборы, при этом у него будет небольшое преимущество в победе на выборах. Рекомендуется устанавливать этот параметр совместно с параметром 'domain master = yes', тогда nmbd точно станет доменным мастером (domain master).
+
+Используйте эту опцию с осторожностью, потому что если несколько компьютеров (неважно Samba, Win 95 или NT) будут предпочитаемыми обозревателями в одной сети, они будут постоянно пытаться стать мастер браузерами (master browser). Это вызовет излишний широковещательный трафик и создаст задержки при обращении к сетевому окружению.
+
+Значение по умолчанию:
+auto</string>
+ <string id="POL_E468B4EF_D43C_572D_9A57_390D5D22F485">allow dns updates</string>
+ <string id="POL_E468B4EF_D43C_572D_9A57_390D5D22F485_Help">Этот параметр определяет, какие обновления DNS разрешены.
+
+Обновления DNS можно полностью запретить, установив значение disabled, можно разрешить только для безопасных подключений, установив значение secure only (безопасное соединение), либо разрешить во всех случаях, установив значение nonsecure (небезопасный режим).
+
+Значение по умолчанию:
+secure only
+
+Пример:
+disabled</string>
+ <string id="POL_7E805DF0_F3AD_55F6_AC1E_B13987AE73FC">dns forwarder</string>
+ <string id="POL_7E805DF0_F3AD_55F6_AC1E_B13987AE73FC_Help">Эта опция указывает список DNS-серверов, на которые будут перенаправляться DNS-запросы, если они не могут быть обработаны самой Samba.
+
+Сервер пересылки DNS используется только в том случае, если используется внутренний DNS-сервер в Samba.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+192.168.0.1 192.168.0.2</string>
+ <string id="POL_DE5786B0_C694_53AA_85F2_F9B4EB2F9923">dns update command</string>
+ <string id="POL_DE5786B0_C694_53AA_85F2_F9B4EB2F9923_Help">Этот параметр устанавливает команду, которая вызывается при обновлении DNS. Она должна обновить DNS-имена локальных машин с помощью TSIG-GSS.
+
+Значение по умолчанию:
+/samba_dnsupdate
+
+Пример:
+/usr/local/sbin/dnsupdate</string>
+ <string id="POL_C5C16F87_0017_5CC1_810B_398855115BC9">dns zone scavenging</string>
+ <string id="POL_C5C16F87_0017_5CC1_810B_398855115BC9_Help">При включении (по умолчанию выключено) неиспользуемые динамические DNS-записи периодически удаляются.
+
+Этот параметр не следует включать для установок, созданных с помощью версий Samba до 4.9, так как это приведет к потере статических записей DNS. Это связано с ошибкой в предыдущих версиях Samba (BUG 12451), которая помечала динамические записи DNS как статические, а статические записи как динамические.
+
+Если одна запись для DNS-имени является статической (без устаревания), никакая другая запись для этого DNS-имени не будет очищена.
+
+Значение по умолчанию:
+dns zone scavenging = no</string>
+ <string id="POL_23A4E426_BE59_5616_849E_94C825DDFC5B">gpo update command</string>
+ <string id="POL_23A4E426_BE59_5616_849E_94C825DDFC5B_Help">Этот параметр устанавливает команду, которая вызывается для применения политик GPO. Сценарий samba-gpupdate применяет политики доступа к системе и политики Kerberos к KDC. Политики доступа к системе устанавливают следующие параметры samdb: в minPwdAge, maxPwdAge, minPwdLength и pwdProperties. Политики Kerberos устанавливают следующие параметры в smb.conf: kdc:время жизни билета службы, kdc:время жизни билета пользователя и kdc:время продления.
+
+Значение по умолчанию:
+/samba-gpupdate
+
+Пример:
+/usr/local/sbin/gpoupdate</string>
+ <string id="POL_D32F3D0B_74B1_5C8F_81B4_CC9574EAB9B7">machine password timeout</string>
+ <string id="POL_D32F3D0B_74B1_5C8F_81B4_CC9574EAB9B7_Help">Если Samba является членом домена Windows NT (см. параметры 'security = domain' и 'security = ads'), в таком случае процесс smbd будет пытаться через определенный интервал времени изменить значение переменной MACHINE ACCOUNT PASSWORD, хранимой в TDB файле private/secrets.tdb. Этот параметр указывает на то, как часто будет меняться пароль (значение в секундах). Значение по умолчанию — одна неделя (время, записанное в секундах), точно такое же, как у доменного сервера WinNT.
+
+См. также: smbpasswd(8) и параметры 'security = domain' и 'security = ads'.
+
+Значение по умолчанию:
+604800
+</string>
+ <string id="POL_07339CF8_68F5_5B5F_9207_93D2E4526C44">nsupdate command</string>
+ <string id="POL_07339CF8_68F5_5B5F_9207_93D2E4526C44_Help">Эта опция устанавливает путь к команде nsupdate, которая используется для динамических обновлений DNS GSS-TSIG.
+
+Значение по умолчанию:
+/usr/bin/nsupdate -g</string>
+ <string id="POL_D0F6F805_6160_55CF_9B8B_F5AD874B1E2C">spn update command</string>
+ <string id="POL_D0F6F805_6160_55CF_9B8B_F5AD874B1E2C_Help">Этот параметр устанавливает команду для обновления имен servicePrincipalName из spn_update_list.
+
+Значение по умолчанию:
+/samba_spnupdate
+
+Пример:
+/usr/local/sbin/spnupdate</string>
+ <string id="POL_6FFBB02C_6B3E_5D0E_9193_15F9B38E487D">mangle prefix</string>
+ <string id="POL_6FFBB02C_6B3E_5D0E_9193_15F9B38E487D_Help">Управляет количеством префиксных символов, берущимися из оригинального имени для генерации преобразованного имени. Большее значение даст более слабый хэш и будет вызывать больше коллизий. Минимальное значение — 1, а максимальное — 6.
+
+Параметр 'mangle prefix' имеет смысл только тогда когда для параметра 'mangling method' установлено значение hash2.
+
+Значение по умолчанию:
+1
+
+Пример:
+4</string>
+ <string id="POL_BE8F8AE7_99AC_582E_8105_00326D511339">mangling method</string>
+ <string id="POL_BE8F8AE7_99AC_582E_8105_00326D511339_Help">Устанавливает алгоритм, используемый для генерации переопределяемых имен. Может принимать два значения «hash» и «hash2». «hash» это алгоритм, который использовался в Samba много лет и был параметром по умолчанию для Samba 2.2.х. «hash2» это новый улучшенный алгоритм (меньше вероятность ошибки). Множество Win32 программ хранят измененные имена, поэтому переключение между этими алгоритмами должно быть выполнено быстро, потому что такие приложения могут быть повреждены.
+
+Значение по умолчанию:
+hash2
+
+Пример:
+hash
+</string>
+ <string id="POL_62095050_5FA9_5E4F_8792_595D30BEF047">max stat cache size</string>
+ <string id="POL_62095050_5FA9_5E4F_8792_595D30BEF047_Help">Этот параметр ограничивает размер статического буфера (stat cache), который используется для ускорения ресурсоемких операций преобразования имен. Указывает количество килобайт, которые может использовать статический буфер. Ноль означает «не ограничено». Не рекомендуется использовать такое значение, потому что оно влечет за собой повышенное использование памяти. Не следует изменять значение этого параметра.
+
+Значение по умолчанию:
+512
+
+Пример:
+100</string>
+ <string id="POL_63F6A053_E2E9_57D0_A0F8_003024AD6470">stat cache</string>
+ <string id="POL_63F6A053_E2E9_57D0_A0F8_003024AD6470_Help">Этот параметр определяет будет ли демон smbd(8) использовать буфер для увеличения скорости преобразования имен. Вам скорее всего никогда не потребуется изменять значение этого параметра.
+
+Значение по умолчанию:
+stat cache = yes</string>
+ <string id="POL_FBDCB316_EDD2_526C_AE9F_32F50A97A72F">client ldap sasl wrapping</string>
+ <string id="POL_FBDCB316_EDD2_526C_AE9F_32F50A97A72F_Help">Эта опция определяет, будет ли трафик ldap подписан или подписан и зашифрован (запечатан). Возможные значения: plain, sign и seal (обычная, подпись, печать).
+
+Значения sign и seal доступны только в том случае, если Samba была скомпилирована для современной версии OpenLDAP (2.3.x или выше).
+
+Эта опция необходима в случае, если контроллеры домена принудительно используют подписанные соединения LDAP (например, Windows 2000 SP3 или выше). Подпись и печать LDAP можно контролировать с помощью ключа реестра «HKLM\System\CurrentControlSet\Services\ NTDS\Parameters\LDAPServerIntegrity» на стороне сервера Windows.
+
+В зависимости от используемой библиотеки KRB5 (MIT и более старые версии Heimdal) возможно, что сообщение «только целостность» («integrity only») не поддерживается. В этом случае sign — это всего лишь псевдоним для seal.
+
+Значение по умолчанию — sign, что подразумевает синхронизацию времени с KDC в случае использования Kerberos.
+
+Значение по умолчанию:
+sign</string>
+ <string id="POL_712CFB73_7887_55DD_975B_48DEDBDB9441">ldap admin dn</string>
+ <string id="POL_712CFB73_7887_55DD_975B_48DEDBDB9441_Help">Параметр определяет отличительное имя (Distinguished Name (DN)) используемое Samba для подключения к LDAP-серверу при запросе информации о пользователе. 'ldap admin dn' используется совместно с admin dn паролем, сохраненным в файле private/secrets.tdb. О том, как это сделать смотрите справку по smbpasswd(8). 'ldap admin dn' включает полный DN. 'ldap suffix' не добавляется к 'ldap admin dn'.
+
+Нет умолчания.</string>
+ <string id="POL_CEAB52CA_95EB_5DE5_863B_2399BEF5C727">ldap connection timeout</string>
+ <string id="POL_CEAB52CA_95EB_5DE5_863B_2399BEF5C727_Help">Этот параметр сообщает вызовам библиотеки LDAP, какой тайм-аут в секундах они должны соблюдать во время первоначального установления соединения с серверами LDAP. Это очень полезно, в частности, в сценариях аварийного переключения. Если один или несколько серверов LDAP вообще недоступны, не нужно ждать, пока истечет время ожидания TCP. Эта функция должна поддерживаться библиотекой LDAP.
+
+Этот параметр отличается от 'ldap timeout', который влияет на операции на серверах LDAP, использующих существующее соединение и не устанавливающих начальное соединение.
+
+Значение по умолчанию:
+2</string>
+ <string id="POL_4750A945_176C_5FFF_AB50_DF2BE31C3FBB">ldap delete dn</string>
+ <string id="POL_4750A945_176C_5FFF_AB50_DF2BE31C3FBB_Help">Этот параметр определяет, разрешены ли операции удаления записей в ldapsam или разрешены только операции изменения конкретных атрибутов для Samba.
+
+Значение по умолчанию:
+ldap delete dn = no
+ </string>
+ <string id="POL_27BBF4DB_E2AE_58D3_8018_E83C4B185A3C">ldap deref</string>
+ <string id="POL_27BBF4DB_E2AE_58D3_8018_E83C4B185A3C_Help">Эта опция определяет, должна ли Samba указывать библиотеке LDAP, использовать определенный метод разыменования псевдонимов. Значение по умолчанию — auto, что означает, что настройки по умолчанию клиентской библиотеки ldap будут сохранены. Другие возможные значения: never, finding, searching и always. Для получения дополнительной информации см. руководство по LDAP.
+
+Значение по умолчанию:
+auto
+
+Пример:
+searching</string>
+ <string id="POL_B383A7ED_F6A4_5BD3_B85E_E6B6527D8D79">ldap follow referral</string>
+ <string id="POL_B383A7ED_F6A4_5BD3_B85E_E6B6527D8D79_Help">Эта опция определяет, следует ли следовать ссылкам LDAP при поиске записей в базе данных LDAP. Возможные значения: on, чтобы включить следующие отсылки, off, чтобы отключить, и auto, чтобы использовать настройки libldap по умолчанию. Выбор libldap для следующих отсылок или нет устанавливается в /etc/openldap/ldap.conf с параметром REFERRALS, как описано в ldap.conf(5).
+
+Значение по умолчанию:
+auto
+
+Пример:
+off</string>
+ <string id="POL_E31CD0A8_5A4A_5657_8ACA_123A200C6E06">ldap group suffix</string>
+ <string id="POL_E31CD0A8_5A4A_5657_8ACA_123A200C6E06_Help">Параметр определяет суффикс, используемый для групп, добавляемых в каталог LDAP. Если параметр не установлен, используется значение параметра 'ldap suffix'. Этот суффикс идет перед 'ldap suffix', поэтому лучше использовать частичные DN.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+ou=Groups</string>
+ <string id="POL_FC4495FC_4C6E_50C8_9B37_08D9955A883B">ldap idmap suffix</string>
+ <string id="POL_FC4495FC_4C6E_50C8_9B37_08D9955A883B_Help">Параметр определяет суффикс, используемый для хранения idmap сопоставлений. Если параметр не установлен, используется значение параметра 'ldap suffix'. Этот суффикс идет перед 'ldap suffix', поэтому лучше использовать частичные DN.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+ou=Idmap</string>
+ <string id="POL_2ED1402F_4CF6_5CED_BE40_9B112E1238DC">ldap machine suffix</string>
+ <string id="POL_2ED1402F_4CF6_5CED_BE40_9B112E1238DC_Help">Параметр определяет, как компьютеры будут добавлены в дерево ldap. Если параметр не установлен, используется значение параметра 'ldap suffix'. Этот суффикс идет перед 'ldap suffix', поэтому лучше использовать частичные DN.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+ldap machine suffix = ou=Computers</string>
+ <string id="POL_12C5B04D_D734_576A_99F1_7475BC9E90D7">ldap page size</string>
+ <string id="POL_12C5B04D_D734_576A_99F1_7475BC9E90D7_Help">Этот параметр указывает количество записей на странице.
+
+Если сервер LDAP поддерживает результаты с разбивкой на страницы, клиенты могут запрашивать подмножества результатов поиска (страницы) вместо всего списка. Этот параметр определяет размер этих страниц.
+
+Значение по умолчанию:
+1000
+
+Пример:
+512</string>
+ <string id="POL_DB427B53_CF02_5410_AE37_5BD4E8B968CE">ldap passwd sync</string>
+ <string id="POL_DB427B53_CF02_5410_AE37_5BD4E8B968CE_Help">Параметр определяет, должна ли Samba синхронизировать LDAP пароль с хэшами NT и LM для обычных учетных записей пользователей (не для компьютеров, серверов и доверенных доменов) при смене пароля через Samba.
+
+Параметр может быть установлен в одно из трех значений:
+
+ * yes — попробовать обновить LDAP, NT и LM пароли и обновить время pwdLastSet (атрибут времени последнего изменения пароля).
+ * no — обновить NT и LM пароли и обновить время pwdLastSet.
+ * only — обновить только LDAP пароль, а все остальное сделает LDAP-сервер.
+
+Значение по умолчанию:
+no</string>
+ <string id="POL_0C51A40C_E06E_5A0A_B160_5EB21289B17D">ldap replication sleep</string>
+ <string id="POL_0C51A40C_E06E_5A0A_B160_5EB21289B17D_Help">Если Sabma пытается записать на LDAP сервер, сконфигурированный только для чтения, запрос перенаправляется на мастер-сервер чтения-записи. Этот сервер потом синхронизирует изменения на наш локальный сервер, однако это может занять несколько секунд, особенно на медленных соединениях. Этот параметр задает время ожидания для Samba, чтобы LDAP сервера успели синхронизироваться. Определенные действия клиентов, например, присоединение к домену, могут сбить с толку из-за «успешно выполненного действия», который не приводит к немедленному изменению данных серверной части LDAP.
+
+Этот параметр задает время ожидания для Samba, чтобы LDAP сервера успели синхронизироваться. Если сеть с особенно высокой задержкой, то можно захотеть синхронизировать репликацию LDAP с помощью сетевого сниффера и соответственно увеличить это значение. Однако надо учитывать, что проверка фактической репликации данных не выполняется.
+
+Значение определяется в миллисекундах, максимальная величина составляет 5000 (5 секунд).
+
+Значение по умолчанию:
+1000
+</string>
+ <string id="POL_763BAFE2_3FE0_5C25_B3DC_34AE48F2F569">ldapsam:editposix</string>
+ <string id="POL_763BAFE2_3FE0_5C25_B3DC_34AE48F2F569_Help">Этот параметр дополняет параметр 'ldapsam:trusted' и позволяет упростить управление контроллером домена, дает возможность не создавать пользовательские скрипты по добавлению и управлению posix пользователями и группами. Этот параметр позволяет изменять ldap, создавать, удалять и изменять пользователей и группы. Необходимо, чтобы работал winbindd, так как он используется для выделения новых uids/gids при создании пользователей/групп. Следовательно, необходимо настроить диапазон распределения.
+
+Чтобы использовать эту опцию, необходимо настроить базовое ldap дерево, параметры ldap suffix так же должны быть правильно настроены. На вновь установленных серверах, группы и пользователи по умолчанию (Administrator, Guest, Domain Users, Domain Admins, Domain Guests) могут быть вновь созданы командой net sam provision. Чтобы запустить эту команду должны быть запущены ldap-сервер и Winbindd, а так же ldap вариант файла smb.conf должен быть настроен соответствующим образом. Типовая установка ldap использует параметр 'ldapsam:trusted = yes' с параметром 'ldapsam:editposix = yes'.
+
+Значение по умолчанию:
+ldapsam:editposix = no
+
+Пример конфигурации:
+encrypt passwords = true
+passdb backend = ldapsam
+ldapsam:trusted=yes
+ldapsam:editposix=yes
+ldap admin dn = cn=admin,dc=samba,dc=org
+ldap delete dn = yes
+ldap group suffix = ou=groups
+ldap idmap suffix = ou=idmap
+ldap machine suffix = ou=computers
+ldap user suffix = ou=users
+ldap suffix = dc=samba,dc=org
+idmap backend = ldap:"ldap://localhost"
+idmap uid = 5000-50000
+idmap gid = 5000-50000
+
+
+Эта конфигурация LDAP-сервера предполагает структуру каталогов, подобную описанной в следующем ldif:
+dn: dc=samba,dc=org
+objectClass: top
+objectClass: dcObject
+objectClass: organization
+o: samba.org
+dc: samba
+dn: cn=admin,dc=samba,dc=org
+objectClass: simpleSecurityObject
+objectClass: organizationalRole
+cn: admin
+description: LDAP administrator
+userPassword: secret
+dn: ou=users,dc=samba,dc=org
+objectClass: top
+objectClass: organizationalUnit
+ou: users
+dn: ou=groups,dc=samba,dc=org
+objectClass: top
+objectClass: organizationalUnit
+ou: groups
+dn: ou=idmap,dc=samba,dc=org
+objectClass: top
+objectClass: organizationalUnit
+ou: idmap
+dn: ou=computers,dc=samba,dc=org
+objectClass: top
+objectClass: organizationalUnit
+ou: computers</string>
+ <string id="POL_F7979912_0010_5656_BC3A_08876A56418C">ldapsam:trusted</string>
+ <string id="POL_F7979912_0010_5656_BC3A_08876A56418C_Help">По умолчанию Samba, действующая как контроллер домена Active Directory с LDAP бэкэндом, должна использовать NSS подсистему в стиле UNIX для доступа к информации о пользователях и группах. Из-за того, что Unix хранит информацию в файлах /etc/passwd и /etc/group это неэффективно. Пользователю обычно важно знать список групп, членом которых он является. UNIX имеет оптимизированные функции для определения принадлежности пользователя группе (файл /etc/group). К сожалению, другие функции, которые используются для работы с атрибутами пользователей и групп, не имеют такой оптимизации.
+
+Чтобы Samba хорошо масштабировалась в больших средах, параметр 'ldapsam:trusted = yes' предполагает, что полная база данных пользователей и групп, имеющих отношение к Samba, хранится в LDAP со стандартными атрибутами posixAccount/posixGroup. Кроме того, предполагается, что классы вспомогательных объектов Samba хранятся вместе с данными POSIX в одном объекте LDAP. Если эти предположения соблюдены, можно активировать 'ldapsam:trusted = yes', и Samba может обойти систему NSS для запроса членства в группах пользователей. Samba будет работать быстрее с LDAP, чем с локальными файлами /etc/passwd и /etc/group. Оптимизированные запросы LDAP значительно ускоря��т вход в домен и административные задачи. В зависимости от размера базы данных LDAP легко достигается коэффициент 100 или более для общих запросов.
+
+Значение по умолчанию:
+ldapsam:trusted = no
+</string>
+ <string id="POL_04D79AF3_042D_5ABC_BE8F_4C6628E0F703">ldap server require strong auth</string>
+ <string id="POL_04D79AF3_042D_5ABC_BE8F_4C6628E0F703_Help">Опция определяет, требует ли сервер LDAP подписанный или подписанный и зашифрованный (запечатанный) трафик ldap. Возможные значения: no, allow_sasl_over_tls и yes.
+
+Значение no позволяет выполнять простые и sasl-привязки для всех транспортов.
+
+Значение allow_sasl_over_tls разрешает простые и sasl-привязки (без подписи и печати) через зашифрованные TLS-соединения. Незашифрованные соединения допускают привязку sasl только подписанные или запечатанные.
+
+Значение yes разрешает только простые привязки через зашифрованные TLS-соединения. Незашифрованные соединения допускают привязку sasl только со знаком или печатью.
+
+Значение по умолчанию:
+yes</string>
+ <string id="POL_5B8B9520_4858_5C2F_AA85_F972FF86784A">ldap ssl</string>
+ <string id="POL_5B8B9520_4858_5C2F_AA85_F972FF86784A_Help">Этот параметр определяет, использует ли Samba SSL при подключении к LDAP серверу. Этот параметр не связан с параметром --with-ssl команды configure. По возможности, соединения LDAP должны быть защищены. Это можно сделать, либо установив для этого параметра значение start tls, либо указав ldaps:// в аргументе URL-адреса 'passdb backend'.
+
+Параметр может быть установлен в одно из следующих значений:
+
+ * off — не использовать SSL при запросах к каталогу.
+ * start tls — Использовать LDAPv3 StartTLS расширенные операции (RFC2830) при подключении к серверу каталога.
+
+Обратите внимание, что этот параметр влияет только на методы rpc. Чтобы включить расширенную операцию LDAPv3 StartTLS (RFC2830) для ads, установите 'ldap ssl = start tls' и 'ldap ssl ads = yes'. См. smb.conf(5) для получения дополнительной информации о 'ldap ssl ads'.
+
+Значение по умолчанию:
+start_tls
+</string>
+ <string id="POL_42494B88_7254_5F5F_B738_D5D10BCFBC6C">ldap ssl ads</string>
+ <string id="POL_42494B88_7254_5F5F_B738_D5D10BCFBC6C_Help">Этот параметр используется для определения, следует ли Samba использовать SSL при подключении к серверу LDAP с использованием методов ads. Этот параметр не влияет на методы RPC. Обратите внимание, что этот параметр не будет иметь никакого эффекта, если установлен в no.
+
+См. smb.conf(5) для получения дополнительной информации.</string>
+ <string id="POL_9B071174_FBD3_5CA8_82AA_3BD1EB7BCF45">ldap suffix</string>
+ <string id="POL_9B071174_FBD3_5CA8_82AA_3BD1EB7BCF45_Help">Определяет базу для всех суффиксов LDAP и для хранения объекта sambaDomain. Этот параметр добавляется к значениям определенным в параметрах 'ldap user suffix', 'ldap group suffix', 'ldap machine suffix', и 'ldap idmap suffix'. Каждый из них должен быть представлен как DN к 'ldap suffix'.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+dc=samba,dc=org
+</string>
+ <string id="POL_40F4D046_B9E1_53B0_9DC9_1AE4DE9B1976">ldap timeout</string>
+ <string id="POL_40F4D046_B9E1_53B0_9DC9_1AE4DE9B1976_Help">Этот параметр определяет количество секунд, которые Samba ожидает для выполнения LDAP операций.
+
+Значение по умолчанию:
+15</string>
+ <string id="POL_26984E46_7C64_57A4_B4BF_C2C2B13C330E">ldap user suffix</string>
+ <string id="POL_26984E46_7C64_57A4_B4BF_C2C2B13C330E_Help">Параметр определяет, как пользователи будут добавлены в дерево LDAP. Если параметр не установлен, будет использоваться значение 'ldap suffix'. Строка суффикса будет предшествовать строке 'ldap suffix', так что используйте частичный DN.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+ou=people</string>
+ <string id="POL_AB95F2C5_BFBC_5955_8062_8B446AF7E84C">ldap max anonymous request size</string>
+ <string id="POL_AB95F2C5_BFBC_5955_8062_8B446AF7E84C_Help">Этот параметр указывает максимально допустимый размер (в байтах) для запроса LDAP, полученного по анонимному соединению.
+
+Если размер запроса превышает этот предел, запрос будет отклонен.
+
+Значение по умолчанию:
+256000
+
+Пример:
+500000</string>
+ <string id="POL_23FFECD5_A3C4_566C_AEB3_015F25B1A978">ldap max authenticated request size</string>
+ <string id="POL_23FFECD5_A3C4_566C_AEB3_015F25B1A978_Help">Этот параметр указывает максимально допустимый размер (в байтах) для запроса LDAP, полученного при аутентифицированном соединении.
+
+Если размер запроса превышает этот предел, запрос будет отклонен.
+
+Значение по умолчанию:
+16777216
+
+Пример:
+4194304</string>
+ <string id="POL_F7C651B1_70B4_5047_BC65_2E4D382CBD15">ldap max search request size</string>
+ <string id="POL_F7C651B1_70B4_5047_BC65_2E4D382CBD15_Help">Этот параметр указывает максимально допустимый размер (в байтах) для поискового запроса LDAP.
+
+Если размер запроса превышает этот предел, запрос будет отклонен.
+
+Значение по умолчанию:
+256000
+
+Пример:
+4194304</string>
+ <string id="POL_B3B2B9CC_3DBC_5C45_AA31_7C1E52AFEFAF">lock spin time</string>
+ <string id="POL_B3B2B9CC_3DBC_5C45_AA31_7C1E52AFEFAF_Help">Время в микросекундах, которое smbd следует ожидать для того, чтобы оценить может ли быть удовлетворен запрос на блокировку. Этот параметр изменился в Samba 3.0.23 с 10 до 200. Ассоциированный параметр 'lock spin count' начиная с Samba 3.0.24 больше не используется. Не следует изменять значение этого параметра.
+
+Значение по умолчанию:
+200</string>
+ <string id="POL_4A0366F2_6815_5654_8DC2_F68E840E53F4">oplock break wait time</string>
+ <string id="POL_4A0366F2_6815_5654_8DC2_F68E840E53F4_Help">Это параметр тонкой настройки добавлен из-за ошибок в Windows 9x и WinNT. Если Samba отвечает клиенту слишком быстро, в момент, когда клиент отправляет SMB запрос, который может повлечь за собой запрос прерывания блокировки, то сетевой клиент может выйти из строя и не ответить на запрос прерывания (break request). Этот параметр тонкой настройки (в миллисекундах) — количество времени, которое будет ждать Samba, прежде чем послать запрос прерывания таким (дефектным) клиентам.
+
+Предупреждение
+НЕ МЕНЯЙТЕ ДАННЫЙ ПАРАМЕТР, ЕСЛИ ВЫ НЕ ПРОЧИТАЛИ И НЕ ПОНЯЛИ КОД SAMBA OPLOCK.
+
+Значение по умолчанию:
+0</string>
+ <string id="POL_B49FAE41_B4C1_5AFA_870E_9E1C35F9A96F">smb2 leases</string>
+ <string id="POL_B49FAE41_B4C1_5AFA_870E_9E1C35F9A96F_Help">Этот логический параметр сообщает smbd, следует ли глобально согласовывать аренду SMB2 для запросов на открытие файлов. Аренда — это функция только для SMB2, которая позволяет клиентам агрессивно кэшировать файлы локально сверх кэширования, разрешенного блокировками SMB1.
+
+Доступны только значения yes и no.
+
+Обратите внимание, что кэш записи не будет использоваться для дескрипторов файлов с арендой smb2 для записи.
+
+Значение по умолчанию:
+smb2 leases = yes</string>
+ <string id="POL_1E9B5BE6_8C81_5141_88CD_B5AC0E8D964B">debug class</string>
+ <string id="POL_1E9B5BE6_8C81_5141_88CD_B5AC0E8D964B_Help">Если этот логический параметр включен, класс отладки (DBGC_CLASS) будет отображаться в заголовке отладки.
+
+Дополнительные сведения о доступных в настоящее время классах отладки см. в описании параметра 'log level'.
+
+Значение по умолчанию:
+debug class = no</string>
+ <string id="POL_07D2E039_C5A0_5123_BD71_0C74E2569310">debug hires timestamp</string>
+ <string id="POL_07D2E039_C5A0_5123_BD71_0C74E2569310_Help">Иногда метки времени в сообщениях журнала необходимы с разрешением выше, чем секунды, этот логический параметр добавляет разрешение в микросекундах к заголовку сообщения метки времени при включении.
+
+Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes').
+
+Значение по умолчанию:
+debug hires timestamp = yes</string>
+ <string id="POL_E066DF4A_5BA1_5B35_A96F_90DE6CF27132">debug pid</string>
+ <string id="POL_E066DF4A_5BA1_5B35_A96F_90DE6CF27132_Help">При использовании только одного файла журнала для более чем одного разветвленного smbd(8)-процесса может быть трудно проследить, какой процесс, какое сообщение выводит. Этот логический параметр добавляет идентификатор процесса к заголовкам сообщений с отметкой времени в файле журнала при включении.
+
+Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes').
+
+Значение по умолчанию:
+debug pid = no</string>
+ <string id="POL_4B4EF8B5_3526_5583_8174_E3E332727970">debug prefix timestamp</string>
+ <string id="POL_4B4EF8B5_3526_5583_8174_E3E332727970_Help">Если этот параметр включен, заголовок сообщения с меткой времени ставится перед сообщением отладки без имени файла и информации о функциях, которые включены в параметр. Это дает временные метки сообщениям без добавления дополнительной строки.
+
+Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes').
+
+Значение по умолчанию:
+debug prefix timestamp = no</string>
+ <string id="POL_571A8B87_3CCC_5725_BA33_BDEE367BB740">debug uid</string>
+ <string id="POL_571A8B87_3CCC_5725_BA33_BDEE367BB740_Help">Samba иногда запускается от имени пользователя root, а иногда от имени подключенного пользователя, этот логический параметр, если он включен, вставляет текущий euid, egid, uid и gid в заголовки сообщений с отметками времени в файлы журнала.
+
+Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes').
+
+Значение по умолчанию:
+debug uid = no</string>
+ <string id="POL_2167CEE9_B2C9_5574_8F7D_F38DA9EBBFF1">ldap debug level</string>
+ <string id="POL_2167CEE9_B2C9_5574_8F7D_F38DA9EBBFF1_Help">Этот параметр управляет уровнем отладки вызовов библиотеки LDAP. В случае OpenLDAP это то же битовое поле, которое понимается сервером и задокументировано на странице руководства slapd.conf(5). Типичное полезное значение будет 1 для отслеживания вызовов функций. Выходные данные отладки из библиотек LDAP отображаются с префиксом [LDAP] в выходных данных журнала Samba. Уровень, на котором печатается журнал LDAP, контролируется параметром 'ldap debug threshold'.
+
+Значение по умолчанию:
+0
+
+Пример:
+1</string>
+ <string id="POL_F324946B_9B0D_53F0_AD4F_56800DD63085">ldap debug threshold</string>
+ <string id="POL_F324946B_9B0D_53F0_AD4F_56800DD63085_Help">Этот параметр управляет уровнем отладки Samba, на котором выходные данные отладки библиотеки LDAP печатаются в журналах Samba. См. подробности в описании опции 'ldap debug level'.
+
+Значение по умолчанию:
+10
+
+Пример:
+5</string>
+ <string id="POL_3A601C55_A5EB_5E86_817B_38DACFD45CF9">log file</string>
+ <string id="POL_3A601C55_A5EB_5E86_817B_38DACFD45CF9_Help">Эта опция позволяет переопределить имя файла журнала Samba (также известный как файл отладки).
+
+Эта опция принимает стандартные подстановки, позволяя иметь отдельные файлы журнала для каждого пользователя или машины.
+
+Значения по умолчанию нет.
+
+Пример:
+/usr/local/samba/var/log.%m</string>
+ <string id="POL_A3E0303F_93B5_5C1F_8C01_362881F843CC">logging</string>
+ <string id="POL_A3E0303F_93B5_5C1F_8C01_362881F843CC_Help">Этот параметр позволяет конфигурировать логирование серверной части. Одновременно можно указывать несколько бэкендов с разным уровнем логирования. Параметр представляет собой список бэкендов, где для каждого бэкенда заданы специфичные опции [:option][@loglevel].
+
+Параметр 'option' может использоваться для передачи опций, специфичных для каждой серверной части.
+
+Уровень логирования для бэкенда является опциональным. Если уровень логирования не установлен, то логироваться будут все сообщения.
+Параметр 'log level' определяет общий уровень логирования, в то время как, указанные здесь уровни логирования определяют, что конкретно будет отправлено на каждый бэкенд.
+Когда опция установлена, она имеет приоритет над параметрами 'syslog' и 'syslog only'.
+
+Некоторые бэкенды доступны только тогда, когда Samba скомпилирована с дополнительными библиотеками. Общий список бэкэндов для логирования:
+ * syslog
+ * file
+ * systemd
+ * lttng
+ * gpfs
+ * ringbuf
+
+Бэкэнд ringbuf поддерживает необязательный аргумент size (размер) для изменения размера используемого буфера, значение по умолчанию — 1 МБ:
+ ringbuf:size=NBYTES
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+syslog@1 file</string>
+ <string id="POL_E077BD91_3587_5DBA_A7CB_13044D97E451">log level</string>
+ <string id="POL_E077BD91_3587_5DBA_A7CB_13044D97E451_Help">Значение параметра (строка) позволяет указать уровень отладки (уровень ведения журнала) в файле smb.conf.
+
+Этот параметр был расширен, начиная с серии 2.2.x, теперь он позволяет указывать уровень отладки для нескольких классов отладки и отдельных файлов журнала для классов отладки. Это сделано для большей гибкости конфигурации системы. В настоящее время реализованы следующие классы отладки:
+
+ all
+ tdb
+ printdrivers
+ lanman
+ smb
+ smb2
+ smb2_credits
+ rpc_parse
+ rpc_srv
+ rpc_cli
+ passdb
+ sam
+ auth
+ winbind
+ vfs
+ idmap
+ quota
+ acls
+ locking
+ msdfs
+ dmapi
+ registry
+ scavenger
+ dns
+ ldb
+ tevent
+ auth_audit
+ auth_json_audit
+ kerberos
+ dsdb_audit
+ dsdb_json_audit
+ dsdb_password_audit
+ dsdb_password_json_audit
+ dsdb_transaction_audit
+ dsdb_transaction_json_audit
+
+Чтобы перенаправить ведение журнала для определенных классов в другой файл, можно добавить @PATH к классу, например, log level = 1 full_audit: 1@/var/log/audit.log.
+
+Информация аудита аутентификации и авторизации регистрируется в auth_audit, и если Samba не была скомпилирована с --without-json, представление JSON регистрируется в auth_json_audit.
+
+Поддержка является всеобъемлющей для любой аутентификации и авторизации учетных записей пользователей в Samba Active Directory Domain Controller, а также неявной аутентификации при смене пароля. В файловом сервере предусмотрена проверка подлинности NTLM, авторизация SMB и RPC.
+
+Уровни журнала для auth_audit и auth_audit_json:
+ * 2: Authentication Failure (Ошибки Аутентификации)
+ * 3: Authentication Success (Успешная Аутентификация)
+ * 4: Authorization Success (Успешная Авторизация)
+ * 5: Anonymous Authentication and Authorization Success (Анонимная Аутентификация и Успешная Авторизация)
+
+Изменения в базе данных sam.ldb регистрируются в dsdb_audit, а представление JSON регистрируется в dsdb_json_audit.
+
+Изменения пароля и сброс пароля регистрируются в dsdb_password_audit, а представление JSON регистрируется в файле dsdb_password_json_audit.
+
+Откаты транзакций и сбои при подготовке фиксации регистрируются в dsdb_transaction_audit, а представление JSON регистрируется в файле password_json_audit. Регистрация сведений о транзакции позволяет идентифицировать операции с паролями и sam.ldb, для которых был выполнен откат.
+
+Значение по умолчанию:
+0
+
+Пример:
+3 passdb:5 auth:10 winbind:2
+
+Пример:
+1 full_audit:1@/var/log/audit.log winbind:2</string>
+ <string id="POL_7E7EB779_098F_5383_A0B3_66216F434918">max log size</string>
+ <string id="POL_7E7EB779_098F_5383_A0B3_66216F434918_Help">Эта опция (целое число в килобайтах) указывает максимальный размер файла журнала. Samba периодически проверяет размер и, если размер превысит указанный, то переименовывает файл, добавляя расширение .old.
+
+Значение 0 означает отсутствие ограничений.
+
+Значение по умолчанию:
+5000
+
+Пример:
+1000</string>
+ <string id="POL_57C1D731_63A4_519D_BD0B_05683B94BFDB">syslog</string>
+ <string id="POL_57C1D731_63A4_519D_BD0B_05683B94BFDB_Help">Этот параметр указывает уровень отладки журналов событий, которые будут записываться в системный syslog.
+
+Соответствие значения параметра и событий, который попадают в системный syslog:
+
+0 — LOG_ERR,
+1 — LOG_WARNING,
+2 — LOG_NOTICE,
+3 — LOG_INFO.
+Все значения выше соответствуют LOG_DEBUG.
+
+Этот параметр выступает в роли ограничителя для сообщений, которые будут попадать в системный syslog. Только сообщения с уровнем отладки ниже, чем значение этого параметра будут записываться в syslog. Тем не менее, некоторые отладочные файлы все же будут создаваться, это касается файлов log.[sn]mbd.
+
+Значение по умолчанию:
+syslog = 1</string>
+ <string id="POL_07C28AF5_BA9B_5B55_A018_28B10E803B26">syslog only</string>
+ <string id="POL_07C28AF5_BA9B_5B55_A018_28B10E803B26_Help">Если этот параметр включен (syslog only = yes), то отладочные сообщения Samba будут записываться в системный syslog, но не в отладочные файлы Samba. Но даже при такой установке, некоторые отладочные файлы все же будут создаваться, это касается файлов log.[sn]mbd.
+
+Значение по умолчанию:
+syslog only = no</string>
+ <string id="POL_C2541812_F829_51FC_93D7_75BA34C1F487">timestamp logs</string>
+ <string id="POL_C2541812_F829_51FC_93D7_75BA34C1F487_Help">Сообщения журнала отладки Samba по умолчанию имеют отметку времени. Если вы работаете на высоком уровне, эти временные метки могут отвлекать. Этот логический параметр позволяет отключить отметку времени.
+
+Значение по умолчанию:
+timestamp logs = yes</string>
+ <string id="POL_3B7BF4ED_04E2_5466_9368_8610A5657F8F">abort shutdown script</string>
+ <string id="POL_3B7BF4ED_04E2_5466_9368_8610A5657F8F_Help">В этом параметре определяется полный путь к сценарию, вызываемому демоном smbd(8), запускающему процедуру выключения сервера.
+
+Если подключенный пользователь обладает правами SeRemoteShutdownPrivilege, то эта команда будет им запущена с правами пользователя root.
+
+Значение по умолчанию:
+""
+
+Пример:
+/sbin/shutdown -c</string>
+ <string id="POL_7EEBACBA_ED90_5C68_826F_737212B364EF">add group script</string>
+ <string id="POL_7EEBACBA_ED90_5C68_826F_737212B364EF_Help">В этом параметре определяется полный путь к сценарию, который будет запускать smbd(8) от имени пользователя root, при запросе создания новой группы. Аргумент %g будет заменен преданным именем группы. Этот скрипт полезен только для установки с использованием инструментов администрирования домена Windows NT. Скрипт может создать группу с произвольным именем, чтобы обойти Unix ограничения на имена групп. В этом случае скрипт должен вывести числовой идентификатор созданной группы на стандартный вывод (stdout).
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/sbin/groupadd %g</string>
+ <string id="POL_96F9DA59_163C_56B8_9F66_40CAAD868F91">add machine script</string>
+ <string id="POL_96F9DA59_163C_56B8_9F66_40CAAD868F91_Help">В этом параметре определяется путь к сценарию, запускаемому smbd(8) при добавлении учетной записи компьютера в домен Samba. Учетная запись Unix, соответствующая имени компьютера с добавленным в конец знаком «$» не должна существовать.
+
+Этот параметр очень похож на сценарий по добавлению пользователя (параметр 'add user script'), и аналогично использует замену аргумента %u именем учетной записи. Не используйте аргумент %m.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/sbin/adduser -n -g machines -c Machine -d /var/lib/nobody -s /bin/false %u
+</string>
+ <string id="POL_4AEC4EDA_3303_57E2_BC12_784F40DACA8F">add user script</string>
+ <string id="POL_4AEC4EDA_3303_57E2_BC12_784F40DACA8F_Help">В этом параметре определяется путь к сценарию, который будет выполнен демоном smbd(8) от имени пользователя root при специальных обстоятельствах, описанных ниже.
+
+Обычно, сервер Samba требует, чтобы пользователи UNIX были созданы для всех пользователей, обращающихся к файлам на этом сервере. Для сайтов, которые используют базы данных учетных записей Windows NT в качестве своей основной базы данных пользователей, создание этих пользователей и поддержание синхронизации списка пользователей с Windows NT PDC является тяжелой задачей. Этот параметр позволяет smbd создавать требуемых пользователей UNIX ПО ТРЕБОВАНИЮ, когда пользователь обращается к серверу Samba.
+
+Когда пользователь Windows при входе в систему (установка сессии в SMB протоколе) пытается обратиться к серверу Samba, smbd(8) соединяется с сервером паролей и пытается подтвердить подлинность данного пользователя с данным паролем. Если аутентификация прошла успешно, smbd пытается найти пользователя UNIX в базе данных паролей UNIX, чтобы сопоставить его пользователю Windows. Если происходит сбой поиска, и параметр 'add user script' установлен, тогда smbd вызовет указанный сценарий от имени пользователя root, преобразуя аргумент %u в имя пользователя, которого нужно создать. Если этот сценарий успешно создаст пользователя, тогда smbd продолжит работу, как если бы пользователь UNIX уже существовал. Таким образом, пользователи UNIX создаются динамически, чтобы соответствовать существующим учетным записям Windows NT.
+
+См. также параметры 'security', 'password server', 'delete user script'.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/local/samba/bin/add_user %u</string>
+ <string id="POL_5268249C_58BD_59DA_B44F_DA9109370C58">add user to group script</string>
+ <string id="POL_5268249C_58BD_59DA_B44F_DA9109370C58_Help">В этом параметре определяется полный путь к сценарию, который будет вызываться, когда пользователь добавляется к группе при помощи административных средств домена Windows NT. Скрипт будет выполнен демоном smbd(8) от имени пользователя root. Аргумент %g будет заменен именем группы, а аргумент %u — именем пользователя.
+
+Обратите внимание, что команда adduser, используемая в примере ниже, не поддерживает используемый синтаксис на всех системах.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/sbin/adduser %u %g</string>
+ <string id="POL_89206841_7524_5BFF_872C_444F45C82318">allow nt4 crypto</string>
+ <string id="POL_89206841_7524_5BFF_872C_444F45C82318_Help">Эта опция определяет, будет ли netlogon server (в настоящее время только в режиме «контроллер домена AD») отклонять клиентов, которые не поддерживают NETLOGON_NEG_STRONG_KEYS или NETLOGON_NEG_SUPPORTS_AES.
+
+Эта опция была добавлена в Samba 4.2.0. Эта опция может заблокировать клиентов, которые успешно работали с версиями Samba ниже 4.1.x., т.к. по умолчанию в старых версиях этот параметр был установлен ('allow nt4 crypto = yes'), а в новых по умолчанию не установлен ('allow nt4 crypto = no').
+
+Если в сети есть клиенты без RequireStrongKey = 1 в реестре, то может потребоваться установить параметр 'allow nt4 crypto', пока не будут исправлены все клиенты.
+
+Значение 'allow nt4 crypto = yes' позволяет договариваться о слабой криптографии, возможно, через понижении уровня атаки.
+
+Опция 'reject md5 clients' имеет приоритет перед этой опцией.
+
+Значение по умолчанию:
+allow nt4 crypto = no</string>
+ <string id="POL_9A41AF51_88E9_5566_B12E_36DEA5C42D49">auth event notification</string>
+ <string id="POL_9A41AF51_88E9_5566_B12E_36DEA5C42D49_Help">Если этот параметр включен (auth event notification = yes), Samba (действующая как контроллер домена Active Directory) передает события аутентификации по внутренней шине сообщений. Скрипты, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы auth_event.
+
+Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов). Кроме того, Samba должна быть скомпилирована с поддержкой jansson, чтобы эта опция была эффективной.
+
+События аутентификации также регистрируются с помощью обычных методов ведения журнала, если установлен параметр 'log level'.
+
+Значение по умолчанию:
+auth event notification = no</string>
+ <string id="POL_1CAC5DAB_3CB5_586A_AB6F_84E39DDF4796">delete group script</string>
+ <string id="POL_1CAC5DAB_3CB5_586A_AB6F_84E39DDF4796_Help">В этом параметре указан полный путь к сценарию, выполняющемуся от имени пользователя root при удалении пользовательской группы. Этот сценарий полезен для инсталляций, использующих Windows NT domain administration tools.
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_789E0632_E8D7_5FD6_86C6_0EBD079D28C4">delete user from group script</string>
+ <string id="POL_789E0632_E8D7_5FD6_86C6_0EBD079D28C4_Help">В этом параметре указан полный путь к сценарию, который будут вызываться утилитой Windows NT domain administration tools при удалении пользователя из группы. smbd(8) выполнит этот сценарий от имени пользователя root. ргумент %g будет заменен именем группы, а аргумент %u — именем пользователя.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/sbin/deluser %u %g</string>
+ <string id="POL_A399CF3E_C0C6_594B_8F31_F2AA4A18B5AC">delete user script</string>
+ <string id="POL_A399CF3E_C0C6_594B_8F31_F2AA4A18B5AC_Help">В этом параметре указан полный путь к сценарию, выполняемому smbd(8) при управлении пользователями с помощью удаленных RPC (NT) утилит. Этот сценарий вызывается при удалении пользователя с сервера утилитами 'User Manager for Domains' или rpcclient. Этот сценарий должен удалить имя пользователя UNIX.
+
+По умолчанию:
+пустая строка
+
+Пример:
+/usr/local/samba/bin/del_user %u
+ </string>
+ <string id="POL_B35B056A_EEB8_5B89_9FCC_127565F4A6AC">domain logons</string>
+ <string id="POL_B35B056A_EEB8_5B89_9FCC_127565F4A6AC_Help">Этот параметр устарел, начиная с Samba 4.13, и поддержка входа в домен в стиле NT4 (в отличие от Samba AD DC) будет удалена в следующем выпуске Samba.
+
+То есть в будущем значение по умолчанию для 'domain logons' = no будет принудительным поведением.
+
+Если этот параметр установлен, Samba поддерживает службу входа в сеть для Windows 9X для рабочей группы. Это также заставит Samba действовать как контроллер домена NT4. Более подробно см. раздел «Domain Control» руководства Samba-HOWTO.
+
+Значение по умолчанию:
+domain logons = no</string>
+ <string id="POL_3B3E3AD6_FB80_5225_8EDA_6066E5987CE1">enable privileges</string>
+ <string id="POL_3B3E3AD6_FB80_5225_8EDA_6066E5987CE1_Help">Этот параметр управляет, действительно ли smbd будет соблюдать привилегии, назначенные на определенный SIDs утилитой net rpc rights или через одну из утилит Windows user and group manager. Этот параметр включен по умолчанию. Необходимо отключить параметр, чтобы запретить членам группы Domain Admins назначать привилегии пользователям или группам, что может привести к некоторым smbd операциям, выполняющимся от имени пользователя root, которые обычно работали бы под контекстом связанным с подключенным пользователем.
+
+Примером того, как можно использовать привилегии, является назначение права добавлять клиентов к домену Samba, не имея root доступа к серверу через smbd.
+
+Пожалуйста, прочитайте расширенное описание в руководстве Samba-HOWTO.
+
+Значение по умолчанию:
+enable privileges = yes</string>
+ <string id="POL_130E1C0E_9AED_52F5_B1AB_20FD88C999E8">init logon delay</string>
+ <string id="POL_130E1C0E_9AED_52F5_B1AB_20FD88C999E8_Help">Этот параметр определяет задержку в миллисекундах, для хостов, сконфигурированных с параметром 'init logon delayed hosts' для initial samlogon.
+
+Значение по умолчанию:
+100</string>
+ <string id="POL_EEBDC4C9_64BA_58DF_B7A3_C384D6972690">init logon delayed hosts</string>
+ <string id="POL_EEBDC4C9_64BA_58DF_B7A3_C384D6972690_Help">Этот параметр принимает список имен хостов, адресов или сетей, для которых должен быть отложен начальный ответ на samlogon (поэтому рабочие станции XP предпочитают другие контроллеры домена, если таковые имеются).
+
+Продолжительность задержки может быть указана с помощью параметра 'init logon delay'.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+150.203.5. myhost.mynet.de</string>
+ <string id="POL_2FCE2207_11A6_5B55_9ECC_49D171438176">logon drive</string>
+ <string id="POL_2FCE2207_11A6_5B55_9ECC_49D171438176_Help">Параметр указывает путь присоединения домашнего каталога (см. параметр 'logon home') и используется только рабочими станциями Windows NT. Этот параметр имеет смысл только в том случае, если Samba настроена как сервер авторизации (logon server).
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+h:</string>
+ <string id="POL_12DCA5BB_14ED_5BC6_AB9D_E6A57E943B24">logon home</string>
+ <string id="POL_12DCA5BB_14ED_5BC6_AB9D_E6A57E943B24_Help">Параметр указывает домашний каталог при авторизации клиента Windows95/98/NT, что, например, позволит выполнить команду:
+
+C:\>NET USE H: /HOME
+
+Эта опция позволяет использовать отдельный сценарий запуска для различных пользователей компьютера. Параметр может быть использован с рабочими станциями Win9X для того, чтобы профиль пользователя хранился в домашнем каталоге пользователя независимо от того, за каким компьютером работает пользователь. Это делается следующим способом:
+
+logon home = \\%N\%U\profile
+
+Этот параметр для Samba означает, что нужно вернуть вышеописанную строку с изменениями когда клиент запрашивает информацию, преимущественно при запросе NetUserGetInfo. Клиенты Win9X перенаправляются в каталог \servershare, в том случае когда указано net use /home, тем не менее, использует полную строку, когда оперирует профилями.
+
+Обратите внимание на то, что в предыдущих версиях Samba возвращался 'logon path' вместо 'logon home'. Это не позволяло выполнить net use /home, но разрешало профили вне домашнего каталога. В текущей версии все нормально и вышеприведенные примеры работоспособны.
+
+Запретить использование этой опции можно, указав: 'logon home = ""' (пустая строка).
+
+Этот параметр имеет смысл только в том случае, если Samba настроена как сервер авторизации (logon server).
+
+Значение по умолчанию:
+\\%N\%U\
+
+Пример:
+\\remote_smb_server\%U
+</string>
+ <string id="POL_6C04D9F3_27E3_51A9_82B5_BEB5265E1236">logon path</string>
+ <string id="POL_6C04D9F3_27E3_51A9_82B5_BEB5265E1236_Help">Параметр указывает каталог, где будут храниться пользовательские профили (Рабочий стол, NTuser.dat и т.д.). В отличие от предыдущих версий этих справочных страниц, этот параметр никак не связан с перемещаемыми профилями Win 9X. Чтобы узнать, как обрабатывать перемещаемые профили для системы Win 9X, см. параметр logon home.
+
+Эта опция принимает подставновочные символы, что позволяет использовать отдельный сценарий запуска для различных пользователей компьютера. Она также указывает каталог, в котором хранятся «Application Data», рабочий стол, меню пуск, сетевое окружение, программы и другие папки вместе с их содержимым, отображаемым в клиентах WindowsNT.
+
+Каталог, открытый для доступа («шара») и путь должны быть доступны пользователю для чтения. Этот каталог должен быть доступен для записи, когда пользователь заходит в систему впервые, для того чтобы клиенты WinNT могли создать NTuser.dat и другие каталоги. Впоследствии, права на каталоги вместе с их содержимым могут быть изменены на «только для чтения». Тем не менее, не рекомендуется делать файл NTuser.dat доступным только для чтения — переименуйте его в NTuser.man для достижения желаемого эффекта (принудительного профиля — MANdatory profile).
+
+Клиенты Windows иногда могут поддерживать подключение к домашним каталогам [homes], даже если пользователь не прошел авторизацию. Т.е. очень важно чтобы путь 'logon path' НЕ включал в себя путь к домашнему каталогу (т.е. установка значения параметра \\%N\homes\profile_path вызовет проблемы).
+
+Предупреждение:
+ Не заключайте значение этой переменной в кавычки. Установка, например, такого значения “\\%N\profile\%U” нарушит работу профилей. Если используется tdbsam или ldapsam passdb, то во время создания пользовательской учетной записи, значение, установленное для этого параметра, пишется в passdb и в smb.conf. Любые ошибки в passdb должны быть исправлены, с использованием соответствующего инструментария (например, консольный pdbedit).
+
+Эта опция имеет смысл только в том случае, когда Samba работает в режиме домен-контроллера.
+
+Запретить использование перемещаемых профилей можно с помощью установки параметра 'logon path = ""'. Обратите внимание на то, что даже если в конфигурационном файле smb.conf установлена пустая строка, любое значение, установленное в профиле пользователя в passbd переопределит значение этого параметра. Таким образом, полный запрет перемещаемых профилей требует, чтобы в свойствах пользовательского профиля было тоже пусто.
+
+Значение по умолчанию:
+\\%N\%U\profile
+
+Пример использования:
+\\PROFILESERVER\PROFILE\%U
+ </string>
+ <string id="POL_D354C217_6C18_5AD8_B0A2_DDC89463D0C6">logon script</string>
+ <string id="POL_D354C217_6C18_5AD8_B0A2_DDC89463D0C6_Help">Этот параметр указывает пакетный файл запуска (.bat) или файл сценария NT (.cmd), который будет скачан и выполнен на клиентском компьютере, когда пользователь войдет в систему. Файл должен содержать перевод строки в стиле DOS (CR/LF). Для написания таких файлов рекомендуется использовать редактор, поддерживающий переводы строк в стиле DOS.
+
+Файл сценария должен иметь отношение к сервису [netlogon]. Если [netlogon] указывает на 'path' /usr/local/samba/netlogon и имя 'logon script = STARTUP.BAT', тогда файл, который будет скачан должен лежать в /usr/local/samba/netlogon/STARTUP.BAT.
+
+Содержимое .bat файла полностью зависит от вас. Предлагается использовать команду 'NET TIME \SERVER /SET /YES' для синхронизации времени всех компьютеров с сервером времени.
+Еще можно посоветовать использовать 'NET USE U: \SERVERUTILS' для утилит общего пользования или, к примеру 'NET USE Q: \SERVERISO9001_QA'
+
+Обратите внимание на то, что в целях безопасности нужно запрещать запись в [netlogon] или снимать право записи с файла пакетного запуска, т.к. если этого не сделать, то в файл могут написать всё что угодно и безопасность всей системы будет под угрозой.
+
+Этот параметр позволяет иметь разные сценарии запуска для разных пользователей или компьютеров.
+
+Этот параметр полезен только в том случае, если Samba настроена как сервер авторизации (logon server) с ролью классического контроллера домена. Если Samba настроена как контроллер домена Active Directory, вместо этого используется атрибут LDAP scriptPath. Для конфигураций, в которых используется 'passdb backend = ldapsam', этот параметр определяет значение по умолчанию только в случае отсутствия атрибута LDAP sambaLogonScript.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+scripts\%U.bat</string>
+ <string id="POL_0AABECB8_5A60_50DA_973A_7EED1138DB0C">reject md5 clients</string>
+ <string id="POL_0AABECB8_5A60_50DA_973A_7EED1138DB0C_Help">Этот параметр определяет, будет ли сервер netlogon (в настоящее время только в режиме «контроллер домена AD»), отклонять клиентов, которые не поддерживают NETLOGON_NEG_SUPPORTS_AES.
+
+Можно установить этот параметр (reject md5 clientst = yes), если все члены домена поддерживают AES. Это предотвратит попытки перехода на более раннюю версию.
+
+Эта опция имеет приоритет перед опцией 'allow nt4 crypto'.
+
+Значение по умолчанию:
+reject md5 clientst = no</string>
+ <string id="POL_68A94D8F_DA35_5CEC_90E6_4FB245FF32D3">set primary group script</string>
+ <string id="POL_68A94D8F_DA35_5CEC_90E6_4FB245FF32D3_Help">Благодаря использованию системы Posix в WinNT, у пользователя есть основная группа в дополнение к вспомогательным группам. Это сценарий устанавливает основную группу в базе данных пользователей UNIX, когда администратор устанавливает первичную группу пользователя Windows, в диспетчере пользователей или при получении SAM с помощью 'net rpc vampire'. Аргумент %u будет заменен пользователем, первичную группу которого нужно будет установить. Аргумент %g будет заменен группой, которую нужно установить.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+set primary group script = /usr/sbin/usermod -g ‘%g’ ‘%u’</string>
+ <string id="POL_5CDF89E1_F318_5495_BEA0_DA44F0542D49">shutdown script</string>
+ <string id="POL_5CDF89E1_F318_5495_BEA0_DA44F0542D49_Help">Полный путь к сценарию, вызываемому smbd(8), который должен запустить процедуру завершения работы.
+
+Если подключенный пользователь обладает SeRemoteShutdownPrivilege, то эта команда будет выполнена от имени пользователя root.
+
+Переменные %z %t %r %f раскрываются следующим образом:
+
+ * %z — сообщение, которое будет послано серверу.
+ * %t — число секунд ожидания перед запуском процедуры завершения работы.
+ * %r — будет заменен ключом -r, который для NT означает перезагрузку после завершения работы.
+ * %f — будет заменен ключом -f, который для NT означает завершение работы, даже в том случае, если есть не отвечающие приложения.
+
+Процесс завершения работы «не отдает» консоль, поэтому нужно запустить его в фоновом режиме.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/local/samba/sbin/shutdown %m %t %r %f
+
+Пример сценария:
+#!/bin/bash
+
+$time=0
+let "time/60"
+let "time++"
+
+/sbin/shutdown $3 $4 +$time $1 &</string>
+ <string id="POL_3F1B0630_F3F0_5FDE_B66B_1A315CC059B3">add share command</string>
+ <string id="POL_3F1B0630_F3F0_5FDE_B66B_1A315CC059B3_Help">В Samba 2.2.0 добавлена возможность динамически добавлять и удалять общие ресурсы через Диспетчер серверов Windows NT 4.0. Параметр 'add share command' используется, чтобы определить внешнюю программу или сценарий, который добавит определения для нового общего ресурса в smb.conf.
+
+Для успешного выполнения команды добавления общего ресурса, smbd требует, чтобы администратор был подключен с правами root (uid == 0) или имел привилегии SeDiskOperatorPrivilege. Сценарии, определенные в параметре 'add share command', выполняются от имени пользователя root.
+
+После запуска, smbd автоматически вызовет команду, добавляющую общий ресурс с пятью параметрами:
+
+ * configFile — местоположение глобального файла smb.conf.
+
+ * shareName — имя нового общего ресурса.
+
+ * pathName — путь к существующему каталогу на диске.
+
+ * comment — комментарий, связанный с новым общим ресурсом.
+
+ * max connections — максимальное количество одновременных подключений к общему ресурсу.
+
+Этот параметр используется только при создании файлового общего ресурса. Для добавления общего ресурса принтеров см. параметр 'addprinter command'.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/local/bin/addshare</string>
+ <string id="POL_66A8EC32_6235_5E7C_A085_189166239268">afs token lifetime</string>
+ <string id="POL_66A8EC32_6235_5E7C_A085_189166239268_Help">Этот параметр контролирует время жизни токенов, заявленных AFS fake-kaserver. На самом деле они никогда не истекают, но это время жизни контролирует, когда клиент afs забудет токен.
+
+Установите для этого параметра значение 0, чтобы получить NEVERDATE.
+
+Значение по умолчанию:
+604800</string>
+ <string id="POL_78946CAB_73BD_507E_96D5_C643814290D0">afs username map</string>
+ <string id="POL_78946CAB_73BD_507E_96D5_C643814290D0_Help">Если вы используете особенность AFS fake-kaserver, можно вручную создать имена пользователей, для которых всоздаются токены (tokens). Например, это необходимо, если у вас есть пользователи из нескольких доменов в базе данных AFS Protection. Одна из возможных схем кодирования пользователей — это DOMAIN + User, это сделано в winbind со знаком «+» в качестве разделителя.
+
+Отображаемое имя пользователя должно содержать имя ячейки для входа, так как если не настроить этот параметр не создастся никакого маркера (token).
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+%u@afs.samba.org</string>
+ <string id="POL_DEF84B6C_B415_56EB_B3E7_1ED683BFEDE5">allow insecure wide links</string>
+ <string id="POL_DEF84B6C_B415_56EB_B3E7_1ED683BFEDE5_Help">При нормальной работе опция 'wide links', которая позволяет серверу следовать символическим ссылкам за пределами общего пути, автоматически отключается, если они включена опция 'unix extensions' на сервере Samba. Это сделано в целях безопасности, чтобы клиенты UNIX не создавали символические ссылки на области файловой системы сервера, которые администратор не желает экспортировать.
+
+Установка параметра 'allow insecure wide links' отключает связь между этими двумя параметрами, снимая эту защиту и позволяя сайту настраивать сервер для следования символическим ссылкам (путем установки опции 'wide links'), даже если включена опция 'unix extensions'.
+
+Не рекомендуется включать эту опцию, если вы полностью не понимаете последствия разрешения серверу следовать символическим ссылкам, созданным клиентами UNIX. Для большинства обычных конфигураций Samba это будет считаться дырой в безопасности, и установка этого параметра не рекомендуется.
+
+Эта опция была добавлена по просьбе сайтов, которые намеренно настроили Samba таким образом, и которым необходимо было продолжать поддерживать эту функциональность без необходимости исправлять код Samba.
+
+Значение по умолчанию:
+allow insecure wide links = no</string>
+ <string id="POL_8539DC0B_8971_5145_8173_C77681F13A94">allow unsafe cluster upgrade</string>
+ <string id="POL_8539DC0B_8971_5145_8173_C77681F13A94_Help">Если этот параметр не установлен ('allow unsafe cluster upgrade = no' по умолчанию), smbd проверяет при запуске, запущены ли в кластере другие версии smbd, и отказывается запускаться, если это так. Это сделано для защиты от повреждения данных во внутренних структурах из-за несовместимых версий Samba, работающих одновременно в одном кластере. Установка этого параметра ('allow unsafe cluster upgrade = yes') отключает эту проверку безопасности.
+
+Значение по умолчанию:
+allow unsafe cluster upgrade = no</string>
+ <string id="POL_A05EAA54_C6F4_567A_8DE6_7541F9B11046">async smb echo handler</string>
+ <string id="POL_A05EAA54_C6F4_567A_8DE6_7541F9B11046_Help">Этот параметр определяет должна ли Samba создавать отдельный процесс обработчика smb echo. Порождение этого обработчика может быть удобно, если операционная система выполняет длительные блокирующие вызовы. В некоторых случаях это увеличивает тайм-аут, который Windows использует для определения того, разорвано ли соединение. Этот параметр подходит только для SMB1. Для SMB2 и выше вместо этого можно использовать пакеты TCP keepalives.
+
+Значение по умолчанию:
+async smb echo handler = no</string>
+ <string id="POL_087EEAB6_7F83_50CF_A3D0_97B4C6F94F67">auto services</string>
+ <string id="POL_087EEAB6_7F83_50CF_A3D0_97B4C6F94F67_Help">Это список служб, которые необходимо автоматически добавлять в списки просмотра. Это наиболее полезно для дома и служб принтеров, которые в противном случае были бы невидимы.
+
+Обратите внимание: если нужно только, чтобы все принтеры из файла настройки принтеров были загружены, то проще использовать опцию 'load printers'.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+fred lp colorlp</string>
+ <string id="POL_5518624A_7DB9_51BA_A891_F00A40152354">cache directory</string>
+ <string id="POL_5518624A_7DB9_51BA_A891_F00A40152354_Help">Обычно большая часть файлов TDB хранится в 'lock directory'. Начиная с Samba 3.4.0, можно различать файлы TDB с постоянными данными и файлы TDB с непостоянными данными, используя параметры 'state directory' и 'cache directory'.
+
+Этот параметр указывает каталог для хранения файлов TDB, содержащих непостоянные данные, которые будут сохраняться при перезапусках службы. Каталог должен быть помещен в постоянное хранилище, но данные могут быть безопасно удалены администратором.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/var/run/samba/locks/cache</string>
+ <string id="POL_3E23F826_A699_511F_9370_F79DBB4977A9">change notify</string>
+ <string id="POL_3E23F826_A699_511F_9370_F79DBB4977A9_Help">Этот параметр определяет, должна ли Samba ответить запросом уведомления на изменение файла клиента. Никогда не изменяйте этот параметр.
+
+Значение по умолчанию:
+change notify = yes</string>
+ <string id="POL_3EF254FF_4CC2_58A5_9A1B_4E0655610DCA">change share command</string>
+ <string id="POL_3EF254FF_4CC2_58A5_9A1B_4E0655610DCA_Help">В Samba 2.2.0 была добавлена возможность динамически добавлять и удалять общие ресурсы через Windows NT 4.0 Server Manager. Опция 'change share command' используется, чтобы определить внешнюю программу или сценарий, который изменит существующие настройки сервиса в smb.conf.
+
+Чтобы успешно выполнять команду изменения общего ресурса, smbd требует, чтобы администратор был подключен с правами root (uid == 0) или имел SeDiskOperatorPrivilege. Скрипты, определённые в параметре 'change share command', выполняются от имени пользователя root.
+
+При выполнении smbd автоматически вызовет команду 'change share command' с шестью параметрами:
+
+ * configFile — местоположение глобального файла smb.conf.
+ * shareName — имя нового общего ресурса.
+ * pathName — путь к существующему каталогу на диске.
+ * comment — комментарий, связанный с новым общим ресурсом.
+ * max connections — максимальное количество одновременных подключений к общему ресурсу.
+ * CSC policy — политика кэширования на стороне клиента в строковой форме. Допустимые значения: manual, documents, programs, disable.
+
+Этот параметр используется только для изменения существующих определений файлового ресурса. Чтобы изменить общие принтеры, используйте папку «Принтеры…» («Printers…»), которую видно при просмотре хоста Samba.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/local/bin/changeshare</string>
+ <string id="POL_93ADB149_A45A_56A2_9462_0BE437084E47">cluster addresses</string>
+ <string id="POL_93ADB149_A45A_56A2_9462_0BE437084E47_Help">С помощью этого параметра можно добавить дополнительные адреса, которые nmbd зарегистрирует на WINS-сервере. Точно так же эти адреса будут зарегистрированы по умолчанию, когда 'net ads dns register' вызывается с установленным параметром 'clustering'.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+10.0.0.1 10.0.0.2 10.0.0.3</string>
+ <string id="POL_306A8E87_1400_5208_8ABF_B9802BFA685B">clustering</string>
+ <string id="POL_306A8E87_1400_5208_8ABF_B9802BFA685B_Help">Этот параметр указывает, должна ли Samba связываться с ctdb для доступа к своим tdb-файлам и использовать ctdb в качестве серверной части для своей системы обмена сообщениями.
+
+Установите этот параметр, только если у вас есть установка кластера с запущенным ctdb.
+
+Значение по умолчанию:
+clustering = no</string>
+ <string id="POL_2D29302D_8AD7_5BC3_B681_8C54D0A61E68">config file</string>
+ <string id="POL_2D29302D_8AD7_5BC3_B681_8C54D0A61E68_Help">Этот параметр позволяет переопределить используемый файл конфигурации вместо файла по умолчанию (обычно smb.conf). При этом существует проблема, как с курицей и яйцом (что раньше?), поскольку этот параметр установлен в файле конфигурации!
+
+По этой причине, если имя файла конфигурации изменилось при загрузке параметров, он перезагрузит их из нового файла конфигурации.
+
+Эта опция принимает обычные подстановки, которые могут быть очень полезны.
+
+Если файл конфигурации не существует, он не будет загружен (что позволяет в особых случаях использовать файлы конфигурации только нескольких клиентов).
+
+Значения по умолчанию нет.
+
+Пример:
+/usr/local/samba/lib/smb.conf.%m</string>
+ <string id="POL_3838911B_D4E6_50BD_B168_85F113E29165">ctdbd socket</string>
+ <string id="POL_3838911B_D4E6_50BD_B168_85F113E29165_Help">Если установлен параметр 'clustering', нужно указать Samba, где ctdbd прослушивает свой сокет домена Unix. Путь по умолчанию для ctdb 1.0 — /tmp/ctdb.socket, который необходимо явно указать для Samba в smb.conf.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/tmp/ctdb.socket</string>
+ <string id="POL_57D6924C_3F94_5C29_8F63_39808A84FA0F">ctdb locktime warn threshold</string>
+ <string id="POL_57D6924C_3F94_5C29_8F63_39808A84FA0F_Help">В кластерах, где используется Samba и ctdb, важно, чтобы блокировки на центральных базах данных ctdb-hosted таких как locking.tdb не удерживались надолго. В текущей архитектуре Samba случается, что Samba принимает блокировку и, удерживая эту блокировку, выполняет вызовы файловой системы в общую файловую систему кластера. Эта опция заставляет Samba предупреждать, если обнаруживает, что она удерживала блокировки в течение указанного количества миллисекунд. Если это произойдет, smbd выдаст сообщение уровня отладки 0 в свои журналы и, возможно, в системный журнал. Наиболее вероятная причина появления такого сообщения в журнале заключается в том, что операция экспорта Samba файловой системы кластера занимает больше времени, чем ожидалось. Сообщения предназначены для помощи в отладке потенциальных проблем кластера.
+
+Значение 0 (по умолчанию) отключает ведение этого журнала.
+
+Значение по умолчанию:
+0</string>
+ <string id="POL_6392B974_5997_5E87_916F_FCDCCCCA6069">ctdb timeout</string>
+ <string id="POL_6392B974_5997_5E87_916F_FCDCCCCA6069_Help">Этот параметр указывает время ожидания в миллисекундах для соединения между Samba и ctdb. Этот параметр действителен только в том случае, если Samba скомпилирована с кластеризацией и если установлен параметр 'clustering'.
+
+Когда что-то в кластере блокируется, может случиться так, что мы будем бесконечно долго ждать ctdb, просто добавляя условие блокировки. В хорошо работающем кластере этого никогда не должно происходить, но в кластере слишком много компонентов, которые могут давать сбои. Выбор правильного баланса для этого значения очень сложен, потому что в загруженном кластере может быть допустимо длительное время обслуживания для передачи чего-либо через кластер. Установка слишком короткого значения ухудшит качество обслуживания, которое предоставляет кластер, а установка слишком большого значения может привести к тому, что сам кластер слишком долго не восстановится после того, как что-то серьезно сломалось.
+
+Имейте в виду, что если установить этот параметр, он должен быть указан в файле smb.conf, а не в конфигурации реестра (типично для кластера), потому что для доступа к реестру требуется контакт ctdb.
+
+Установка для 'ctdb timeout' значения n заставляет любой процесс ждать ответа от паники кластера дольше n миллисекунд. Установка его в 0 (по умолчанию) приводит к блокировке Samba навсегда, что настоятельно рекомендуется по умолчанию.
+
+Значение по умолчанию:
+0</string>
+ <string id="POL_65E02D5E_EC95_5CD1_9976_6FF4E023ADDD">default service</string>
+ <string id="POL_65E02D5E_EC95_5CD1_9976_6FF4E023ADDD_Help">Этот параметр определяет имя сервиса, который будет подключен в случае невозможности найти запрашиваемый сервис. Обратите внимание, что квадратные скобки не нужны в значении параметра (см. пример ниже).
+Для этого параметра нет значения по умолчанию. Если параметр не установлен, попытка соединения с несуществующей службой приведет к ошибке.
+
+Обычно службой по умолчанию будет 'guest ok', 'read-only'.
+
+Обратите внимание на то, что имя сервиса будет заменено на требуемое. Это очень полезно, так как позволяет использовать макрос типа %S, чтобы использовать подстановку.
+
+Обратите внимание также на то, что любой символ «_» в имени службы, используемой в заданной по умолчанию службе будет приведен к «/». Это позволяет делать интересные вещи.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+pub
+</string>
+ <string id="POL_6CD86A19_3EBF_5E3B_A686_462CA044C5D8">delete share command</string>
+ <string id="POL_6CD86A19_3EBF_5E3B_A686_462CA044C5D8_Help">В Samba 2.2.0 была добавлена возможность динамически добавлять и удалять общие ресурсы через Windows NT 4.0 Server Manager. Параметр 'delete share command' запускает внешнюю программу или сценарий, удаляющий существующий общий ресурс из smb.conf.
+
+Для успешного выполнения этой программы, smbd требует, чтобы администратор был подключен с правами root (uid == 0) или с правами SeDiskOperatorPrivilege. После запуска, smbd автоматически вызовет внешнюю программу с двумя параметрами:
+
+ * configFile — местоположение глобального smb.conf файла.
+ * shareName — имя общего ресурса.
+
+Этот параметр используется только для удаления общих файловых ресурсов. Чтобы удалять общие принтеры, см. параметр 'deleteprinter command'.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/local/bin/delshare
+
+</string>
+ <string id="POL_EA272781_6D7D_5FD5_96BF_069193C67F65">dsdb event notification</string>
+ <string id="POL_EA272781_6D7D_5FD5_96BF_069193C67F65_Help">Если этот параметр включен (dsdb event notification = yes), Samba (действующая как контроллер домена Active Directory) передает события базы данных Samba по внутренней шине сообщений. Сценарии, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы dsdb_event.
+
+Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов).
+
+События базы данных Samba также регистрируются с помощью обычных методов ведения журнала, если установлен соответствующий параметр 'log level'.
+
+Значение по умолчанию:
+dsdb event notification = no
+</string>
+ <string id="POL_560BC356_6AEC_5D1A_9859_6479FE0F97C0">dsdb group change notification</string>
+ <string id="POL_560BC356_6AEC_5D1A_9859_6479FE0F97C0_Help">Если этот параметр включен, Samba (действующая как контроллер домена Active Directory) передает события изменения членства в группе по внутренней шине сообщений. Сценарии, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы dsdb_group_event.
+
+Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов).
+
+Групповые события также регистрируются с помощью обычных методов ведения журнала, если установлен соответствующий параметр 'log level'.
+
+Значение по умолчанию:
+dsdb group change notification = no</string>
+ <string id="POL_2CF8E791_3F03_5CE3_AC93_0B8078E9667D">dsdb password event notification</string>
+ <string id="POL_2CF8E791_3F03_5CE3_AC93_0B8078E9667D_Help">Если этот параметр включен, Samba (действующая как контроллер домена Active Directory) будет передавать события смены пароля и сброса по внутренней шине сообщений. Сценарии, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы password_event.
+
+Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов).
+
+События паролей также регистрируются с помощью обычных методов ведения журнала, если установлен соответствующий параметр 'log level'.
+
+Значение по умолчанию:
+dsdb password event notification = no</string>
+ <string id="POL_C8A040D9_B798_5FE4_A736_BAD9C81CE976">elasticsearch:mappings</string>
+ <string id="POL_C8A040D9_B798_5FE4_A736_BAD9C81CE976_Help">Путь к файлу, определяющий сопоставления атрибутов метаданных в формате JSON. Используется серверной частью Elasticsearch службы Spotlight RPC.
+
+Значение по умолчанию:
+/elasticsearch_mappings.json
+
+Пример:
+/usr/share/foo/mymappings.json</string>
+ <string id="POL_66C9072D_C818_5DFB_AB72_5EDDD4CAE999">fss: prune stale</string>
+ <string id="POL_66C9072D_C818_5DFB_AB72_5EDDD4CAE999_Help">Если этот параметр включен (fss: prune stale = yes), сервер Samba File Server Remote VSS Protocol (FSRVP) проверяет все моментальные снимки, инициированные FSRVP, при запуске и удаляет любое соответствующее состояние (включая определения общих ресурсов) для несуществующих путей к моментальным снимкам.
+
+Значение по умолчанию:
+fss: prune stale = no</string>
+ <string id="POL_A7F4325A_910F_5437_B911_6D94050EF882">fss: sequence timeout</string>
+ <string id="POL_A7F4325A_910F_5437_B911_6D94050EF882_Help">Сервер удаленного протокола VSS (FSRVP) файлового сервера включает таймер последовательности сообщений для обеспечения очистки при неожиданном отключении клиента. Этот параметр отменяет тайм-аут по умолчанию между операциями FSRVP. Таймауты FSRVP можно полностью отключить, установив значение 0.
+
+Значение по умолчанию:
+1
+
+Пример:
+0</string>
+ <string id="POL_529A6287_1697_57CA_A6D0_811F61A441A0">homedir map</string>
+ <string id="POL_529A6287_1697_57CA_A6D0_811F61A441A0_Help">Если установлен параметр 'nis homedir', и smbd(8) используется в качестве сервера входа в Win95/98, то этот параметр определяет NIS (или YP) соответствие, из которого должны быть извлечены домашние каталоги пользователей. В настоящее время принимаются только соответствия формата Sun auto.home.
+
+Формат соответствия:
+username server:/some/file/system
+
+Программа будет извлекать servername до первого символа «:». Вероятно, следует передать разбор системе, которая лучше справляется с соответствиями разных форматов, например, с такими как AMD (еще один automounter) соответствие.
+
+Заметьте, что в системе должен быть запущен NIS клиент.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+amd.homedir</string>
+ <string id="POL_3EE25C0A_C920_54B4_8B7B_D0A91CF3E3F1">kernel change notify</string>
+ <string id="POL_3EE25C0A_C920_54B4_8B7B_D0A91CF3E3F1_Help">Параметр определяет, должен ли сервер Samba запрашивать у ядра уведомление об изменениях произошедших в каталогах, для того чтобы SMB клиент смог обновить состояние каталогов при изменении данных на сервере. Этот параметр используется, только если ядро поддерживает уведомления об изменении данных с помощью inotify интерфейса.
+
+Значение по умолчанию:
+kernel change notify = yes</string>
+ <string id="POL_15EAB330_0CF4_537E_AD96_8FCECB55194F">lock directory</string>
+ <string id="POL_15EAB330_0CF4_537E_AD96_8FCECB55194F_Help">Эта опция указывает каталог для хранения файлов блокировок. Файлы блокировок используются для реализации опции 'max connections'.
+
+Примечание. Этот параметр нельзя установить в настройках реестра.
+
+Файлы, помещенные в этот каталог, не требуются при перезапуске службы и могут быть безопасно помещены в энергозависимое хранилище (например, tmpfs в Linux).
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/var/run/samba/locks</string>
+ <string id="POL_A53007F8_7951_51F3_9753_B6FA4B38B9B7">log writeable files on exit</string>
+ <string id="POL_A53007F8_7951_51F3_9753_B6FA4B38B9B7_Help">Когда сетевое соединение между клиентом CIFS и Samba прерывается, у Samba нет другого выбора, кроме как просто отключить серверную часть сетевого соединения. В этом случае существует риск повреждения данных, поскольку клиент Windows не выполнил все операции записи, запрошенные приложением Windows. Если этот параметр включен (log writeable files on exit = yes), в журнал smbd будет записано сообщение уровня 0 со списком всех файлов, которые были открыты для записи, когда сетевое соединение оборвалось. Это файлы, которые потенциально повреждены. Параметр предназначен для помощи администратору, чтобы дать ему список файлов для проверки согласованности.
+
+Значение по умолчанию:
+log writeable files on exit = no</string>
+ <string id="POL_7DD9B43E_A2B8_59F8_9927_2B56698E65B6">message command</string>
+ <string id="POL_7DD9B43E_A2B8_59F8_9927_2B56698E65B6_Help">Эта опция указывает какую команду следует выполнить, когда сервером будет получено сообщение WinPopup. Обычно это команда, которая каким-то образом доставляет сообщение. Как это сделать — зависит от вас и вашего воображения.
+
+Пример:
+
+message command = csh -c 'xedit %s;rm %s' &
+
+Эта команда доставляет сообщение используя xedit и впоследствии удаляет сообщение. ОЧЕНЬ ВАЖНО ЧТОБЫ ЭТА КОМАНДА «ОТДАВАЛА» КОНСОЛЬ МГНОВЕННО. Именно поэтому в примере используется '&' в конце. Если команда сразу не «отдаст» консоль, то ПК могут зависнуть при отправке сообщений (они должны восстановиться через 30 секунд).
+
+Все сообщения доставляются от имени гостевого пользователя. Эта команда расширяет стандартное поведение (или стандартную функциональность), хотя подстановка %u не будет работать (%U может быть и будет).
+
+К стандартной функциональности добавлены кое-какие дополнительные параметры. В частности:
+
+ * %s = имя файла, содержащего сообщение
+ * %t = пункт назначения, куда было послано сообщение (вероятно имя сервера).
+ * %f = от кого сообщение.
+
+Можно назначить этой команде все что угодно, например, отправку письма (e-mail). Сообщите нам, если у вас будут какие-то интересные идеи.
+
+Здесь показано как отправлять письмо пользователю root:
+
+message command = /bin/mail -s 'message from %f on %m' root < %s; rm %s
+
+Если у параметр 'message command' не установлен, то сообщение не будет доставлено и Samba сообщит получателю об ошибке. К сожалению Windows для рабочих групп игнорирует код ошибки и в любом случае сообщает об успешной доставке.
+
+Для удаления без уведомления, попробуйте:
+
+message command = rm %s
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+csh -c 'xedit %s; rm %s' &</string>
+ <string id="POL_3BDFEE33_A965_5CA9_BC8C_7E5FDA1BB1D5">nbt client socket address</string>
+ <string id="POL_3BDFEE33_A965_5CA9_BC8C_7E5FDA1BB1D5_Help">Эта опция позволяет контролировать, с какого адреса Samba будет отправлять клиентские пакеты NBT, и обрабатывать ответы с их помощью, в том числе в nmbd.
+
+Установка этой опции никогда не должна быть обязательной на обычных серверах Samba, на которых работает только один nmbd.
+
+По умолчанию Samba отправляет UDP-пакеты с адреса ОС по умолчанию для пункта назначения и принимает ответы на 0.0.0.0.
+
+Этот параметр устарел. См. параметры 'bind interfaces only = yes' и 'interfaces' для предыдущего поведения по управлению обычными прослушивающими сокетами.
+
+Значение по умолчанию:
+0.0.0.0
+
+Пример:
+192.168.2.20</string>
+ <string id="POL_C4D98472_F115_59FD_A3E6_A7984D662B99">ncalrpc dir</string>
+ <string id="POL_C4D98472_F115_59FD_A3E6_A7984D662B99_Help">Этот каталог будет содержать серию именованных каналов, позволяющих RPC через межпроцессное взаимодействие.
+
+Это позволит Samba и другим процессам Unix взаимодействовать через DCE/RPC без использования TCP/IP. Кроме того, подкаталог np имеет ограниченные разрешения и обеспечивает надежный канал связи между процессами Samba.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/var/run/samba/ncalrpc</string>
+ <string id="POL_4308D035_8B4B_575A_8984_BAC33A169EBA">nis homedir</string>
+ <string id="POL_4308D035_8B4B_575A_8984_BAC33A169EBA_Help">Получить домашний каталог сервера из NIS. Для систем UNIX, которые используют автомонтирование, домашний каталог пользователя часто монтируется на рабочую станцию по запросу с удаленного сервера.
+
+Когда сервер авторизации (logon server) Samba оне является фактическим сервером домашнего каталога (home directory server), но монтирует домашние каталоги через NFS, тогда выяснение домашнего каталога пользователя будет проходить в два этапа, если logon server сказал клиенту использовать себя в качестве сервера SMB для домашних каталогов (один через SMB и один через NFS). Это может быть очень медленно.
+
+Эта опция позволяет Samba возвращать домашний общий ресурс как находящийся на другом сервере серверу входа в систему, и пока демон Samba работает на сервере домашнего каталога, он будет монтироваться на клиенте Samba непосредственно с сервера каталогов. Когда Samba возвращает клиенту домашний ресурс, он обращается к карте NIS, указанной в карте homedir, и возвращает указанный там сервер.
+
+Обратите внимание на то, что для работы этой опции требуется работающая система NIS и сервер Samba должен работать в режиме сервера авторизации.
+
+Значение по умолчанию:
+nis homedir = no</string>
+ <string id="POL_359CDEF8_9711_56A5_8621_C50718A5B8A1">nmbd bind explicit broadcast</string>
+ <string id="POL_359CDEF8_9711_56A5_8621_C50718A5B8A1_Help">Эта опция заставляет nmbd(8) явно связываться с широковещательным адресом локальных подсетей. Это необходимо для правильной работы nmbd в сочетании с опцией 'socket address'. Не нужно отключать эту опцию.
+
+Значение по умолчанию:
+nmbd bind explicit broadcast = yes</string>
+ <string id="POL_23418947_2DAF_54B3_812C_D9B43F49CFCB">panic action</string>
+ <string id="POL_23418947_2DAF_54B3_812C_D9B43F49CFCB_Help">Это опция разработчика Samba, которая позволяет вызвать системную команду при сбое smbd(8) или nmbd(8). Она используется, в основном, для того, чтобы привлечь внимание к тому факту, что проблема действительно есть.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/bin/sleep 90000</string>
+ <string id="POL_C5C3267E_6E80_5311_96A5_B492C8C3C0AF">perfcount module</string>
+ <string id="POL_C5C3267E_6E80_5311_96A5_B492C8C3C0AF_Help">Этот параметр указывает серверную часть perfcount, которая будет использоваться при мониторинге операций SMB. Можно использовать только один модуль perfcount, и он должен реализовывать все API, содержащиеся в структуре smb_perfcount_handler, определенной в smb.h.
+
+Значения по умолчанию нет
+</string>
+ <string id="POL_02EAE588_9ED7_589C_A454_5B168B65A48A">pid directory</string>
+ <string id="POL_02EAE588_9ED7_589C_A454_5B168B65A48A_Help">Этот параметр указывает каталог, в который будут помещены файлы pid.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/var/run/</string>
+ <string id="POL_77C5FC2D_BBFA_5B4E_906F_ED49B11BF069">registry shares</string>
+ <string id="POL_77C5FC2D_BBFA_5B4E_906F_ED49B11BF069_Help">Этот параметр включает или выключает поддержку определений общих ресурсов, считываемых из реестра. Общие ресурсы, определенные в smb.conf, имеют приоритет над общими ресурсами с тем же именем, определенным в реестре. Подробнее см. раздел о настройке на основе реестра.
+
+Обратите внимание, что по умолчанию этот параметр отключен (registry shares = no), но если для параметра 'config backend' установлено значение registry, то параметр 'registry shares' будет включен (registry shares = yes).
+
+Значение по умолчанию:
+registry shares = no
+
+Пример:
+registry shares = yes</string>
+ <string id="POL_0FB22970_94A4_5403_888E_3CF8242A955C">remote announce</string>
+ <string id="POL_0FB22970_94A4_5403_888E_3CF8242A955C_Help">Этот параметр позволяет настроить nmbd(8) на периодическое оповещение (о своем существовании) произвольных IP-адресов с произвольными именами рабочих групп. Такое поведение может пригодиться, если необходимо, чтобы сервер Samba отображался в удаленной рабочей группе, для которой обычная схема оповещения не работает. Удаленная рабочая группа может быть где угодно, с условием, что туда можно послать IP-пакет.
+
+Пример:
+remote announce = 192.168.2.255/SERVERS 192.168.4.255/STAFF
+
+данная строка говорит демону nmbd, что он должен объявить себя для двух IP-адресов в двух рабочих группах. Если опустить имя рабочей группы, то вместо него используется имя, указанное в параметре 'workgroup'.
+
+В качестве IP-адресов обычно используются широковещательные адреса удаленных сетей, но могут использоваться и адреса известных мастер-браузеров, если конфигурация сети предполагает то, что эти адреса остаются неизменными.
+
+См. раздел «Network Browsing» руководства Samba-HOWTO.
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_B570A06A_7945_5818_B81D_D27007986548">remote browse sync</string>
+ <string id="POL_B570A06A_7945_5818_B81D_D27007986548_Help">Этот параметр позволяет настроить демон nmbd(8) таким образом, что он будет периодически запрашивать список компьютеров у главного обозревателя (мастер-браузера) удаленного сегмента сети. Благодаря этому можно получать актуальные списки компьютеров сетевого окружения для разных рабочих групп, разбросанных по сети. Это работает только с серверами Samba.
+
+Такое поведение может пригодиться, если необходимо, чтобы сервер Samba и все локальные клиенты отображались в удаленной рабочей группе, для которой обычная схема оповещения не работает. Удаленная рабочая группа может быть где угодно, куда можно послать IP-пакет.
+
+remote browse sync = 192.168.2.255 192.168.4.255
+
+Данная строка заставит демон nmbd запрашивать списки компьютеров у мастер-браузеров указанных подсетей или адресов.
+
+В качестве IP-адресов обычно используются широковещательные адреса удаленных сетей, но могут использоваться и адреса известных мастер-браузеров, если конфигурация сети предполагает то, что эти адреса остаются неизменными. Если указан IP-адрес машины, Samba НЕ предпринимает НИКАКИХ попыток проверить, что удаленная машина доступна, слушает и что она фактически является мастер-браузером в своем сегменте.
+
+Этот параметр может быть использован в сетях без WINS-сервера, а также в сетях, которые разделены между собой и где каждая сеть имеет свой собственный WINS-сервер.
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_BA134175_B8C1_5781_9585_AF3A47C44354">reset on zero vc</string>
+ <string id="POL_BA134175_B8C1_5781_9585_AF3A47C44354_Help">Этот логический параметр определяет, следует ли очищать другие соединения, исходящие от одного IP-адреса во время входящей сессии SMB1. Это соответствует поведению Win2003. Установка этого параметра (eset on zero vc = yes) необходима, если у вас «нестабильная» (flaky) сеть и Windows решает переподключиться, в то время как предыдущее соединение имеет открытые файлы. Эти файлы будут недоступны для нового подключения. Клиент посылает сигнал zero VC, и Win2003 уничтожает все подключения, исходящие с этого IP-адреса кроме текущего. Таким образом, заблокированные файлы становятся снова доступными. Имейте в виду, что включение этой опции приведет к уничтожению соединений за маскарадным роутером и не сработает для клиентов, которые используют только SMB2 или SMB3.
+
+Значение по умолчанию:
+reset on zero vc = no</string>
+ <string id="POL_F0071286_C011_5F1C_A520_2DD14DF7682C">rpc_daemon:DAEMON</string>
+ <string id="POL_F0071286_C011_5F1C_A520_2DD14DF7682C_Help">Этот параметр определяет, использовать ли встроенный код или запускать отдельный процесс для определенных служб RPC. За префиксом rpc_daemon должны следовать имя сервера и значение.
+
+В настоящее время поддерживаются два возможных значения:
+
+ * disabled
+ * fork
+
+Классический метод — запускать службы RPC как внутренние службы, встроенные в smbd, поэтому внешние службы по умолчанию имеют значение disabled.
+
+Выбор значения fork приведет к тому, что Samba создаст отдельный процесс для каждого настроенного таким образом демона. Каждый демон может, в свою очередь, разветвлять несколько дочерних элементов, используемых для обработки запросов от нескольких smbd и прямых подключений TCP/IP (если включен сопоставитель конечных точек). Связь с smbd происходит через именованные каналы и требует, чтобы указанные каналы пересылались внешнему демону (см. параметр 'rpc_server').
+
+Fork RPC демоны поддерживают динамически fork дочерние процессы во время обработки соединений. Эвристика о том, сколько дочерних элементов оставить, и как быстро разрешить им разветвляться, а также, сколько клиентов может обрабатывать каждый дочерний элемент одновременно, определяется опциями, указанными по имени демона. В настоящее время поддерживаются пять вариантов:
+
+ * prefork_min_children
+ * prefork_max_children
+ * prefork_spawn_rate
+ * prefork_max_allowed_clients
+ * prefork_child_min_life
+
+Чтобы установить одну из этих опций, используйте следующий синтаксис:
+
+ daemonname: prefork_min_children = 5
+
+Samba включает отдельные демоны для spoolss, lsarpc/lsass, netlogon, samr, FSRVP и mdssvc (Spotlight). В настоящее время доступно пять демонов:
+ * epmd
+ * lsasd
+ * spoolssd
+ * fssd
+ * mdssd
+
+Значение по умолчанию:
+rpc_daemon:DAEMON = disabled
+
+Пример:
+rpc_daemon:spoolssd = fork</string>
+ <string id="POL_820BF686_A78C_5314_A371_3633A8448DC2">rpc_server:SERVER</string>
+ <string id="POL_820BF686_A78C_5314_A371_3633A8448DC2_Help">С помощью этой опции можно определить, должна ли работать внутренняя/встроенная в smbd служба RPC или должна быть перенаправлена на внешний демон, такой как Samba4, демон сопоставления конечных точек (endpoint mapper daemon), демон спула (spoolss daemon) или новый демон службы LSA (LSA service daemon). За префиксом rpc_server должны следовать имя канала и значение.
+
+Этот параметр можно установить для каждой доступной службы RPC в Samba. В следующем списке показаны все доступные службы имен каналов, которые можно изменить с помощью этой опции:
+
+ * epmapper — Endpoint Mapper
+ * winreg — Remote Registry Service
+ * srvsvc — Remote Server Services
+ * lsarpc — Local Security Authority
+ * samr — Security Account Management
+ * netlogon — Netlogon Remote Protocol
+ * netdfs — Settings for Distributed File System
+ * dssetup — Active Directory Setup
+ * wkssvc — Workstation Services
+ * spoolss — Network Printing Spooler
+ * svcctl — Service Control
+ * ntsvcs — Plug and Play Services
+ * eventlog — Event Logger
+ * initshutdown — Init Shutdown Service
+ * mdssvc — Spotlight
+
+В настоящее время поддерживаются три возможных значения:
+ * embedded
+ * external
+ * disabled
+
+Классический метод (значение embedded) — запускать каждый канал как внутреннюю функцию, встроенную в smbd. Значения по умолчанию зависят от службы.
+
+Выбор значения external, позволяет запускать отдельный демон или даже полностью независимый (сторонний) сервер, способный взаимодействовать с Samba через интерфейс MS-RPC по именованным каналам.
+
+В настоящее время в Samba3 поддерживается четыре демона: spoolssd, epmd, lsasd и mdssd. Эти демоны можно включить с помощью параметра 'rpc_daemon'. Для spoolssd необходимо включить демон и проксировать именованный канал (named pipe).
+
+Примеры:
+ rpc_daemon:lsasd = fork
+ rpc_server:lsarpc = external
+ rpc_server:samr = external
+ rpc_server:netlogon = external
+
+ rpc_server:spoolss = external
+ rpc_server:epmapper = disabled
+
+ rpc_daemon:mdssd = fork
+ rpc_server:mdssvc = external
+
+Есть одна специальная опция, которая позволяет включить службы RPC для прослушивания соединений ncacn_ip_tcp. В настоящее время она используется только для тестирования и не масштабируется!
+ rpc_server:tcpip = yes
+
+Значение по умолчанию:
+rpc_server:SERVER = embedded</string>
+ <string id="POL_70434A64_4979_53D2_80EE_09FBF1562741">smbd profiling level</string>
+ <string id="POL_70434A64_4979_53D2_80EE_09FBF1562741_Help">Этот параметр позволяет администратору включить поддержку профилирования.
+
+Возможные значения off, count и on.
+
+Значение по умолчанию:
+off
+
+Пример:
+on</string>
+ <string id="POL_9598A191_3D22_5B49_8188_8D6901A5B4CE">state directory</string>
+ <string id="POL_9598A191_3D22_5B49_8188_8D6901A5B4CE_Help">Обычно большая часть файлов TDB хранится в каталоге блокировки. Начиная с Samba 3.4.0, используя параметры каталога состояний и каталога кэша, можно различать файлы TDB с постоянными данными и файлы TDB с непостоянными данными.
+
+Этот параметр указывает каталог, в котором будут храниться файлы TDB, содержащие важные постоянные данные.
+
+Пример:
+/var/run/samba/locks/state</string>
+ <string id="POL_73FD8B56_579A_5BC6_A49A_4000BE94A02F">usershare allow guests</string>
+ <string id="POL_73FD8B56_579A_5BC6_A49A_4000BE94A02F_Help">Этот параметр позволяет не аутентифицированным пользователям получить доступ к общим ресурсам пользователей.
+
+Это эквивалентно значению параметра 'guest ok = yes' в настройках общего ресурса.
+
+По соображению безопасности этот параметр отключен.
+
+Значение по умолчанию:
+usershare allow guests = no</string>
+ <string id="POL_A0CE47E8_AE8A_5602_8265_1C8D3AEC6064">usershare max shares</string>
+ <string id="POL_A0CE47E8_AE8A_5602_8265_1C8D3AEC6064_Help">Этот параметр определяет число домашних каталогов пользователей, которые могут быть созданы пользователями, принадлежащими группе владельцев папки с домашними каталогами. Если установлено значение ноль (по умолчанию) общие ресурсы пользователей не создаются.
+
+Значение по умолчанию:
+usershare max shares = 0</string>
+ <string id="POL_411611B5_93F6_546F_B68B_05167A064628">usershare owner only</string>
+ <string id="POL_411611B5_93F6_546F_B68B_05167A064628_Help">Этот параметр контролирует, должен ли каталог, из которого создается общий ресурс пользователя принадлежать этому пользователю. Если параметр установлен (usershare owner only = yes), тогда smbd проверяет, что каталог принадлежит пользователю, который является хозяином общего ресурса, и отказывает в создании ресурса, если пользователь не владелец папки. Если параметр выключен (usershare owner only = no), тогда никакой проверки не выполняется, и путь каталога может быть экспортирован независимо от того, кому он принадлежит.
+
+Значение по умолчанию:
+usershare owner only = yes</string>
+ <string id="POL_DD97B40A_CB2A_5818_8D39_F94911EB3F13">usershare path</string>
+ <string id="POL_DD97B40A_CB2A_5818_8D39_F94911EB3F13_Help">Параметр определяет абсолютный путь к каталогу файловой системы, используемому для хранения домашних папок пользователей. Этот каталог должен принадлежать пользователю root, доступ на запись возможен только для владельца группы. Также должен быть установлен «sticky» бит, ограничение на переименование и удаление для владельцев файла (так обычно настраивают каталог /tmp). Члены группы владельцев каталога — это пользователи, которые могут создавать каталоги пользователей. Если параметр не определен, не получится создавать домашние каталоги пользователей.
+
+Например, домашний каталог пользователей определен в /usr/local/samba/lib/usershares, настройте его следующим образом:
+
+ls -ld /usr/local/samba/lib/usershares/
+drwxrwx—T 2 root power_users 4096 2006-05-05 12:27 /usr/local/samba/lib/usershares/
+
+В этом случае, только члены группы «power_users» могут создать пользовательские домашние каталоги.
+
+Значение по умолчанию:
+/usershares</string>
+ <string id="POL_4AAFAB11_EB55_5600_A574_08E074B5DC28">usershare prefix allow list</string>
+ <string id="POL_4AAFAB11_EB55_5600_A574_08E074B5DC28_Help">Этот параметр определяет список абсолютных путей, которые могут быть использованы в качестве домашних каталогов пользователей. Если путь к каталогу не совпадает с путем из этого списка, домашний каталог не подключится. Это позволяет администратору Samba ограничивать каталоги в системе, которые могут быть использованы в качестве домашних каталогов пользователей. Если существуют оба списка 'usershare prefix deny list' и 'usershare prefix allow list', то список запретов обрабатывается в первую очередь.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/home /data /space</string>
+ <string id="POL_1D783E13_3E5A_5FEB_B1C0_486FF385960E">usershare prefix deny list</string>
+ <string id="POL_1D783E13_3E5A_5FEB_B1C0_486FF385960E_Help">Этот параметр определяет список абсолютных путей, которые не могут быть использованы в качестве домашних каталогов пользователей. Если путь к каталогу совпадает с путем из этого списка, домашний каталог не подключится. Пути, не встречающиеся в этом списке, могут быть подключены как пользовательские домашние каталоги. Это позволяет администратору Samba ограничивать каталоги в системе, которые могут быть использованы в качестве домашних каталогов пользователей. Если существуют оба списка 'usershare prefix deny list' и 'usershare prefix allow list', то список запретов обрабатывается в первую очередь.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/etc /dev /private</string>
+ <string id="POL_2974E59A_2225_59CA_A4C8_C967FDB0E588">usershare template share</string>
+ <string id="POL_2974E59A_2225_59CA_A4C8_C967FDB0E588_Help">Пользователь может определять для общего ресурса только ограниченные параметры, такие как путь, 'guest ok' и т.д. Этот параметр «клонировать» общие ресурсы пользователя из существующего общего ресурса. Если значением параметра является существующий общий ресурс, тогда все пользовательские общие ресурсы создадутся с параметрами по умолчанию как у этого ресурса.
+
+Целевой общий ресурс может быть настроен как ошибочный общий ресурс с помощью параметра '-valid = False' и он может использоваться как шаблон. Он станет невидим как реальный общий ресурс, но может использоваться как шаблон для настройки пользовательских общих ресурсов.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+template_share</string>
+ <string id="POL_99ADA47F_F025_52B8_B8F5_DDFA0EEFEF31">utmp</string>
+ <string id="POL_99ADA47F_F025_52B8_B8F5_DDFA0EEFEF31_Help">Этот параметр доступен только в том случае, если Samba сконфигурирована и собрана с опцией –with-utmp. Если параметр установлен (utmp = yes), Samba попытается добавить utmp или utmpx записи (в зависимости от системы UNIX) при каждом подключении к серверу Samba. Сайты могут использовать это для записи пользователя, соединяющегося с общим ресурсом Samba.
+
+По требованиям к utmp записи, мы обязаны создавать уникальный идентификатор для вновь подключенного пользователя. Включение этого параметра создает n^2 алгоритм для нахождения этого числа. Это снизит быстродействие на больших серверах.
+
+Значение по умолчанию:
+utmp = no
+</string>
+ <string id="POL_21565354_4253_5482_97D2_9C2558461C47">utmp directory</string>
+ <string id="POL_21565354_4253_5482_97D2_9C2558461C47_Help">Этот параметр доступен только в том случае, если Samba сконфигурирована и собрана с опцией --with-utmp. Он определяет путь к каталогу, используемому для хранения utmp или utmpx файлов (в зависимости от системы UNIX), используемых для записи пользователей, подключающихся к серверу Samba. По умолчанию параметр не определен, это значит, что система будет использовать любой utmp файл, используемый в операционной системе (обычно в Linux это /var/run/utmp).
+
+Значение по умолчанию:
+пустая строка (определяется автоматически)
+
+Пример:
+/var/run/utmp
+ </string>
+ <string id="POL_4F8E9BC0_CFAB_52F8_9C49_B8BB7400E60A">wtmp directory</string>
+ <string id="POL_4F8E9BC0_CFAB_52F8_9C49_B8BB7400E60A_Help">Этот параметр доступен только в том случае, если Samba сконфигурирована и собрана с опцией --with-utmp. Он определяет путь к каталогу хранения wtmp или wtmpx файлов (в зависимости от системы UNIX), используемых для записи пользователей, подключающихся к серверу Samba. Отличается от параметра 'utmp directory' тем, что пользовательская информация сохраняется после того, как пользователь вышел из системы.
+
+По умолчанию параметр не определен, это значит, что система будет использовать любой utmp файл, используемый в операционной системе (обычно в Linux это /var/run/wtmp).
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/var/log/wtm</string>
+ <string id="POL_83F826D3_2069_552C_8376_C0512E99728D">addport command</string>
+ <string id="POL_83F826D3_2069_552C_8376_C0512E99728D_Help">В Samba 3.0.23 появилась поддержка добавления портов принтера, дистанционно использующих Windows «Add Standard TCP/IP Port Wizard» (мастер добавления стандартного TCP/IP порта). Эта опция определяет внешнюю программу, которая будет выполнена, когда smbd получает запрос добавить новый порт к системе. Сценарию передается два параметра:
+
+ * имя порта (port name)
+
+ * URI устройства (device URI)
+
+URI устройства имеет формат socket://<hostname>[:<portnumber>] или lpd://<hostname>/<queuename>.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/etc/samba/scripts/addport.sh
+</string>
+ <string id="POL_B4BE84FF_FB13_5496_AC34_B15BF764F654">addprinter command</string>
+ <string id="POL_B4BE84FF_FB13_5496_AC34_B15BF764F654_Help">С введением поддержки печати на основе MS-RPC клиентами Windows NT/2000 в Samba 2.2, значок MS Add Printer Wizard (APW) теперь также доступен в папке «Принтеры…» («Printers…»), отображающей список общих ресурсов. APW учитывает принтеры, чтобы добавлять их дистанционно к серверу печати Windows NT/2000 или Samba.
+
+Для хоста Samba это означает, что принтер нужно физически добавить к базовой системе печати. Параметр 'addprinter command' определяет сценарий, который будет выполнен, чтобы добавить принтер к системе печати, и добавит соответствующие опции в файл smb.conf.
+
+Команда добавления принтера автоматически вызывается со следующими параметрами:
+
+ * printer name
+ * share name
+ * port name
+ * driver name
+ * location (местоположение)
+ * Windows 9x driver location
+
+Все параметры заполняются из структуры PRINTER_INFO_2, отправленной клиентом Windows NT/2000, с одним исключением. Параметр «Windows 9x driver location» включен только для обратной совместимости. Остальные поля в структуре PRINTER_INFO_2 генерируются из ответов на APW вопросы.
+
+После выполнения команды добавления принтера, smbd повторно анализирует smb.conf, чтобы определить, существует ли общий ресурс, определенный APW. Если имя общего ресурса все еще недействителено, то smbd вернет клиенту ошибку ACCESS_DENIED.
+
+Скрипт 'addprinter command' может вывести одну строку текста, которую Samba установит как порт, к которому подключен новый принтер. Если эта строка не выводится, Samba не будет перезагружать общий ресурс принтеров.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/bin/addprinter</string>
+ <string id="POL_D9D048A2_779C_5D85_A26E_131535508B70">cups connection timeout</string>
+ <string id="POL_D9D048A2_779C_5D85_A26E_131535508B70_Help">Этот параметр применим, только если параметр 'printing' имеет значение cups.
+
+Этот параметр определяет количество секунд, в течение которых smbd будет ждать, пытаясь связаться с сервером CUPS. Соединение не будет установлено, если оно займет больше времени, чем указанное количество секунд.
+
+Значение по умолчанию:
+30
+
+Пример:
+60</string>
+ <string id="POL_AB9D00A2_AB72_5D21_94C6_8EC1238F2793">cups encrypt</string>
+ <string id="POL_AB9D00A2_AB72_5D21_94C6_8EC1238F2793_Help">Этот параметр применим только в том случае, только если параметр 'printing' имеет значение cups и если используется CUPS новее 1.0.x. Параметр используется для определения, следует ли Samba использовать шифрование при разговоре с сервером CUPS. Возможные значения: auto, yes и no.
+
+Если установлено значение auto, будут предприняты попытки выполнить шифрование TLS при каждой настройке подключения CUPS. Если это не удастся, Samba вернётся к незашифрованной работе.
+
+Значение по умолчанию:
+no</string>
+ <string id="POL_CDEAD263_A87A_550A_A067_3FF8C0C60986">cups server</string>
+ <string id="POL_CDEAD263_A87A_550A_A067_3FF8C0C60986_Help">Этот параметр применим, только если параметр 'printing' имеет значение cups.
+
+Если этот параметр установлен, он переопределяет параметр ServerName в CUPS client.conf. Это необходимо, если у вас есть виртуальные серверы Samba, которые подключаются к разным демонам CUPS.
+
+При желании можно указать порт, отделив имя сервера и номер порта двоеточием. Если порт не указан, будет использоваться порт по умолчанию для IPP (631).
+
+Значение по умолчанию:
+""
+
+Пример:
+mycupsserver
+
+Пример:
+mycupsserver:1631</string>
+ <string id="POL_7CC90037_633A_5C8D_99C5_380E6B2E1EF0">deleteprinter command</string>
+ <string id="POL_7CC90037_633A_5C8D_99C5_380E6B2E1EF0_Help">С введением поддержки принтеров на основе MS-RPC для клиентов Windows NT/2000 в Samba 2.2 стало возможно удалять принтер во время выполнения, выполнив RPC запрос DeletePrinter().
+
+Для хоста Samba это означает, что принтер должен быть физически удален из базовой системы печати. Параметр 'deleteprinter command' определяет сценарий, который выполнит необходимые операции для удаления принтера из системы печати и из smb.conf.
+
+Команда удаления принтера автоматически вызывается только с одним параметром: имя принтера.
+
+После выполнения команды удаления принтера, smbd повторно анализирует smb.conf на предмет существования принтера. Если общий ресурс все еще существует, то smbd вернет клиенту ошибку ACCESS_DENIED.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/bin/removeprinter</string>
+ <string id="POL_60B548F0_E8B3_576F_B520_D4954AF3ED8E">disable spoolss</string>
+ <string id="POL_60B548F0_E8B3_576F_B520_D4954AF3ED8E_Help">Включение этого параметра отключит поддержку в Samba SPOOLSS для MS-RPC и приведет к поведению идентичному Samba 2.0.x. Клиенты Windows NT/2000 перейдут к использованию команд печати в стиле Lanman. Этот параметр не повлияет на Windows 9x/ME. Однако он также отключит возможность загрузки драйверов принтера на сервер Samba с помощью мастера добавления принтера Windows NT или используя диалоговое окно свойств принтера NT. Также будет отключена возможность загрузки по требованию драйверов печати с главного компьютера Samba для клиентов Windows NT/2000. Будьте очень осторожны при использовании этого параметра.
+
+Значение по умолчанию:
+disable spoolss = no</string>
+ <string id="POL_EAFBD5E6_54EC_5776_A757_5401DE77BBCE">enable spoolss</string>
+ <string id="POL_EAFBD5E6_54EC_5776_A757_5401DE77BBCE_Help">Включение этого параметра включит поддержку в Samba SPOOLSS для MS-RPО.
+
+См. описание опции 'disable spoolss'.
+
+Значение по умолчанию:
+enable spoolss = yes</string>
+ <string id="POL_88C2E1AE_E15B_561A_83B3_A7A7610CB3A2">enumports command</string>
+ <string id="POL_88C2E1AE_E15B_561A_83B3_A7A7610CB3A2_Help">Понятие «порт» довольно чуждо компьютерам UNIX. У серверов печати Windows NT/2000, порт связан с локальным портом компьютера (например, LPT1:, COM1:, FILE:) или удаленным портом (например, LPD Port Monitor,, и т.д.). По умолчанию в Samba определен только один порт — «Samba Printer Port». В Windows NT/2000 все принтеры должны иметь допустимое имя порта. Если необходимо иметь список отображенных портов (smbd, не использует имя порта для чего-нибудь), отличное от заданного по умолчанию «Samba Printer Port», можно определить параметр 'enumports command', чтобы указать на программу, которая должна генерировать список портов, по одному на строку, в стандартный вывод. Этот список затем будет использоваться в ответ на запросы уровней 1 и 2 EnumPorts() RPC.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/bin/listports</string>
+ <string id="POL_5247D3AE_60E1_526B_B3A0_956818E2EA49">iprint server</string>
+ <string id="POL_5247D3AE_60E1_526B_B3A0_956818E2EA49_Help">Параметр применим только если параметр 'printing' имеет значение iprint. Если установлено, то параметр перекрывает опцию ServerName в файле CUPS client.conf. Это нужно, если у вас есть виртуальные сервера Samba, подключенные к разным CUPS демонам.
+
+Значение по умолчанию:
+""
+
+Пример:
+MYCUPSSERVER</string>
+ <string id="POL_A6ACC104_2480_55A0_A53C_D38DFF7A093B">load printers</string>
+ <string id="POL_A6ACC104_2480_55A0_A53C_D38DFF7A093B_Help">Булево значение, которое определяет все ли принтеры, будут загружены для просмотра по умолчанию. Смотрите секцию принтеры для получения более подробной информации.
+
+Значение по умолчанию:
+load printers = yes</string>
+ <string id="POL_5CC89C3B_45B2_5C52_ADE0_79FB968E5EDE">lpq cache time</string>
+ <string id="POL_5CC89C3B_45B2_5C52_ADE0_79FB968E5EDE_Help">Этот параметр контролирует то, как долго информация об lpq будет храниться в кэше для избежания слишком частых вызовов lpq. Для каждого пользователя хранится свой вариант кэша lpq, так что различные пользователи НЕ будут использовать одну и ту же информацию из кэша.
+
+Файлы кэша хранятся в /tmp/lpq.xxxx где xxxx — хэш команды lpq.
+
+Значение по умолчанию 30 секунд, означающее, что будут использоваться результаты выполнения команды из кэша, если она выполнена менее чем 30 секунд назад. Большое значение может быть полезным, если выполнение команд lpq в вашем случае очень медленное. Значение 0 вообще отменит кэширование.
+
+Значение по умолчанию:
+30
+
+Пример:
+10</string>
+ <string id="POL_45819251_B577_5069_AA0C_AD798BFDC903">os2 driver map</string>
+ <string id="POL_45819251_B577_5069_AA0C_AD798BFDC903_Help">Параметр используется для определения абсолютного пути к файлу, содержащему схему преобразования имен драйверов принтеров Windows NT к схеме OS/2. Формат следующий:
+
+ <nt driver name> = <os2 driver name>.<device name>
+
+Например, для имени драйвера принтера HP LaserJet 5 запись будет иметь вид HP LaserJet 5L = LASERJET.HP LaserJet 5L.
+
+Необходимость в этом файле связана с проблемой пространства имен драйвера принтера, описанной в разделе «Classical Printing» руководства Samba3-HOWTO. Для получения более подробной информации по клиентам OS/2, смотрите раздел «по другим клиентам» руководства Samba3-HOWTO.
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_40CAC79E_549A_5AAA_8FD3_DDF6FDC3EF35">printcap cache time</string>
+ <string id="POL_40CAC79E_549A_5AAA_8FD3_DDF6FDC3EF35_Help">Этот параметр указывает количество секунд, через которое подсистема печати будет опрошена о состоянии принтеров.
+
+Установка для этого параметра значения 0 отключает любое повторное сканирование новых или удаленных принтеров после первоначального запуска демона.
+
+Значение по умолчанию:
+750
+
+Пример:
+600</string>
+ <string id="POL_A0530959_BE77_53B1_82AC_B3E11CA6D2D8">printcap name</string>
+ <string id="POL_A0530959_BE77_53B1_82AC_B3E11CA6D2D8_Help">Этот параметр может быть использован для переопределения скомпилированного printcap name, используемого сервером (обычно /etc/printcap). В секции [printers] (smb.conf(5)) описано, почему это может потребоваться.
+
+Для использования интерфейса CUPS установите 'printcap name = cups'. Это должно быть подкреплено дополнительно установкой параметра 'printing = cups' в секции [global]. 'printcap name = cups' будет использовать «фиктивный» («dummy») printcap, созданный CUPS, как указано в конфигурационном файле CUPS.
+
+В системах System V, которые используют lpstat для получения списка доступных принтеров, для этих целей можно использовать 'printcap name = lpstat'. Это значение по умолчанию для систем, которые определяют SYSV во время настройки в Samba (это большинство ОС основанных на System V). Если в этих системах параметр 'printcap name' установлен в значение lpstat, тогда Samba запустит команду 'lpstat -v' и попытается проанализировать вывод, чтобы получить список принтеров.
+
+Минимальный файл printcap будет выглядеть примерно так:
+
+print1|My Printer 1
+print2|My Printer 2
+print3|My Printer 3
+print4|My Printer 4
+print5|My Printer 5
+
+где знак ‘|’ разделяет псевдонимы принтеров. Тот факт, что во втором псевдониме есть пробел подсказывает Samba, что это комментарий.
+
+Замечание: В ОС AIX значением параметра 'printcap name' по умолчанию является /etc/qconfig. Samba предполагает, что файл имеет формат AIX, если встретит подстроку qconfig в пути к файлу.
+
+Значение по умолчанию:
+/etc/printcap
+
+Пример:
+/etc/myprintcap</string>
+ <string id="POL_73B2297D_6138_544A_BAF8_A31CC8192C22">show add printer wizard</string>
+ <string id="POL_73B2297D_6138_544A_BAF8_A31CC8192C22_Help">С появлением в Samba 2.2 поддержки печати, основанной на MS-RPC клиентов Windows NT/2000, будет видна папка «Принтеры» на компьютере с Samba. Обычно эта папка содержит ярлык к «мастеру установки принтеров» («MS Add Printer Wizard»). Однако эту функцию можно отключить, причем, несмотря на привилегии пользователя.
+
+В нормальной ситуации клиент Windows NT/2000 обращается к серверу печати с помощью OpenPrinterEx(), запросив права администратора. Если у пользователя нет доступа к серверу печати (например, он НЕ root и не член группы printer admin), вызов OpenPrinterEx() завершится неудачей и клиент выполняет еще один вызов, который требует более низких привилегий. Этот запрос должен пройти успешно, но иконка «мастера установки принтера» не будет показана. Отключение параметра 'show add printer wizard' предопределит вызов OpenPrinterEx() — он всегда будет завершаться неудачей. Таким образом, иконка никогда не будет показана.
+
+Замечание:
+Это не запрещает пользователю иметь административные права на какой-либо принтер.
+
+Значение по умолчанию:
+show add printer wizard = yes</string>
+ <string id="POL_3CD8EF2C_23D9_58C5_A92C_3E1C2E4F3A4A">spoolss: architecture</string>
+ <string id="POL_3CD8EF2C_23D9_58C5_A92C_3E1C2E4F3A4A_Help">Клиенты печати Windows с буферизацией позволяют связывать серверные драйверы с принтерами только в том случае, если архитектура драйвера соответствует объявленной архитектуре сервера печати. С помощью этого параметра можно изменить архитектуру сервера печати с буфером печати Samba.
+
+Значение по умолчанию:
+Windows NT x86
+
+Пример:
+Windows x64</string>
+ <string id="POL_DE5BD97B_EB5B_571A_98EE_814B2C006262">spoolss: os_major</string>
+ <string id="POL_DE5BD97B_EB5B_571A_98EE_814B2C006262_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 5.0.2195 (Windows 2000). Например, 6.1.7601 (Windows 2008 R2).
+
+Значение по умолчанию:
+5
+
+Пример:
+6</string>
+ <string id="POL_5EB4315D_6DDE_50E9_A228_2F5062CB23B9">spoolss: os_minor</string>
+ <string id="POL_5EB4315D_6DDE_50E9_A228_2F5062CB23B9_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 5.0.2195 (Windows 2000). Например, 6.1.7601 (Windows 2008 R2).
+
+Значение по умолчанию:
+0
+
+Пример:
+1</string>
+ <string id="POL_FEE2B5DC_E367_5173_8A6A_43EB82F22680">spoolss: os_build</string>
+ <string id="POL_FEE2B5DC_E367_5173_8A6A_43EB82F22680_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 5.0.2195 (Windows 2000). Например, 6.1.7601 (Windows 2008 R2).
+
+Значение по умолчанию:
+2195
+
+Пример:
+7601</string>
+ <string id="POL_6E7AC428_65F6_5006_97A7_B985AE445E43">spoolss_client: os_major</string>
+ <string id="POL_6E7AC428_65F6_5006_97A7_B985AE445E43_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 6.1.7007 (Windows 7 и Windows Server 2008 R2).
+
+Значение по умолчанию:
+6</string>
+ <string id="POL_732E108C_5701_547E_903E_6112EDF3E999">spoolss_client: os_minor</string>
+ <string id="POL_732E108C_5701_547E_903E_6112EDF3E999_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 6.1.7007 (Windows 7 и Windows Server 2008 R2).
+
+Значение по умолчанию:
+1</string>
+ <string id="POL_CBC8563A_7BEB_54F3_8554_74815EF130DF">spoolss_client: os_build</string>
+ <string id="POL_CBC8563A_7BEB_54F3_8554_74815EF130DF_Help">Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 6.1.7007 (Windows 7 и Windows Server 2008 R2).
+
+Значение по умолчанию:
+7007</string>
+ <string id="POL_A51777A2_FA82_5D61_B7E1_9B223537A750">cldap port</string>
+ <string id="POL_A51777A2_FA82_5D61_B7E1_9B223537A750_Help">Эта опция контролирует порт, используемый протоколом CLDAP.
+
+Значение по умолчанию:
+389
+
+Пример:
+3389</string>
+ <string id="POL_E2162FCB_2AF4_5BED_8254_84C87787CAA8">client ipc max protocol</string>
+ <string id="POL_E2162FCB_2AF4_5BED_8254_84C87787CAA8_Help">Значение параметра (строка) — это самый высокий уровень протокола, который будет поддерживаться для соединений IPC$ в качестве транспорта DCERPC.
+
+Обычно этот параметр не следует устанавливать, так как фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола.
+
+Значение default относится к последнему поддерживаемому протоколу, в настоящее время это SMB3_11.
+
+См. полный список доступных протоколов в описании параметра 'client max protocol'. Значения CORE, COREPLUS, LANMAN1, LANMAN2 автоматически обновляются до NT1.
+
+Значение по умолчанию:
+default
+
+Пример:
+SMB2_10</string>
+ <string id="POL_86DD41DB_D3AE_5445_8E2D_335E8182ECDF">client ipc min protocol</string>
+ <string id="POL_86DD41DB_D3AE_5445_8E2D_335E8182ECDF_Help">Значение параметра (строка) — это самый минимальный уровень протокола, который будет поддерживаться для соединений IPC$ в качестве транспорта DCERPC.
+
+Обычно этот параметр не следует устанавливать, так как фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола.
+
+Значение default относится к последнему поддерживаемому протоколу, в настоящее время это SMB3_11.
+
+См. полный список доступных протоколов в описании параметра 'client max protocol'. Значения CORE, COREPLUS, LANMAN1, LANMAN2 автоматически обновляются до NT1.
+
+Значение по умолчанию:
+default
+
+Пример:
+SMB3_11</string>
+ <string id="POL_8E18914D_E4D5_5B9E_8641_02F84DEA8092">client max protocol</string>
+ <string id="POL_8E18914D_E4D5_5B9E_8641_02F84DEA8092_Help">Значение параметра (строка) — это самый высокий уровень протокола, который будет поддерживаться клиентом.
+
+Возможные значения:
+
+ * CORE: Самая ранняя версия. Концепция имен пользователей отсутствует.
+ * COREPLUS: Небольшие улучшения в CORE для повышения эффективности.
+ * LANMAN1: Первая современная версия протокола. Поддержка длинных файлов.
+ * LANMAN2: Обновление протокола Lanman1.
+ * NT1: Текущая последняя версия протокола. Используется Windows NT. Известна как CIFS.
+ * SMB2: Повторная реализация протокола SMB. Используется Windows Vista и более поздними версиями Windows. SMB2 имеет подпротоколы.
+ * SMB2_02: Самая ранняя версия SMB2.
+ * SMB2_10: Версия Windows 7 SMB2.
+ * SMB2_22: Ранняя версия Windows 8 SMB2.
+ * SMB2_24: Бета-версия SMB2 для Windows 8.
+ По умолчанию SMB2 выбирает вариант SMB2_10.
+ * SMB3: То же, что и SMB2. Используется Windows 8. SMB3 имеет подпротоколы.
+ * SMB3_00: Версия Windows 8 SMB3 (в основном то же, что и SMB2_24).
+ * SMB3_02: Версия Windows 8.1 SMB3.
+ * SMB3_10: Ранняя техническая предварительная версия Windows 10 SMB3.
+ * SMB3_11: Техническая предварительная версия Windows 10 SMB3 (возможно, окончательная).
+ По умолчанию SMB3 выбирает вариант SMB3_11.
+
+Обычно эту опцию не следует устанавливать, поскольку фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола.
+
+Значение default относится к SMB3_11.
+
+IPC$ соединения для DCERPC, например в winbindd, обрабатываются опцией 'client ipc max protocol'.
+
+Значение по умолчанию:
+default
+
+Пример:
+LANMAN1</string>
+ <string id="POL_277C30D1_A2C2_5AB4_8748_A9ECC063AE91">client min protocol</string>
+ <string id="POL_277C30D1_A2C2_5AB4_8748_A9ECC063AE91_Help">Этот параметр определяет минимальную версию протокола, которую клиент попытается использовать.
+
+Обычно этот параметр не следует устанавливать, поскольку фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола (если не происходит подключение к устаревшему серверу, поддерживающему только SMB1).
+
+См. полный список доступных протоколов в описании параметра 'client max protocol'.
+
+IPC$ соединения для DCERPC, например в winbindd обрабатываются опцией 'client ipc min protocol'.
+
+Обратите внимание, что большинство инструментов командной строки поддерживают --option = 'client min protocol = NT1', поэтому может не потребоваться глобальное включение протоколов SMB1 в smb.conf.
+
+Значение по умолчанию:
+SMB2_02
+
+Пример:
+NT1</string>
+ <string id="POL_89A40B64_721B_55DF_841D_C3481F32C2FF">client use spnego</string>
+ <string id="POL_89A40B64_721B_55DF_841D_C3481F32C2FF_Help">Этот параметр устарел, начиная с Samba 4.13, и поддержка аутентификации NTLMv2, NTLM и LanMan без NTLMSSP будет удалена в следующем выпуске Samba.
+
+То есть в будущем параметр 'client use spnego' будет установлен по умолчанию.
+
+Эта переменная определяет, будут ли клиенты Samba пытаться использовать простой и защищенный NEGOtiation (как указано в rfc2478) с поддерживающими серверами (включая WindowsXP, Windows2000 и Samba 3.0) для согласования механизма аутентификации. Это, в частности, включает проверку подлинности Kerberos.
+
+Когда этот параметр установлен, для использования NTLMv2 только в рамках NTLMSSP требуется расширенная безопасность (SPNEGO). Такое поведение было введено в исправлениях для CVE-2016-2111.
+
+Значение по умолчанию:
+client use spnego = yes</string>
+ <string id="POL_FCF4AF88_1B2D_5A6E_B630_7E88FA13F4EB">dcerpc endpoint servers</string>
+ <string id="POL_FCF4AF88_1B2D_5A6E_B630_7E88FA13F4EB_Help">Указывает, какие серверы конечных точек DCE/RPC должны быть запущены.
+
+Значение по умолчанию:
+epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver
+
+Пример:
+rpcecho</string>
+ <string id="POL_73CE9581_7CF3_5CD8_ABBD_3DD273E7ED10">defer sharing violations</string>
+ <string id="POL_73CE9581_7CF3_5CD8_ABBD_3DD273E7ED10_Help">При открытии файла Windows позволяет определять, как файл будет использоваться совместно несколькими процессами. Ошибки совместного доступа возникают, когда файл открывается другим процессом с параметрами, которые нарушают общие параметры, заданные другими процессами. Этот параметр заставляет smbd действовать как сервер Windows и задерживать сообщение об ошибке совместного доступа («sharing violation») на срок до одной секунды, позволяя клиенту вызвавшему нарушение закрыть файл.
+
+По умолчанию UNIX так себя не ведет.
+
+Не отключайте этот параметр, так как он предназначен для того, чтобы Samba могла более корректно эмулировать Windows.
+
+Значение по умолчанию:
+defer sharing violations = yes</string>
+ <string id="POL_951C9DAC_2C21_58B0_8B22_D9D2CCEB1755">dgram port</string>
+ <string id="POL_951C9DAC_2C21_58B0_8B22_D9D2CCEB1755_Help">Указывает, на каких портах сервер должен прослушивать пакеты NetBIOS.
+
+Значение по умолчанию:
+138</string>
+ <string id="POL_401F735E_7E1F_5EBC_A3E3_9642A9F023DA">disable netbios</string>
+ <string id="POL_401F735E_7E1F_5EBC_A3E3_9642A9F023DA_Help">Включение этого параметра отключит поддержку NetBIOS в Samba. NetBIOS — единственная доступная форма просмотра во всех версиях Windows, кроме 2000 и XP.
+
+Обратите внимание, что если поддержка NetBIOS отключена, клиенты, которые поддерживают только NetBIOS, не смогут видеть сервер Samba.
+
+Значение по умолчанию:
+disable netbios = no </string>
+ <string id="POL_6BB5884D_D948_5765_B165_FCB496E3A64A">enable asu support</string>
+ <string id="POL_6BB5884D_D948_5765_B165_FCB496E3A64A_Help">Компьютеры, использующие продукты «Advanced Server for Unix (ASU)» требуют создания общего ресурса [ADMIN$] для поддержания IPC соединений. Уже много лет это поведение по умолчанию в smbd. Однако, некоторые приложения Microsoft, такие как Print Migrator tool, требуют, чтобы удаленный сервер поддерживал общий ресурс [ADMIN$]. Отключение этого параметра разрешает создавать общий ресурс [ADMIN$] в файле smb.conf.
+
+Значение по умолчанию:
+enable asu support = no
+</string>
+ <string id="POL_D389B35D_C2C8_5971_A195_FBD8C0AAC94C">eventlog list</string>
+ <string id="POL_D389B35D_C2C8_5971_A195_FBD8C0AAC94C_Help">Эта опция определяет список лог файлов, которые Samba по запросу отправляет утилите Microsoft EventViewer. Перечисленные журналы будут связаны с tdb-файлом на диске в $(statedir)/eventlog.
+
+Администратор должен использовать внешний процесс, чтобы распарсить обычные файлы Unix-логов, такие как /var/log/messages и затем записывать информацию в tdb-файлы журнала событий. Обратитесь к eventlogadm(8) утилите для того, чтобы узнать, как записывать записи в журнал событий (eventlog).
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+Security Application Syslog Apache
+</string>
+ <string id="POL_04CE2D0D_386E_5CA3_B450_F1BC9FC9CC9B">large readwrite</string>
+ <string id="POL_04CE2D0D_386E_5CA3_B450_F1BC9FC9CC9B_Help">Этот параметр определяет, поддерживает ли smbd(8) новый 64-килобайтный поток чтения записи SMB запросов введенный в Windows 2000. Обратите внимание, что из-за ошибок редиректа клиентов Windows 2000 требуется, чтобы Samba работала в 64-разрядной операционной системе, такой как IRIX, Solaris или ядро Linux 2.4. При использовании возможно увеличение производительности на 10% с клиентами Windows 2000. Не протестирован с другими частями кода Samba.
+
+Значение по умолчанию:
+large readwrite = yes</string>
+ <string id="POL_63F5048E_6174_5012_8637_738DD79034E5">lsa over netlogon</string>
+ <string id="POL_63F5048E_6174_5012_8637_738DD79034E5_Help">Установка этого устаревшего параметра позволит серверу RPC в AD DC отвечать интерфейсу LSARPC на канале IPC \pipe\netlogon.
+
+Если параметр включен, это соответствует поведению Microsoft Windows из-за их внутреннего выбора реализации.
+
+Если параметр отключен (по умолчанию), AD DC может предложить улучшенную производительность, поскольку сервер входа в сеть отделен и может работать как несколько процессов.
+
+Значение по умолчанию:
+lsa over netlogon = no</string>
+ <string id="POL_87E8C778_F6AC_5666_8855_D40F11853504">max mux</string>
+ <string id="POL_87E8C778_F6AC_5666_8855_D40F11853504_Help">Этот параметр контролирует максимальное количество невыполненных одновременных операций SMB2, которое Samba разрешает клиенту. Никогда не нужно менять значение этого параметра.
+
+Значение по умолчанию:
+50</string>
+ <string id="POL_E754670E_4295_5CAC_8817_8C848E31BA0B">max ttl</string>
+ <string id="POL_E754670E_4295_5CAC_8817_8C848E31BA0B_Help">Этот параметр сообщает демону smbd(8), какое по умолчанию «время жизни» («time to live») NetBIOS-имён должно быть (в секундах), когда nmbd запрашивает имя с помощью широковещательного пакета или с WINS-сервера. Никогда не нужно изменять значение этого параметра. Значение по умолчанию 3 дня.
+
+Значение по умолчанию:
+259200</string>
+ <string id="POL_0AAACA11_DE41_5664_A306_F44D752598C5">max xmit</string>
+ <string id="POL_0AAACA11_DE41_5664_A306_F44D752598C5_Help">Эта опция задаёт максимальный размер пакета, который будет согласован между Samba и smbd(8) для установления соединения по протоколу SMB1. Значение по умолчанию 16644, что соответствует поведению Windows 2000. Значение ниже 2048 скорее всего вызывет проблемы. Никогда не нужно изменять значение этого параметра.
+
+Значение по умолчанию:
+16644
+
+Пример:
+8192
+</string>
+ <string id="POL_24E58521_FFD2_5ADE_A9C8_4050EE408BC2">min receivefile size</string>
+ <string id="POL_24E58521_FFD2_5ADE_A9C8_4050EE408BC2_Help">Этот параметр изменяет поведение smbd(8) при обработке вызовов SMBwriteX. Любой входящий вызов SMBwriteX в неподписанном соединении SMB/CIFS, превышающий это значение, не будет обрабатываться обычным способом, но будет передан любому базовому вызову recvfile ядра или системному вызову splice (если такого вызова нет, Samba будет эмулировать в пользовательском пространстве). Это позволяет записывать zero-copy непосредственно из буферов сетевых сокетов в буферный кэш файловой системы, если таковой имеется. Это может улучшить производительность, но рекомендуется пользовательское тестирование. Если установлено значение 0, Samba обрабатывает вызовы SMBwriteX как обычно. Чтобы включить поддержку большой записи POSIX (SMB/CIFS записывает до 16 МБ), этот параметр должен быть ненулевым. Максимальное значение 128к. Значения больше 128k будут автоматически установлены на 128k.
+
+Обратите внимание, что этот параметр не будет иметь ЭФФЕКТА, если он установлен для подключения с подписью SMB.
+
+По умолчанию — 0, что отключает эту опцию.
+
+Значение по умолчанию:
+0</string>
+ <string id="POL_1DDE423B_1CCB_5179_87D3_1FEE7D4CA621">name resolve order</string>
+ <string id="POL_1DDE423B_1CCB_5179_87D3_1FEE7D4CA621_Help">Этот параметр используется программами из набора Samba для определения того, какие сервисы имен использовать и в каком порядке разрешать имена хостов в IP-адреса. Его основная цель — управлять тем, как выполняется разрешение имен NetBIOS. В этом параметре указываются строковые значения разделенные пробелами.
+
+Возможные значения: lmhosts, host, wins и bcast". Они означают:
+
+ * lmhosts — искать IP-адрес в файле Samba lmhosts. Если в строке файла lmhosts не указан тип имени NetBIOS (см. man lmhosts), то для поиска подходит любой тип имени.
+
+ * host — произвести стандартную трансляцию имени хоста в IP-адрес, используя /etc/hosts, NIS или DNS запрос. Этот метод разрешения зависит от операционной системы, например в IRIX или Solaris, им можно управлять с помощью файла /etc/nsswitch.conf. Обратите внимание на то, что этот метод используется только тогда, когда тип запрашиваемого имени NetBIOS 0×20 (server) или 0×1c (domain controllers). Последний случай применим только для доменов AD и в результате будет DNS запрос для вхождения SRV RR соответсвующего _ldap._tcp.domain.
+
+ * wins — определить IP-адрес по имени, обозначенном в параметре 'wins server'. Если сервер WINS не указан, то метод будет проигнорирован.
+
+ * bcast — сделать широковещательный запрос по всем интерфейсам, перечисленным в параметре 'interfaces'. Это наименее надежный из методов разрешения имен, поскольку он зависит от того, находится ли целевой хост в локальной подсети.
+
+Пример ниже обозначает следующий порядок: сначала искать в локальном файле lmhosts, затем выполнить широковещательный запрос, затем использовать средства операционной системы.
+
+Рекомендуется использовать следующие настройки при работе Samba в режиме 'security = ads':
+
+name resolve order = wins bcast
+
+Запросы домен-контроллера все еще будут выполняться с помощью DNS, но в случае отката на имена NetBIOS, не затопит DNS-сервера запросами типа DOMAIN<0x1c> lookups.
+
+Значение по умолчанию:
+lmhosts host wins bcast
+
+Пример:
+lmhosts bcast host</string>
+ <string id="POL_B1C3F6FC_E4FB_58A7_9CE4_50090EF8FF17">nbt port</string>
+ <string id="POL_B1C3F6FC_E4FB_58A7_9CE4_50090EF8FF17_Help">Указывает, какой порт должен использовать сервер для трафика NetBIOS через службы IP-имен.
+
+Значение по умолчанию:
+137</string>
+ <string id="POL_E2A4C01A_1EFC_5826_9D3A_A4AD065518EF">nt pipe support</string>
+ <string id="POL_E2A4C01A_1EFC_5826_9D3A_A4AD065518EF_Help">Этот параметр определяет, будет ли демон smbd(8) позволять клиентам Windows NT подсоединяться к ресурсам IPC$ (характерным для NT SMB). Эта опция сделана в отладочных целях (для разработчиков), поэтому не нужно изменять её значение.
+
+Значение по умолчанию:
+nt pipe support = yes</string>
+ <string id="POL_C1F0941D_67B4_55EA_A915_6F5E9A945E57">nt status support</string>
+ <string id="POL_C1F0941D_67B4_55EA_A915_6F5E9A945E57_Help">Этот параметр определяет, будет ли демон smbd(8) объявлять поддержку специфического статуса NT при работе с клиентами Windows NT/2k/XP. Параметр создан разработчиками для отладки, поэтому не нужно изменять её значение. Если 'nt status support = no', то Samba будет генерировать ошибки DOS аналогично версии 2.2.3 и ниже.
+
+Никогда не нужно отключать этот параметр (устанавливать значение 'nt status support = no').
+
+Значение по умолчанию:
+nt status support = yes</string>
+ <string id="POL_CDB6A4B8_D076_5332_9EA2_CC994C8B45C7">read raw</string>
+ <string id="POL_CDB6A4B8_D076_5332_9EA2_CC994C8B45C7_Help">Этот параметр игнорируется, если установлен параметр 'async smb echo handler', потому что эта функция несовместима с необработанными запросами чтения SMB.
+
+Если параметр включен, «сырые запросы» (raw reads) будут передаваться по 65535 байт в одном пакете. Обычно это дает значительный прирост производительности для очень и очень старых клиентов.
+
+Однако некоторые клиенты либо неправильно согласовывают допустимый размер блока, либо не могут поддерживать большие размеры блока, и для этих клиентов может потребоваться отключить этот параметр.
+
+Этот параметр следует рассматривать как инструмент настройки системы и не изменять его значение.
+
+Значение по умолчанию:
+read raw = yes
+</string>
+ <string id="POL_F9AD06B5_1870_5BE4_87A9_08E3821667E4">rpc big endian</string>
+ <string id="POL_F9AD06B5_1870_5BE4_87A9_08E3821667E4_Help">Установка этого параметра заставит RPC-клиент и сервер передавать данные с обратным порядком следования байтов (big endian).
+
+Если этот параметр не установлен, данные будут передаваться с прямым порядком следования байтов (little endian).
+
+Поведение не зависит от порядка байтов хоста.
+
+Значение по умолчанию:
+rpc big endian = no</string>
+ <string id="POL_380E7843_58D7_505E_9092_392FE1FC4BA2">rpc server port</string>
+ <string id="POL_380E7843_58D7_505E_9092_392FE1FC4BA2_Help">Указывает, какой порт сервер должен прослушивать для трафика DCE/RPC через TCP/IP.
+
+Этот параметр управляет портом по умолчанию для всех протоколов, кроме NETLOGON.
+
+Если параметр не установлен, используется первый доступный порт из диапазона динамических портов сервера RPC, например 49152.
+
+Сервер NETLOGON будет использовать следующий доступный порт, например 49153. Можно изменить этот порт, например, 'rpc server port:netlogon = 4000'.
+
+Кроме того, все можно указать порт независимо для каждого сервера RPC, например, 'rpc server port:drsuapi = 5000'.
+
+Этот параметр в настоящее время применяется только тогда, когда samba(8) работает как контроллер домена Active Directory.
+
+Значение по умолчанию 0 заставляет Samba выбирать первый доступный порт из динамического диапазона портов сервера RPC (параметр 'rpc server dynamic port range').
+
+Значение по умолчанию:
+0</string>
+ <string id="POL_D910FC29_975B_5105_97C8_BD75D68FDC5F">server max protocol</string>
+ <string id="POL_D910FC29_975B_5105_97C8_BD75D68FDC5F_Help">Значение параметра (строка) — это самый высокий уровень протокола, который будет поддерживаться сервером.
+
+Возможные значения:
+ * LANMAN1: Первая современная версия протокола. Поддержка длинных файлов.
+ * LANMAN2: Обновление протокола Lanman1.
+ * NT1: Текущая последняя версия протокола. Используется Windows NT. Известная как CIFS.
+ * SMB2: повторная реализация протокола SMB. Используется Windows Vista и более поздними версиями Windows. SMB2 имеет подпротоколы:
+ * SMB2_02: самая ранняя версия SMB2.
+ * SMB2_10: версия Windows 7 SMB2.
+ * SMB2_22: Ранняя версия Windows 8 SMB2.
+ * SMB2_24: бета-версия SMB2 для Windows 8.
+ По умолчанию SMB2 выбирает вариант SMB2_10.
+ * SMB3: тоже, что и SMB2. Используется в Windows 8. SMB3 имеет подпротоколы:
+ * SMB3_00: версия SMB3 для Windows 8 (в основном то же, что и SMB2_24).
+ * SMB3_02: версия SMB3 Windows 8.1.
+ * SMB3_10: техническая предварительная версия SMB3 для ОС до Windows 10.
+ * SMB3_11: техническая предварительная версия SMB3 для Windows 10 (возможно окончательная).
+ По умолчанию SMB3 выбирает вариант SMB3_11.
+
+Эта опция не должна устанавливаться при нормальном режиме работы, т.к. протокол SMB сам позаботиться о выборе подходящего протокола на стадии автоматического согласования параметров.
+
+Значение по умолчанию:
+SMB3
+
+Пример:
+LANMAN1</string>
+ <string id="POL_98D56061_466A_5DDE_BFF3_8A194DE5FE2E">server min protocol</string>
+ <string id="POL_98D56061_466A_5DDE_BFF3_8A194DE5FE2E_Help">Этот параметр определяет минимальную версию протокола, которую сервер разрешает использовать клиенту.
+
+Эта опция не должна устанавливаться при нормальном режиме работы, т.к. протокол SMB сам позаботиться о выборе подходящего протокола на стадии автоматического согласования параметров, если только у вас нет устаревших клиентов, поддерживающих только SMB1.
+
+См. полный список доступных протоколов в описании параметра 'server max protocol'.
+
+Значение по умолчанию:
+SMB2_02
+
+Пример:
+NT1</string>
+ <string id="POL_2A034462_D418_5914_B24C_6535DD368A66">share:fake_fscaps</string>
+ <string id="POL_2A034462_D418_5914_B24C_6535DD368A66_Help">Этот параметр необходим для поддержки некоторого специального приложения, которое вызывает QFSINFO, чтобы проверить, установлен ли бит SPARSE_FILES (0x40). Если этот бит не установлен, то конкретное приложение отказывается работать с Samba. При 'share:fake_fscaps = 64' устанавливается флаг возможности файловой системы SPARSE_FILES. Используйте другие десятичные значения, чтобы указать битовую маску, которую нужно подделать.
+
+Значение по умолчанию:
+0</string>
+ <string id="POL_A3F9ABC7_494B_5007_B5A1_1DA0B9FC345D">smb2 max credits</string>
+ <string id="POL_A3F9ABC7_494B_5007_B5A1_1DA0B9FC345D_Help">Этот параметр контролирует максимальное количество невыполненных одновременных операций SMB2, которое Samba разрешает клиенту. Аналогичен параметру 'max mux' для SMB1. Никогда не нужно менять значение этого параметра.
+
+Значение по умолчанию — 8192 credits, что аналогично серверу SMB2 в Windows 2008R2.
+
+Значение по умолчанию:
+8192</string>
+ <string id="POL_209C2DE8_5843_50FC_9B61_A3F3EBFE95B5">smb2 max read</string>
+ <string id="POL_209C2DE8_5843_50FC_9B61_A3F3EBFE95B5_Help">Эта опция определяет значение протокола, которое smbd(8) будет возвращать клиенту, информируя клиента о самом большом размере, который может быть возвращен одним вызовом чтения SMB2.
+
+Максимальный размер составляет 8388608 байт (8 МБ), что соответствует уровню Windows Server 2012 r2.
+
+Обратите внимание, что значение по умолчанию — 8 МБ, но это ограничение основано на диалекте smb2 (64КБ для SMB == 2.0, 8МБ для SMB >= 2.1 с LargeMTU). Large MTU не поддерживается через NBT (TCP-порт 139).
+
+Значение по умолчанию:
+8388608</string>
+ <string id="POL_0696582B_7928_558B_B4DA_9A0C647CFBB8">smb2 max trans</string>
+ <string id="POL_0696582B_7928_558B_B4DA_9A0C647CFBB8_Help">Эта опция указывает значение протокола, которое smbd(8) будет возвращать клиенту, информируя клиента о самом большом размере буфера, который может использоваться при запросе метаданных файла через QUERY_INFO и соответствующие вызовы SMB2.
+
+Максимальный размер составляет 8388608 байт (8 МБ), что соответствует уровню Windows Server 2012 r2.
+
+Обратите внимание, что значение по умолчанию — 8 МБ, но это ограничение основано на диалекте smb2 (64 КБ для SMB == 2.0, 1 МБ для SMB & gt; = 2.1 с LargeMTU). Large MTU не поддерживается через NBT (TCP-порт 139).
+
+Значение по умолчанию:
+8388608</string>
+ <string id="POL_DA17FE47_6637_50D0_9AD1_A95AAA49F717">smb2 max write</string>
+ <string id="POL_DA17FE47_6637_50D0_9AD1_A95AAA49F717_Help">Эта опция указывает значение протокола, которое smbd(8) будет возвращать клиенту, информируя клиента о самом большом размере, который может быть отправлен на сервер одним вызовом записи SMB2.
+
+Максимальный размер составляет 8388608 байт (8 МБ), что соответствует уровню Windows Server 2012 r2.
+
+Обратите внимание, что значение по умолчанию — 8 МБ, но это ограничение основано на диалекте smb2 (64 КБ для SMB == 2.0, 1 МБ для SMB & gt; = 2.1 с LargeMTU). Large MTU не поддерживается через NBT (TCP-порт 139).
+
+Значение по умолчанию:
+8388608</string>
+ <string id="POL_97C2005C_F45B_5675_B450_75842A4139F0">smb ports</string>
+ <string id="POL_97C2005C_F45B_5675_B450_75842A4139F0_Help">Указывает, на каких портах сервер должен прослушивать SMB-трафик.
+
+Значение по умолчанию:
+445 139</string>
+ <string id="POL_5B8B1A0B_AC6B_5E89_8FDE_4CBE538A9CB8">svcctl list</string>
+ <string id="POL_5B8B1A0B_AC6B_5E89_8FDE_4CBE538A9CB8_Help">Этот параметр определяет список сценариев init, которые smbd будет использовать для запуска и остановки служб Unix через Win32 ServiceControl API. Это позволяет администраторам Windows использовать плагины MS Management Console для управления сервером Unix, на котором работает Samba.
+
+Администратор должен создать каталог svcctl в каталоге Samba, указанном в переменной $(libdir), и создать символические ссылки на сценарии инициализации в /etc/init.d/. Имя ссылок должно совпадать с именами, указанными в списке svcctl.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+cups postfix portmap httpd</string>
+ <string id="POL_0E701672_524B_56CE_9C43_D9DE631558EA">time server</string>
+ <string id="POL_0E701672_524B_56CE_9C43_D9DE631558EA_Help">Этот параметр определяет, будет ли nmbd(8) выступать сервером времени для клиентов Windows.
+
+Значение по умолчанию:
+time server = no</string>
+ <string id="POL_B8322D3C_E4C4_5EAD_AE99_B912C35C56C8">unicode</string>
+ <string id="POL_B8322D3C_E4C4_5EAD_AE99_B912C35C56C8_Help">Указывает, должны ли сервер и клиент поддерживать Unicode.
+
+Если этот параметр выключен (unicode = no), использование ASCII будет принудительным.
+
+Значение по умолчанию:
+unicode = yes</string>
+ <string id="POL_4A31BF60_B9E4_5E35_B979_A1C15754CA9A">unix extensions</string>
+ <string id="POL_4A31BF60_B9E4_5E35_B979_A1C15754CA9A_Help">Параметр включает поддержку расширений CIFS UNIX от HP, что позволяет Samba лучше взаимодействовать с клиентами UNIX CIFS, включая поддержку символических ссылок, жестких ссылок и т.д. Эти расширения работают со специально настроенными клиентами и не применимы для клиентов Windows.
+
+Обратите внимание: если этот параметр включен, параметр 'wide links' автоматически отключается.
+
+См. параметр 'allow insecure wide links ', если нужно изменить связь между двумя параметрами.
+
+Значение по умолчанию:
+unix extensions = yes</string>
+ <string id="POL_911349A8_68E0_5370_B0C8_1E5D4DD47DA4">write raw</string>
+ <string id="POL_911349A8_68E0_5370_B0C8_1E5D4DD47DA4_Help">Этот параметр игнорируется, если установлен параметр 'async smb echo handler', потому что эта функция несовместима с необработанными запросами записи SMB.
+
+Если этот параметр включен, необработанные записи позволяют записывать 65535 байт в одном пакете. Обычно это дает значительное преимущество в производительности для очень и очень старых клиентов.
+
+Однако некоторые клиенты либо неправильно согласовывают допустимый размер блока, либо не могут поддерживать большие размеры блока, и для этих клиентов может потребоваться отключить необработанные записи.
+
+В общем, этот параметр следует рассматривать как инструмент настройки системы и не изменять его значение.
+
+Значение по умолчанию:
+write raw = yes</string>
+ <string id="POL_585034D0_C9E6_568C_AF40_354A01C24E02">server multi channel support</string>
+ <string id="POL_585034D0_C9E6_568C_AF40_354A01C24E02_Help">Этот логический параметр определяет, будет ли smbd(8) поддерживать многоканальность SMB3.
+
+Этот параметр был добавлен в версии 4.4.
+
+Предупреждение: обратите внимание, что эта функция все еще считается экспериментальной. Используйте её на свой страх и риск: даже если она может показаться хорошо работающей при тестировании, при определенных условиях она может привести к повреждению данных. Будущие выпуски могут улучшить эту ситуацию.
+
+Из-за зависимости от API ядра Linux или FreeBSD, на данный момент эту функцию можно использовать только в Linux и FreeBSD. Для тестирования это ограничение можно перезаписать, указав дополнительно 'force: server multi channel support = yes'.
+
+Значение по умолчанию:
+server multi channel support = no</string>
+ <string id="POL_4553EC0B_4966_52CE_83C6_948DAC67A281">smb2 disable lock sequence checking</string>
+ <string id="POL_4553EC0B_4966_52CE_83C6_948DAC67A281_Help">Этот логический параметр определяет, будет ли smbd(8) отключать проверку последовательности блокировок даже для многоканальных соединений, а также для надежных дескрипторов.
+
+В спецификации [MS-SMB2] (разделе 3.3.5.14 Receiving an SMB2 LOCK Request) указано, что сервер должен выполнить последовательность блокировок, если Open.IsResilient или Open.IsDurable или Open.IsPersistent имеет значение TRUE или если Connection.Dialect принадлежит семейству SMB 3.x диалектов и Connection.ServerCapabilities включают SMB2_GLOBAL_CAP_MULTI_CHANNEL.
+
+Но Windows Server (по крайней мере, до v2004) выполняет эти проверки только для Open.IsResilient и Open.IsPersistent. Это означает, что они не реализуют поведение указанное в [MS-SMB2].
+
+По умолчанию Samba ведет себя в соответствии со спецификацией и отправляет повторные попытки уведомления о прерывании блокировки smb2.
+
+Предупреждение. Включайте этот параметр, только если существующие клиенты не могут обрабатывать проверку последовательности блокировок для дескрипторов без Open.IsResilient и Open.IsPersistent, и оказывается, что требуется поведение Windows Server.
+
+Примечание. Вполне вероятно, что этот параметр будет снова удален, если будущие версии Windows изменят свое поведение.
+
+Примечание. Samba еще не поддерживает Open.IsResilient и Open.IsPersistent.
+
+Значение по умолчанию:
+smb2 disable lock sequence checking = no</string>
+ <string id="POL_690A701E_D101_57E5_A180_30E9E54B8B38">smb2 disable oplock break retry</string>
+ <string id="POL_690A701E_D101_57E5_A180_30E9E54B8B38_Help">Этот логический параметр определяет, будет ли smbd(8) инициировать повторные попытки уведомления о прерывании блокировки smb2, если включен параметр 'server multi channel support'.
+
+В спецификации [MS-SMB2] указано, что сервер должен посылать повторные попытки уведомления о прерывании блокировки smb2 по всем доступным каналам данному клиенту.
+
+Но версии Windows Server (по крайней мере, до 2019 года) не отправляют повторные попытки уведомления о нарушении блокировки smb2 при сбоях канала. Это означает, что они не реализуют поведение, указанное в [MS-SMB2].
+
+По умолчанию Samba ведет себя в соответствии со спецификацией и отправляет повторные попытки уведомления о прерывании блокировки smb2.
+
+Предупреждение. Включайте этот параметр только в том случае, если существующие клиенты не могут обрабатывать возможные повторные попытки и оказывается, что требуется поведение Windows Server.
+
+Примечание. Вполне вероятно, что этот параметр снова будет удален, если будущие версии Windows изменят свое поведение.
+
+Примечание. Это применимо только к oplocks, но не к аренде SMB2.
+
+Значение по умолчанию:
+smb2 disable oplock break retry = no</string>
+ <string id="POL_7564C5C4_88AA_576B_A9E8_091901A3D6E0">rpc server dynamic port range</string>
+ <string id="POL_7564C5C4_88AA_576B_A9E8_091901A3D6E0_Help">Этот параметр сообщает серверу RPC, какой диапазон портов можно использовать для создания прослушивающего сокета для LSA, SAM, Netlogon и других без того хорошо известных портов tcp. Первое значение — это наименьший номер диапазона портов, а второе — наибольший.
+
+Это относится к серверам RPC во всех ролях серверов.
+
+Значение по умолчанию:
+49152-65535</string>
+ <string id="POL_8D3A68BB_46F0_55A8_B53F_A4AA70C39B46">algorithmic rid base</string>
+ <string id="POL_8D3A68BB_46F0_55A8_B53F_A4AA70C39B46_Help">Этот параметр определяет, как Samba будет использовать алгоритмическое отображение из uids/gid в RID, необходимое для создания идентификаторов безопасности NT.
+
+Установка для этого параметра большего значения может быть полезна для сайтов, переходящих с WinNT и Win2k, поскольку в противном случае существующие пользователи и группы будут конфликтовать с пользователями системы и т.д.
+
+Для правильной работы ACL на сервере все UID и GID должны быть преобразованы в SID. Таким образом, алгоритмическое сопоставление нельзя «отключить» («turned off»), но его «отталкивание» («out of the way») должно решить проблемы. Затем пользователям и группам могут быть назначены «низкие» («low») идентификаторы RID в произвольно выбранном-rid диапазоне.
+
+Значение по умолчанию:
+1000
+
+Пример:
+100000</string>
+ <string id="POL_4A36DCFC_E9DB_5CD6_A67B_F94F3D95224F">allow dcerpc auth level connect</string>
+ <string id="POL_4A36DCFC_E9DB_5CD6_A67B_F94F3D95224F_Help">Этот параметр определяет, разрешено ли использование служб DCERPC с DCERPC_AUTH_LEVEL_CONNECT, которые обеспечивают аутентификацию, но не обеспечивают целостность сообщения или защиту конфиденциальности.
+
+Некоторые интерфейсы, такие как samr, lsarpc и netlogon, имеют жестко заданное значение по умолчанию no, а epmapper, mgmt и rpcecho имеют жестко заданное значение по умолчанию yes.
+
+Поведение может быть перезаписано для каждого имени интерфейса (например, lsarpc, netlogon, samr, srvsvc, winreg, wkssvc …) с помощью параметра 'allow dcerpc auth level connect: interface = yes'.
+
+Эта опция имеет приоритет над ограничениями, специфичными для реализации. Например, протоколы drsuapi и backupkey требуют DCERPC_AUTH_LEVEL_PRIVACY. Протокол dnsserver требует DCERPC_AUTH_LEVEL_INTEGRITY.
+
+Значение по умолчанию:
+allow dcerpc auth level connect = no</string>
+ <string id="POL_F3A8A539_E774_5498_B8B7_5D295841A159">allow trusted domains</string>
+ <string id="POL_F3A8A539_E774_5498_B8B7_5D295841A159_Help">Этот параметр действует только в том случае, если параметр 'security' установлен в значение server, domain или ads.
+ Если 'allow trusted domains = no', то попытки подключиться к ресурсу из домена или рабочей группы, отличной от той, в которой запущен smbd, завершатся ошибкой, даже если этому домену доверяет удаленный сервер, выполняющий аутентификацию.
+
+Это полезно, если необходимо, чтобы сервер Samba обслуживал запросы только пользователей домена, членом которого он является. В качестве примера предположим, что есть два домена DOMA и DOMB. DOMB доверяет DOMA, который содержит сервер Samba. При нормальных обстоятельствах пользователь с учетной записью в DOMB может затем получить доступ к ресурсам учетной записи UNIX с тем же именем учетной записи на сервере Samba, даже если у него нет учетной записи в DOMA. Это может затруднить реализацию границы безопасности.
+
+Значение по умолчанию:
+allow trusted domains = yes</string>
+ <string id="POL_DF7112E5_5322_5A42_A1AD_45085CB6EC86">binddns dir</string>
+ <string id="POL_DF7112E5_5322_5A42_A1AD_45085CB6EC86_Help">Этот параметр определяет каталог, который Samba будет использовать для хранения файлов конфигурации bind, таких как named.conf.
+
+ПРИМЕЧАНИЕ. Каталог bind dns должен находиться в той же точке монтирования, что и личный каталог!
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_41C0408D_BF8C_5BA3_992E_6D58CF58FF84">check password script</string>
+ <string id="POL_41C0408D_BF8C_5BA3_992E_6D58CF58FF84_Help">Имя программы, которая может использоваться, чтобы проверить сложность пароля. Пароль посылается на стандартный ввод программы.
+
+Программа должна возвратить 0 для сложного пароля и любое другое значение для слабого. Если пароль считается слабым (программа не возвращает 0), пользователь будет уведомлен и изменение пароля не произойдет.
+
+В Samba AD этот сценарий будет запускаться samba(8) от имени пользователя root без каких-либо замен.
+
+Обратите внимание, что начиная с Samba 4.11, в сценарий экспортируются следующие переменные среды:
+
+ * SAMBA_CPS_ACCOUNT_NAME всегда присутствует и содержит sAMAccountName пользователя, то же самое, что и подстановки %u в случае отсутствия AD DC.
+
+ * SAMBA_CPS_USER_PRINCIPAL_NAME является необязательным в случае AD DC, если присутствует userPrincipalName.
+
+ * SAMBA_CPS_FULL_NAME является необязательным, если присутствует displayName.
+
+Примечание. В каталоге с примерами есть типовая программа crackcheck, которая использует cracklib для проверки качества пароля.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/local/sbin/crackcheck</string>
+ <string id="POL_9869726F_8F58_512B_A708_C7360AC9146F">client ipc signing</string>
+ <string id="POL_9869726F_8F58_512B_A708_C7360AC9146F_Help">Этот параметр устарел, начиная с Samba 4.13, и поддерживается для аутентификации LanMan (в отличие от NTLM, NTLMv2 или Kerberos), поскольку клиент будет удален в следующем выпуске Samba.
+
+То есть в будущем параметр 'client NTLMv2 auth' будет принудительным включен.
+
+Этот параметр определяет, разрешено или необходимо клиенту использовать подписывание SMB для соединений IPC$ в качестве транспорта DCERPC. Возможные значения: auto, mandatory, disabled.
+
+Если установлено значение mandatory или default, требуется подпись SMB.
+
+Если установлено значение auto, подписывание SMB предлагается, но не принудительно, а если установлено значение disabled, полписывание SMB не предлагается.
+
+Подключения от winbindd к контроллерам домена Active Directory всегда требуют подписи.
+
+Значение по умолчанию:
+default</string>
+ <string id="POL_309DB173_58D7_5326_B21D_8DF044225CB9">client lanman auth</string>
+ <string id="POL_309DB173_58D7_5326_B21D_8DF044225CB9_Help">Этот параметр определяет, будут ли smbclient(8) и другие клиентские инструменты Samba пытаться аутентифицироваться на серверах, используя более слабый хэш пароля LANMAN. Если этот параметр отключен (client lanman auth = no), только сервера, поддерживающий механизмы паролей NT (например, Windows NT/2000, Samba и т.д., но не Windows 95/98), будут способны установить соединение.
+
+Ответ, зашифрованный LANMAN, легко взломать из-за его нечувствительности к регистру и выбора алгоритма. Клиентам без серверов Windows 95/98 рекомендуется отключить эту опцию.
+
+Отключение этой опции также отключит параметр 'client plaintext auth'.
+
+Аналогичным образом, если включен параметр 'client ntlmv2 auth', то попытки входа в систему будут выполняться только с использованием NTLMv2.
+
+Значение по умолчанию:
+client lanman auth = no</string>
+ <string id="POL_0F39ED01_BB64_5653_839C_CB26A70EC531">client NTLMv2 auth</string>
+ <string id="POL_0F39ED01_BB64_5653_839C_CB26A70EC531_Help">Этот параметр определяет, будет ли smbclient(8) пытаться аутентифицироваться на серверах, используя ответ с зашифрованным паролем NTLMv2.
+
+Если этот параметр включен (client NTLMv2 auth = yes), будут отправляться только ответы NTLMv2 и LMv2 (оба более безопасны, чем предыдущие версии). Старые серверы (включая NT4 < SP4, Win9x и Samba 2.2) несовместимы с NTLMv2, если они не находятся в домене, поддерживающем NTLMv2.
+
+Аналогичным образом, если этот параметр включен, NTLMv1, параметр 'client lanman auth' и 'client plaintext auth' будут отключены. Это также отключает аутентификацию на уровне общего ресурса.
+
+Если этот параметр отключен, клиент отправит ответ NTLM (и, возможно, ответ LANMAN), в зависимости от значения параметра 'client lanman auth'.
+
+Обратите внимание, что Windows Vista и более поздние версии уже используют NTLMv2 по умолчанию, а некоторые сайты (особенно те, которые следуют 'best practice' политикам безопасности) разрешают только ответы NTLMv2, а не более слабые LM или NTLM.
+
+Когда также установлен параметр 'client use spnego', для использования NTLMv2 только в рамках NTLMSSP требуется расширенная безопасность (SPNEGO). Такое поведение было введено в исправлениях для CVE-2016-2111.
+
+Значение по умолчанию:
+client NTLMv2 auth = yes
+</string>
+ <string id="POL_94342D11_937E_5F14_BBEA_C9B370F6A523">client plaintext auth</string>
+ <string id="POL_94342D11_937E_5F14_BBEA_C9B370F6A523_Help">Этот параметр устарел, начиная с Samba 4.13, и поддержка открытого текста (в отличие от аутентификации NTLM, NTLMv2 или Kerberos) будет удалена в будущем выпуске Samba.
+
+То есть в будущем текущее значение по умолчанию 'client plaintext auth = no' будет принудительным поведением.
+
+Указывает, должен ли клиент отправлять пароль в виде открытого текста, если сервер не поддерживает зашифрованные пароли.
+
+Значение по умолчанию:
+client plaintext auth = no</string>
+ <string id="POL_DCB591D5_0F63_58EC_A0BB_F5F81064B714">client schannel</string>
+ <string id="POL_DCB591D5_0F63_58EC_A0BB_F5F81064B714_Help">Эта опция устарела в Samba 4.8 и будет удалена в будущем. В то же время значение по умолчанию изменено на yes, что будет жестко запрограммированным поведением в будущем.
+
+Этот параметр контролирует, будет ли предложено клиенту или даже потребует ли использования schannel netlogon:
+
+ * no — не требовать schannel,
+
+ * auto — предлагать schannel, но не предписывать это,
+
+ * yes — запрещает доступ, если сервер не способен производить вход в сеть schannel netlogon (Schannel означает безопасный метод передачи — secure channel).
+
+Обратите внимание, что для доменов Active Directory жестко задано значение 'client schannel = yes'.
+
+Опция 'require strong key' имеет приоритет над этой опцией.
+
+Значение по умолчанию:
+yes
+
+Пример:
+auto</string>
+ <string id="POL_F35419AB_2114_5382_8060_B1AAED24F2A1">client signing</string>
+ <string id="POL_F35419AB_2114_5382_8060_B1AAED24F2A1_Help">Это определяет, разрешено или необходимо клиенту использовать подпись SMB. Возможные значения: auto, mandatory и disabled.
+
+Если установлено значение auto или default, подпись SMB предлагается, но не принудительно.
+
+Если установлено значение mandatory, требуется подпись SMB, а при значении disabled подпись SMB также не предлагается.
+
+IPC$ соединения для DCERPC, например в winbindd обрабатываются опцией 'client ipc signing'.
+
+Значение по умолчанию:
+default</string>
+ <string id="POL_F761A7A7_2852_560C_B6D7_A50C613C5431">client use spnego principal</string>
+ <string id="POL_F761A7A7_2852_560C_B6D7_A50C613C5431_Help">Этот параметр определяет, будет ли smbclient(8) и другие компоненты Samba, действующие в качестве клиента, пытаться использовать предоставленный сервером принципал, который иногда указывается при обмене SPNEGO.
+
+Если параметр включен, Samba может пытаться использовать Kerberos для связи с серверами, известными только по IP-адресу. Kerberos полагается на имена, поэтому обычно не может работать в этой ситуации.
+
+Это ОЧЕНЬ ПЛОХАЯ ИДЕЯ по соображениям безопасности, поэтому этот параметр НЕ ДОЛЖЕН ИСПОЛЬЗОВАТЬСЯ. Он будет удален в будущей версии Samba.
+
+Если параметр отключен, Samba будет использовать имя, используемое для поиска сервера при запросе билета у KDC. Это позволяет избежать ситуаций, когда сервер может выдавать себя за другого, требуя аутентификации в качестве одного принципала, в то время как в сети он известен как другой.
+
+Обратите внимание, что Windows XP SP2 и поздние версии уже следуют этому поведению, а серверы Windows Vista и более поздних версий больше не предоставляют этот 'rfc4178 hint' принципал на стороне сервера.
+
+Этот параметр устарел в Samba 4.2.1 и будет удален (вместе с функциональностью) в более позднем выпуске Samba.
+
+Значение по умолчанию:
+client use spnego principal = no</string>
+ <string id="POL_158C42B4_685B_5FDE_BF9D_C42504E8C09C">debug encryption</string>
+ <string id="POL_158C42B4_685B_5FDE_BF9D_C42504E8C09C_Help">Эта опция заставит код сервера и клиента smbd, используя libsmb (smbclient, smbget, smbspool и т.д.), сбрасывать Session Id, decrypted Session Key, Signing Key, Application Key, Encryption Key и Decryption Key каждый раз, когда устанавливается сеанс SMB3+. Эта информация будет отражена в логах уровня 0.
+
+Предупреждение: доступ к этим значениям позволяет дешифровать любой зашифрованный трафик в сброшенных сеансах. Этот параметр следует включать только в целях отладки.
+
+Значение по умолчанию:
+debug encryption = no</string>
+ <string id="POL_8853D1A2_6482_58E1_9748_192D92523750">dedicated keytab file</string>
+ <string id="POL_8853D1A2_6482_58E1_9748_192D92523750_Help">Задает абсолютный путь к файлу keytab Kerberos, если для параметра 'kerberos method' установлено значение dedicated keytab.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/local/etc/krb5.keytab</string>
+ <string id="POL_3C1941B5_4894_501A_A7FD_F0C6BCE77DA9">encrypt passwords</string>
+ <string id="POL_3C1941B5_4894_501A_A7FD_F0C6BCE77DA9_Help">Этот параметр устарел, начиная с Samba 4.11, и поддержка открытого текста (в отличие от аутентификации NTLM, NTLMv2 или Kerberos) будет удалена в будущем выпуске Samba.
+
+То есть в будущем текущее значение по умолчанию 'encrypt passwords = yes' будет принудительным поведением.
+
+Это логическое значение определяет, будет ли использоваться шифрование паролей между сервером и клиентом. Обратите внимание, что Windows NT 4.0 SP3 и выше и также Windows 98 будут по умолчанию ожидать зашифрованные пароли, если системный реестр не изменен. Как использовать шифрование паролей в Samba, см. раздел «User Database» в руководстве Samba HOWTO.
+
+Клиенты MS Windows, которые ожидают зашифрованные пароли Microsoft и поэтому не допускают пароли открытым текстом, будут способны подключиться только к серверу Samba, на котором включена поддержка зашифрованных паролей и для которых учетные записи пользователей имеют действующий зашифрованный пароль. Обратитесь к странице руководства команды smbpasswd для получения информации относительно создания зашифрованных паролей учетных записей пользователей.
+
+Использование нешифрованых паролей (plain text passwords) не рекомендуется, поскольку более не поддерживается продуктами Microsoft Windows. Если необходимо использовать пароли в виде обычного текста, следует установить 'encrypt passwords = no'.
+
+Для поддержки зашифрованных паролей smbd(8) должен либо иметь доступ к локальному файлу smbpasswd(5) (см. smbpasswd(8) для получения информации о том, как настроить и поддерживать этот файл), либо установить параметр 'security' в значение [domain|ads], это заставит smbd подтверждать подлинность с другого сервера.
+
+Значение по умолчанию:
+encrypt passwords = yes</string>
+ <string id="POL_99472FC1_E6CE_5476_9EC3_EB2EF52862AE">guest account</string>
+ <string id="POL_99472FC1_E6CE_5476_9EC3_EB2EF52862AE_Help">Это имя пользователя, которое будет использоваться для доступа к службам, для которых задан параметр 'guest ok'. Независимо от привилегии пользователя гостевой общий ресурс будет доступен для любого клиента. Этот пользователь должен существовать в файле паролей, однако при подключении не требуется вводить пароль. Учетная запись «ftp» часто хороший выбор для этого параметра.
+
+В некоторых системах гостевая учетная запись по умолчанию — «nobody» возможно не получит доступ к печати. В этом случае используйте другую учетную запись. Необходимо проверить это, попытавшись войти в систему как гостевой пользователь (возможно, используя команду su-) и попытавшись выполнить печать с помощью системной команды печати, такой как lpr(1) или lp(1).
+
+В этом параметре нельзя использовать % макросы, необходимо чтобы значение параметра было постоянным для корректной работы сервиса.
+
+Значение по умолчанию:
+nobody
+
+Пример:
+ftp</string>
+ <string id="POL_75BBDBCB_46D1_55DE_9A7C_9EEA7DD026BF">kerberos encryption types</string>
+ <string id="POL_75BBDBCB_46D1_55DE_9A7C_9EEA7DD026BF_Help">Этот параметр определяет типы шифрования, которые будут использоваться при работе в качестве клиента Kerberos. Возможные значения: all, strong, и legacy.
+
+Samba использует библиотеку Kerberos (MIT или Heimdal) для получения билетов Kerberos. Эта библиотека обычно настраивается вне Samba с помощью файла krb5.conf. Этот файл может также включать директивы для настройки используемых типов шифрования. Однако Samba реализует протоколы и алгоритмы Active Directory для поиска контроллера домена. Чтобы заставить библиотеку Kerberos использовать правильный контроллер домена, некоторые процессы Samba, такие как winbindd(8) и net(8), создают частный файл krb5.conf для использования библиотекой Kerberos при вызове из Samba. Этот частный файл управляет всеми аспектами работы библиотеки Kerberos, и этот параметр управляет настройкой типов шифрования в этом сгенерированном файле и, следовательно, также контролирует типы шифрования, согласовываемые Samba.
+
+Если установлено значение all, разрешены все типы шифрования активного каталога.
+
+Если установлено значение strong, предлагаются только типы шифрования на основе AES. Это можно использовать в защищенных средах для предотвращения атак на более раннюю версию.
+
+Если задано значение legacy, разрешено использование только RC4-HMAC-MD5. Отказ от AES таким способом имеет очень конкретное применение. Обычно тип шифрования оговаривается между одноранговыми узлами. Однако есть один сценарий, в котором Windows read-only domain controller (RODC) объявляет о шифровании AES, но затем передает запрос на доступный для записи DC, который может не поддерживать шифрование AES, что приводит к сбою рукопожатия. Установка для этого параметра значения legacy приведет к тому, что Samba не будет согласовывать шифрование AES. Разумеется, предполагается, что для данной установки приемлемы более слабые устаревшие типы шифрования.
+
+Значение по умолчанию:
+all</string>
+ <string id="POL_4AE746EE_4A10_55CC_8934_7E4FEF028E4D">kerberos method</string>
+ <string id="POL_4AE746EE_4A10_55CC_8934_7E4FEF028E4D_Help">Параметр управляет проверкой билетов Kerberos.
+
+Допустимые значения:
+
+ * secrets only — используется только файл secrets.tdb для проверки билетов (default)
+ * system keytab — используется только system keytab для проверки билетов
+ * dedicated keytab — используется dedicated keytab для проверки билетов
+ * secrets and keytab — сначала используется secrets.tdb, затем system keytab
+
+Основное различие между «system keytab» и «dedicated keytab» заключается в том, что последний метод полагается на Kerberos для поиска правильной записи keytab вместо фильтрации на основе ожидаемых принципалов.
+
+Когда 'kerberos method' находится в режиме «dedicated keytab», то необходимо указать расположение файла keytab в параметре 'dedicated keytab file'.
+
+Значение по умолчанию:
+default</string>
+ <string id="POL_C0E75830_A92F_5E76_A2CF_8E864DF58497">kpasswd port</string>
+ <string id="POL_C0E75830_A92F_5E76_A2CF_8E864DF58497_Help">Указывает, какой порт сервер Kerberos должен прослушивать при смене пароля.
+
+Значение по умолчанию:
+464</string>
+ <string id="POL_37987863_7B25_5531_81BE_8EB427F3D0E1">krb5 port</string>
+ <string id="POL_37987863_7B25_5531_81BE_8EB427F3D0E1_Help">Указывает, какой порт KDC должен прослушивать трафик Kerberos.
+
+Значение по умолчанию:
+88</string>
+ <string id="POL_91CB69F0_B95B_565D_B50D_0BC441ED9E34">lanman auth</string>
+ <string id="POL_91CB69F0_B95B_565D_B50D_0BC441ED9E34_Help">Этот параметр устарел, начиная с Samba 4.11, и поддержка LanMan (в отличие от аутентификации NTLM, NTLMv2 или Kerberos) будет удалена в будущем выпуске Samba.
+
+То есть в будущем текущее значение по умолчанию 'lanman auth = no' будет принудительным поведением.
+
+Этот параметр определяет, будет ли smbd(8) пытаться аутентифицировать пользователей или разрешать изменение пароля с помощью хэша пароля LANMAN. Если этот параметр отключен (lanman auth = no), только клиенты, которые поддерживают хэши паролей NT (например, клиенты Windows NT/2000, smbclient, но не Windows 95/98 или сетевой клиент MS DOS) смогут подключаться к хосту Samba.
+
+Ответ, зашифрованный LANMAN, легко взломать из-за его нечувствительности к регистру и выбора алгоритма. Серверам без клиентов Windows 95/98/ME или MS DOS рекомендуется отключить эту опцию.
+
+Если этот параметр отключен (lanman auth = no), это также приведет к тому, что sambaLMPassword в базе данных Samba будет очищена после следующей смены пароля. В результате этого клиенты lanman не смогут пройти аутентификацию, даже если позже будет повторно включена проверка подлинности lanman.
+
+В отличие от параметра 'encrypt passwords', этот параметр не может изменить поведение клиента, и ответ LANMAN будет по-прежнему отправляться по сети. См. параметр 'client lanman auth', чтобы отключить это для клиентов Samba (таких как smbclient).
+
+Этот параметр переопределяется параметром 'ntlm auth', поэтому, если он также параметр 'ntlm auth' не установлен на ntlmv1-permitted или yes, тогда будут разрешены логины NTLMv2, а хэш LM не будет сохранен. Все современные клиенты поддерживают NTLMv2, но некоторые старые клиенты требуют специальной настройки для его использования.
+
+Значение по умолчанию:
+lanman auth = no</string>
+ <string id="POL_89CBBE4F_9104_594C_88D1_F9C11246B21F">log nt token command</string>
+ <string id="POL_89CBBE4F_9104_594C_88D1_F9C11246B21F_Help">Эта опция может быть установлена как команда, которая будет вызываться при создании новых токенов nt.
+
+Эта опция полезна только для целей разработки.
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_6BE3D165_D5BE_5252_A0A2_31CD0E777478">map to guest</string>
+ <string id="POL_6BE3D165_D5BE_5252_A0A2_31CD0E777478_Help">Этот параметр может принимать четыре разных значения, которые сообщают smbd(8), что делать с пользовательскими запросами на логин, которые каким-либо образом не соответствуют действующему пользователю UNIX.
+
+Возможные значения:
+
+ * Never — означает, что запросы пользователя на вход с недопустимым паролем отклоняются. Это значение по умолчанию.
+
+ * Bad User — означает, что вход в систему с недопустимым паролем отклоняется, если имя пользователя не существует, и в этом случае оно рассматривается как guest login и сопоставляется с файлом 'guest account'.
+
+ * Bad Password — означает, что вход в систему с недопустимым паролем рассматривается как гостевой логин и сопоставляется с файлом 'guest account'. Обратите внимание, что это может вызвать проблемы, поскольку это означает, что любой пользователь, неправильно вводящий свой пароль, будет автоматически входить в систему как «guest». Такой пользователь не будет знать причину, по которой он не может получить доступ к файлам, к которым, по его мнению, он должен иметь доступ — пользователю не будет отправлено сообщение о том, что он ошибся в пароле. Службы поддержки возненавидят вас, если вы настроите параметр 'map to guest' таким образом :-).
+
+ * Bad Uid — применимо только в том случае, если Samba настроен в режиме 'security = {domain|ads}' и означает, что логины пользователей, которые успешно аутентифицированы, но не имеют действующей учетной записи пользователя Unix (и smbd не может создать её) должны быть сопоставлены с указанной гостевой учетной записью. Это было поведением по умолчанию для выпусков Samba 2.x. Обратите внимание, что если на рядовом сервере работает winbindd, эта опция никогда не должна требоваться, потому что библиотека nss_winbind будет экспортировать пользователей и группы домена Windows в базовую ОС через интерфейс Name Service Switch.
+
+Обратите внимание, что этот параметр необходим для настройки «гостевых» общих служб. Это связано с тем, что в этих режимах имя запрашиваемого ресурса не отправляется на сервер до тех пор, пока сервер не аутентифицирует клиента, поэтому сервер не может принимать решения об аутентификации в правильное время (подключение к общему ресурсу) для «гостевых» общих ресурсов.
+
+Значение по умолчанию:
+Never
+
+Пример:
+Bad User</string>
+ <string id="POL_56EEE2C2_6458_524A_95A8_C59B86A453E0">mit kdc command</string>
+ <string id="POL_56EEE2C2_6458_524A_95A8_C59B86A453E0_Help">Эта опция указывает путь к двоичному файлу MIT kdc.
+
+Если KDC был установлен в каталог не по умолчанию и не был правильно обнаружен во время сборки, то следует изменить эту переменную и указать в ней правильный двоичный файл.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/opt/mit/sbin/krb5kdc</string>
+ <string id="POL_E82BE4E4_3F51_5B03_9809_03101186CE80">ntlm auth</string>
+ <string id="POL_E82BE4E4_3F51_5B03_9809_03101186CE80_Help">Этот параметр определяет, будет ли smbd(8) пытаться аутентифицировать пользователей, используя ответ с зашифрованным паролем NTLM для этой локальной passdb (SAM или БД учетных записей).
+
+Если этот параметр отключен, отключена проверка подлинности NTLM и LanMan по локальной базе данных passdb.
+
+Обратите внимание, что эти параметры применяются только к локальным пользователям, проверка подлинности будет по-прежнему перенаправлена, а проверка подлинности NTLM будет принята для любого домена, к которому мы присоединены, и любого доверенного домена, даже если он отключен или здесь применяется только NTLMv2. Чтобы управлять аутентификацией NTLM для пользователей домена, этот параметр должен быть настроен на каждом контроллере домена.
+
+По умолчанию, если для 'ntlm auth' установлено значение ntlmv2, разрешены только NTLMv2-логины. Все современные клиенты поддерживают NTLMv2 по умолчанию, но для некоторых старых клиентов потребуется специальная конфигурация для его использования.
+
+Основным пользователем NTLMv1 является MSCHAPv2 для сетей VPN и 802.1x.
+
+Доступные значения:
+
+ * ntlmv1-permitted (алиас yes) — разрешить NTLMv1 и выше для всех клиентов. Это необходимая настройка для включения параметра аутентификации lanman.
+
+ * ntlmv2-only (алиас no) — не разрешать использование NTLMv1, но разрешать NTLMv2.
+
+ * mschapv2-and-ntlmv2-only — разрешать NTLMv1 только тогда, когда клиент обещает, что он предоставляет аутентификацию MSCHAPv2 (например, как ntlm_auth).
+
+ * disabled — не принимать NTLM (или LanMan) аутентификацию любого уровня и не разрешать изменение пароля NTLM.
+
+Значение по умолчанию изменилось с yes на no в Samba 4.5. Значение по умолчанию снова изменилось на ntlmv2-only с Samba 4.7, однако поведение не изменилось.
+
+Значение по умолчанию:
+ntlmv2-only</string>
+ <string id="POL_BEB01EAD_B60E_5832_BDD5_5C8ACE276FD4">ntp signd socket directory</string>
+ <string id="POL_BEB01EAD_B60E_5832_BDD5_5C8ACE276FD4_Help">Этот параметр управляет расположением сокета, который использует демон NTP для коммуникации с Samba для подписи пакетов.
+
+Если здесь указан путь, отличный от пути по умолчанию, то также необходимо уведомить NTP о новом пути с помощью директивы ntpsigndsocket в ntp.conf.
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_C04AB7ED_DBC2_50A6_8082_AD0D6CCB758A">null passwords</string>
+ <string id="POL_C04AB7ED_DBC2_50A6_8082_AD0D6CCB758A_Help">Разрешить или запретить доступ клиентов к учетным записям с пустыми паролями.
+
+См. также smbpasswd(5).
+
+Значение по умолчанию:
+null passwords = no</string>
+ <string id="POL_E305251F_7C82_54A6_8F9D_CFBB7934B1DF">obey pam restrictions</string>
+ <string id="POL_E305251F_7C82_54A6_8F9D_CFBB7934B1DF_Help">Когда Samba 3.0 сконфигурирована с поддержкой PAM (т.е. собрана с опцией --with-pam), этот параметр будет определять, должна ли Samba подчиняться правилам управления учетной записью PAM и правилам управления сессиями. По умолчанию PAM используется только для аутентификации в виде открытого текста и игнорирует управление учетной записью или сессиями. Обратите внимание, что Samba не использует PAM для аутентификации, если установлен параметр 'encrypt passwords = yes'. Причина в том, что модули PAM не могут поддерживать механизмы аутентификации, основанные на challenge/response, которые требуются для шифрования паролей SMB.
+
+Значение по умолчанию:
+obey pam restrictions = no</string>
+ <string id="POL_DD8E3C33_F1AE_59CB_B2B6_3358FFBF41AF">old password allowed period</string>
+ <string id="POL_DD8E3C33_F1AE_59CB_B2B6_3358FFBF41AF_Help">Количество минут, в течение которых разрешается вход NTLM после изменения или сброса пароля с использованием старого пароля. Это позволяет пользователю повторно кэшировать новый пароль на нескольких клиентах, не прерывая при этом переподключение к сети.
+
+Этот параметр применяется, только если параметр 'server role' имеет значение Контроллер домена Active Directory.
+
+Значение по умолчанию:
+60</string>
+ <string id="POL_B65F086B_4235_5646_8C8B_AF4C16B6E4AD">pam password change</string>
+ <string id="POL_B65F086B_4235_5646_8C8B_AF4C16B6E4AD_Help">С добавлением улучшенной поддержки PAM в Samba 2.2, этот параметр, можно использовать как флаг управления сменой пароля PAM для Samba. Если параметр включен (pam password change = yes), тогда PAM будет использоваться для смены пароля по запросу клиента SMB вместо программы, указанной в паарметре 'passwd program'. Для большинства конфигураций, должно быть возможно использование этого параметра без изменения параметра 'passwd chat'.
+
+Значение по умолчанию:
+pam password change = no</string>
+ <string id="POL_755D3500_5D11_5DF0_82AC_E5E964C7707B">passdb backend</string>
+ <string id="POL_755D3500_5D11_5DF0_82AC_E5E964C7707B_Help">Этот параметр позволяет администратору выбрать механизм для хранения информации о пользователях и, возможно, о группах. Это позволяет переключаться между различными механизмами хранения без перекомпиляции Samba.
+
+Значение параметра делится на две части, имя механизма и местонахождение, строка, которая означает, что механизм имеет отношение только к указанной зоне. Они разделяются знаком «:».
+
+Доступные механизмы:
+
+ * smbpasswd — старый механизм passdb с открытым текстом. Некоторые функции Samba не будут работать, если используется этот механизм. Принимает путь к файлу smbpasswd в качестве необязательного аргумента.
+
+ * tdbsam — механизм для хранения паролей на основе TDB. Принимает путь к TDB в качестве необязательного аргумента (по умолчанию passdb.tdb в каталоге 'private dir').
+
+ * ldapsam — механизм passdb на основе LDAP. Принимает URL-адрес LDAP в качестве необязательного аргумента (по умолчанию ldap://localhost). Соединения LDAP должны быть зашифрованы, там, где это возможно. Это можно сделать либо с помощью Start-TLS (см. параметр 'ldap ssl'), либо указав ldaps:// в аргументе URL. В двойных кавычках могут быть указаны несколько серверов. Возможность поддержки нескольких серверов и точный синтаксис зависит от используемой библиотеки LDAP.
+
+Значение по умолчанию:
+tdbsam
+
+Пример:
+tdbsam:/etc/samba/private/passdb.tdb
+
+Мультисерверный URL LDAP с библиотекой OpenLDAP:
+ldapsam:"ldap://ldap-1.example.com ldap://ldap-2.example.com"
+
+Мультисерверный LDAP URL с библиотекой LDAP на основе Netscape:
+ldapsam:"ldap://ldap-1.example.com ldap-2.example.com"</string>
+ <string id="POL_2F42A35D_FAD2_545A_9ACE_84CD88BEBDB4">passdb expand explicit</string>
+ <string id="POL_2F42A35D_FAD2_545A_9ACE_84CD88BEBDB4_Help">Этот параметр определяет, заменяет ли Samba %-макросы в полях passdb, если они заданы явно. Раньше мы расширяли макросы здесь, но оказалось, что это ошибка, потому что клиент Windows может расширить переменную %G_osver%, в которой %G будет заменен основной группой пользователя.
+
+Значение по умолчанию:
+passdb expand explicit = no</string>
+ <string id="POL_87D22064_A317_506A_8057_62D7EB06E246">passwd chat</string>
+ <string id="POL_87D22064_A317_506A_8057_62D7EB06E246_Help">Эта строка контролирует диалог («чат»), который происходит между smbd(8) и локальной программой изменения пароля при изменении пароля пользователя. Строка описывает последовательность пар запрос-ответ, которую smbd(8) использует для определения того, что отправлять программе определенной в параметре 'v' и что ожидать в ответ. Если ожидаемый результат не получен, пароль не изменяется.
+
+Этот диалог весьма специфичен для конкретного места, и зависит от того, какие локальные методы используются для управления паролями (например, NIS и т.д.).
+
+Обратите внимание, что этот параметр используется только в том случае, если установлен параметр 'unix password sync'. Если пароль SMB в файле smbpasswd изменяется без доступа к старому паролю, то этот диалог вызывается с правами пользователя ROOT. Это значит, что пользователь root должен иметь возможность сбросить пароль пользователя, не зная предыдущего пароля. При наличии NIS/YP это означает, что скрипт 'passwd program' должен выполняться на главном сервере NIS.
+
+Строка может содержать макрос %n, который заменяет новый пароль. Старый пароль (%o) доступен, только если шифрование паролей отключено (encrypt passwords = no). Диалог также может содержать стандартные макросы \n, \r, \t и \s для перевода строки, возврата каретки, табуляции и пробела. Диалог также может содержать символ '*', который соответствует любой последовательности символов. Двойные кавычки можно использовать для объединения строк с пробелами в одну строку.
+
+Если в отправляемой строке диалога строка есть точка («.»), то такая строка не отправляется. Точно так же, если на месте ожидаемой строки стоит точка, никакой строки не ожидается.
+
+Если установлен параметр 'pam password change', пары чата могут быть сопоставлены в любом порядке, и успех определяется результатом PAM, а не каким-либо конкретным выходом. Макрос \n игнорируется для преобразований PAM.
+
+Значение по умолчанию:
+*new*password* %n\n *new*password* %n\n *changed*
+
+Пример:
+"*Enter NEW password*" %n\n "*Reenter NEW password*" %n\n "*Password changed*"</string>
+ <string id="POL_FB5B5BAF_88EA_547F_B6C1_C26EF698C89B">passwd chat debug</string>
+ <string id="POL_FB5B5BAF_88EA_547F_B6C1_C26EF698C89B_Help">Это логическое значение указывает, запускается ли сценарий 'passwd chat' в режиме отладки. В этом режиме, строки, передаваемые и получаемые в диалоге 'passwd chat', записываются в файл журнала smbd(8) с уровнем отладки 100 ('debug level = 100'). Включение этой опции небезопасно, поскольку пароли можно будет увидеть в открытом виде в журнале smbd. Данная опция доступна для отладки администраторами Samba диалога 'passwd chat' при вызове 'passwd program', и должна быть отключена после завершения отладки. Эта опция игнорируется, если установлен параметр 'pam password change'. По умолчанию эта опция отключена.
+
+Значение по умолчанию:
+passwd chat debug = no</string>
+ <string id="POL_885CA09B_77E8_5E63_85E8_108397557B0B">passwd chat timeout</string>
+ <string id="POL_885CA09B_77E8_5E63_85E8_108397557B0B_Help">Этот параметр (целое число) определяет количество секунд, в течение которых smbd будет ожидать первый ответ от запущенного сценария 'passwd chat'. После получения первого ответа последующие ответы должны быть получены в течение одной десятой этого времени. По умолчанию это две секунды.
+
+Значение по умолчанию:
+2</string>
+ <string id="POL_E710453F_700A_5430_BE8D_5364117F7E85">passwd program</string>
+ <string id="POL_E710453F_700A_5430_BE8D_5364117F7E85_Help">Этот параметр определяет программу, которая может использоваться для установки паролей пользователей UNIX. Макрос %u будет заменен именем пользователя. Перед вызовом программы изменения пароля, будет проверено существование данного имени пользователя.
+
+Обратите внимание, что большинство команд смены пароля требуют для паролей обоснованной сложности (минимальная длина или включение цифр и символов в разных регистрах). Это может создать проблему, так как некоторые клиенты (например, Windows for Workgroups) переводят пароль в верхний регистр перед его отправкой.
+
+Обратите внимание, что если установлен параметр 'unix password sync', программа, определенная в данном параметре, вызывается с правами пользователя ROOT перед изменением пароля SMB в файле smbpasswd. Если изменение пароля UNIX потерпело неудачу, то smbd также не сможет изменить пароль SMB (это сделано намеренно).
+
+Если установлен параметр 'unix password sync', параметр 'passwd program' ДОЛЖЕН ИСПОЛЬЗОВАТЬ АБСОЛЮТНЫЕ ПУТИ для ВСЕХ вызываемых программ и вызываемые программы должны быть исследованы на предмет последствий для безопасности. Обратите внимание, что по умолчанию параметр 'unix password sync' не установлен.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/bin/passwd %u</string>
+ <string id="POL_77F6400F_03D4_53F9_AB7B_E0464F72E61F">password hash gpg key ids</string>
+ <string id="POL_77F6400F_03D4_53F9_AB7B_E0464F72E61F_Help">Если Samba работает как контроллер домена Active Directory, можно сохранить пароли учетных записей в открытом виде в зашифрованной форме PGP/OpenGPG.
+
+Можно указать одного или нескольких получателей по идентификатору ключа или идентификатору пользователя. Обратите внимание, что 32-битные идентификаторы ключей не допускаются, необходимо указать как минимум 64-битный.
+
+Значения хранятся как «Primary:SambaGPG» в атрибуте supplementalCredentials.
+
+Поскольку изменение пароля может произойти на любом контроллере домена, необходимо настроить данный параметр на каждом из них. Обратите внимание, что эта функция в настоящее время доступна только на контроллерах домена Samba.
+
+Эта опция доступна, только если Samba была скомпилирована с поддержкой gpgme.
+
+Возможно, потребуется экспортировать переменную среды GNUPGHOME перед запуском Samba. Настоятельно рекомендуется хранить только открытый ключ в этом месте. Закрытый ключ не используется для шифрования и должен храниться только там, где требуется дешифрование.
+
+Возможность восстановления паролей в открытом виде помогает, когда позже потребуется импортировать их в другие системы аутентификации (см. команду 'samba-tool user getpassword') или если требуется, чтобы пароли синхронизировались с другой системой, например с сервером OpenLDAP (см. команду 'samba-tool user syncpasswords').
+
+Хотя этот параметр необходимо настроить на всех контроллерах домена, команда 'samba-tool user syncpasswords' должна выполняться только на одном контроллере домена (обычно это эмулятор PDC).
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+4952E40301FAB41A
+
+Пример:
+selftest@samba.example.com
+
+Пример:
+selftest@samba.example.com, 4952E40301FAB41A</string>
+ <string id="POL_5EA8345D_5B61_554F_AAF5_2C069A37DFCA">password hash userPassword schemes</string>
+ <string id="POL_5EA8345D_5B61_554F_AAF5_2C069A37DFCA_Help">Этот параметр определяет, будет ли samba(8), которая работает как контроллер домена Active Directory, сохранять дополнительные типы хэшей паролей для пользователя.
+
+Значения хранятся как «Primary:userPassword» в атрибуте additionalCredentials. Значение этой опции — тип хэша.
+
+В настоящее время поддерживаются следующие типы хэшей:
+
+ * CryptSHA256
+
+ * CryptSHA512
+
+Могут быть вычислены и сохранены несколько экземпляров типов хэшей. Хэши паролей вычисляются с помощью вызова crypt(3). Количество раундов, используемых для вычисления хэша, можно указать, добавив ':rounds = xxxx' к типу хэша, то есть если 'CryptSHA512:rounds = 4500', хэш SHA512 будет вычисляться с использованием 4500 раундов. Если не указано иное, для crypt(3) используются значения операционной системы по умолчанию.
+
+Поскольку изменение пароля может произойти на любом контроллере домена, необходимо настроить данный параметр на каждом из них. Обратите внимание, что эта функция в настоящее время доступна только на контроллерах домена Samba.
+
+В настоящее время при вычислении и хранении этих хэшей регистрируется NT-хэш пароля. При получении хэша текущее значение NT Hash сравнивается с сохраненным NT Hash. Это позволяет обнаружить изменения пароля, которые не обновили хэши паролей. В этом случае команда 'samba-tool user' проигнорирует сохраненные хэш-значения.
+
+Возможность получить хэшированный пароль помогает, когда позже потребуется импортировать их в другие системы аутентификации (см. команду 'samba-tool user getpassword') или если требуется, чтобы пароли синхронизировались с другой системой, например с сервером OpenLDAP (см. команду 'samba-tool user syncpasswords').
+
+Связанный параметр: 'unix password sync'
+
+Значение по умолчанию:
+password hash userPassword schemes
+
+Пример:
+CryptSHA256
+
+Пример:
+CryptSHA256 CryptSHA512
+
+Пример:
+CryptSHA256:rounds=5000 CryptSHA512:rounds=7000</string>
+ <string id="POL_1D36B51B_8AB7_593A_95D8_93B12C9F9EFA">password server</string>
+ <string id="POL_1D36B51B_8AB7_593A_95D8_93B12C9F9EFA_Help">Указав, с помощью этой опции, имя контроллера домена и используя параметр security = [ads|domain], можно заставить Samba выполнять все проверки пользователь/пароль с помощью определенного удаленного сервера.
+
+В идеале этот параметр не следует использовать, поскольку значение по умолчанию «*», указывает Samba на определение наилучшего DC для динамических связей, также как это делают все остальные хосты в домене AD. Это позволяет поддерживать домен (добавление и удаление контроллеров домена) без изменения файла smb.conf. Криптографическая защита аутентифицированных вызовов RPC, используемых для проверки паролей, гарантирует безопасность этого значения по умолчанию.
+
+Настоятельно рекомендуется использовать значение по умолчанию «*», однако, если в вашей конкретной среде у вас есть причина указать конкретный список контроллеров домена, то список машин в этой опции должен быть списком имен или IP-адресов контроллеров домена. Если используется значение по умолчанию «*» или указано несколько хостов в параметре сервера паролей, то smbd будет пробовать каждый по очереди, пока не найдет тот, который отвечает. Это полезно в случае, если основной сервер выйдет из строя.
+
+Если список серверов содержит и имена/IP-адреса, и символ «*», список рассматривается как список предпочтительных контроллеров домена, но в список также будет добавлен автоматический поиск всех оставшихся контроллеров домена. Samba не будет пытаться оптимизировать этот список, определяя местонахождение ближайшего DC.
+
+Если значением параметра является имя, оно может быть разрешено любым методом и в любом порядке, описанном в параметре 'name resolve order'.
+
+Значение по умолчанию:
+*
+Пример:
+NT-PDC, NT-BDC1, NT-BDC2, *
+
+Пример:
+windc.mydomain.com:389 192.168.1.101 *</string>
+ <string id="POL_4605CA34_85F3_51DB_8BCE_C56B51AA39BF">preload modules</string>
+ <string id="POL_4605CA34_85F3_51DB_8BCE_C56B51AA39BF_Help">Это список путей к модулям, которые должны быть загружены в smbd перед подключением клиента. Это несколько увеличивает скорость smbd при реагировании на новые соединения.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/lib/samba/passdb/mysql.so</string>
+ <string id="POL_5103CDE2_436D_5FB9_8633_6BB5EBB59406">private dir</string>
+ <string id="POL_5103CDE2_436D_5FB9_8633_6BB5EBB59406_Help">Параметр определяет каталог, который smbd будет использовать для хранения таких файлов, как smbpasswd и secrets.tdb.
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_7DB136EF_7DAD_5A4F_8C40_F3079FCB925F">raw NTLMv2 auth</string>
+ <string id="POL_7DB136EF_7DAD_5A4F_8C40_F3079FCB925F_Help">Этот параметр устарел, начиная с Samba 4.13, и поддержка аутентификации NTLMv2 без NTLMSSP будет удалена в следующем выпуске Samba.
+
+То есть в будущем параметр 'raw NTLMv2 auth' будет принудительно выключен.
+
+Этот параметр определяет, разрешит ли smbd(8) клиентам SMB1 без расширенной безопасности (без SPNEGO) использовать аутентификацию NTLMv2.
+
+Если этот параметр, а также параметры 'lanman auth' и 'ntlm auth' отключены, будут разрешены только клиенты с поддержкой SPNEGO. Это означает, что NTLMv2 поддерживается только в NTLMSSP.
+
+Значение по умолчанию:
+raw NTLMv2 auth = no</string>
+ <string id="POL_E4D542FC_3D67_5397_9AC3_3868BB017F03">rename user script</string>
+ <string id="POL_E4D542FC_3D67_5397_9AC3_3868BB017F03_Help">В этом параметре указывается полный путь к сценарию, который будет запущен smbd(8) от имени пользователя root, при обстоятельствах, описанных ниже.
+
+Когда пользователь с правами администратора или с правами SeAddUserPrivilege переименовывает пользователя (например, через панель управления доменами NT4), этот сценарий будет запущен для того, чтобы переименовать пользователя POSIX. Две переменные, %uold и %unew, будут использоваться для определения старого и нового имени соответственно. Скрипт должен возвращать 0 при успешном завершении и ненулевое значение в противном случае.
+
+Примечание:
+ Сценарий несет полную ответственность за переименование всех необходимых данных, доступных в этом методе posix. Это может означать разное для разных платформ. Серверные программы tdbsam и smbpasswd позаботятся о содержимом своих файлов, поэтому сценарий отвечает только за изменение имени пользователя POSIX и других данных, которые характерны для конкретной ситуации (например, домашние каталоги). Также подумайте, нужно ли переименовывать сами домашние каталоги. ldapsam не будет вносить никаких изменений из-за потенциальных проблем с переименованием атрибута именования LDAP (LDAP naming attribute). В этом случае сценарий отвечает за изменение атрибута (uid), который Samba использует для поиска пользователей, а также за любые данные, которые необходимо изменить для других приложений, использующих тот же каталог.
+
+Значение по умолчанию:
+пустая строка</string>
+ <string id="POL_7D42E3F0_DE0E_57E0_8EAF_F56111560EA3">restrict anonymous</string>
+ <string id="POL_7D42E3F0_DE0E_57E0_8EAF_F56111560EA3_Help">Установка этого параметра определяет, можно ли получить доступ к службам SAMR и LSA DCERPC анонимно. Этот параметр соответствует следующим параметрам реестра Windows Server:
+
+ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
+
+Этот параметр также влияет на параметр просмотра, который требуется для устаревших клиентов, которые полагаются на просмотр NetBIOS. Хотя современные версии Windows должны работать с ограничением доступа, все же могут быть приложения, полагающиеся на анонимный доступ.
+
+Установка значения 'restrict anonymous = 1' отключит анонимный доступ к SAMR.
+
+Установка 'restrict anonymous = 2' помимо ограничения доступа SAMR запрещает анонимные подключения к общему ресурсу IPC$. Установка параметра 'guest ok = yes' для любого общего ресурса переопределяет это значение.
+
+Значение по умолчанию:
+0</string>
+ <string id="POL_6745DAC3_A866_5519_83C8_8086C063AAB7">root directory</string>
+ <string id="POL_6745DAC3_A866_5519_83C8_8086C063AAB7_Help">При запуске сервер поменяет корневой каталог (chroot()) на каталог, указанный в этом параметре. Нет необходимости делать это в целях безопасности. Даже без этого параметра сервер запретит доступ к файлам, которые находятся за пределами доступности сервисов. Сервер также может проверить и запретить следовать по симлинкам, которые ведут в другие части файловой системы или попытки использовать «..» в именах файлов для доступа к другим каталогам (в зависимости от настройки параметра 'wide smbconfoptions').
+
+Добавление записи корневого каталога отличного от «/», добавляет дополнительный уровень безопасности, но за все приходится платить. При этом гарантируется, что не будет предоставлен доступ к файлам, не входящим в поддерево, указанное в параметре 'root directory', включая некоторые файлы, необходимые для полной работы сервера. Для обеспечения полной работоспособности сервера, вам придется скопировать некоторые файлы относительно нового корневого каталога. В частности, нужен будет файл /etc/passwd (или его часть) и все бинарные файлы и файлы конфигурации, необходимые для печати (при необходимости). Набор этих файлов зависит от операционной системы.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/homes/smb</string>
+ <string id="POL_9218F54E_BE22_57C0_BEF2_489F89B7D3BA">samba kcc command</string>
+ <string id="POL_9218F54E_BE22_57C0_BEF2_489F89B7D3BA_Help">Эта опция указывает путь к сценарию Samba KCC. Этот сценарий используется для репликации топологии.
+
+Нет необходимости изменять эту опцию, кроме как в целях тестирования или если samba_kcc был установлен не в папку по умолчанию.
+
+Значение по умолчанию:
+/samba_kcc
+
+Пример:
+/usr/local/bin/kcc</string>
+ <string id="POL_86AEEBA8_5181_54A2_A436_FD35443F7C03">security</string>
+ <string id="POL_86AEEBA8_5181_54A2_A436_FD35443F7C03_Help">Этот параметр влияет на то, как будут себя вести клиенты Samba и это один из наиболее важных параметров файла smb.conf.
+
+По умолчанию 'security = user', так как это наиболее распространенный параметр, используемый для автономного файлового сервера или контроллера домена.
+
+Альтернативные значения: 'security = ads' или 'security = domain', поддерживают присоединение Samba к домену Windows.
+
+Необходимо использовать 'security = user' и параметр 'map to guest', если необходимо в основном настроить общие ресурсы без пароля (гостевые ресурсы). Обычно такие настройки используются для общего сервера печати.
+
+
+ security = AUTO
+
+Это значение по умолчанию в Samba, которое заставляет Samba обращаться к параметру 'server role' (если он установлен) для определения режима безопасности.
+
+ security = USER
+
+Это значение по умолчанию в Samba, если параметр 'server role' не установлен. С безопасностью на уровне пользователя клиент должен сначала «войти в систему» (logon) с существующим именем пользователя и паролем (которые могут быть сопоставлены с помощью параметра 'username map'). В этом режиме безопасности также можно использовать зашифрованные пароли (см. параметр 'encrypt passwords'). Параметры 'user' и 'guest only', если они установлены, могут изменить пользователя UNIX для использования в этом соединении, НО только после того как пользователь успешно пройдет аутентификацию.
+
+Обратите внимание, что имя запрашиваемого ресурса не отправляется на сервер до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые учетные записи не работают в режиме безопасности USER, не позволяя серверу автоматически сопоставлять неизвестных пользователей с 'guest account'. Подробнее об этом см. параметр 'map_to_guest'.
+
+ security = DOMAIN
+
+Этот режим будет работать правильно только в том случае, если для добавления компьютера в домен Windows NT использовалась команда net(8). При этом должен быть установлен параметр 'encrypt passwords = yes'. В этом режиме Samba будет пытаться проверить имя пользователя/пароль, передав его основному или резервному домен контроллерам Windows NT т.е. сделает тоже самое, что сделал бы сервер Windows NT.
+
+Обратите внимание, что действующий пользователь UNIX должен существовать, а также учетная запись на контроллере домена, чтобы у Samba была действующая учетная запись UNIX для сопоставления доступа к файлам.
+
+Заметьте, что с точки зрения клиента, нет разницы между режимами security = domain и security = user. Это влияет только на то, как сервер работает с аутентификацией, и никоим образом не влияет на то, что видит клиент.
+
+Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Вот почему гостевые общие ресурсы не работают в режиме security = USER, не позволяя серверу автоматически сопоставлять неизвестных пользователей с 'guest account'. Подробнее об этом см. параметр 'map to guest'.
+
+См. также параметры 'password server' и 'encrypt passwords'.
+
+ security = ADS
+
+В этом режиме Samba работает как член домена AD. Для работы в этом режиме на машине, на которой работает Samba, должен быть установлен и настроен Kerberos, а Samba должна быть присоединена к области AD с использованием утилиты net.
+
+
+Обратите внимание, что этот режим НЕ заставляет Samba работать в качестве контроллера домена Active Directory.
+
+Обратите внимание, что для этого для основного домена должны быть установлены параметры 'require strong key = yes' и 'client schannel = yes'.
+
+См. раздел «Domain Membership» в руководстве Samba-HOWTO для получения более подробной информации.
+
+Значение по умолчанию:
+AUTO
+
+Пример:
+DOMAIN</string>
+ <string id="POL_925F9081_BDD3_5BE8_BB73_89EBE3A0A8F0">server role</string>
+ <string id="POL_925F9081_BDD3_5BE8_BB73_89EBE3A0A8F0_Help">Этот параметр определяет основной режим работы сервера Samba и является одним из наиболее важных параметров в файле smb.conf.
+
+Значение по умолчанию — 'server role = auto', так как Samba работает в соответствии с настройками параметра 'security' или, если они не указаны, как простой файловый сервер, не подключенный ни к какому домену.
+
+Альтернативные варианты: 'server role = standalone' и 'server role = member server', которые поддерживают присоединение Samba к домену Windows, а также 'server role = domain controller', который запускает Samba в качестве контроллера домена Windows.
+
+Необходимо использовать 'server role = standalone' и параметр 'map to guest', если необходимо в основном настроить общие ресурсы без пароля (гостевые ресурсы). Обычно такие настройки используются для общего сервера печати.
+
+SERVER ROLE = AUTO
+
+Это значение 'server role' по умолчанию в Samba, при этом Samba будет обращаться к параметру 'security' (если он установлен) для определения роли сервера, обеспечивая совместимость поведения с предыдущими версиями Samba.
+
+SERVER ROLE = STANDALONE
+
+Это значение по умолчанию в Samba, если параметр 'security' не указан. В автономном режиме клиент должен сначала «войти в систему» (logon) с существующим именем пользователя и паролем (которые могут быть сопоставлены с помощью параметра 'username map'), хранящимся на этом компьютере. В этом режиме по умолчанию используются зашифрованные пароли (см. параметр 'encrypt passwords'). Параметры 'user' и 'guest only', если они установлены, могут изменить пользователя UNIX для использования в этом соединении, НО только после того как пользователь успешно пройдет аутентификацию.
+
+SERVER ROLE = MEMBER SERVER
+
+Этот режим будет работать правильно только в том случае, если для добавления компьютера в домен Windows использовалась команда net(8). При этом должен быть установлен параметр 'encrypt passwords = yes'. В этом режиме Samba будет пытаться проверить имя пользователя/пароль, передав его контроллеру домена Windows или Samba точно так же, как это сделал бы Windows Server.
+
+Обратите внимание, что действующий пользователь UNIX должен существовать, а также должна существовать учетная запись на контроллере домена, чтобы у Samba была действующая учетная запись UNIX для сопоставления доступа к файлам. Это может обеспечить Winbind.
+
+SERVER ROLE = CLASSIC PRIMARY DOMAIN CONTROLLER
+
+В этом режиме работы выполняется классический основной контроллер домена Samba, предоставляющий услуги входа в систему для клиентов Windows и Samba NT4-подобного домена. Клиенты должны быть присоединены к домену, чтобы создать безопасный, надежный путь в сети. В каждой области NetBIOS должен быть только один PDC (обычно это широковещательная сеть или клиенты, обслуживаемые одним WINS-сервером).
+
+SERVER ROLE = CLASSIC BACKUP DOMAIN CONTROLLER
+
+В этом режиме работы выполняется классический резервный контроллер домена Samba, предоставляющий услуги входа в систему для клиентов Windows и Samba NT4-подобного домена. В качестве BDC это позволяет нескольким серверам Samba предоставлять избыточные службы входа в единую область NetBIOS.
+
+SERVER ROLE = ACTIVE DIRECTORY DOMAIN CONTROLLER
+
+Этот режим работы запускает Samba как контроллер домена Active Directory, предоставляя услуги входа в домен для клиентов Windows и Samba домена. Эта роль требует особой настройки, см. руководство Samba4-HOWTO.
+
+Значение по умолчанию:
+AUTO
+
+Пример:
+ACTIVE DIRECTORY DOMAIN CONTROLLER</string>
+ <string id="POL_6B0930DB_3CC7_57DB_8798_A6B6D3AF05B9">server schannel</string>
+ <string id="POL_6B0930DB_3CC7_57DB_8798_A6B6D3AF05B9_Help">Эта опция устарела, начиная с Samba 4.8 и будет удалена в будущем, так как если не установлено значение yes (что будет жестко запрограммировано в будущем) существует проблема безопасности.
+
+Samba будет записывать в файлы журнала (на уровне 0) сообщения о проблеме безопасности, если значение этого праметра не равно yes.
+
+См. CVE-2020-1472 (ZeroLogon) https://bugzilla.samba.org/show_bug.cgi?id=14497
+
+Если у вас все еще есть старые члены домена, используйте параметр 'server require schannel:COMPUTERACCOUNT'.
+
+Параметр 'server require schannel:COMPUTERACCOUNT' имеет приоритет над данным параметром.
+
+Значение по умолчанию:
+yes
+</string>
+ <string id="POL_6DC4F5E8_3493_5D3C_8E35_D928C38C2604">server signing</string>
+ <string id="POL_6DC4F5E8_3493_5D3C_8E35_D928C38C2604_Help">Этот параметр определяет, следует ли серверу предлагать или требовать от клиента подписывания SMB1 и SMB2. Возможные значения: default, auto, mandatory и disabled.
+
+Если установлено значение default и если параметр 'server role' имеет значение active directory domain controller, подпись smb обязательна, и не требуется в противном случае.
+
+Если установлено значение auto, подписывание SMB1 предлагается, но не обязательно. Если установлено значение mandatory, подписывание SMB1 обязательно. Если установлено значение disabled подписывание SMB даже не предлагается.
+
+Для протокола SMB2 значение этого параметра не может иметь значение disabled. При согласовании SMB2, если этот параметр имеет значение disabled, он будет рассматриваться как значение auto. Если установить значение mandatory, подписывание SMB2 обязательно.
+
+Значение по умолчанию:
+default</string>
+ <string id="POL_7C0D1957_E0F4_5B60_805D_FBA7399D8737">smb passwd file</string>
+ <string id="POL_7C0D1957_E0F4_5B60_805D_FBA7399D8737_Help">В этом параметре указывается путь к шифрованному файлу smbpasswd. По умолчанию путь к файлу smbpasswd вкомпилирован в Samba.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/etc/samba/smbpasswd</string>
+ <string id="POL_94D60BE2_185E_5EC1_8E58_146C4B17C1E7">tls cafile</string>
+ <string id="POL_94D60BE2_185E_5EC1_8E58_146C4B17C1E7_Help">Этот параметр определяет файл (в формате PEM) содержащий сертификаты CA корневых удостоверяющих центров (root CA), которым можно доверять для подписи сертификатов или промежуточных сертификатов CA.
+
+Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.
+
+Значение по умолчанию:
+tls/ca.pem</string>
+ <string id="POL_A9FA5D2E_2052_5A81_812D_83A2952DF38B">tls certfile</string>
+ <string id="POL_A9FA5D2E_2052_5A81_812D_83A2952DF38B_Help">Этот параметр определяет файл (в формате PEM) содержащий RSA сертификат.
+
+Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.
+
+Значение по умолчанию:
+tls/cert.pem</string>
+ <string id="POL_C3E30BBB_123E_55E6_9693_7FF6CCF7488D">tls crlfile</string>
+ <string id="POL_C3E30BBB_123E_55E6_9693_7FF6CCF7488D_Help">Этот параметр определяет файл содержащий список отозванных сертификатов (CRL).
+
+Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.
+
+Значение по умолчанию:
+tls crlfile =</string>
+ <string id="POL_ABFC90A0_6AA2_5372_85E6_FCD989E458EE">tls dh params file</string>
+ <string id="POL_ABFC90A0_6AA2_5372_85E6_FCD989E458EE_Help">Этот параметр определяет файл содержащий параметры Диффи-Хеллмана, который будет использоваться с шифрами DH.
+
+Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.
+
+Значение по умолчанию:
+tls dh params file =</string>
+ <string id="POL_0F91E806_ADD5_59A1_B4FA_E99A51FED659">tls enabled</string>
+ <string id="POL_0F91E806_ADD5_59A1_B4FA_E99A51FED659_Help">Если это параметр установлен (tls enabled = yes), то Samba будет по возможности использовать TLS для связи.
+
+Значение по умолчанию:
+tls enabled = yes</string>
+ <string id="POL_D245CE57_C525_5967_A452_F28BFDB9509B">tls keyfile</string>
+ <string id="POL_D245CE57_C525_5967_A452_F28BFDB9509B_Help">Этот параметр определяет файл (в формате PEM) содержащий закрытый ключ RSA. Этот файл должен быть доступен без пароля, т.е. он не должен быть зашифрован.
+
+Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /.
+
+Значение по умолчанию:
+tls/key.pem</string>
+ <string id="POL_6DB833DB_F8B8_5A20_8E2A_6B7D8E298B9D">tls verify peer</string>
+ <string id="POL_6DB833DB_F8B8_5A20_8E2A_6B7D8E298B9D_Help">Этот параметр контролирует, будет ли клиент проверять сертификат и имя однорангового узла и насколько строго. Возможные значения (в порядке возрастания): no_check, ca_only, ca_and_name_if_available, ca_and_name и as_strict_as_possible.
+
+Если установлено значение no_check, сертификат не проверяется вообще, что допускает тривиальные атаки «человек посередине».
+
+Если установлено значение ca_only, сертификат проверяется на подпись от CA, указанного в параметре 'tls cafile'. Требуется установить для параметра 'tls cafile' допустимый файл. Срок действия сертификата также проверяется. Если настроена опция 'tls crlfile', сертификат также проверяется на соответствие c списка отозванных сертификатов.
+
+Если установлено значение ca_and_name_if_available, выполняются все проверки из ca_only. Кроме того, одноранговое имя хоста (peer hostname) сверяется с именем сертификата, если оно предоставлено прикладным уровнем и не задано как строка IP-адреса.
+
+Если установлено значение ca_and_name, выполняются все проверки из ca_and_name_if_available. Кроме того, необходимо указать имя хоста однорангового узла, и даже IP-адрес сверяется с именем сертификата.
+
+Если установлено значение as_strict_as_possible, выполняются все проверки из ca_and_name. Кроме того, необходимо настроить опцию 'tls crlfile'. В будущих версиях Samba могут быть реализованы дополнительные проверки.
+
+Значение по умолчанию:
+as_strict_as_possible</string>
+ <string id="POL_82913C09_64C3_59C3_8303_3A815661F70E">unix password sync</string>
+ <string id="POL_82913C09_64C3_59C3_8303_3A815661F70E_Help">Параметр заставляет синхронизировать пароль UNIX с паролем SMB при изменении зашифрованного пароля SMB в файле smbpasswd. При включении этого параметра (unix password sync = yes), от имени пользователя ROOT вызывается программа, определенная в параметре 'passwd program', что позволяет установить новый пароль UNIX без доступа к старому паролю UNIX (т.к. у программы смены пароля SMB нет никакого доступа к открытому тексту старого пароля, есть только новый пароль).
+
+Этот параметр не действует, если Samba работает как контроллер домена Active Directory. В этом случае обратите внимание на параметр 'password hash gpg key ids' и команду 'samba-tool user syncpasswords'.
+
+Значение по умолчанию:
+unix password sync = no</string>
+ <string id="POL_37EE4890_B571_50D5_B6D7_3462FF89BCE1">username level</string>
+ <string id="POL_37EE4890_B571_50D5_B6D7_3462FF89BCE1_Help">Этот параметр помогает Samba попытаться «угадать» реальное имя пользователя UNIX, поскольку многие клиенты DOS отправляют имя пользователя в верхнем регистре. По умолчанию Samba пробует использовать все строчные буквы, а затем имя пользователя с заглавной первой буквой и терпит неудачу, если имя пользователя не найдено на машине UNIX.
+
+Если для этого параметра установлено ненулевое значение, поведение меняется. Этот параметр представляет собой число, указывающее количество комбинаций верхнего регистра, которые следует попробовать при попытке определить имя пользователя UNIX. Чем выше число, тем больше комбинаций будет пробовано, но тем медленнее будет обнаружение имен пользователей. Используйте этот параметр при наличии «странных» имен пользователей на машине UNIX, таких как AstrangeUser.
+
+Этот параметр необходим только на системах UNIX, у которых имена пользователей чувствительны к регистру.
+
+Значение по умолчанию:
+0
+
+Пример:
+5</string>
+ <string id="POL_086EBC7E_1D72_5C67_9447_F5F6E36EFA8F">username map</string>
+ <string id="POL_086EBC7E_1D72_5C67_9447_F5F6E36EFA8F_Help">Параметр разрешает задать файл определяющий соответствие имен пользователей для клиентов на сервере. Может использоваться в нескольких целях. Самое стандартное применение это сопоставление имен пользователей DOS или Windows именам, используемым на UNIX системе. Другой вариант — привязать нескольких пользователей к одному имени пользователя, чтобы им было легче обмениваться файлами.
+
+Заметьте, что для пользователя или режима безопасности share, сопоставление пользователя применимо до утверждения пользовательских вверительных грамот (credentials). Серверы члены домена (домена или ads) применяют сопоставление имени пользователя после того, как пользователь был успешно зарегистрирован контроллером домена и требуют полного имени в таблице соответствия (например, biddle = DOMAINfoo).
+
+Файл соответствия анализируется построчно. Каждая строка должна содержать имя пользователя UNIX, потом знак равенства («=»), за которым следует список имен пользователей. Список имен пользователя может содержать имена в формате @group, и в этом случае они будут соответствовать любому имени пользователя UNIX в этой группе. Специальное имя клиента «*» является групповым символом и соответствует любому имени. Каждая строка файла соответствий может достигать 1023 символов.
+
+Файл обрабатывается построчно, берется имя пользователя и сравнивается его с каждым именем пользователя справа от знака «=». Если предоставленное имя совпадает с каким-либо из имен справа, оно заменяется именем слева. Затем обработка продолжается со следующей строки.
+
+Если строка начинается с «#» или «;» она игнорируется.
+
+Если строка начинается с «!» тогда обработка файла остановится после этой строки, если соответствие найдено. Иначе поиск соответствия продолжится дальше. Использование «!» является полезным, если в следующих строках у вас есть групповые соответствия. Например, для создания сопоставления имени admin или administrator к UNIX имени root, создайте такую строку:
+
+root = admin administrator
+
+Или создайте соответствие любой пользователь группы system UNIX к UNIX имени sys:
+
+sys = @system
+
+Можно создать множество соответствий имен в файле соответствий.
+
+Если система поддерживает опцию NIS NETGROUP, тогда база данных netgroup проверяется перед базой данных /etc/group для поиска соответствий в группах.
+
+Можно создать соответствия для имен пользователей Windows, используя двойные кавычки вокруг имени, в котором есть пробелы. Например:
+
+tridge = "Andrew Tridgell"
+
+создаст соответствие «Andrew Tridgell» с именем пользователя UNIX «tridge».
+
+Следующий пример создаст соответствие для mary и fred к Unix пользователю sys, и для остальных создаст соответствие к пользователю guest. Заметьте, что использование «!» укажет Samba прекращать обработку файла, если соответствие найдено в текущей строке:
+
+!sys = mary fred
+guest = *
+
+
+Заметьте, что переназначение имен применяется ко всем найденным именам пользователей. Таким образом, если вы соединитесь с \\server\fred, и fred повторно переназначен в mary, то фактически вы будете соединяться с \\server\mary и должны будете предоставить пароль, подходящий для mary, а не fred. Единственное исключение — это имя пользователя, которое передается серверу пароля (если он у вас один). Сервер пароля получит любое имя пользователя клиента без модификации.
+
+Также заметьте, что обратное переназначение имени не делается. Основная проблема в данном случае с печатью. У пользователей, которые были сопоставлены, может возникнуть проблема при удалении заданий печати, поскольку PrintManager под WfWg будет думать, что очередь печати им не принадлежит.
+
+Версии Samba до 3.0.8 поддерживали чтение только полного имени пользователя (например, DOMAIN\user) из таблицы соответствий при выполнении kerberos логина от клиента. Однако, при поиске соответствия для пользователя использующего NTLM [SSP], использовалось только имя пользователя. Иногда это приводило к противоречивому поведению даже на том же самом сервере.
+
+Следующие функциональные возможности появились в версии 3.0.8 и более поздни:
+
+ * При локальной аутентификации, таблица соответствия применяется к имени пользователя прежде подтверждения подлинности соединения.
+
+ * Полагаясь на внешний контроллер домена для подтверждения запроса аутентификации, smbd применит таблицу соответствия пользователя к полному имени пользователя (т.е. DOMAIN\user), только после того, как пользователь был успешно аутентифицирован.
+
+Значение по умолчанию:
+пустая строка (no username map)
+
+Пример:
+/usr/local/samba/lib/users.map</string>
+ <string id="POL_0FE7956E_5744_5658_A2ED_8433C45918D7">username map cache time</string>
+ <string id="POL_0FE7956E_5744_5658_A2ED_8433C45918D7_Help">Сопоставление имен пользователей с 'username map' или 'username map script' с функциями Samba может быть относительно дорогостоящим. При входе пользователя в систему сопоставление выполняется несколько раз. В частности, вызов сценария 'username map script' может замедлить вход в систему, если необходимо запрашивать внешние базы данных из вызываемого сценария.
+
+Параметр 'username map cache time' управляет кэшем отображения. Он определяет количество секунд, в течение которых отображение из файла сопоставления имен пользователей или сценария должно быть эффективно кэшировано. Значение по умолчанию 0 означает, что кэширование не выполняется.
+
+Значение по умолчанию:
+0
+
+Пример:
+60</string>
+ <string id="POL_7C2B49D9_45DE_5D97_B844_9F509F86D211">username map script</string>
+ <string id="POL_7C2B49D9_45DE_5D97_B844_9F509F86D211_Help">Этот сценарий является взаимоисключающей альтернативой параметру 'username map'. Этот параметр указывает внешнюю программу или сценарий, которые должны принимать один параметр командной строки (имя пользователя, переданное в запросе аутентификации) и возвращать строку в стандартном выводе (имя, с которым должна быть сопоставлена учетная запись). Таким образом, можно хранить таблицы сопоставления имен пользователей в службах каталогов LDAP или NIS.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/etc/samba/scripts/mapusers.sh</string>
+ <string id="POL_22AAB8AC_4E62_5B51_BC38_C9340E8AC56E">tls priority</string>
+ <string id="POL_22AAB8AC_4E62_5B51_BC38_C9340E8AC56E_Help">Этот параметр опредеяет строку, описывающую протоколы TLS, которые будут поддерживаться в частях Samba, которые используют GnuTLS, в частности AD DC.
+
+Строка добавляется к списку приоритетов по умолчанию GnuTLS.
+
+Допустимые параметры описаны в документации GNUTLS Priority-Strings по адресу http://gnutls.org/manual/html_node/Priority-Strings.html.
+
+Протокол SSL3.0 будет отключен.
+
+Значение по умолчанию:
+NORMAL:-VERS-SSL3.0</string>
+ <string id="POL_08DDB9FE_1D88_5264_BEB0_6D60420CE12B">aio max threads</string>
+ <string id="POL_08DDB9FE_1D88_5264_BEB0_6D60420CE12B_Help">Целочисленный параметр, указывающий максимальное количество потоков, которые каждый процесс smbd будет создавать при выполнении параллельных асинхронных вызовов ввода-вывода. Если количество невыполненных вызовов превышает это число, запросы не будут отклонены, а будут помещены в очередь и будут запланированы, в свою очередь, как завершенные невыполненные запросы.
+
+Связанный параметр: 'aio read size'
+
+Связанный параметр: 'aio write size'
+
+Значение по умолчанию:
+100</string>
+ <string id="POL_0F98F240_9B2D_5788_AC7C_7B2ECDAE60A2">deadtime</string>
+ <string id="POL_0F98F240_9B2D_5788_AC7C_7B2ECDAE60A2_Help">Значением данного параметра (десятичное целое число) является время бездействия в минутах, по истечении которого соединение считается утраченным и происходит разъединение. 'deadtime' срабатывает только в том случае, если нет открытых файлов.
+
+Он используется для освобождения ресурсов сервера, нагруженного большим количеством неактивных соединений.
+
+У большинства клиентов есть функция автоматического переподключения при разрыве соединения, поэтому в большинстве случаев этот параметр прозрачен для пользователей.
+
+Для большинства систем рекомендуется использовать этот параметр с таймаутом в несколько минут.
+
+Нулевое время 'deadtime' указывает на то, что соединение разрываться не будет.
+
+Значение по умолчанию:
+10080
+
+Пример:
+15</string>
+ <string id="POL_BAC6D3CB_A32D_5702_93FD_289B714016C3">getwd cache</string>
+ <string id="POL_BAC6D3CB_A32D_5702_93FD_289B714016C3_Help">Это тюнинговый параметр. Если он установлен (getwd cache = yes), будет использоваться алгоритм кэширования для сокращения времени, необходимого для getwd() вызовов. Существенно повышает производительность, особенно, когда параметр 'wide links' не установлен.
+
+Значение по умолчанию:
+getwd cache = yes</string>
+ <string id="POL_0FB07FB9_33B4_5ECF_9725_9B7A38F863AF">hostname lookups</string>
+ <string id="POL_0FB07FB9_33B4_5ECF_9725_9B7A38F863AF_Help">Указывает, следует ли Samba преобразовывать IP-адреса в имена компьютеров или использовать вместо этого IP-адреса. Например, преобразование имени компьютера используется при проверке запрета (hosts deny) или разрешения доступа (hosts allow) компьютера к Samba.
+
+Значение по умолчанию:
+hostname lookups = no</string>
+ <string id="POL_C2D014CF_45D1_5A08_9727_3F2B500A4D58">keepalive</string>
+ <string id="POL_C2D014CF_45D1_5A08_9727_3F2B500A4D58_Help">Значение параметра (целое число) представляет количество секунд между пакетами поддерживающими соединение (keepalive). Если этот параметр равен нулю, пакеты отправляться не будут. Пакеты поддерживающие соединение позволяют серверу проверять активность клиента.
+
+Если сокет имеет набор атрибутов SO_KEEPALIVE по умолчанию, то пакеты поддерживающие соединение не требуются (см. параметр 'socket options'). Обычно следует использовать эту опцию, только если вы столкнулись с трудностями.
+
+Обратите внимание, что этот параметр применяется только к клиентским соединениям SMB1 и не влияет на клиентов SMB2.
+
+Значение по умолчанию:
+300
+
+Пример:
+600</string>
+ <string id="POL_AF4738EE_230C_5D39_A4CE_F270B28FE9AB">max disk size</string>
+ <string id="POL_AF4738EE_230C_5D39_A4CE_F270B28FE9AB_Help">Этот параметр позволяет ограничить верхний предел видимого размера диска. Если для этого параметра установлено значение 100, тогда размер всех общих ресурсов будет не больше 100МБ.
+
+Обратите внимание, что этот параметр не ограничивает размер объем данных, которые можно поместить на диск. В приведенном выше случае всё равно можно хранить на диске гораздо больше, чем 100МБ, но если клиент запросит информацию о свободном пространстве на диске или о размере диска, то результат будет ограничен объемом, указанным в 'max disk size'.
+
+Этот параметр в первую очередь полезен для работы с ошибками в ПО, которое не может работать со слишком большими дисками, особенно с дисками, размером более 1ГБ.
+
+Значение 0 означает отсутствие ограничений.
+
+Значение по умолчанию:
+0
+
+Пример:
+1000</string>
+ <string id="POL_21C3BE22_42E5_544F_97AB_732B2163839B">max open files</string>
+ <string id="POL_21C3BE22_42E5_544F_97AB_732B2163839B_Help">Этот параметр ограничивает количество открытых файлов, которые будет обслуживать демон smbd(8) для одного клиента. Значение по умолчанию очень большое (16384), т.к. Samba использует всего один бит в памяти на один открытый файл. Установка этого параметра ниже 16384 приведет к тому, что Samba пожалуется и вернет это значение к минимуму 16384, поскольку Windows 7 зависит от этого количества доступных дескрипторов открытых файлов.
+
+Реальное ограничение количества открытых файлов обычно срабатывает раньше и устанавливается другим параметром — это количество открытых файлов, которое может открыть процесс (UNIX per-process file descriptor limit), а не этим параметром, поэтому не нужно изменять значение этого параметра.
+
+Значение по умолчанию:
+16384</string>
+ <string id="POL_67BA8388_A439_54EA_8A1B_B6D2CCD8BB9B">max smbd processes</string>
+ <string id="POL_67BA8388_A439_54EA_8A1B_B6D2CCD8BB9B_Help">Этот параметр ограничивает максимальное количество одновременно запущенных процессов smbd(8). Он предотвращает истощение ресурсов сервера, если сервер испытывает проблемы с обслуживанием большего, чем определенное количество подключений. Помните, что в номальных условиях, на каждого пользователя запускается по одному процессу smbd(8).
+
+Для Samba ADDC, использующего стандартную модель процесса, эта опция ограничивает количество процессов, разветвленных для обработки запросов. В настоящее время новые процессы форкуются только для запросов ldap и netlogon.
+
+Значение по умолчанию:
+0
+
+Пример:
+1000</string>
+ <string id="POL_7CB978B4_3314_5AE7_9821_574DC024294B">name cache timeout</string>
+ <string id="POL_7CB978B4_3314_5AE7_9821_574DC024294B_Help">Определяет количество секунд до истечения времени ожидания записи в кэше разрешения имени хоста Samba. Если установлено значение 0 — кэширование отключено.
+
+Значение по умолчанию:
+660
+
+Пример:
+0</string>
+ <string id="POL_93A78BFD_8C1E_5643_8329_A90FF5CE5A6B">socket options</string>
+ <string id="POL_93A78BFD_8C1E_5643_8329_A90FF5CE5A6B_Help">Современные серверные операционные системы в большинстве ситуаций настроены на высокую производительность сети. При установке параметров сокета, эти настройки переопределяются. В частности, в Linux есть механизм автонастройки размера буфера, который будет отключен, при указании размера буфера сокета. Это потенциально может вывести из строя стек TCP/IP.
+
+Правильная настройка параметров сокета может иметь большое значение для производительности, но неправильное их использование может ухудшить её на столько же. Как и в случае любой другой настройки низкого уровня, если необходимо внести изменения, внесите небольшие изменения и проверьте эффект, прежде чем вносить какие-либо большие изменения.
+
+Этот параметр позволяет задать параметры сокета, который будет использоваться для обслуживания клиентов.
+
+Параметры сокета — это элементы управления на сетевом уровне операционных систем, которые позволяют настраивать соединение.
+
+Обычно с помощью этого параметра проводится тонкая настройка сервера Samba для достижения оптимальной производительности в локальной сети. Нет способа узнать, какие параметры лучше подходят для сети, так что экспериментируйте. Настоятельно рекомендуется сначала прочитать соответствующую документацию для ОС (можеть быть поможет 'man setsockopt').
+
+Может обнаружиться, что на некоторых системах Samba сообщит «Unknown socket option», если включить тот или иной параметр. Это означает, что имя параметра было указано некорректно или нужно включить файл includes.h для системы. В последнем случае, пожалуйста, вышлите нам patch по адресу samba-technical@samba.org.
+
+Любые из поддерживаемых опций сокетов можно комбинировать любым способом, если это позволяет ОС.
+
+Список опций сокета, которые доступны на сегодняшний день:
+
+ SO_KEEPALIVE
+ SO_REUSEADDR
+ SO_BROADCAST
+ TCP_NODELAY
+ TCP_KEEPCNT *
+ TCP_KEEPIDLE *
+ TCP_KEEPINTVL *
+ IPTOS_LOWDELAY
+ IPTOS_THROUGHPUT
+ SO_REUSEPORT
+ SO_SNDBUF *
+ SO_RCVBUF *
+ SO_SNDLOWAT *
+ SO_RCVLOWAT *
+ SO_SNDTIMEO *
+ SO_RCVTIMEO *
+ TCP_FASTACK *
+ TCP_QUICKACK
+ TCP_NODELAYACK
+ TCP_KEEPALIVE_THRESHOLD *
+ TCP_KEEPALIVE_ABORT_THRESHOLD *
+ TCP_DEFER_ACCEPT *
+ TCP_USER_TIMEOUT *
+
+Опции, помеченные * принимают целые значения. Остальные принимают только 1 или 0, соответственно разрешая или запрещая опцию, по умолчанию все они разрешены, если не указать явно 1 или 0.
+
+Чтобы указать аргумент, используйте синтаксис SOME_OPTION=VALUE, например SO_SNDBUF=8192. Обратите внимание, что до и после знака равенства не должно быть пробелов.
+
+В локальной сети разумным будет использование опции 'socket options = IPTOS_LOWDELAY' и можно попытаться использовать 'socket options = IPTOS_LOWDELAY TCP_NODELAY'. В сети WAN попробуйте установить значение IPTOS_THROUGHPUT.
+
+Заметьте, что некоторые из этих параметров могут привести к тому, что Samba вообще не будет работать. Используйте эти параметры с осторожностью!
+
+Значение по умолчанию:
+TCP_NODELAY
+
+Пример:
+IPTOS_LOWDELAY</string>
+ <string id="POL_3FD02174_8A27_5426_848C_B3123EA8C4C3">use mmap</string>
+ <string id="POL_3FD02174_8A27_5426_848C_B3123EA8C4C3_Help">Этот глобальный параметр определяет, зависит ли содержимое tdb файлов Samba от mmap в работающей операционной системе. Samba требует согласованный mmap/read-write кэш памяти. В настоящее время только OpenBSD и HPUX не имеют такой согласованный кэша, и на этих платформах этот параметр внутренне переопределен и фактически не имеет значения. Во всех системах этот параметр следует оставить в покое. Этот параметр предоставлен, чтобы помочь разработчикам Samba отследить проблемы с внутренним кодом tdb.
+
+Значение по умолчанию:
+use mmap = yes</string>
+ <string id="POL_77FC1090_5D4B_587E_BD3B_DAE9F7A9682F">get quota command</string>
+ <string id="POL_77FC1090_5D4B_587E_BD3B_DAE9F7A9682F_Help">Параметр 'get quota command' можно использовать, если ОС, на которой установлен сервер Samba, имеет API для работы с квотами.
+
+Эта опция доступна только Samba была скомпилирована с поддержкой квот.
+
+Этот параметр должен указывать путь к сценарию, который запрашивает информацию о квоте для указанного пользователя/группы для раздела, в котором находится указанный каталог.
+
+Этот скрипт получает 3 аргумента:
+
+ * каталог
+ * тип запроса
+ * uid пользователя или gid группы
+
+Каталог на самом деле это просто «.» — его нужно обрабатывать относительно текущего рабочего каталога, который также может запрашивать скрипт.
+
+Тип запроса:
+
+ 1 — квота пользователя
+ 2 — квота пользователя по умолчанию (uid = -1)
+ 3 — квота группы
+ 4 — квота группы по умолчанию (gid = -1)
+
+Этот сценарий должен выводить одну строку с пробелами между столбцами. В столбцах выводится:
+
+ 1 — флаги квоты (0 = нет квот, 1 = квоты включены, 2 = квоты включены и обязательны)
+ 2 — текущее количество использованных блоков
+ 3 — мягкое (softlimit) количество блоков
+ 4 — жесткое (hardlimit) количество блоков
+ 5 — текущее количество inodes
+ 6 — мягкое (softlimit) количество индексных дескрипторов (inodes)
+ 7 — жесткое (hardlimit) количество индексных дескрипторов (inodes)
+ 8 (опционально) — количество байт в блоке (по умолчанию 1024)
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/local/sbin/query_quota</string>
+ <string id="POL_B093DF52_6C77_5327_AC90_AAC6AF6CB126">host msdfs</string>
+ <string id="POL_B093DF52_6C77_5327_AC90_AAC6AF6CB126_Help">Если этот параметр установлен, то Samba будет выступать в качестве сервера Dfs, и позволит Dfs клиентам просматривать Dfs деревья, размещенные на сервере.
+
+См. также уровень параметра 'msdfs root'. Дополнительную информацию о создании Dfs дерева на Samba, см. в разделе «MSFDS» руководства Samba3-HOWTO.
+
+Значение по умолчанию:
+host msdfs = yes</string>
+ <string id="POL_6B9A8C91_49AF_58C8_931C_0304B60491D2">set quota command</string>
+ <string id="POL_6B9A8C91_49AF_58C8_931C_0304B60491D2_Help">Этот параметр следует использовать только тогда, когда для Samba недоступны средства API операционной системы.
+
+Этот параметр доступен лишь в том случае если Samba была скомпилирована с поддержкой квот.
+
+Этот параметр должен указывать путь к сценарию, который устанавливает квоты для заданных аргументов.
+
+Указанный сценарий должен принимать следующие параметры:
+
+ * 1 — путь к месту установки квоты. Это значение необходимо интерпретировать относительно текущего рабочего каталога, который также может проверять сценарий.
+ * 2 — тип квоты:
+ * 1 — пользовательская квота
+ * 2 — пользовательские квоты по умолчанию (uid = -1)
+ * 3 — квоты групп
+ * 4 — квоты групп по умолчанию (gid = -1)
+ * 4 — состояние квоты (0 — запрещена (disable), 1 — разрешена (enable), 2 — включена и навязывается (enable and enforce))
+ * 5 — граница мягкой блокировки
+ * 6 — граница жесткой блокировки
+ * 7 — граница мягкой блокировки inode
+ * 8 — граница жесткой блокировки inode
+ * 9 — (необязателен) размер блока, по умолчанию 1024
+
+Скрипт должен вывести хотя бы одну строку данных, если все прошло успешно и не выводить ничего, если случилась ошибка.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+/usr/local/sbin/set_quota</string>
+ <string id="POL_6A683A86_8075_55FF_B1E6_D7874A3539AA">apply group policies</string>
+ <string id="POL_6A683A86_8075_55FF_B1E6_D7874A3539AA_Help">Этот параметр определяет, будет ли winbind выполнять команду gpupdate, определенную в параметре 'gpo update command', в интервале обновления групповой политики. Интервал обновления групповой политики определяется как каждые 90 минут плюс случайное смещение от 0 до 30 минут. При этом политики компьютера групповой политики применяются к клиенту или KDC, а политики компьютера — к серверу.
+
+Значение по умолчанию:
+apply group policies = no</string>
+ <string id="POL_0471CC71_51D5_58F6_A00A_6E8B283C3AF5">create krb5 conf</string>
+ <string id="POL_0471CC71_51D5_58F6_A00A_6E8B283C3AF5_Help">Снятие отметки с этого параметра (значение 'create krb5 conf = no') запрещает winbind создавать собственные файлы krb5.conf. Winbind обычно делает это, потому что библиотеки krb5 не поддерживают сайты AD и поэтому могут выбрать любой контроллер домена из потенциально очень многих. Winbind ориентирован на сайт и заставляет библиотеки krb5 использовать локальный контроллер домена, создавая свои собственные файлы krb5.conf.
+
+Предотвратить такое поведение может потребоваться, если нужно добавить в system-krb5.conf специальные параметры, которые winbind не видит.
+
+Значение по умолчанию:
+create krb5 conf = yes</string>
+ <string id="POL_46FF92BD_F484_5B2C_A639_ACBE73F15F3A">idmap backend</string>
+ <string id="POL_46FF92BD_F484_5B2C_A639_ACBE73F15F3A_Help">Параметр является интерфейсом к Winbind для хранения переменных подсистем к таблицам соответствия SID/uid/gid.
+
+Эта опция указывает бэкэнд по умолчанию, который используется, когда не задана специальная конфигурация, но теперь он устарел и заменен новым параметром 'idmap config * : backend'.
+
+Значение по умолчанию:
+tdb</string>
+ <string id="POL_309434B4_68BA_53E0_BDF9_CA589711EA29">idmap cache time</string>
+ <string id="POL_309434B4_68BA_53E0_BDF9_CA589711EA29_Help">Этот параметр определяет время в секундах, в течение которого кэшируются положительные результаты ID/uid/gid запросов к интерфейсу Winbind idmap. По умолчанию Samba кэширует эти результаты в течение одной недели.
+
+Значение по умолчанию:
+604800</string>
+ <string id="POL_066B06D4_3BC0_5CFA_80A9_D2B1C046B5B0">idmap gid</string>
+ <string id="POL_066B06D4_3BC0_5CFA_80A9_D2B1C046B5B0_Help">Параметр определяет диапазон групповых идентификаторов, для конфигурации idmap по умолчанию. Теперь он устарел и заменен на 'idmap config * : range'.
+
+См. также параметр 'idmap config'.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+10000-20000</string>
+ <string id="POL_9B5D009F_1EBE_5E94_A46B_8644157A6061">idmap negative cache time</string>
+ <string id="POL_9B5D009F_1EBE_5E94_A46B_8644157A6061_Help">Этот параметр указывает количество секунд, в течение которых интерфейс Winbind idmap будет кэшировать отрицательные результаты запроса SID/uid/gid.
+
+Значение по умолчанию:
+120</string>
+ <string id="POL_37D1856A_CAF9_5395_AC8E_8E0F3E9C03E4">idmap uid</string>
+ <string id="POL_37D1856A_CAF9_5395_AC8E_8E0F3E9C03E4_Help">Параметр 'idmap uid' указывает диапазон идентификаторов пользователей для конфигурации idmap по умолчанию. Этот параметр устарел и заменен на 'idmap config * : range'.
+
+См. параметр 'idmap config'.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+10000-20000</string>
+ <string id="POL_283F0A5F_5841_5D1D_8EE3_D2715805A463">include system krb5 conf</string>
+ <string id="POL_283F0A5F_5841_5D1D_8EE3_D2715805A463_Help">Установка для этого параметра значения no не позволит Winbind включить системный файл /etc/krb5.conf в создаваемый файл krb5.conf. См. также параметр 'create krb5 conf'. Эта опция применима только к Samba, построенной с использованием MIT Kerberos.
+
+Значение по умолчанию:
+include system krb5 conf = yes</string>
+ <string id="POL_61C9E6AE_96EF_5E8D_9AB8_7598584D391E">neutralize nt4 emulation</string>
+ <string id="POL_61C9E6AE_96EF_5E8D_9AB8_7598584D391E_Help">Этот параметр определяет, отправляет ли winbindd флаг NETLOGON_NEG_NEUTRALIZE_NT4_EMULATION, чтобы обойти эмуляцию NT4 контроллера домена.
+
+Обычно не нужно устанавливать этот параметр. Это может быть полезно при обновлении доменов NT4 до AD.
+
+Поведение можно контролировать для каждого домена NetBIOS с помощью опции 'neutralize nt4 emulation:NETBIOSDOMAIN = yes'.
+
+Значение по умолчанию:
+neutralize nt4 emulation = no</string>
+ <string id="POL_D8459DE9_6E91_58A6_8E4E_83BFBB41AE4E">reject md5 servers</string>
+ <string id="POL_D8459DE9_6E91_58A6_8E4E_83BFBB41AE4E_Help">Этот параметр определяет, требуется ли winbindd поддержка aes для безопасного канала netlogon.
+
+Должны быть установлены флаги: NETLOGON_NEG_ARCFOUR, NETLOGON_NEG_SUPPORTS_AES, NETLOGON_NEG_PASSWORD_SET2 и NETLOGON_NEG_AUTHENTICATED_RPC.
+
+Можно установить этот параметр (reject md5 servers = yes), если все контроллеры домена поддерживают AES. Это предотвратит атаки перехода на более раннюю версию.
+
+Такое поведение можно контролировать для каждого домена NetBIOS с помощью опции 'reject md5 servers:NETBIOSDOMAIN = yes'.
+
+Эта опция имеет приоритет перед опцией 'require strong key'.
+
+Значение по умолчанию:
+reject md5 servers = no</string>
+ <string id="POL_E3A88031_AF89_5D12_9F48_5BD36B25F58C">require strong key</string>
+ <string id="POL_E3A88031_AF89_5D12_9F48_5BD36B25F58C_Help">Этот параметр определяет, требуется ли winbindd поддержка сильного ключа md5 для безопасного канала netlogon.
+
+Должны быть установлены флаги: NETLOGON_NEG_STRONG_KEYS, NETLOGON_NEG_ARCFOUR и NETLOGON_NEG_AUTHENTICATED_RPC.
+
+Можно отключить этот параметр (require strong key = no), если некоторые контроллеры домена поддерживают только DES. Это может позволить согласовать слабую криптографию, возможно, с помощью атак на более раннюю версию.
+
+Такое поведение можно контролировать для каждого домена NetBIOS с помощью опции 'require strong key:NETBIOSDOMAIN = no'.
+
+Обратите внимание, что для домена Active Directory эта опция принудительно включена.
+
+Опция 'reject md5 servers' имеет приоритет над этой опцией.
+
+Эта опция имеет приоритет перед опцией 'client schannel'.
+
+Значение по умолчанию:
+require strong key = yes</string>
+ <string id="POL_D55FF104_CF84_512D_9962_D01784923C49">template homedir</string>
+ <string id="POL_D55FF104_CF84_512D_9962_D01784923C49_Help">При передаче информации о пользователе Windows NT, значение этого параметра будет использоваться демоном winbindd(8) в качестве домашнего каталога пользователя. Если присутствует последовательность %D, она заменяется доменным именем пользователя Windows NT. Если присутствует последовательность %U, она заменяется именем пользователя Windows NT.
+
+Значение по умолчанию:
+/home/%D/%U</string>
+ <string id="POL_A317595E_2C79_5B73_9043_CEB7525F6692">template shell</string>
+ <string id="POL_A317595E_2C79_5B73_9043_CEB7525F6692_Help">При передаче информации о пользователе Windows NT, значение этого параметра будет использоваться демоном winbindd(8) для определения командного интерпретатора (shell).
+
+Значение по умолчанию:
+/bin/false</string>
+ <string id="POL_F8F9B8BF_2D26_5079_928E_7168BBCA91BE">winbind cache time</string>
+ <string id="POL_F8F9B8BF_2D26_5079_928E_7168BBCA91BE_Help">Этот параметр указывает количество секунд, в течение которых демон winbindd(8) будет кэшировать информацию о пользователях и группах перед повторным запросом к серверу Windows NT.
+
+Это не относится к запросам аутентификации, они всегда оцениваются в реальном времени, если не включена опция 'winbind offline logon'.
+
+Значение по умолчанию:
+300</string>
+ <string id="POL_07E24EA1_B340_5215_BDBB_5248537F9540">winbindd socket directory</string>
+ <string id="POL_07E24EA1_B340_5215_BDBB_5248537F9540_Help">Этот параметр управляет расположением сокета демона winbind.
+
+За исключением сценариев автоматического тестирования, этот параметр не должен изменяться, поскольку клиентские инструменты (nss_winbind и т.д.) не поддерживают этот параметр. Клиентские инструменты должны быть уведомлены об измененном пути с помощью переменной среды WINBINDD_SOCKET_DIR.
+
+Значение по умолчанию:
+winbindd socket directory =</string>
+ <string id="POL_8FEAD8B9_8097_5BA2_BD78_7BB0AA8691C1">winbind enum groups</string>
+ <string id="POL_8FEAD8B9_8097_5BA2_BD78_7BB0AA8691C1_Help">При больших установках с использованием winbindd(8) бывает необходимо подавить перечисление групп через системные вызовы setgrent(), getgrent() и endgrent(). Если параметр не установлен (winbind enum groups = no), системный вызов getgrent() не будет возвращать данных.
+
+Внимание. Отключение перечисления групп может привести к странному поведению некоторых программ.
+
+Значение по умолчанию:
+winbind enum groups = no</string>
+ <string id="POL_FAB1BAAD_85CD_5FE6_B0AA_AC48B77ACCCC">winbind enum users</string>
+ <string id="POL_FAB1BAAD_85CD_5FE6_B0AA_AC48B77ACCCC_Help">При больших установках с использованием winbindd(8) бывает необходимо подавить перечисление пользователей через системные вызовы setpwent(), getpwent() и endpwent(). Если параметр не установлен (winbind enum users = no), системный вызов getpwent() не будет возвращать данных.
+
+Внимание. Отключение перечисления пользователей может привести к странному поведению некоторых программ. Например, программа finger полагается на доступ к полному списку пользователей при поиске совпадающих имен пользователей.
+
+Значение по умолчанию:
+winbind enum users = no</string>
+ <string id="POL_2B331ECE_5A4A_5DE9_8DBF_EFBCE108F070">winbind expand groups</string>
+ <string id="POL_2B331ECE_5A4A_5DE9_8DBF_EFBCE108F070_Help">Этот параметр управляет максимальной глубиной, которую будет проходить winbindd при выравнивании членства во вложенных группах доменных групп Windows. Эта опция отличается от опции 'winbind nested groups', которая реализует модель локального вложения групп Windows NT4. Параметр 'winbind expand groups' специально применяется к членству в группах домена.
+
+Этот параметр также влияет на возврат членства в невложенных группах пользователей домена Windows. С новым значением по умолчанию 'winbind expand groups = 0' winbind вообще не запрашивает членство в группах.
+
+Имейте в виду, что высокое значение этого параметра может привести к замедлению работы системы, поскольку основной родительский демон winbindd должен выполнить развертывание группы и не сможет отвечать на входящие запросы NSS или аутентификации в это время.
+
+Значение по умолчанию было изменено с 1 на 0 в Samba 4.2. Некоторые неработающие приложения (включая некоторые реализации newgrp и sg) вычисляют членство пользователей в группах путем обхода групп, для таких приложений потребуется 'winbind expand groups = 1'. Но новое значение по умолчанию делает winbindd более надежным, поскольку он не требует доступа SAMR к контроллерам домена доверенных доменов.
+
+Значение по умолчанию:
+0</string>
+ <string id="POL_7F3A4DCD_923C_5586_AFFB_1BA559F399CB">winbind:ignore domains</string>
+ <string id="POL_7F3A4DCD_923C_5586_AFFB_1BA559F399CB_Help">Этот параметр позволяет ввести список доверенных доменов, которые winbind должен игнорировать (не доверять). Это поможет избежать дополнительных затрат ресурсов на попытки входа в DC, с которыми не следует связываться.
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+DOMAIN1, DOMAIN2</string>
+ <string id="POL_FE5A1763_2311_55A2_AB2E_10D92C3A7FC4">winbind max clients</string>
+ <string id="POL_FE5A1763_2311_55A2_AB2E_10D92C3A7FC4_Help">Этот параметр указывает максимальное количество клиентов, с которыми демон winbindd(8) может соединиться. Параметр не является жестким пределом. Демон winbindd(8) настраивается так, чтобы принимать, по крайней мере, такое количество подключений, и если предел достигнут, делается попытка отключить неактивных клиентов.
+
+Значение по умолчанию:
+200</string>
+ <string id="POL_57855ED8_E596_52E6_A8F8_B710E76BD0F6">winbind max domain connections</string>
+ <string id="POL_57855ED8_E596_52E6_A8F8_B710E76BD0F6_Help">Этот параметр указывает максимальное количество одновременных подключений, которые демон winbindd(8) должен открыть к контроллеру домена одного домена. Установка для этого параметра значения больше 1 может улучшить масштабируемость с множеством одновременных запросов winbind, некоторые из которых могут быть медленными.
+
+Обратите внимание: если установлен параметр 'winbind offline logon', то для каждого домена разрешено только одно подключение к DC, независимо от значения параметра 'winbind max domain connections'.
+
+Значение по умолчанию:
+1
+
+Пример:
+10</string>
+ <string id="POL_6C096F2D_4DB1_5E05_84BB_9E9E3E0708BB">winbind nested groups</string>
+ <string id="POL_6C096F2D_4DB1_5E05_84BB_9E9E3E0708BB_Help">Если этот параметр установлен, активируется поддержка вложенных групп. Вложенные группы также называются локальными группами или псевдонимами. Они работают так же, как и их аналоги в Windows: вложенные группы определяются локально на любом компьютере (они совместно используются контроллерами домена через их SAM) и могут содержать пользователей и глобальные группы из любого доверенного SAM. Чтобы иметь возможность использовать вложенные группы, необходимо запустить nss_winbind.
+
+Значение по умолчанию:
+winbind nested groups = yes</string>
+ <string id="POL_7C9859FE_6BA0_526D_A308_9454D3063550">winbind normalize names</string>
+ <string id="POL_7C9859FE_6BA0_526D_A308_9454D3063550_Help">Этот параметр контролирует, заменять или нет пробелы в имени пользователя, группы на символ подчеркивания «_». Например, следует ли заменить имя «Space Kadet» на строку «space_kadet». У сценариев командного процессора Unix возникают ошибки с именами пользователей, содержащих пробелы, т.к. пробел является разделителем по умолчанию для shell. Если в домене есть имена учётных записей пользователей, содержащие символ подчеркивания, этот параметр может вызвать проблемы, если функция псевдонима не поддерживается плагином nss_info.
+
+Эта функция также включает API псевдонимов имен, который можно использовать для преобразования имен пользователей и групп домена в неквалифицированную версию. Пожалуйста, обратитесь к странице руководства по настройке плагинов idmap и nss_info, чтобы узнать, как настроить псевдонимы для конкретной конфигурации. Использование псевдонимов имеет приоритет (и является взаимоисключающим) над механизмом замены пробелов.
+
+Значение по умолчанию:
+winbind normalize names = no</string>
+ <string id="POL_3D3D280A_1D60_58AA_A7BD_54D13DDBE1A6">winbind nss info</string>
+ <string id="POL_3D3D280A_1D60_58AA_A7BD_54D13DDBE1A6_Help">Параметр предназначен для контроля над тем, как Winbind получает информацию от Name Service Information для создания пользовательских домашних каталогов и login shell. В настоящее время доступны следующие значения параметра:
+
+ * template — по умолчанию, используются шаблоны для login shell и home directory.
+
+ * <sfu | sfu20 | rfc2307 > — если Samba запущена с 'security = ads' и контроллер домена Active Directory поддерживает Microsoft «Services for Unix» (SFU) LDAP schema, может получить атрибуты login shell и home directory непосредственно от Directory Server. Для SFU 3.0 или 3.5 просто выберите «sfu», если вы используете SFU 2.0, выберите «sfu20».
+
+Обратите внимание, что для бэкэнда idmap idmap_ad необходимо настроить эти параметры в разделе конфигурации idmap. Обязательно ознакомьтесь с документацией используемого вами бэкенда idmap.
+
+Значение по умолчанию:
+template
+
+Пример:
+sfu</string>
+ <string id="POL_34B48F10_7723_5E77_A57B_AE606BBB43B7">winbind offline logon</string>
+ <string id="POL_34B48F10_7723_5E77_A57B_AE606BBB43B7_Help">Этот параметр определяет, можно ли осуществлять подключение с модулем pam_winbind, используя Cached Credentials (буферизированные личные данные). Если параметр включен, winbindd сохранит пользовательские Credentials от успешных логинов, в локальном кэше в зашифрованном виде.
+
+Значение по умолчанию:
+winbind offline logon = no</string>
+ <string id="POL_05A14875_99EE_5000_A1E2_100D2F7B079F">winbind reconnect delay</string>
+ <string id="POL_05A14875_99EE_5000_A1E2_100D2F7B079F_Help">Этот параметр указывает количество секунд, в течение которых демон winbindd(8) будет ждать между попытками связи с контроллером домена, для домена, который определен как неработающий или недоступный.
+
+Значение по умолчанию:
+30</string>
+ <string id="POL_98A94538_AA09_51C8_A96D_ACB0B314F5F4">winbind refresh tickets</string>
+ <string id="POL_98A94538_AA09_51C8_A96D_ACB0B314F5F4_Help">Этот параметр определяет, должен ли Winbind обновлять билеты Kerberos при использовании модуля pam_winbind.
+
+Значение по умолчанию:
+winbind refresh tickets = yes</string>
+ <string id="POL_96B1E9F8_5418_5EA0_8B87_614B45822D92">winbind request timeout</string>
+ <string id="POL_96B1E9F8_5418_5EA0_8B87_614B45822D92_Help">Этот параметр указывает количество секунд, в течение которых демон winbindd (8) будет ждать перед отключением клиентского соединения без ожидающих запросов (простаивающее соединение), либо клиентского соединения с запросом, который оставался невыполненным (зависшим) дольше указанного количества секунд.
+
+Значение по умолчанию:
+60</string>
+ <string id="POL_FEC015B1_6B0B_5D76_B23D_71363578FAF7">winbind rpc only</string>
+ <string id="POL_FEC015B1_6B0B_5D76_B23D_71363578FAF7_Help">Установка этого параметра (winbind rpc only = yes) заставляет winbindd использовать RPC вместо LDAP для получения информации с контроллеров домена.
+
+Значение по умолчанию:
+winbind rpc only = no</string>
+ <string id="POL_412B470E_EC88_556F_B9DE_1952C70E45B1">winbind scan trusted domains</string>
+ <string id="POL_412B470E_EC88_556F_B9DE_1952C70E45B1_Help">Этот параметр работает только в том случае, если параметр 'security' имеет значение domain или ads. Если параметр установлен (winbind scan trusted domains = yes) (по умолчанию), winbindd периодически пытается сканировать новые доверенные домены, и добавляет их в глобальный список внутри winbindd. Список можно извлечь с помощью 'wbinfo --trusted-domains --verbose'. Это соответствует поведению Samba 4.7 и старше.
+
+Создание этого глобального списка ненадежно и часто бывает неполным в сложных установках доверия. В большинстве случаев для правильной работы winbindd список больше не нужен. Например, для обслуживания простых файлов через SMB с использованием простой настройки idmap с autorid, tdb или ad. Однако для некоторых более сложных настроек требуется список, например, при указании бэкендов idmap для определенных доменов. Для некоторых настроек pam_winbind также может потребоваться глобальный список.
+
+Если у вас есть установка, которая не требует глобального списка, необходимо установить 'winbind scan trusted domains = no'.
+
+Значение по умолчанию:
+winbind scan trusted domains = yes</string>
+ <string id="POL_6247DEB4_05CC_51B8_A8CB_1FF7DEDA741C">winbind sealed pipes</string>
+ <string id="POL_6247DEB4_05CC_51B8_A8CB_1FF7DEDA741C_Help">Этот параметр определяет, будут ли запечатываться какие-либо запросы от winbindd к конвейеру контроллеров домена. Отключение запечатывания может быть полезно для отладки.
+
+Поведение можно контролировать для каждого домена NetBIOS с помощью опции 'winbind sealed pipes:NETBIOSDOMAIN = no'.
+
+Значение по умолчанию:
+winbind sealed pipes = yes</string>
+ <string id="POL_7E1E179F_7E0D_5CB4_BDAA_B8EDF41428CC">winbind separator</string>
+ <string id="POL_7E1E179F_7E0D_5CB4_BDAA_B8EDF41428CC_Help">Этот параметр разрешает администратору выбрать разделитель, используемый в имени пользователя в формате DOMAIN\user. Этот параметр применим для Unix служб с модулями pam_winbind.so и nss_winbind.so.
+
+Обратите внимание, что установка этого параметра в «+» вызывает проблемы с членством в группах, по крайней мере, в системах glibc, поскольку символ «+» используется в качестве специального символа для NIS в /etc/group.
+
+Значение по умолчанию:
+\
+
+Пример:
++</string>
+ <string id="POL_1780A1A5_0535_5D0B_8105_2129879E3C40">winbind use default domain</string>
+ <string id="POL_1780A1A5_0535_5D0B_8105_2129879E3C40_Help">Этот параметр разрешает winbindd(8) работать с пользователями без доменной части в имени пользователя. Пользователи без доменной части в имени рассматриваются winbindd как часть собственного домена сервера winbindd. Хотя это не приносит пользы пользователям Windows, это делает работу служб SSH, FTP и электронной почты вести себя также как они ведут себя в системе UNIX.
+
+По возможности следует избегать этого варианта. Это может вызвать путаницу в отношении обязанностей пользователя или группы. Во многих ситуациях неясно, следует ли считать winbind или /etc/passwd полномочными для пользователя, равно как и для групп.
+
+Значение по умолчанию:
+winbind use default domain = no</string>
+ <string id="POL_71A1842A_9526_5BF9_A0FC_07322D2C6C81">winbind use krb5 enterprise principals</string>
+ <string id="POL_71A1842A_9526_5BF9_A0FC_07322D2C6C81_Help">winbindd может получить билеты Kerberos для pam_winbind с помощью krb5_auth или wbinfo -K/--krb5auth=.
+
+winbindd (по крайней мере, как член домена) никогда не сможет получить полную картину топологии доверия (которая управляется контроллерами домена). Могут быть значения uPNSuffixes и msDS-SPNSuffixes, которые вообще не принадлежат ни одному домену AD.
+
+Если параметр 'winbind scan trusted domains = no' winbindd не сможет получить даже неполное представление о топологии.
+
+На самом деле знать о топологии доверия не обязательно. Можно просто полагаться на [K]-ый контроллер домена основного домена (например, PRIMARY.A.EXAMPLE.COM), использовать принципалы предприятия, например, upnfromB@B.EXAMPLE.COM@PRIMARY.A.EXAMPLE.COM и следовать рекомендациям WRONG_REALM, чтобы найти правильный DC. Последний принципал может быть userfromB@INTERNALB.EXAMPLE.PRIVATE.
+
+Если параметр 'winbind use krb5 enterprise principals = yes' будут использованы принципал winbindd.
+
+Значение по умолчанию:
+winbind use krb5 enterprise principals = no</string>
+ <string id="POL_B05D0593_B0CE_52A9_977C_E7A897EEA307">dns proxy</string>
+ <string id="POL_B05D0593_B0CE_52A9_977C_E7A897EEA307_Help">Указывает, что nmbd(8) при работе в качестве WINS-сервера и обнаружении того, что имя NetBIOS не было зарегистрировано, должен обрабатывать имя NetBIOS дословно как имя DNS и выполнять поиск на DNS-сервере для этого имени от имени клиента, запрашивающего имя.
+
+Обратите внимание, что максимальная длина имени NetBIOS составляет 15 символов, поэтому имя DNS (или псевдоним DNS) также может состоять максимум из 15 символов.
+
+nmbd порождает свою вторую копию для выполнения запросов поиска имени DNS, поскольку поиск имени является действием блокировки.
+
+Значение по умолчанию:
+dns proxy = yes</string>
+ <string id="POL_C1A54865_BE76_5627_B737_BBB708AEC44C">max wins ttl</string>
+ <string id="POL_C1A54865_BE76_5627_B737_BBB708AEC44C_Help">Этот параметр сообщает демону smbd(8), когда он действует как WINS-сервер (параметр 'wins support = yes'), какое максимально «время жизни» («time to live») NetBIOS-имён будет предоставлять nmbd (в секундах). Никогда не нужно изменять значение этого параметра. По умолчанию 6 дней (518400 секунд).
+
+Значение по умолчанию:
+518400</string>
+ <string id="POL_BEE0A696_13BD_578B_B448_1E0A01AB915A">min wins ttl</string>
+ <string id="POL_BEE0A696_13BD_578B_B448_1E0A01AB915A_Help">Этот параметр сообщает демону smbd(8), когда он действует как WINS-сервер (параметр 'wins support = yes'), какое минимальное «время жизни» («time to live») NetBIOS-имён будет предоставлять nmbd (в секундах). Никогда не нужно изменять значение этого параметра. По умолчанию 6 часов (21600 секунд).
+
+Значение по умолчанию:
+21600</string>
+ <string id="POL_890DE0DC_C0FC_565A_A1D3_AD06EFAC41ED">nbtd:wins_prepend1Bto1Cqueries</string>
+ <string id="POL_890DE0DC_C0FC_565A_A1D3_AD06EFAC41ED_Help">Обычно запросы для имен 0x1C (все logon server-а для домена) возвращают первый адрес из имен 0x1B (масте-браузер домена и PDC) в качестве первого адреса в списке результатов. Поскольку многие клиенты по умолчанию используют только первый адрес в списке, все клиенты будут использовать один и тот же сервер (PDC). Серверы Windows имеют возможность отключить это поведение (начиная с Windows 2000 Service Pack 2).
+
+Значение по умолчанию:
+yes</string>
+ <string id="POL_06F0FFB1_F595_57BB_B964_6D419A02F468">nbtd:wins_wins_randomize1Clist</string>
+ <string id="POL_06F0FFB1_F595_57BB_B964_6D419A02F468_Help">Обычно запросы для имен 0x1C возвращают адреса в том же порядке, в каком они хранятся в базе данных, то есть сначала все адреса, которые были непосредственно зарегистрированы на локальном сервере WINS, а затем все адреса, зарегистрированные на других серверах. Серверы Windows имеют возможность изменить это поведение и рандомизировать возвращаемые адреса. При установке этого параметра (nbtd:wins_wins_randomize1Clist = yes) Samba будет сортировать список адресов в зависимости от адреса клиента и совпадающих битов адресов, первый адрес рандомизируется в зависимости от параметра 'nbtd:wins_randomize1Clist_mask'.
+
+Значение по умолчанию:
+nbtd:wins_wins_randomize1Clist = no</string>
+ <string id="POL_F63D2A1E_D6BA_516E_995D_F9FEE05D49DB">nbtd:wins_randomize1Clist_mask</string>
+ <string id="POL_F63D2A1E_D6BA_516E_995D_F9FEE05D49DB_Help">Если параметр 'nbtd:wins_randomize1Clist' имеет значение yes, то рандомизация первого возвращенного адреса производится на основе указанной сетевой маски. Если есть адреса, которые находятся в той же подсети, что и адрес клиента, из них случайным образом выбирается первый возвращенный адрес. В противном случае из всех адресов случайным образом выбирается первый возвращенный адрес.
+
+Значение по умолчанию:
+255.255.255.0</string>
+ <string id="POL_D0A83CCC_07AF_553B_84AE_4824377AE692">winsdb:local_owner</string>
+ <string id="POL_D0A83CCC_07AF_553B_84AE_4824377AE692_Help">Этот параметр определяет адрес, который хранится в атрибуте winsOwner локально зарегистрированных объектов winsRecord. По умолчанию используется IP-адрес первого сетевого интерфейса.
+
+Значения по умолчанию нет</string>
+ <string id="POL_06442D20_4739_5DE0_820F_516416AD0ECF">winsdb:dbnosync</string>
+ <string id="POL_06442D20_4739_5DE0_820F_516416AD0ECF_Help">Этот параметр отключает fsync() после изменений в базе данных WINS.
+
+Значение по умолчанию:
+winsdb:dbnosync = no</string>
+ <string id="POL_F7271C08_2949_53E0_809D_9B976AB9DE2E">wins hook</string>
+ <string id="POL_F7271C08_2949_53E0_809D_9B976AB9DE2E_Help">Если Samba запущена как сервер WINS, существует возможность для осуществления вызовов внешних программ для изменения базы данных WINS. Основное назначение этого параметра — разрешить динамическое обновление внешних баз данных, таких как динамический DNS.
+
+Параметр определяет имя сценария или программы вызываемой в формате:
+
+ wins_hook operation name nametype ttl IP_list
+
+ * Первый аргумент — это операция («add», «delete» или «refresh»). В большинстве случаев операцию можно игнорировать, поскольку остальные параметры предоставляют достаточную информацию. Обратите внимание, что операцию «refresh» можно использовать, когда имя ранее не было добавлено, этот случай нужно рассматривать как добавление.
+
+ * Второй аргумент — NetBIOS имя. Если введенное имя не существует, 'wins hook' вызов не выполнится. Имя может содержать только буквы, цифры, дефисы, символы подчеркивания и периоды.
+
+ * Третий аргумент — NetBIOS имя в формате 2 шестнадцатеричных чисел.
+
+ * Четвертый аргумент — TTL (время жизни) имени в секундах.
+
+ * Пятый и последующие аргументы — IP-адреса, в настоящее время зарегистрированные для этого имени. Если этот список пуст, имя следует удалить.
+
+Пример сценария, который вызывает программу обновления динамического DNS BIND nsupdate, находится в каталоге примеров исходного кода Samba.
+
+Значения по умолчанию нет</string>
+ <string id="POL_A1E6C0E7_38BA_5583_816D_73C91FCAADB4">wins proxy</string>
+ <string id="POL_A1E6C0E7_38BA_5583_816D_73C91FCAADB4_Help">Этот параметр управляет поведением nmbd(8), будет ли тот отвечат на широковещательные запросы по разрешению имен от других компьютеров. Возможно, потребуется установить этот параметр (wins proxy = yes) для некоторых старых клиентов.
+
+Значение по умолчанию:
+wins proxy = no</string>
+ <string id="POL_31C40FB1_1B0A_5AA3_80F9_7914AC38FD99">wins server</string>
+ <string id="POL_31C40FB1_1B0A_5AA3_80F9_7914AC38FD99_Help">Параметр определяет IP-адрес (или DNS-имя, IP-адрес предпочтительнее) для WINS-сервера. Если в сети уже есть WINS-сервер, пропишите в этом параметре его IP-адрес.
+
+Также если локальная сеть состоит из множества подсетей, необходимо указать в этом параметре WINS-сервер.
+
+При работе в множественном пространстве имен необходимо назначить каждому серверу имен свой «tag» (признак). Для каждого «tag» может быть назначен только один сервер имен. «tag» отделяется от IP-адреса двоеточием.
+
+Необходимо настроить Samba так, чтобы она указывала на WINS-сервер, если есть несколько подсетей и необходимо, чтобы просмотр между подсетями работал правильно (см. раздел «Network Browsing» руководства Samba3-HOWTO).
+
+Значение по умолчанию:
+пустая строка
+
+Пример:
+mary:192.9.200.1 fred:192.168.3.199 mary:192.168.2.61
+В этом примере сначала будет опрошен сервер 192.9.200.1 и если он не отвечает 192.168.2.61. Если имя не будет разрешено, запрос пойдет на 192.168.3.199
+
+Пример:
+192.9.200.1 192.168.2.61</string>
+ <string id="POL_44517D2D_845B_5F7B_90F2_F7BD0DA063A9">wins support</string>
+ <string id="POL_44517D2D_845B_5F7B_90F2_F7BD0DA063A9_Help">Параметр определяет, будет ли процесс nmbd(8) в Samba работать как WINS-сервер. Не устанавливайте этот параметр (wins support = yes), если у вас нет нескольких подсетей, и вы не хотите чтобы nmbd работал как WINS-сервер. Никогда не устанавливайте этот параметр более чем на одной машине в пределах одной подсети.
+
+Значение по умолчанию:
+wins support = no</string>
+ <string id="POL_8A035569_9C85_59DC_9BF8_241994D4E947">wreplsrv:periodic_interval</string>
+ <string id="POL_8A035569_9C85_59DC_9BF8_241994D4E947_Help">Максимальный интервал в секундах между двумя периодически запланированными запусками, когда мы проверяем наличие изменений wins.ldb и отправляем push-уведомления нашим push-партнерам. Также в этом интервале проверяются изменения wins_config.ldb и выполняются перезагрузки конфигурации партнера.
+
+Значение по умолчанию:
+15</string>
+ <string id="POL_186864AE_CE31_5628_BA4E_6B9F06F087E5">wreplsrv:propagate name releases</string>
+ <string id="POL_186864AE_CE31_5628_BA4E_6B9F06F087E5_Help">Если этот параметр включен, то явное (от клиента) и неявное (через очистку) выпуски имени распространяются на другие серверы напрямую, даже если есть другие активные адреса, это относится к записям SPECIAL GROUP (2) и MULTIHOMED (3). Также алгоритм слияния конфликтов репликации для записей SPECIAL GROUP (2) отбрасывает адреса реплик, где владельцем адреса является локальный сервер, если адрес ранее не хранился локально. Результат слияния распространяется напрямую, если адрес был отброшен. Серверы Windows не распространяют версии имен записей SPECIAL GROUP (2) и MULTIHOMED (3) напрямую, что означает, что серверы Windows могут возвращать разные результаты для запросов имен для имен SPECIAL GROUP (2) и MULTIHOMED (3). Эта опция не имеет большого негативного влияния, если рядом есть серверы Windows, но имейте в виду, что они могут возвращать неожиданные результаты.
+
+Значение по умолчанию:
+wreplsrv:propagate name releases = no
+</string>
+ <string id="POL_8DC9CC59_A490_5F52_8C69_A9EEC802C48C">wreplsrv:scavenging_interval</string>
+ <string id="POL_8DC9CC59_A490_5F52_8C69_A9EEC802C48C_Help">Интервал в секундах между двумя запусками очистки, которые очищают базу данных WINS и изменяют состояния просроченных записей имен. По умолчанию это половина значения 'wreplsrv:renew_interval'.
+
+Значения по умолчанию нет
+</string>
+ <string id="POL_DB737BF2_9B47_5895_A3F8_D51BBD764222">wreplsrv:tombstone_extra_timeout</string>
+ <string id="POL_DB737BF2_9B47_5895_A3F8_D51BBD764222_Help">Время в секундах, в течение которого сервер должен работать, пока мы не удалим tombstone-записи из базы данных. По умолчанию 3 дня.
+
+Значение по умолчанию:
+259200</string>
+ <string id="POL_30D1C3B2_BDCD_5A5C_A131_11E1E6DA2A76">wreplsrv:tombstone_interval</string>
+ <string id="POL_30D1C3B2_BDCD_5A5C_A131_11E1E6DA2A76_Help">Интервал, в течение которого все выпущенные записи WINS-сервера становятся tombstone-записями. По умолчанию 6 дней.
+
+Значение по умолчанию:
+518400</string>
+ <string id="POL_F19C445A_AFD5_51B6_B87A_E42499C3C5D8">wreplsrv:tombstone_timeout</string>
+ <string id="POL_F19C445A_AFD5_51B6_B87A_E42499C3C5D8_Help">Интервал в секундах до удаления tombstone-записей из базы данных WINS. По умолчанию 1 день.
+
+Значение по умолчанию:
+86400</string>
+ <string id="POL_8CF1FEA3_BD3E_53C0_9F73_34050187A91E">wreplsrv:verify_interval</string>
+ <string id="POL_8CF1FEA3_BD3E_53C0_9F73_34050187A91E_Help">Интервал в секундах, в течение которого проверяются активные записи реплик с WINS-сервером. К сожалению, еще не реализовано. По умолчанию 24 дня.
+
+Значение по умолчанию:
+2073600</string>
+ <string id="CAT_9DEF582D_447A_47E9_A1F5_363558D03FA9">Сообщения</string>
+ <string id="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07">Message of the day</string>
+ <string id="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07_Help">Содержимое текстового файла /etc/motd, отображается после успешного входа в систему, но непосредственно перед запуском пользовательской оболочки.</string>
+ <string id="POL_68E9155C_CB49_428E_AFE0_B89316FFD948">Login Prompt Message</string>
+ <string id="POL_68E9155C_CB49_428E_AFE0_B89316FFD948_Help">Данная строка может содержать определенные escape-коды для отображения имени системы, даты, времени и т.д. Все escape-коды состоят из символа обратной косой черты (\), за которой сразу следует один из символов, перечисленных ниже.
+
+ 4 или 4{интерфейс}
+ Вставить IPv4-адрес указанного сетевого интерфейса (например, \4{eth0}). Если аргумент интерфейса не указан, выбрать первый полностью настроенный интерфейс (UP, non-LOCALBACK, RUNNING). Если ни один настроенный интерфейс не найден, вернуться к IP-адресу хоста машины.
+
+ 6 или 6{интерфейс}
+ Тоже, что и \4 но для IPv6.
+
+ b Вставить несущую часть текущей строки.
+
+ d Вставить текущую дату.
+
+ e или e{имя}
+ Преобразовать имя в escape-последовательность и вставьте ее (например, \e{red}Alert text.\e{reset}). Если аргумент имя не указан, тогда вставить \033. В настоящее время поддерживаются следующие имена: black, blink, blue, bold, brown, cyan, darkgray, gray, green, halfbright, lightblue, lightcyan, lightgray, lightgreen, lightmagenta, lightred, magenta, red, reset, reverse, и yellow. Все неизвестные имена игнорируются.
+
+ s Вставить имя системы (имя операционной системы). То же, что и 'uname -s'. См. также escape-код \S.
+
+ S или S{ПЕРЕМЕННАЯ}
+ Вставить значение ПЕРЕМЕННОЙ из /etc/os-release. Если этот файл не существует, обратиться к /usr/lib/os-release. Если аргумент ПЕРЕМЕННАЯ не указан, тогда использовать PRETTY_NAME из файла или имени системы (см. \s). Этот escape-код позволяет сохранить распределение /etc/issue и независимый релиз. Обратите внимание, что \S{ANSI_COLOR} преобразуется в настоящую escape-последовательность терминала.
+
+ l Вставить имя текущей линии tty.
+
+ m Вставить идентификатор архитектуры машины. То же, что и 'uname -m'.
+
+ n Вставить имя узла машины, также известное как имя хоста. То же, что и 'uname -n'.
+
+ o Вставить NIS-имя машины. То же, что и 'hostname -d'.
+
+ O Вставить DNS-имя машины.
+
+ r Вставить номер версии ОС. То же, что и 'uname -r'.
+
+ t Вставить текущее время.
+
+ u Вставить количество текущих пользователей, вошедших в систему..
+
+ U Вставить строку «1 user» или «<n> users», где <n> — количество текущих пользователей, вошедших в систему.
+
+ v Вставить версию ОС, то есть дату сборки и т.д.
+
+Значение по умолчанию:
+Welcome to \s \r \l</string>
+ </stringTable>
+ <presentationTable>
+ <presentation id="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061">
+ <listBox refId="LST_2E9A4684_3C0E_415B_8FD6_D4AF68BC8AC6">Script and arguments</listBox>
+ </presentation>
+ <presentation id="POL_825D441F_905E_4C7E_9E4B_03013697C6C1">
+ <listBox refId="LST_1AA93D59_6372_4F1E_90BB_D4CBBBB77238">Script and arguments</listBox>
+ </presentation>
+ <presentation id="POL_D298F3BD_44D9_426D_AF11_3163D31582F6">
+ <listBox refId="LST_8BC6757D_B1FB_4780_83B4_F85F27BF6E60">Script and arguments</listBox>
+ </presentation>
+ <presentation id="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674">
+ <listBox refId="LST_1E7198A6_7850_4CAB_B656_BC18752564FC">Script and arguments</listBox>
+ </presentation>
+ <presentation id="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3">
+ <listBox refId="LST_4F4BA073_4F7B_4B64_A61D_8E75257A4B9F">Sudoers commands</listBox>
+ </presentation>
+ <presentation id="POL_A3D6C2F2_2798_527E_861E_FA8BADBBE6E6">
+ <textBox refId="TXT_F940E18B_16AE_594B_9669_96417E695AC9">
+ <label>additional dns hostnames</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_AC8777B4_88D7_5A1A_BB7E_E47AB5DBD6AA">
+ <checkBox refId="CHK_5C837672_BFBB_592A_907C_E378BEEDA2E4">bind interfaces only</checkBox>
+ </presentation>
+ <presentation id="POL_D03F1811_D0CA_56CF_9D18_B480E9B5AFAD">
+ <textBox refId="TXT_03C82812_CCD0_5E35_8FA1_2704BAF796E9">
+ <label>config backend</label>
+ <defaultValue>file</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DE840DAF_58CD_5B21_A76B_70740BD125A1">
+ <textBox refId="TXT_CF5594A6_FA4A_5AB4_881B_AD9270CE3523">
+ <label>dos charset</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3783DBBE_7F1F_52B4_BECB_6176E8D43AE1">
+ <checkBox defaultChecked="true" refId="CHK_A51834ED_BBB9_52C3_A7C5_A566ABE7AB3D">enable core files</checkBox>
+ </presentation>
+ <presentation id="POL_5EE2E645_A509_5C51_94FE_4F84668AC869">
+ <textBox refId="TXT_3E2FB206_740F_580E_889D_B53C2540732C">
+ <label>mdns name</label>
+ <defaultValue>netbios</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_32EB220A_5721_51EC_810C_0BEF4B9EA706">
+ <checkBox defaultChecked="true" refId="CHK_03FFDBD4_C185_5951_954F_189B0D4C40DA">multicast dns register</checkBox>
+ </presentation>
+ <presentation id="POL_51EEB44F_42B8_5CEA_8DA6_CB78139F4804">
+ <textBox refId="TXT_6A12C17F_F8CF_56F3_8D82_43CAB3C57F55">
+ <label>netbios aliases</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_4AEFFAC4_3FBE_5DFA_9D3F_D78B50416B7C">
+ <textBox refId="TXT_34827D8A_E97C_590B_BD8A_6DEA6A354BE8">
+ <label>netbios name</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_24E6BE64_5FEA_56A1_83AF_844C8A96E96D">
+ <textBox refId="TXT_0ED12914_E653_5CDA_9F46_E1C3AB2FC32E">
+ <label>netbios scope</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0901DFB6_7C73_5D10_82CC_5D77CD14685D">
+ <decimalTextBox defaultValue="10" refId="DXT_F0896598_D8F1_579A_B01D_09A48282AC76"/>
+ </presentation>
+ <presentation id="POL_26F4B846_C66B_5649_AA7E_B06E899017CA">
+ <decimalTextBox defaultValue="4" refId="DXT_BD459D8F_47F9_558D_A641_97892C9E577E"/>
+ </presentation>
+ <presentation id="POL_9C3E188A_07B9_5354_A206_DD0FA0B4A235">
+ <decimalTextBox defaultValue="120" refId="DXT_16991D04_74C7_54C3_9E4F_52EF9C9AEDB4"/>
+ </presentation>
+ <presentation id="POL_609F7E6F_9AAC_56B4_B098_4E63BBBB98B4">
+ <textBox refId="TXT_5B075596_6622_5C89_A426_B9DA3F43AC3A">
+ <label>realm</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_68ED4DED_E13E_5C54_BD04_23E499D77D51">
+ <textBox refId="TXT_E2BF4D58_613E_5C2D_850A_C3585BC311C2">
+ <label>server services</label>
+ <defaultValue>s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_584FF155_77A9_5209_AC2F_071DEAB5FA42">
+ <textBox refId="TXT_EC20B2FC_7658_536F_A876_F0B61196042C">
+ <label>server string</label>
+ <defaultValue>Samba %v</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3D10A56C_5C5B_516D_8718_0112384056DB">
+ <textBox refId="TXT_682410E7_F583_5A97_BB60_6BBAA190DA1C">
+ <label>share backend</label>
+ <defaultValue>classic</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A64B2059_EC1C_5759_94E8_CD95EEB42F35">
+ <textBox refId="TXT_3F03354B_7221_5D54_8D25_FA3229D9A026">
+ <label>unix charset</label>
+ <defaultValue>UTF-8</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_38764DE0_53DC_587E_A94B_7C03323B0C69">
+ <textBox refId="TXT_A1CD4626_197B_582B_9C09_E35945F84ECF">
+ <label>workgroup</label>
+ <defaultValue>WORKGROUP</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DD5ADDCF_E8DF_50F9_9847_E821787C2C3C">
+ <textBox refId="TXT_18F101C1_8754_5052_8D12_3D4B3755A739">
+ <label>interfaces</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EECBA792_3D9C_5624_A01E_F5876EF8224D">
+ <checkBox defaultChecked="true" refId="CHK_1D40EF50_9DF5_5D95_B5EF_406C4F3774B8">browse list</checkBox>
+ </presentation>
+ <presentation id="POL_414481A1_7B9D_551A_96F0_B235A226F141">
+ <textBox refId="TXT_69092348_8194_5EA4_9EB2_AFFFF4A2A6C8">
+ <label>domain master</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_25D5E28F_5847_5A16_8CF5_01E528D1807D">
+ <checkBox defaultChecked="true" refId="CHK_7A02FE2C_82BF_50CE_91F0_14B1191E7258">enhanced browsing</checkBox>
+ </presentation>
+ <presentation id="POL_7356F015_5915_5A1E_9154_AEE48849DC85">
+ <textBox refId="TXT_9C07BE5E_EF60_51EC_B26C_CEA97CD41C69">
+ <label>lm announce</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_37CB9A35_D06B_581B_8BBC_96F636F2DF0D">
+ <decimalTextBox defaultValue="60" refId="DXT_6B8EAB54_6B9E_5EE3_BBB3_286F512AC0F9"/>
+ </presentation>
+ <presentation id="POL_00BB67E5_7846_53BF_990A_8B7D03F9D88E">
+ <checkBox defaultChecked="true" refId="CHK_CFD7EF58_DD73_5465_B0CE_4C6B4E35F416">local master</checkBox>
+ </presentation>
+ <presentation id="POL_99809647_A4DC_5363_8E8B_A27B51B90E87">
+ <decimalTextBox defaultValue="20" refId="DXT_3DF3E95D_2453_53C1_A98D_DB040E45E676"/>
+ </presentation>
+ <presentation id="POL_69BB8325_FE45_56C0_8D34_F23EC38D2107">
+ <textBox refId="TXT_82D47B73_2C75_5779_A283_E9A39FD54705">
+ <label>preferred master</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F664E709_2422_5047_BD55_E95C422B6B33">
+ <textBox refId="TXT_BEC7C085_5840_5531_9E64_A727E258569A">
+ <label>allow dns updates</label>
+ <defaultValue>secure only</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C69048CD_ABF0_5333_B5CB_7455D5F226FF">
+ <textBox refId="TXT_64C9BBC7_F73A_5844_A613_08685212F33C">
+ <label>dns forwarder</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F9D5C585_21FD_5990_BE36_3A58B7AF326B">
+ <textBox refId="TXT_05BC3827_6AE7_54BF_8E0C_008D698CC732">
+ <label>dns update command</label>
+ <defaultValue>/samba_dnsupdate</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2363A474_4143_52A2_A69B_05285C98E4CF">
+ <checkBox refId="CHK_3104780C_9730_550D_8DF9_5C5A226B2AAE">dns zone scavenging</checkBox>
+ </presentation>
+ <presentation id="POL_F2F11B02_D190_5766_95DC_FDB846EEEB13">
+ <textBox refId="TXT_A8FD53BD_1ED7_54DB_9A7C_159348F47A6D">
+ <label>gpo update command</label>
+ <defaultValue>/samba-gpupdate</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A83B176D_D2FE_5F41_9977_9A16F5B8C5ED">
+ <decimalTextBox defaultValue="604800" refId="DXT_E5687DEB_DB51_5266_ACDB_2E619982BAD7"/>
+ </presentation>
+ <presentation id="POL_5BD73E55_C69F_5CCF_8D91_2513716FB1C6">
+ <textBox refId="TXT_3BA3F934_5C9D_5EAB_BAEB_7FBDAE0268F5">
+ <label>nsupdate command</label>
+ <defaultValue>/usr/bin/nsupdate -g</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E38856B0_C9B1_5577_9055_C48A4CCE499C">
+ <textBox refId="TXT_041114D6_313A_501F_BFC9_FD004546248B">
+ <label>spn update command</label>
+ <defaultValue>/samba_spnupdate</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C2FCADD1_1EF0_5726_9CDE_0E155B0B6575">
+ <decimalTextBox defaultValue="1" refId="DXT_0BA0C537_293A_525C_AC5C_9BB5C0524277"/>
+ </presentation>
+ <presentation id="POL_620B56BA_84B7_5E72_AC2D_4F0574FBB199">
+ <textBox refId="TXT_241061E9_3BDA_5AFE_87CB_13C53A164649">
+ <label>mangling method</label>
+ <defaultValue>hash2</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E59D859C_7C78_5AB6_8DE3_27F672637189">
+ <decimalTextBox defaultValue="512" refId="DXT_EA859956_0483_500A_9962_8A26A8B81BB4"/>
+ </presentation>
+ <presentation id="POL_6BB5939F_7CE6_588E_A6E2_B114EF17F60F">
+ <checkBox defaultChecked="true" refId="CHK_45471F8A_D0BD_53A3_B51F_393DE6CC03D2">stat cache</checkBox>
+ </presentation>
+ <presentation id="POL_BE2B9E4A_5ABE_543F_8564_4CBDD1AF9179">
+ <textBox refId="TXT_4A85EF32_894F_50AF_9917_B7F431720A82">
+ <label>client ldap sasl wrapping</label>
+ <defaultValue>sign</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F4937393_B88E_5B26_89F5_F9933BEBEF8B">
+ <textBox refId="TXT_4B00C10F_7EBB_52D5_9AD1_C893F9C094C5">
+ <label>ldap admin dn</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_5187BD6B_3008_59FC_887D_1C89E807B11E">
+ <decimalTextBox defaultValue="2" refId="DXT_87AD8E93_91B6_5439_B928_9776BF986ED0"/>
+ </presentation>
+ <presentation id="POL_96311867_A4DE_5B57_BD8C_3D25B5084F68">
+ <checkBox refId="CHK_2BC96AC0_ECEF_55D4_AEA4_039FDD24C999">ldap delete dn</checkBox>
+ </presentation>
+ <presentation id="POL_193E7C6B_E70E_55EB_AB50_3788B93F4607">
+ <textBox refId="TXT_FCC83065_2F1A_585B_A998_85AA52D99537">
+ <label>ldap deref</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E6D23CDA_DABC_5749_BEF1_D15FF80E02BF">
+ <textBox refId="TXT_DEC758B4_6B3C_5882_B0B8_386473EECFD3">
+ <label>ldap follow referral</label>
+ <defaultValue>auto</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_6C44A469_31FA_512A_AB08_ACDADD5B7238">
+ <textBox refId="TXT_B51FB55F_3A49_539E_A77A_7F7F2AF2CC39">
+ <label>ldap group suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_83D7A344_AE69_5DCA_A3D9_A79DF817A7D4">
+ <textBox refId="TXT_E49CAB56_E62A_5930_99DE_EEC0B04DBCF4">
+ <label>ldap idmap suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_07D748C7_B6EA_558D_B652_62F9BC2E9A1B">
+ <textBox refId="TXT_2B9911E2_33DC_5CB0_A9CC_E7DD7B2A5799">
+ <label>ldap machine suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F831F898_66A7_53D3_B6EA_B90065F7EF41">
+ <decimalTextBox defaultValue="1000" refId="DXT_1C52332B_FC98_54CA_8C3D_64E63D450DD7"/>
+ </presentation>
+ <presentation id="POL_068B0430_6CF2_5CAC_BDC8_F7074411AA6C">
+ <textBox refId="TXT_03529C2D_378A_5BE4_A342_9FF088AC8396">
+ <label>ldap passwd sync</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DC0C1ABD_D8CE_5175_A9AB_D58661AACFB1">
+ <decimalTextBox defaultValue="1000" refId="DXT_B21A5F63_507D_5407_B582_DA64138C6B97"/>
+ </presentation>
+ <presentation id="POL_F12B9752_4939_52A6_9A5E_52FFF53FC34F">
+ <textBox refId="TXT_3ADB0A83_AA24_5C68_BD2E_3723FC2F2268">
+ <label>ldapsam:editposix</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_90ECE51D_8CF8_50F9_809F_87A024DDCAAE">
+ <textBox refId="TXT_B10770E9_1959_5A4A_8D44_F070923C2A12">
+ <label>ldapsam:trusted</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B58FAA75_79BA_53E3_A895_69D6DE3E547E">
+ <textBox refId="TXT_9F11612E_1A6E_5CF7_BC96_4ADBD123A76D">
+ <label>ldap server require strong auth</label>
+ <defaultValue>yes</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D6465FAC_2205_59C0_A3E6_1F1DE4C50A58">
+ <textBox refId="TXT_950B2F92_3A19_5FC4_839A_3226C858811C">
+ <label>ldap ssl</label>
+ <defaultValue>start tls</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EAF3D0F1_C7E5_5864_AE5D_FBF9F6102FF4">
+ <checkBox refId="CHK_0D06C9D8_3A6A_509E_9B4A_DE497AFA6B58">ldap ssl ads</checkBox>
+ </presentation>
+ <presentation id="POL_208E2789_E8A9_53CA_B756_2694096B8DAF">
+ <textBox refId="TXT_ABB81954_F41C_5FAD_BD35_873007549C27">
+ <label>ldap suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D76D653B_C2A3_5939_BF95_9BAE0CF6C88C">
+ <decimalTextBox defaultValue="15" refId="DXT_8B73DF13_A7A3_57B4_A4BE_AC816E59EBAB"/>
+ </presentation>
+ <presentation id="POL_B3FBC8E2_DD5D_5CEA_9FC5_44687CF36BB5">
+ <textBox refId="TXT_B9F4F586_8F61_53D2_AFEE_B2011D0DFF43">
+ <label>ldap user suffix</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_94ABA1F3_F411_52AE_ADAA_72B53F9198CA">
+ <decimalTextBox defaultValue="256000" refId="DXT_B7AEDDC2_0B5A_5C1C_AFA0_7518773C5F5F"/>
+ </presentation>
+ <presentation id="POL_A2C8FD60_A284_5409_B130_B135DEE4B615">
+ <decimalTextBox defaultValue="16777216" refId="DXT_1B597D08_FFDB_5BA4_ABD9_31A8446A3625"/>
+ </presentation>
+ <presentation id="POL_695C7E25_8C69_519C_907E_9A71D1FE2EC3">
+ <decimalTextBox defaultValue="256000" refId="DXT_6FA557BE_E2D9_54CC_9A8D_FAA4BFCD552A"/>
+ </presentation>
+ <presentation id="POL_60E126C5_9E79_54DC_B201_A3E643352D00">
+ <decimalTextBox defaultValue="200" refId="DXT_8D517C10_BE65_5D58_AC86_8A21017F479A"/>
+ </presentation>
+ <presentation id="POL_6B50B6B6_D038_54C5_BD82_9D377C2E8C0C">
+ <decimalTextBox defaultValue="0" refId="DXT_14C326D8_5326_5883_95FA_D903E07A457A"/>
+ </presentation>
+ <presentation id="POL_D9E75BB0_F19B_5F72_A58E_22718E614EB3">
+ <checkBox defaultChecked="true" refId="CHK_8649286E_DE5D_5DE7_A836_AA15E736A911">smb2 leases</checkBox>
+ </presentation>
+ <presentation id="POL_D7003A7B_D00A_51AE_8D40_7446533B2974">
+ <checkBox refId="CHK_4915975F_60D1_5187_9E6A_F835D1086622">debug class</checkBox>
+ </presentation>
+ <presentation id="POL_CF714212_43A8_52ED_BDAD_B1D6F82A6EF9">
+ <checkBox defaultChecked="true" refId="CHK_ADDEF100_7619_5056_B632_ECEF204DBEC8">debug hires timestamp</checkBox>
+ </presentation>
+ <presentation id="POL_CF524D7E_11CA_5027_9777_5398DD2804B4">
+ <checkBox refId="CHK_6D39A340_480D_596C_A9F5_3412FC28765D">debug pid</checkBox>
+ </presentation>
+ <presentation id="POL_BDF671C9_3811_5B19_AB78_5F12B25CEC84">
+ <checkBox refId="CHK_2367747B_4E47_503A_A92C_1EA98AC3D5CC">debug prefix timestamp</checkBox>
+ </presentation>
+ <presentation id="POL_B76DE893_21E7_5B6A_81AB_23B8F00D782D">
+ <checkBox refId="CHK_5BD4217F_5C51_59D6_9582_3037FB4B6E4F">debug uid</checkBox>
+ </presentation>
+ <presentation id="POL_BACB061C_C7A0_5830_80FE_15FA009DEAA2">
+ <decimalTextBox defaultValue="0" refId="DXT_DBF1992F_D735_55E7_9029_AE5D9EBA66FB"/>
+ </presentation>
+ <presentation id="POL_B51CE2D4_7EFD_577E_97EC_8EEA650C0F0F">
+ <decimalTextBox defaultValue="10" refId="DXT_2D488F55_5DE8_5AC6_85AE_F77BE4429364"/>
+ </presentation>
+ <presentation id="POL_1C03B9BE_5E74_58CF_A649_CDFD9E91F6CC">
+ <textBox refId="TXT_2C83A41B_5CDA_5130_8343_1278307321CD">
+ <label>log file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_FA6B22DA_628C_5C5E_8BAD_97BBCE0E4F1F">
+ <textBox refId="TXT_2533346E_4C1C_5ACB_9355_B40495EB63CD">
+ <label>logging</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C4E11396_B289_5D98_9F39_6BD19BBB4330">
+ <textBox refId="TXT_60E8D3F6_8EC7_5FDC_8645_3E4E3EF85512">
+ <label>log level</label>
+ <defaultValue>0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EA5127A5_4C6A_5B8A_9D52_D5D17D9E8AFE">
+ <decimalTextBox defaultValue="5000" refId="DXT_60E6F44F_5185_576D_91C2_9B10FB853416"/>
+ </presentation>
+ <presentation id="POL_69FD7A6B_0BA2_570F_9BB1_B869C7404630">
+ <decimalTextBox defaultValue="1" refId="DXT_FCD3912D_FD93_54A5_91E4_A834457B8F2E"/>
+ </presentation>
+ <presentation id="POL_FD3A0B38_1664_58B4_983A_3A21EC4A76EA">
+ <checkBox refId="CHK_88778A4E_D102_588A_A01C_E930BEE81D6C">syslog only</checkBox>
+ </presentation>
+ <presentation id="POL_AB153BC2_9291_51D0_81AC_1A78B1A0DE6F">
+ <checkBox defaultChecked="true" refId="CHK_16FD7E9E_1FCF_58D9_940E_42D45860825B">timestamp logs</checkBox>
+ </presentation>
+ <presentation id="POL_7C7A3857_7762_5F1F_BDB5_A621FEBD0E99">
+ <textBox refId="TXT_6716C37B_3C84_5AB4_8A8D_B6D070787CEB">
+ <label>abort shutdown script</label>
+ <defaultValue>""</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A6105481_F59A_5B08_8B4C_B100EF112BD9">
+ <textBox refId="TXT_BB6CFFBF_3E2F_5FDF_A2CC_E255231A3370">
+ <label>add group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_01C79ED8_2727_54DF_AF75_96E5A25722DD">
+ <textBox refId="TXT_C3FD37B5_A643_57DF_AE57_048E75B21BDF">
+ <label>add machine script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_BA7787E8_0D26_5963_8F44_498B278A4703">
+ <textBox refId="TXT_56C28546_216A_5AFF_B212_FFEC207F3FFD">
+ <label>add user script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_077466DB_CB4D_5489_8934_C2F22592D94A">
+ <textBox refId="TXT_218549FC_FD8A_5036_8199_9B2AB628624F">
+ <label>add user to group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8F632169_4F0C_500B_BE8B_88960312C345">
+ <checkBox refId="CHK_61299541_E6C3_50AD_9CCD_409DBABC3DA2">allow nt4 crypto</checkBox>
+ </presentation>
+ <presentation id="POL_5A6DC206_1A48_5FFE_8B2D_897EF95CCBAD">
+ <checkBox refId="CHK_F34DA878_4D45_5E26_8454_77BAE0D9FCAA">auth event notification</checkBox>
+ </presentation>
+ <presentation id="POL_3152501B_87A8_5907_AAD5_00B3F7752516">
+ <textBox refId="TXT_F75A550B_6B11_57A4_9EAD_27361359E4CB">
+ <label>delete group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_676F211D_0B27_54F6_9FF0_1B6F6CC88CA6">
+ <textBox refId="TXT_E6287F6E_CDD6_57CC_A6CF_59E26391473A">
+ <label>delete user from group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3033EDC8_8938_5A64_A8B9_1F7349DC1149">
+ <textBox refId="TXT_1FC62BD1_6541_5C03_B233_B5DE1B987775">
+ <label>delete user script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_27365CD7_D0DF_5A41_9140_A1C6970CB3D0">
+ <checkBox refId="CHK_B67618DB_ED7B_5A2E_AC14_C2E808E1A927">domain logons</checkBox>
+ </presentation>
+ <presentation id="POL_49526C11_2F64_5D85_A25D_A90D2152195E">
+ <checkBox defaultChecked="true" refId="CHK_A6532133_05F0_5D5F_983E_8924AB2334D5">enable privileges</checkBox>
+ </presentation>
+ <presentation id="POL_026CF0E2_B95C_5B67_BBAA_E95C5F809B28">
+ <decimalTextBox defaultValue="100" refId="DXT_1FD373A1_8A61_5884_9208_07A886F6334F"/>
+ </presentation>
+ <presentation id="POL_B9587C82_562E_5CA5_8BBD_835B3940D00D">
+ <textBox refId="TXT_633A0D2D_C7E6_54EF_BCE0_46ECFB6B2C1E">
+ <label>init logon delayed hosts</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_84F161E0_6C65_55C2_9DB5_CC61E66CEA9F">
+ <textBox refId="TXT_8F910181_D80D_58A5_937D_186E347E6433">
+ <label>logon drive</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_508CD547_53D7_59ED_BB1F_E6EE939C1AF2">
+ <textBox refId="TXT_3C94DDFB_94DD_598E_BC0D_B70465DA9C0C">
+ <label>logon home</label>
+ <defaultValue>\\%N\%U</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_204A522A_CF55_5E96_A2AD_B58E105AA80C">
+ <textBox refId="TXT_05B40781_B875_53DD_B1DD_4CA590B56E4A">
+ <label>logon path</label>
+ <defaultValue>\\%N\%U\profile</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A1B5FFEC_19C2_5415_ACE0_38E5D118E369">
+ <textBox refId="TXT_C1B894A7_BDF5_52B8_AC59_900953D453AC">
+ <label>logon script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DD7A32CE_6F63_596B_8E15_43B11C82E2AF">
+ <checkBox refId="CHK_805FD143_5242_56DE_BD51_0B514A588E9F">reject md5 clients</checkBox>
+ </presentation>
+ <presentation id="POL_2AD85924_5D09_571B_B048_E996EC819C57">
+ <textBox refId="TXT_B00F123E_2430_5EA0_A543_92D22A0F5FD4">
+ <label>set primary group script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A8F30942_8D30_583F_8C0F_877BD20D9B26">
+ <textBox refId="TXT_74A021FE_F97F_5D54_9C4E_023D1964D37E">
+ <label>shutdown script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F0D581AB_54B4_58AA_9B84_6794FB8D3D55">
+ <textBox refId="TXT_C77D6CE7_BED5_52A8_BD8C_0259439992FA">
+ <label>add share command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_91CEEB79_E73B_563E_84CC_0C1483141142">
+ <decimalTextBox defaultValue="604800" refId="DXT_FBB1DAD6_26B9_5FB1_9678_EB499E48CC26"/>
+ </presentation>
+ <presentation id="POL_77D04206_AF73_51DE_9BE8_63524E440826">
+ <textBox refId="TXT_22E4592F_8119_5A26_AF4F_0624F1AC5E0E">
+ <label>afs username map</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_5FA91D1E_B675_5681_9FE8_E14B3E1BA737">
+ <checkBox refId="CHK_AC4E2E8E_74FE_5FD1_B6F4_3637B4582348">allow insecure wide links</checkBox>
+ </presentation>
+ <presentation id="POL_153D9711_80CD_56CD_8A51_DDA71A3800C0">
+ <checkBox refId="CHK_D36441A8_7E2F_5174_8483_4DFE0503C16D">allow unsafe cluster upgrade</checkBox>
+ </presentation>
+ <presentation id="POL_DFD4B19F_8874_5AE7_83CE_F8F507F26D51">
+ <checkBox refId="CHK_E37B6C82_F04E_5025_B457_01D9296753BE">async smb echo handler</checkBox>
+ </presentation>
+ <presentation id="POL_AA42E677_62D1_5408_A8B7_98222854E79B">
+ <textBox refId="TXT_34B124B0_A219_5575_BFDC_EAC426D7A3A5">
+ <label>auto services</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2099F7FC_F033_5E2F_B2D0_17E1CCB2969A">
+ <textBox refId="TXT_07FAF490_385F_5A63_8A03_BF34531D019D">
+ <label>cache directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2CD315A0_5DDA_5123_A973_79C1DE40BC82">
+ <checkBox defaultChecked="true" refId="CHK_1A966B04_20C5_5E97_8C75_71519DB4783C">change notify</checkBox>
+ </presentation>
+ <presentation id="POL_2D514759_876D_5B59_B854_8DC51888BB02">
+ <textBox refId="TXT_B8991748_9729_56D2_8DAD_5BAFEC5A7A8A">
+ <label>change share command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_239BABBB_C9C7_538A_B6CF_0FA2FC980562">
+ <textBox refId="TXT_E05A6480_11BB_5FF4_8E6E_37E281DA95F6">
+ <label>cluster addresses</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_92925554_781D_56B7_958E_DD33A753ED22">
+ <checkBox refId="CHK_D800E6F3_FB17_5561_9C47_88EB4384129D">clustering</checkBox>
+ </presentation>
+ <presentation id="POL_F2210D02_1B94_561B_9B05_1C5B896AF6D4">
+ <textBox refId="TXT_EB6161C1_BF92_5E6F_A106_AAE90FBD9EBD">
+ <label>config file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2EED8B7C_AF41_514A_A33D_8100A5F831AC">
+ <textBox refId="TXT_E56A7A49_B6A1_502F_AF0E_A3944A5DBFFA">
+ <label>ctdbd socket</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0DE178AC_0A5A_5CDD_8BE6_0E24150CF2BA">
+ <decimalTextBox defaultValue="0" refId="DXT_BB942009_69C3_5BAD_8507_AF692DF05CA1"/>
+ </presentation>
+ <presentation id="POL_026C959C_5371_5698_903A_03F46EEDEBE9">
+ <decimalTextBox defaultValue="0" refId="DXT_8A4C2887_09B3_542A_A22B_EEC3404DBEF8"/>
+ </presentation>
+ <presentation id="POL_C16447B8_9E34_57E6_A1F7_A6F87E66CF73">
+ <textBox refId="TXT_70112D53_C921_5D1F_9AFC_15D4890131CE">
+ <label>default service</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_41887133_D321_5526_B73E_2D5BEDA6B644">
+ <textBox refId="TXT_7B81ED14_1277_5697_B4DE_2CCFB8F79BC3">
+ <label>delete share command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B93F17F1_6F2A_5D04_AC96_EA043AC87144">
+ <checkBox refId="CHK_3D317248_E078_5FDD_B3C7_B7051C10506D">dsdb event notification</checkBox>
+ </presentation>
+ <presentation id="POL_ED5A8D54_C086_5C46_985E_746D4ED62FEA">
+ <checkBox refId="CHK_F76A8EFA_4388_54E3_B283_976BA2DD2A2E">dsdb group change notification</checkBox>
+ </presentation>
+ <presentation id="POL_5B2313F4_5239_57E8_88E9_822DBB4C0E77">
+ <checkBox refId="CHK_4B61A9A1_8E18_56CF_9B9E_6904A78328A0">dsdb password event notification</checkBox>
+ </presentation>
+ <presentation id="POL_B86BF972_B64C_57B2_9E82_96C5EECFAFA7">
+ <textBox refId="TXT_7AB84D08_FB4A_5676_B106_B4DB68C5F577">
+ <label>elasticsearch:mappings</label>
+ <defaultValue>/elasticsearch_mappings.json</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_444019F3_369A_5807_805C_AB00E59CDD4B">
+ <checkBox refId="CHK_9EA28A80_4AA6_5D4A_8A14_E22205D488CD">fss: prune stale</checkBox>
+ </presentation>
+ <presentation id="POL_472F0591_240C_5E5D_827C_49E760A75B8E">
+ <decimalTextBox refId="DXT_D5D56481_74EE_5D10_8476_B3FDB82AE518"/>
+ </presentation>
+ <presentation id="POL_DADF0887_C19B_5B14_9CEF_6721596557EB">
+ <textBox refId="TXT_B001AD6C_7FA0_5EE0_8C4D_D506EECFF497">
+ <label>homedir map</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_AFF4FEEA_8C88_5AED_9414_F4A320074A99">
+ <checkBox defaultChecked="true" refId="CHK_F273132D_C805_596F_A0E1_B6ECB4752ADB">kernel change notify</checkBox>
+ </presentation>
+ <presentation id="POL_4F279322_30AA_564B_844F_7827454574D2">
+ <textBox refId="TXT_A384C210_BD62_5E63_B7EB_BC26844F51C8">
+ <label>lock directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1120E96A_0F8E_5827_A6D2_3CA7AD66D689">
+ <checkBox refId="CHK_EB18668D_E754_524B_B2D7_CC74BA90421D">log writeable files on exit</checkBox>
+ </presentation>
+ <presentation id="POL_63067D3C_4F00_5193_92FE_A58651D4BACC">
+ <textBox refId="TXT_18DDFF0D_D5DB_5617_AE32_D93BE7E38C4B">
+ <label>message command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8765A188_6EFA_515B_B602_8F67140CFE7F">
+ <textBox refId="TXT_C551A0C4_E3B9_5985_9492_C7F42D10E75C">
+ <label>nbt client socket address</label>
+ <defaultValue>0.0.0.0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D7C62F7B_B1B6_57B3_AE48_34D09A88ECFE">
+ <textBox refId="TXT_1A090CE6_58F5_56F0_A29C_175CADD196D7">
+ <label>ncalrpc dir</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_CCC72421_6131_58BC_BFE1_D9EC7399CD57">
+ <checkBox refId="CHK_8E5A65B4_42A2_5F00_8558_E69C28758E1B">NIS homedir</checkBox>
+ </presentation>
+ <presentation id="POL_3E9DEECC_9015_5720_9251_CF804FAB2602">
+ <checkBox defaultChecked="true" refId="CHK_49457A99_B4CF_594B_B796_916B9AB74838">nmbd bind explicit broadcast</checkBox>
+ </presentation>
+ <presentation id="POL_5A63DA17_F433_5414_A47F_26C5B9BE57C2">
+ <textBox refId="TXT_A21115E3_D3E1_505B_9D2C_84A3DC428246">
+ <label>panic action</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_50CDC71F_7927_5631_A40A_C0BD12899CA1">
+ <textBox refId="TXT_6C7D4E2F_9ABE_5C67_9A8C_18D11AEF6038">
+ <label>perfcount module</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A02E7761_E359_5528_A160_F2B67024244F">
+ <textBox refId="TXT_DC19A229_4604_5CC9_8C83_CA2A1323653A">
+ <label>pid directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C030CCF1_08E7_5B6F_9239_F19B792C2157">
+ <checkBox refId="CHK_0200BA53_C2E5_5136_8A69_D8561A556A50">registry shares</checkBox>
+ </presentation>
+ <presentation id="POL_ADE18BC6_D01E_58CF_98FA_BCDCC7CDDC37">
+ <textBox refId="TXT_D765EA37_D1F5_50B2_91CE_49E66F462943">
+ <label>remote announce</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2D35EC75_4D7A_533F_96C8_3A331BDEDF34">
+ <textBox refId="TXT_F44D8D8A_1E1F_5BEE_AB4F_B3DAAFB7DBA9">
+ <label>remote browse sync</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2594A0C3_CF98_5B89_B182_1BB9C275B742">
+ <checkBox refId="CHK_57B96280_EA3D_5DAC_83DE_13338587A0D6">reset on zero vc</checkBox>
+ </presentation>
+ <presentation id="POL_17837A58_88D4_5F29_8D41_479688BD8CBD">
+ <textBox refId="TXT_90158AA7_C0BE_5650_9204_2AFC0BD9D5E8">
+ <label>rpc_daemon:DAEMON</label>
+ <defaultValue>disabled</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_AC41C088_31DF_569D_8FC8_8747C4A30548">
+ <textBox refId="TXT_31E1741F_829C_5B90_9A2F_B0E0DC5F1E75">
+ <label>rpc_server:SERVER</label>
+ <defaultValue>embedded</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1233682B_A71D_5081_9CF1_F5112A62EE3B">
+ <textBox refId="TXT_B5965925_60A9_5A4E_B348_80C590F7AF7A">
+ <label>smbd profiling level</label>
+ <defaultValue>off</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C2788566_CBC3_59A3_80A2_72D92E42C276">
+ <textBox refId="TXT_58CF9CC7_1A14_55B0_8E4E_52E962A10EE4">
+ <label>state directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_6AF97A17_10D7_553C_8CEC_09C8466A2AA4">
+ <checkBox refId="CHK_2D14A430_BA96_5B3F_970F_CE1AE9F7E8AA">usershare allow guests</checkBox>
+ </presentation>
+ <presentation id="POL_35B0CCC2_C387_5AED_9345_A2E4DE654F5F">
+ <decimalTextBox defaultValue="0" refId="DXT_AD83F27E_4FF7_5E8D_A441_0A8925C9D917"/>
+ </presentation>
+ <presentation id="POL_4E1A7DA3_3014_5C3C_9B0B_1919ECADACFB">
+ <checkBox defaultChecked="true" refId="CHK_950CF79D_4898_55EB_A6A8_24F2A6867B1D">usershare owner only</checkBox>
+ </presentation>
+ <presentation id="POL_F2D66EF9_F99C_5347_A075_E8733603E83D">
+ <textBox refId="TXT_D24709D9_FFEF_5871_AF49_5E3A3466761C">
+ <label>usershare path</label>
+ <defaultValue>/usershares</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_568D23D8_683D_5E32_96B8_5CCF81F0BDEC">
+ <textBox refId="TXT_C0DF82DC_7C0A_5B7F_9B93_19D517976672">
+ <label>usershare prefix allow list</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8A095F7E_AF4C_5F23_8C6D_327CF9225A8E">
+ <textBox refId="TXT_0CE59443_3FA6_5849_9671_8D70B1EA7E50">
+ <label>usershare prefix deny list</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_ABD81045_A7F0_5D9D_93E5_0D96C0BD7AA8">
+ <textBox refId="TXT_029600AB_FD39_52B7_AE5D_AE0D7138153A">
+ <label>usershare template share</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_238B28BE_5F6B_5251_B47B_4932EA213DAE">
+ <checkBox refId="CHK_651BA339_0B8E_5456_99AA_E4CD4BE64F51">utmp</checkBox>
+ </presentation>
+ <presentation id="POL_BB0E4D55_D6E9_5FDD_A75B_59F7403CF67C">
+ <textBox refId="TXT_C85A703E_0428_51EF_8A2A_D4803BE9446E">
+ <label>utmp directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2AD1815C_5DBC_5A7E_8DC9_CEE194030C59">
+ <textBox refId="TXT_CF0F4D90_5001_57CB_A6C8_58575659305D">
+ <label>wtmp directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_63B9016C_EBE5_5EA7_85B0_493E3155F943">
+ <textBox refId="TXT_63999B72_41DB_5A45_A6DE_66574F1F442F">
+ <label>addport command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_778F868C_7119_5059_9D0D_62B468410A7D">
+ <textBox refId="TXT_5581F365_D9D7_535E_A25B_A58F2FBABCBB">
+ <label>addprinter command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E4EA6E76_DFE6_5C90_8D2F_544185E10581">
+ <decimalTextBox defaultValue="30" refId="DXT_21FF9D0E_70B9_5790_9877_F218D435CAA2"/>
+ </presentation>
+ <presentation id="POL_5A6F3F97_C655_501A_8A1D_D3B96E22D189">
+ <textBox refId="TXT_90A3BD2E_13EF_5BC9_970F_32A3CE582200">
+ <label>cups encrypt</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_713C453D_7C4E_5446_99F0_93FDC97CBD6E">
+ <textBox refId="TXT_E3EF87B6_2525_530F_96D9_36770179DBEF">
+ <label>cups server</label>
+ <defaultValue>""</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_7801A389_C366_5376_9D03_631BD51C46C4">
+ <textBox refId="TXT_6477B02C_3AE4_5724_B00B_0A11F16A1ECD">
+ <label>deleteprinter command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8AEEC70D_CC12_55A5_A39F_ED0C3A3B652E">
+ <checkBox refId="CHK_BA883BE5_77CE_5478_BBC8_10B796EF09C2">disable spoolss</checkBox>
+ </presentation>
+ <presentation id="POL_D8A14125_4BEE_575E_B7A2_A6D2809A0CC9">
+ <checkBox defaultChecked="true" refId="CHK_76C31A1A_3CCA_54F4_A09B_01ED9C31465A">enable spoolss</checkBox>
+ </presentation>
+ <presentation id="POL_E95AFA3E_7680_5281_88E1_BC2B9DE7C60D">
+ <textBox refId="TXT_9B7FB891_910F_5AB1_96BC_432F871E50AA">
+ <label>enumports command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D0CE14C7_93FC_54DA_84A8_FB6579A01A95">
+ <textBox refId="TXT_CEDD5E8E_4BCB_515F_B962_7C06E9E4EBE6">
+ <label>iprint server</label>
+ <defaultValue>""</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2AA9A3C9_2D35_5140_AAFD_5A6D4A8B46A9">
+ <checkBox defaultChecked="true" refId="CHK_01150395_D329_542B_8848_2D352BA599CA">load printers</checkBox>
+ </presentation>
+ <presentation id="POL_CB7375CD_3BD9_5AFF_885F_5CD41077D92A">
+ <decimalTextBox defaultValue="30" refId="DXT_86697EF6_0F2B_59EA_AC0A_2A6B16860DC2"/>
+ </presentation>
+ <presentation id="POL_6C573DCA_ADF2_503D_86F1_167FB4B20390">
+ <textBox refId="TXT_60176F30_80AE_5289_8984_1213DB736520">
+ <label>os2 driver map</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_4E996FBA_21B1_54D2_AF3E_0290231D9225">
+ <decimalTextBox defaultValue="750" refId="DXT_30FEC2C2_FB9E_59DC_86AC_0952A9904B2F"/>
+ </presentation>
+ <presentation id="POL_9E502331_FC16_56A6_BAA2_8A4F8CD7403E">
+ <textBox refId="TXT_8288D727_1C29_5CDF_A162_3F5701E803B2">
+ <label>printcap name</label>
+ <defaultValue>/etc/printcap</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_63DFC41F_0FA5_52C6_95CC_071B309E09A9">
+ <checkBox defaultChecked="true" refId="CHK_21859C56_D5DA_5C2E_9215_BA75864C9B4B">show add printer wizard</checkBox>
+ </presentation>
+ <presentation id="POL_C105B217_101D_5080_B2F2_28F453585AF3">
+ <textBox refId="TXT_C9E18177_8584_5290_8B40_37D46546DDB1">
+ <label>spoolss: architecture</label>
+ <defaultValue>Windows NT x86</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B7405490_DE98_5CC9_A096_8B6F690536A5">
+ <decimalTextBox defaultValue="5" refId="DXT_1D4352B8_DB79_5551_A486_7D4D33F8D4D9"/>
+ </presentation>
+ <presentation id="POL_5049AEF7_B2E3_5F11_BB76_CD05A0F405D1">
+ <decimalTextBox defaultValue="0" refId="DXT_6F51D95E_66DD_50B2_B62F_7665EF471B52"/>
+ </presentation>
+ <presentation id="POL_52B0D644_BD3A_5C9D_873F_3DF18D2FDB60">
+ <decimalTextBox defaultValue="2195" refId="DXT_B21A8651_347B_5648_94FA_37B943B6A547"/>
+ </presentation>
+ <presentation id="POL_4B72C056_F162_529E_A137_1F557D5FDFCE">
+ <decimalTextBox defaultValue="6" refId="DXT_6188EEA1_529A_508D_B9D5_378CAB822D89"/>
+ </presentation>
+ <presentation id="POL_1855B435_5BFA_512B_A805_E30B09CFD23F">
+ <decimalTextBox defaultValue="1" refId="DXT_A21AB0C1_D47D_5B8C_8609_171B9D2F4C27"/>
+ </presentation>
+ <presentation id="POL_F173249E_078E_531E_A8DC_85931745FBF9">
+ <decimalTextBox defaultValue="7007" refId="DXT_EC7D7A9D_C0D7_5665_9030_9C85D402BDB1"/>
+ </presentation>
+ <presentation id="POL_A3C35AAF_A7F5_5DCD_B328_C7ABD0F2FDFF">
+ <decimalTextBox defaultValue="389" refId="DXT_BCC54168_D5A8_5014_903F_D0689B350906"/>
+ </presentation>
+ <presentation id="POL_7D6BFF26_946F_5B18_B213_0B9EE147C3C9">
+ <textBox refId="TXT_BC8B7A29_65FA_5B55_BC11_A7574ECD0AA8">
+ <label>client ipc max protocol</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_4D5635CC_F944_5F32_83F0_7730FC9DE680">
+ <textBox refId="TXT_2FAFBF21_5429_5CF1_9152_921CF9CEEC6C">
+ <label>client ipc min protocol</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_79B1D2DB_C2F7_57FA_8D6F_83D756A43A40">
+ <textBox refId="TXT_6E173477_D6E4_5C47_BC6C_5961404DB0CD">
+ <label>client max protocol</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E5D3402E_7A4B_555E_AC54_E5C7AE196EF2">
+ <textBox refId="TXT_30573924_1A09_5202_8DF8_9B24FA69C14E">
+ <label>client min protocol</label>
+ <defaultValue>SMB2_02</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B86463E0_7A50_5BD1_9CD5_A43C20A5E087">
+ <checkBox defaultChecked="true" refId="CHK_5549EDCC_940D_5AEA_8465_B771FEE013BC">client use spnego</checkBox>
+ </presentation>
+ <presentation id="POL_F0990CDC_21DF_538D_9282_2749E00AF99E">
+ <textBox refId="TXT_E8C89EE3_FF60_5216_A5C7_803A3AA8D790">
+ <label>dcerpc endpoint servers</label>
+ <defaultValue>epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_BD3F8921_7AF6_57F8_894A_9C73D40C6202">
+ <checkBox defaultChecked="true" refId="CHK_AA0DA4CF_4431_509C_8E2D_27BD0DD5CCAB">defer sharing violations</checkBox>
+ </presentation>
+ <presentation id="POL_0C775437_E6FD_5657_9A04_AF137F18FACE">
+ <decimalTextBox defaultValue="138" refId="DXT_8E6D975D_6C56_56F9_9853_60394A2CEFA7"/>
+ </presentation>
+ <presentation id="POL_614DA2E7_D77F_5434_9C73_137D1D89D086">
+ <checkBox refId="CHK_D433FDEC_A984_5B75_AD88_924962077009">disable netbios</checkBox>
+ </presentation>
+ <presentation id="POL_35845C32_CE1D_5395_A07C_142BCFD9744C">
+ <checkBox refId="CHK_31A76B18_E56F_57E6_BBC1_A5988C8D731C">enable asu support</checkBox>
+ </presentation>
+ <presentation id="POL_000AF517_65A2_5220_B1DD_7187EFC59AAB">
+ <textBox refId="TXT_3A3CA4FB_B0F0_5D20_AA43_D6CAECA189E1">
+ <label>eventlog list</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B4BFA8D2_FF42_5E4A_ADE8_D7829A2CC94A">
+ <checkBox defaultChecked="true" refId="CHK_21EE7A7A_DF8F_56F7_85FB_6EC5DD083DD6">large readwrite</checkBox>
+ </presentation>
+ <presentation id="POL_644A4C74_3ECB_5A01_8E2B_1FA9E74EC778">
+ <checkBox refId="CHK_52E0D939_4722_5165_AAFE_A5FD7584E12C">lsa over netlogon</checkBox>
+ </presentation>
+ <presentation id="POL_EAE8C258_343E_522B_A09C_69E9FD81B535">
+ <decimalTextBox defaultValue="50" refId="DXT_549D41B9_4692_55A3_B8C0_11D91DBCC133"/>
+ </presentation>
+ <presentation id="POL_2BAFBEFD_9CEA_53C2_9E78_04807EA6531F">
+ <decimalTextBox defaultValue="259200" refId="DXT_F5E2AC7A_E892_5316_81C3_368BC6F5E4C4"/>
+ </presentation>
+ <presentation id="POL_7D30022C_3DDE_56D1_8D07_D90741127527">
+ <decimalTextBox defaultValue="16644" refId="DXT_8A171231_CF95_5684_B665_9B1F5B046ABD"/>
+ </presentation>
+ <presentation id="POL_02E42B0E_C3F3_5E0B_83C1_6F3ABFEEF251">
+ <decimalTextBox defaultValue="0" refId="DXT_0B40F1AE_EF9C_58E0_9E35_6D119671AAE1"/>
+ </presentation>
+ <presentation id="POL_9AA4C867_EE0B_5742_94F0_4D2243C2E368">
+ <textBox refId="TXT_7C9CF069_5856_5D63_94DD_AF9530B8D495">
+ <label>name resolve order</label>
+ <defaultValue>lmhosts wins host bcast</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0EAD5917_3B68_5B59_92E1_69BD263150EA">
+ <decimalTextBox defaultValue="137" refId="DXT_F06BA6AF_533A_520F_B2E1_EA508FF26E55"/>
+ </presentation>
+ <presentation id="POL_3FA711F7_BD87_5CF6_9A5A_77CF771AAFF2">
+ <checkBox defaultChecked="true" refId="CHK_DAAC7C86_8FD9_55BF_9125_9C95E2D52AFE">nt pipe support</checkBox>
+ </presentation>
+ <presentation id="POL_85D402BD_4D59_5CE0_8EA2_3331CABD23CA">
+ <checkBox defaultChecked="true" refId="CHK_95DD62AA_03E3_5679_AD11_D5616CD25255">nt status support</checkBox>
+ </presentation>
+ <presentation id="POL_9045A4F7_5DED_5A70_B01D_D92B419B6634">
+ <checkBox defaultChecked="true" refId="CHK_B11F35D5_3196_5D92_9B1D_9C746F9162FA">read raw</checkBox>
+ </presentation>
+ <presentation id="POL_9926B5F8_3F22_569B_BB6C_06F2CDF21381">
+ <checkBox refId="CHK_CCA3E37C_1A5F_5493_BFC6_AD75B7AEF1D7">rpc big endian</checkBox>
+ </presentation>
+ <presentation id="POL_56DBEBB2_3508_5C9E_91B2_3E55EF357FFB">
+ <decimalTextBox defaultValue="0" refId="DXT_9489E35C_10BA_57DF_BCA8_E482D719B220"/>
+ </presentation>
+ <presentation id="POL_738E8CDC_C229_5926_8153_E0009CC07424">
+ <textBox refId="TXT_B22408B0_8FF5_5F41_BB61_F89CF80FB1C4">
+ <label>server max protocol</label>
+ <defaultValue>SMB3</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_00778E7A_F34D_546E_9FA8_3968A937392B">
+ <textBox refId="TXT_633970D9_6038_55ED_856F_A39492AE0173">
+ <label>server min protocol</label>
+ <defaultValue>SMB2_02</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B33A00A2_B848_59D9_9C41_582F886C008A">
+ <textBox refId="TXT_3C8506A1_3A67_58AF_BB1F_DD3A931A7FBE">
+ <label>share:fake_fscaps</label>
+ <defaultValue>0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0BC6C240_419F_5F72_9A24_DA191CFFE18E">
+ <decimalTextBox defaultValue="8192" refId="DXT_4FCC3712_A2B7_5C65_933A_621697E78E8F"/>
+ </presentation>
+ <presentation id="POL_908FC006_7CE8_5B56_A049_A3E582C281F3">
+ <decimalTextBox defaultValue="8388608" refId="DXT_8D17E70E_8AA1_5DEC_86C2_154031314317"/>
+ </presentation>
+ <presentation id="POL_84ED1A25_58B9_5C00_8261_11A7D387EAB9">
+ <decimalTextBox defaultValue="8388608" refId="DXT_0923E7AF_8C15_54FD_A360_41E09D67D24C"/>
+ </presentation>
+ <presentation id="POL_A1955D87_2287_524B_9A8C_454C8218F590">
+ <decimalTextBox defaultValue="8388608" refId="DXT_AC8EA085_B897_5581_8260_25EC8761048F"/>
+ </presentation>
+ <presentation id="POL_796581A5_F65E_5D31_BB5C_2CC641B8D03C">
+ <textBox refId="TXT_07CA0480_16BB_5E14_B1E8_716E293305F7">
+ <label>smb ports</label>
+ <defaultValue>445 139</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C141D92D_B912_54D7_88D6_CC3A12A4739D">
+ <textBox refId="TXT_7312B2B6_2E91_5D9E_BE33_A1C73675950E">
+ <label>svcctl list</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_747C776B_2150_5FD4_9A47_9832FD35EBC5">
+ <checkBox refId="CHK_838A32D7_1BA5_55CB_9FA4_95280DFB26F6">time server</checkBox>
+ </presentation>
+ <presentation id="POL_69C69BCA_D38B_54E1_817C_E6993FF1AB91">
+ <checkBox defaultChecked="true" refId="CHK_2280B94E_EB17_5A5E_80F0_B48BE0CBC2CB">unicode</checkBox>
+ </presentation>
+ <presentation id="POL_063DDC7C_E490_5F1B_866D_06D25ABAED90">
+ <checkBox defaultChecked="true" refId="CHK_E429FAE8_6D3B_5B56_8EFF_B3B7C25B3DE1">unix extensions</checkBox>
+ </presentation>
+ <presentation id="POL_CC4C4C4D_0BA2_52C2_A510_1C4F669856F3">
+ <checkBox defaultChecked="true" refId="CHK_4FD77295_65FD_5553_AB18_D6CF04394DAB">write raw</checkBox>
+ </presentation>
+ <presentation id="POL_D1D0620C_FFC1_5C7D_9733_4005F5F61A8D">
+ <checkBox refId="CHK_82B2446C_9CAB_5880_AF33_2803AE49B294">server multi channel support</checkBox>
+ </presentation>
+ <presentation id="POL_D0AC80B8_9AFD_5848_B779_1E43C144D7B3">
+ <checkBox refId="CHK_B6B60597_42F0_58D3_98BB_DB6B75D07112">smb2 disable lock sequence checking</checkBox>
+ </presentation>
+ <presentation id="POL_85DD283F_59E2_5E1D_A694_D52FD7C7627A">
+ <checkBox refId="CHK_B83E6646_94FD_5882_B57A_15B4BA0AABFD">smb2 disable oplock break retry</checkBox>
+ </presentation>
+ <presentation id="POL_9E9B6ADB_2118_5108_9C2D_9899DDDC59AF">
+ <textBox refId="TXT_28520FBC_2959_5800_B0C5_FE205973260B">
+ <label>rpc server dynamic port range</label>
+ <defaultValue>49152-65535</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_9B792D3F_06B3_5683_92D9_45D323276228">
+ <decimalTextBox defaultValue="1000" refId="DXT_9EFB50AC_B3B6_51C1_AD40_298F546733DC"/>
+ </presentation>
+ <presentation id="POL_F30A212E_4A35_5E67_8902_5D28B4E37CE7">
+ <checkBox refId="CHK_EAA911EE_CB2D_5459_AF50_DC1CA4719686">allow dcerpc auth level connect</checkBox>
+ </presentation>
+ <presentation id="POL_2725BCA8_877C_519D_A248_D6EE701DAD53">
+ <checkBox defaultChecked="true" refId="CHK_83FBBE91_8F41_5C06_BD1D_9A47A10B07FE">allow trusted domains</checkBox>
+ </presentation>
+ <presentation id="POL_92DB14AD_A920_5D74_BA74_0C51B13AECBF">
+ <textBox refId="TXT_D70FDB73_012F_5168_8371_B68B4B2FF60E">
+ <label>binddns dir</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_C95900AB_E4E2_5313_9EF5_9AC181CD63A7">
+ <textBox refId="TXT_D6E02483_EC02_52E1_AB5A_E65E2C7FD5C8">
+ <label>check password script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0DDAC1B2_5E35_5770_B177_333E21EF2A80">
+ <textBox refId="TXT_28B76952_9A9C_5E2D_89C6_28CA8ABBEFD4">
+ <label>client ipc signing</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_045DA01B_9A96_5BB1_A5AD_9EA38ECFC199">
+ <checkBox refId="CHK_5203727D_209F_5E8A_AA94_F9DC1BB27027">client lanman auth</checkBox>
+ </presentation>
+ <presentation id="POL_B1954186_3F6B_5F1F_B066_9105058C20A6">
+ <checkBox defaultChecked="true" refId="CHK_B6DB6C5E_8C6F_5288_B469_0C54B947EA2F">client NTLMv2 auth</checkBox>
+ </presentation>
+ <presentation id="POL_676B4751_B95E_5720_A513_203DC3A33B5C">
+ <checkBox refId="CHK_3DCC027B_9C81_5EDE_A64D_D6F956AFE5B8">client plaintext auth</checkBox>
+ </presentation>
+ <presentation id="POL_C3248F39_498F_5B9B_B82D_E99AB08FD0AF">
+ <textBox refId="TXT_4A77A711_9230_5D41_A77C_97123E4789B7">
+ <label>client schannel</label>
+ <defaultValue>yes</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0A922D59_F39C_57B5_82CE_E08DB4EFC5F9">
+ <textBox refId="TXT_E3513F2F_1C85_5D8C_8DEE_741059C1F393">
+ <label>client signing</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_952DF975_FF04_55BD_8C6B_1D0CF167106B">
+ <checkBox refId="CHK_E5D1CBBE_5B07_5559_8885_E8F6DBA75A18">client use spnego principal</checkBox>
+ </presentation>
+ <presentation id="POL_D9E8EB33_0AE9_5DA5_BA48_00221DCE75EB">
+ <checkBox refId="CHK_711A458E_DC58_57EC_B315_0FEF0D2354BF">debug encryption</checkBox>
+ </presentation>
+ <presentation id="POL_B7875E95_FF94_5579_956F_6E2CEB41AB91">
+ <textBox refId="TXT_F17E81EB_DEBF_56F4_B372_D6F61F5516E3">
+ <label>dedicated keytab file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1EE4C27C_051F_55A6_8385_E55B6776D7E4">
+ <checkBox defaultChecked="true" refId="CHK_EC390E59_1CA4_5C42_960E_B0EEA3B0C1F4">encrypt passwords</checkBox>
+ </presentation>
+ <presentation id="POL_59E14991_089B_550D_A563_8FB90A8333FB">
+ <textBox refId="TXT_92855060_EFF4_5BCA_B30B_10C364F30E2E">
+ <label>guest account</label>
+ <defaultValue>nobody</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_772B9223_59BD_57E8_8FA7_17AF0E0EC8EC">
+ <textBox refId="TXT_751BA79F_27EA_55BE_B787_D424CBD47CED">
+ <label>kerberos encryption types</label>
+ <defaultValue>all</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F11FAFDE_22DF_5BB6_9F63_007597D313BD">
+ <textBox refId="TXT_30977E18_9746_5A78_A6DC_82AC5157781F">
+ <label>kerberos method</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F37DD404_E28E_50F2_BFF4_90142620EA2F">
+ <decimalTextBox defaultValue="464" refId="DXT_3E0E91A2_1877_54F2_AFFE_13F912C4B534"/>
+ </presentation>
+ <presentation id="POL_E6FCD1B7_7104_5EF9_BAA7_73E15CC49EE2">
+ <decimalTextBox defaultValue="88" refId="DXT_41AD8F69_347F_58D1_9DA4_B9A600C32EAE"/>
+ </presentation>
+ <presentation id="POL_F77B9807_0B1E_5EA5_A1CB_62B310FE5034">
+ <checkBox refId="CHK_7460D4AE_3934_5090_9E10_BBF60CD5A983">lanman auth</checkBox>
+ </presentation>
+ <presentation id="POL_3D0B6848_AEF7_54A0_8FA0_B6EAD987D449">
+ <textBox refId="TXT_E576122E_9E34_5B1D_9362_2EF751F22E3F">
+ <label>log nt token command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_32F00B99_2861_5EFE_B961_1F52B4FC0530">
+ <textBox refId="TXT_12B82358_1926_5FEC_B016_946E52DDC7A7">
+ <label>map to guest</label>
+ <defaultValue>Never</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_6D23275C_279D_571C_8835_3DA99356979C">
+ <textBox refId="TXT_4C14ACC2_4652_5801_BF08_1D9E81090E16">
+ <label>mit kdc command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3AE05749_32F8_5D7C_BEF0_D0DFB206EA34">
+ <textBox refId="TXT_E71B9BA6_F3A9_510D_AE73_34CC2E7AF19F">
+ <label>ntlm auth</label>
+ <defaultValue>ntlmv2-only</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_7A4CC1D5_FF89_5D5A_9711_B783227B92CE">
+ <textBox refId="TXT_9AB44C0C_849E_55AD_BF88_30862CC83464">
+ <label>ntp signd socket directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1F95F2F6_790E_5946_8F22_F93441D1B91D">
+ <checkBox refId="CHK_905844C6_A433_5422_9020_A275A062AB6F">null passwords</checkBox>
+ </presentation>
+ <presentation id="POL_4B855392_C467_5D42_B793_3EC858462C02">
+ <checkBox refId="CHK_FFDDD176_BDAB_58E3_A455_F60861FD2C63">obey pam restrictions</checkBox>
+ </presentation>
+ <presentation id="POL_F388E520_9E19_53AC_9AFA_D6DAAE139BFE">
+ <decimalTextBox defaultValue="60" refId="DXT_1D580B43_F65E_5F39_A938_BE0D03A04F2B"/>
+ </presentation>
+ <presentation id="POL_FC62DA5F_6B94_5AD6_B9E6_51A9F5F52E2E">
+ <checkBox refId="CHK_49F56502_4B93_5C98_A4BB_327120E5F7D8">pam password change</checkBox>
+ </presentation>
+ <presentation id="POL_6F5A4F7B_B2BC_50D0_84F6_64202749462B">
+ <textBox refId="TXT_38925248_C56C_5F67_959E_45860FA3CEDE">
+ <label>passdb backend</label>
+ <defaultValue>tdbsam</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F3E8ECEA_80D4_529F_8F7B_97B8847E3101">
+ <checkBox refId="CHK_4D782AF0_E6B7_5C3E_AE8F_90D07527724B">passdb expand explicit</checkBox>
+ </presentation>
+ <presentation id="POL_EE00148B_DAEA_5039_B087_B342E865E3AE">
+ <textBox refId="TXT_9E734663_521F_5654_A01C_E8B5C19A4684">
+ <label>passwd chat</label>
+ <defaultValue>*new*password* %n\n *new*password* %n\n *changed*</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A0D04F58_1760_5152_AE42_748ABA7B15D8">
+ <checkBox refId="CHK_6F2AD6B8_489E_512B_A7CC_EDB6FA628D1E">passwd chat debug</checkBox>
+ </presentation>
+ <presentation id="POL_0F8503B0_2D17_54A4_AECA_C8954FC2F1B3">
+ <decimalTextBox defaultValue="2" refId="DXT_849C03F3_A9CF_5B20_81B9_D4EEE2435447"/>
+ </presentation>
+ <presentation id="POL_484C71CF_D856_514E_A645_C94805B51752">
+ <textBox refId="TXT_97FDEF1F_BA9C_5995_BB37_93AF59ADB59C">
+ <label>passwd program</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DE8AED8D_92DF_5DC8_A412_F374508B2DF2">
+ <textBox refId="TXT_DF9C4D42_5129_5D7A_A155_18F2DBB5B2E7">
+ <label>password hash gpg key ids</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E57A4D09_C62A_5ACB_BA14_A52FB3A14D54">
+ <textBox refId="TXT_8F89431E_D922_5610_8770_40BD094BA98D">
+ <label>password hash userPassword schemes</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8DF1C787_4DD3_5769_981D_AD98697D5FAB">
+ <textBox refId="TXT_2BD70FBF_B577_55F7_B757_5DE68D1ECB4B">
+ <label>password server</label>
+ <defaultValue>*</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_576D7547_5317_5D19_9105_4BFD5714D591">
+ <textBox refId="TXT_799A2EBA_FC4C_53C2_B724_0838399601DF">
+ <label>preload modules</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0B74AC8D_E102_5E02_9B21_D264A6662698">
+ <textBox refId="TXT_97A88495_3A90_5773_AF8C_5D35B63E672A">
+ <label>private dir</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_84F44316_118C_5460_A9E9_022AE89D6BC7">
+ <checkBox refId="CHK_C2793981_4BCD_5CDF_8F7B_7AD01E207D2C">raw NTLMv2 auth</checkBox>
+ </presentation>
+ <presentation id="POL_81A0C9F8_E865_532F_8FF6_EA55C23E6417">
+ <textBox refId="TXT_3697BE5E_8DCE_5701_A121_A7E36F07CE6C">
+ <label>rename user script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_61F81501_C5C3_5F3F_8A89_4490F25812D1">
+ <decimalTextBox defaultValue="0" refId="DXT_B5114D77_9A2D_5FB4_8862_313764FA836F"/>
+ </presentation>
+ <presentation id="POL_82E70187_3C79_5C38_837A_F6F7660F7D10">
+ <textBox refId="TXT_00392C71_F9D4_5A75_8082_F7806B6B7564">
+ <label>root directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_487E924D_1F5E_52FA_9DD7_7C893DC03299">
+ <textBox refId="TXT_98D641EC_FAA9_546B_A032_3D7D3D0B28E2">
+ <label>samba kcc command</label>
+ <defaultValue>/samba_kcc</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1D7DD262_FBC1_53B0_8981_D664D2793B98">
+ <textBox refId="TXT_94515E41_3367_514F_978D_FB02F7C7ABD1">
+ <label>security</label>
+ <defaultValue>AUTO</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E94725FD_24A2_5499_9793_E27F2E3D82AB">
+ <textBox refId="TXT_7688CBD7_E2F8_573B_AA8D_9EF8C47630F8">
+ <label>server role</label>
+ <defaultValue>AUTO</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_51A99ED6_90F2_5884_904E_FBB01AE99010">
+ <textBox refId="TXT_0DC074F0_E1DE_5232_B834_889409466FB7">
+ <label>server schannel</label>
+ <defaultValue>yes</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_5FCA2961_E0AB_5E89_8361_C30A3FBAB1EC">
+ <textBox refId="TXT_90F5A286_21F2_5FE7_97F9_88EF3C9B636C">
+ <label>server signing</label>
+ <defaultValue>default</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_619FBE76_46C6_5CD4_8FAB_F6031B681197">
+ <textBox refId="TXT_A5857127_9668_5119_9FB1_28989C19BE29">
+ <label>smb passwd file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F01FFF92_4BCB_5309_8B5C_3910D8E2EE4D">
+ <textBox refId="TXT_18E2AB7A_7B3D_5588_8E22_91549B53719E">
+ <label>tls cafile</label>
+ <defaultValue>tls/ca.pem</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_2D715716_887A_5F22_B8BF_F4D8239F9576">
+ <textBox refId="TXT_24A9FF35_91AF_50B7_9C8B_DCB8815A3B19">
+ <label>tls certfile</label>
+ <defaultValue>tls/cert.pem</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_823C796B_2B4A_5733_B90D_9179CA58C03D">
+ <textBox refId="TXT_3B707725_83FA_511D_BBC2_69122D141655">
+ <label>tls crlfile</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EE10300D_C58D_5AF3_819F_6707ACE727E9">
+ <textBox refId="TXT_EB8D2F6A_9929_5004_BD04_03EB0F381453">
+ <label>tls dh params file</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D1A081CF_40D1_5505_9E0F_1DF2B67DC69F">
+ <checkBox defaultChecked="true" refId="CHK_FBD1856B_6C06_5CF4_9A53_DDF372A2250F">tls enabled</checkBox>
+ </presentation>
+ <presentation id="POL_686F2495_B4CA_5D83_95E3_BF372A1857A3">
+ <textBox refId="TXT_45D2AB07_CCD6_5350_A04D_DB915B7B79A3">
+ <label>tls keyfile</label>
+ <defaultValue>tls/key.pem</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_869E3C32_6369_5FB5_B149_F982FB872384">
+ <textBox refId="TXT_09331402_B0D6_59B2_8C69_2758849398CE">
+ <label>tls verify peer</label>
+ <defaultValue>as_strict_as_possible</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_6B1AC895_029E_5686_B072_4BD0BD8B7C4D">
+ <checkBox refId="CHK_1E20CD87_5BB4_5449_9E0C_BFFBE014C934">unix password sync</checkBox>
+ </presentation>
+ <presentation id="POL_821FE87C_398B_5051_A106_BB4C41475FA2">
+ <decimalTextBox defaultValue="0" refId="DXT_55E19EF4_DFB4_5F5F_8DF5_D88E4874D090"/>
+ </presentation>
+ <presentation id="POL_4A737F54_FE8F_5996_AE22_5AD683E96F64">
+ <textBox refId="TXT_F413607F_E22F_5652_B367_376C260376CF">
+ <label>username map</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B01C544C_C17F_58BE_A8C5_B8B93A5D6D6B">
+ <decimalTextBox defaultValue="0" refId="DXT_54B979EE_6AB6_5CFA_9EE0_CAF728D8EC17"/>
+ </presentation>
+ <presentation id="POL_D6C75311_EF00_56FB_BB7E_2AED9360F004">
+ <textBox refId="TXT_C8B62E8A_0311_5EC2_A8CF_70B60E1BD044">
+ <label>username map script</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D915E5DA_6227_5AF7_84CC_C5FF9079D441">
+ <textBox refId="TXT_55A11C3A_195F_55F9_852D_0D62FD18327B">
+ <label>tls priority</label>
+ <defaultValue>NORMAL:-VERS-SSL3.0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_5413F647_D5E0_5620_B00D_101274974D25">
+ <decimalTextBox defaultValue="100" refId="DXT_8BBF5B06_26CE_5BCE_B851_7B1D4E5BA791"/>
+ </presentation>
+ <presentation id="POL_B9BCD3D7_045F_57C2_9347_4258B5841D4B">
+ <decimalTextBox defaultValue="10080" refId="DXT_1C7D2B97_728C_587E_880B_EDEF41300FAB"/>
+ </presentation>
+ <presentation id="POL_29E85EE4_9F4B_5824_AAD0_B71BC3AD529A">
+ <checkBox defaultChecked="true" refId="CHK_18CC19EE_D0BD_5776_9816_F100799183AB">getwd cache</checkBox>
+ </presentation>
+ <presentation id="POL_9FC38F18_A498_5A48_A001_E1C9DF302BAD">
+ <checkBox refId="CHK_04B2F1DF_E88E_5792_B491_793217A0C8C8">hostname lookups</checkBox>
+ </presentation>
+ <presentation id="POL_A09855DC_589A_515D_B123_3846F60F4908">
+ <decimalTextBox defaultValue="300" refId="DXT_3DAC248C_C8A8_5C1C_8CFB_443894213FC9"/>
+ </presentation>
+ <presentation id="POL_8C101F96_8BD1_5E91_ACA0_813AA7EB6F03">
+ <decimalTextBox defaultValue="0" refId="DXT_4DAE2123_2535_5E0D_BCD1_D5D819A750B9"/>
+ </presentation>
+ <presentation id="POL_571D0589_CE6E_50D9_A04F_4070993911D4">
+ <decimalTextBox defaultValue="16384" refId="DXT_E36137FA_C613_5FBE_B6FE_1A0554C4130E"/>
+ </presentation>
+ <presentation id="POL_4B0BF94D_F644_5874_9963_FB1DB672DFCF">
+ <decimalTextBox defaultValue="0" refId="DXT_3DC584F7_71D3_5762_BB59_FB55D524AF1D"/>
+ </presentation>
+ <presentation id="POL_CCB2A269_DED1_5A89_B0EA_AC8B9A248E01">
+ <decimalTextBox defaultValue="660" refId="DXT_23802D96_34E6_5E30_BB47_2839CFF09E5E"/>
+ </presentation>
+ <presentation id="POL_D0EACF0A_A7EC_5114_84E9_A119EAB06054">
+ <textBox refId="TXT_9F944C4E_3CCB_5C34_AC11_84D5E8AE9675">
+ <label>socket options</label>
+ <defaultValue>TCP_NODELAY</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0BEE9D62_728C_5BEC_B208_C6413ACB23CA">
+ <checkBox defaultChecked="true" refId="CHK_AE0F9277_9994_5245_9AF5_2FE2694EADB3">use mmap</checkBox>
+ </presentation>
+ <presentation id="POL_F0BBD72A_2F52_5518_978A_E4DE80EA63A7">
+ <textBox refId="TXT_1299FC9B_B974_5807_B85B_96EF03DF6E7E">
+ <label>get quota command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1B9A680B_C7D9_5909_A73A_4A88884B1A1A">
+ <checkBox defaultChecked="true" refId="CHK_D8B6A576_57BD_5C1B_8503_D7514BF9A79A">host msdfs</checkBox>
+ </presentation>
+ <presentation id="POL_23841534_EA5C_5066_9A34_A81201DFA255">
+ <textBox refId="TXT_CB4EB282_B71E_5E88_AAD0_CBE322ED1354">
+ <label>set quota command</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_A8D8A049_7017_5627_B698_79DB288ACF3D">
+ <checkBox refId="CHK_E3F6F2BF_E5EF_5ECD_B4EF_525C704252CE">apply group policies</checkBox>
+ </presentation>
+ <presentation id="POL_322C552E_7DC6_57F9_845A_F76107A65059">
+ <checkBox defaultChecked="true" refId="CHK_4D19E247_9D41_57FC_A81B_7AAA3DA70D22">create krb5 conf</checkBox>
+ </presentation>
+ <presentation id="POL_D65A78B4_B284_51E5_86B8_548907E5B99E">
+ <textBox refId="TXT_E8A538AD_C502_5298_A571_D37AF30908B1">
+ <label>idmap backend</label>
+ <defaultValue>tdb</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D9437864_AD98_5DE6_A280_76BF74DF6241">
+ <decimalTextBox defaultValue="604800" refId="DXT_9707658F_1F28_5859_A19A_74FA303C63FD"/>
+ </presentation>
+ <presentation id="POL_DADA8FE7_2FB0_5AFE_AE6F_5CDE2F6C835A">
+ <textBox refId="TXT_8E0B0FA4_3946_55DD_9AD6_B31C5AC79265">
+ <label>idmap gid</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_595CE1B7_F379_543C_99B1_DDF5DCBB2034">
+ <decimalTextBox defaultValue="120" refId="DXT_DB0243EE_0466_539F_8844_6C0FFDEC6AA3"/>
+ </presentation>
+ <presentation id="POL_1493AE04_9E17_51E3_BF56_61A594C41065">
+ <textBox refId="TXT_5BC5E3D4_DCD5_5F0A_92C3_74C651DE0CEA">
+ <label>idmap uid</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_BFD4E3E9_B3CF_5703_95C9_D5AF443628EC">
+ <checkBox defaultChecked="true" refId="CHK_09A137C2_9429_5D4A_A327_A5F475E367AE">include system krb5 conf</checkBox>
+ </presentation>
+ <presentation id="POL_B2DF30E2_2C79_5DB4_BDD4_2A72F3AAE4D1">
+ <checkBox refId="CHK_5CF9E5FF_8158_5689_9FD3_E408D710EC13">neutralize nt4 emulation</checkBox>
+ </presentation>
+ <presentation id="POL_D5D3240F_0956_5A05_8847_1B20DF57BEC8">
+ <checkBox refId="CHK_25E7D915_B85C_5F5B_9A60_056A326ED8F5">reject md5 servers</checkBox>
+ </presentation>
+ <presentation id="POL_5D72D99B_EFA5_5B2F_8616_2FBE8DBBCF81">
+ <checkBox defaultChecked="true" refId="CHK_C103A13B_7017_50F6_A337_C2A90DAE4419">require strong key</checkBox>
+ </presentation>
+ <presentation id="POL_A7D4A2B5_A2CB_5BE6_A7D2_111FFC0BB9C5">
+ <textBox refId="TXT_A6A67F77_1744_5905_9C6F_A3468BBFC424">
+ <label>template homedir</label>
+ <defaultValue>/home/%D/%U</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D7A44478_576C_554E_B31A_5316A836F68E">
+ <textBox refId="TXT_73F5972B_1879_58A0_9815_A627E1F6D5BC">
+ <label>template shell</label>
+ <defaultValue>/bin/false</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_EE40BE14_5D1D_5ED4_845C_E7E51C529C2B">
+ <decimalTextBox defaultValue="300" refId="DXT_22E52F9D_8E44_59CE_ACC2_916D022CDFA6"/>
+ </presentation>
+ <presentation id="POL_76E2E87A_908A_5F9A_AA09_FF096575D9A7">
+ <textBox refId="TXT_C06A3052_6AD2_53D9_BD21_2A738D8BB155">
+ <label>winbindd socket directory</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_91508E50_D468_5787_B9AD_BD8160522742">
+ <checkBox refId="CHK_F53BC663_D7A1_5D33_8C57_9EC32E71DC68">winbind enum groups</checkBox>
+ </presentation>
+ <presentation id="POL_F4AED7E2_E1E5_50C5_BBCA_C543EB5E383E">
+ <checkBox refId="CHK_08E1CF79_DDA7_588B_B86D_590B4967C1C0">winbind enum users</checkBox>
+ </presentation>
+ <presentation id="POL_FE94B125_13A6_5560_A963_34F8F6C8F4D6">
+ <decimalTextBox defaultValue="0" refId="DXT_B28BA151_1969_59E2_B275_C81CA16B5A23"/>
+ </presentation>
+ <presentation id="POL_7548D0E2_C166_5A7A_9701_063C15E4172D">
+ <textBox refId="TXT_3C8A3138_1C1C_5FFF_A3F7_513DEA315389">
+ <label>winbind:ignore domains</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DD3D412F_8AD9_54B9_8D5A_A0501DF3AB07">
+ <decimalTextBox defaultValue="200" refId="DXT_C2980001_BA2C_57BA_8C1B_F973C067028B"/>
+ </presentation>
+ <presentation id="POL_BE09D431_FA6A_5383_994E_1AEA3E9EEC4A">
+ <decimalTextBox defaultValue="1" refId="DXT_6F41A5F1_F003_54F4_88AF_9CC14C5B64F0"/>
+ </presentation>
+ <presentation id="POL_2ABFD1ED_23F7_5C67_8ECD_3F7EE2752B7D">
+ <checkBox defaultChecked="true" refId="CHK_EE309E41_F404_5CE1_AC86_5E795D0C979A">winbind nested groups</checkBox>
+ </presentation>
+ <presentation id="POL_4542EFF0_F19C_5215_92F8_0B006803D437">
+ <checkBox refId="CHK_E9249CF9_4820_553B_B406_5560E8B3DEFF">winbind normalize names</checkBox>
+ </presentation>
+ <presentation id="POL_62688BAF_1F03_5CF4_888F_4B88677FF4AC">
+ <textBox refId="TXT_B2B0FF5C_C714_52AC_BAFE_846EC003D31E">
+ <label>winbind nss info</label>
+ <defaultValue>template</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_053CBE3D_DD33_522A_9B34_9AFF4044D454">
+ <checkBox refId="CHK_5945AB58_D8F0_5BA1_9964_D8E69AF19CBB">winbind offline logon</checkBox>
+ </presentation>
+ <presentation id="POL_3BF15158_B942_5458_999E_4FEBCA3A2290">
+ <decimalTextBox defaultValue="30" refId="DXT_BEC37822_5BBB_56AE_B122_DFA48B55FF4A"/>
+ </presentation>
+ <presentation id="POL_46E902CB_4766_50A8_8A8A_86893347E86F">
+ <checkBox refId="CHK_9DDF19FA_7129_5F46_82E2_FED21BCF9048">winbind refresh tickets</checkBox>
+ </presentation>
+ <presentation id="POL_9F679274_5E36_5B71_BBB3_880590FFB5A4">
+ <decimalTextBox defaultValue="60" refId="DXT_542C16F7_4011_5AFF_A127_7A773681E95B"/>
+ </presentation>
+ <presentation id="POL_B5754213_7C07_59E8_BE54_44BD0B64A8ED">
+ <checkBox refId="CHK_2EB29672_8B33_566A_AFE5_41BFDBE0F72E">winbind rpc only</checkBox>
+ </presentation>
+ <presentation id="POL_923523CB_9B7D_5261_93D6_B5FD86FC39E4">
+ <checkBox defaultChecked="true" refId="CHK_3CAC88EA_556D_5AA8_8A29_282B574B2743">winbind scan trusted domains</checkBox>
+ </presentation>
+ <presentation id="POL_FFF6590E_C5E7_5680_9A62_61DC88079555">
+ <checkBox defaultChecked="true" refId="CHK_E93252A7_06C7_566B_B7E6_8D4D7AADFB8D">winbind sealed pipes</checkBox>
+ </presentation>
+ <presentation id="POL_A55D34ED_E614_5500_9F7B_A07E0EE1F7BE">
+ <textBox refId="TXT_25CC57B6_941F_525A_99F8_1C041F206D9B">
+ <label>winbind separator</label>
+ <defaultValue>\</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_14AE5941_E62F_53FC_95AE_441E7EF43F56">
+ <checkBox refId="CHK_BF4DA096_841C_5A0D_A5E3_CD564122C924">winbind use default domain</checkBox>
+ </presentation>
+ <presentation id="POL_4B5E805D_7C7A_5CCE_AAB2_FBD0B9CC6D2E">
+ <checkBox refId="CHK_7E9390CD_05D9_570F_A761_7B5A605BA1F9">winbind use krb5 enterprise principals</checkBox>
+ </presentation>
+ <presentation id="POL_DBC0E447_01F4_5B72_BA4E_E9248006FD96">
+ <checkBox defaultChecked="true" refId="CHK_243E92BD_CBA1_50BC_BD4D_87B750B6FABB">dns proxy</checkBox>
+ </presentation>
+ <presentation id="POL_2E4CDFD7_AB3A_5898_B4A1_44EDABBEE713">
+ <decimalTextBox defaultValue="518400" refId="DXT_761AB0AD_EED6_5734_BC07_88D6599EF57F"/>
+ </presentation>
+ <presentation id="POL_584FFB0D_E6B4_51B1_B65D_FBFD4D40C4D9">
+ <decimalTextBox defaultValue="21600" refId="DXT_153EA1D4_FC29_50AF_878D_5695C6C186CD"/>
+ </presentation>
+ <presentation id="POL_6D6BFEF8_655A_59B7_B17E_050ADA0FAD0F">
+ <textBox refId="TXT_4B630740_3B6C_5FCF_9B93_46CD46767198">
+ <label>nbtd:wins_prepend1Bto1Cqueries</label>
+ <defaultValue>yes</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_F145528D_6177_5DA0_9730_05420DF91116">
+ <textBox refId="TXT_A7D6BC38_6BF1_56CF_85B2_FEEA5DAB1A45">
+ <label>nbtd:wins_wins_randomize1Clist</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_1D8649CE_6826_507E_A697_A06B2B693295">
+ <textBox refId="TXT_845EC4E4_224C_5FE8_B43E_3F417E26E1F8">
+ <label>nbtd:wins_randomize1Clist_mask</label>
+ <defaultValue>255.255.255.0</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_8A6CF1A8_12F0_5EC4_B588_658C72C10C4B">
+ <textBox refId="TXT_5A9C87F1_E213_5A53_AD54_9B3AFAB13F9C">
+ <label>winsdb:local_owner</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_4B068333_B3F0_5408_A84F_05BFDB2AD521">
+ <textBox refId="TXT_DE8267A0_F6DE_5043_AFDA_3D98B6494A6D">
+ <label>winsdb:dbnosync</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_61D06DDC_5FC1_5A27_9953_0522C71D3C81">
+ <textBox refId="TXT_7AC86D1C_8F55_5202_9960_E3F76BE03021">
+ <label>wins hook</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_DA957F88_D7CE_566D_A902_4CCDEF755586">
+ <checkBox refId="CHK_F6AECF98_9DF6_5B4D_8F4C_1A262B314282">wins proxy</checkBox>
+ </presentation>
+ <presentation id="POL_8F4113F9_15A6_5E26_9F02_7CA7971BE6C9">
+ <textBox refId="TXT_C1395789_AF99_5B0A_89F7_DD274EC794EA">
+ <label>wins server</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0F35BC3D_B809_53E1_9BFD_1765E5E4E934">
+ <checkBox refId="CHK_BE0D6F0B_4FEE_5580_AD27_507FBCC53AB5">wins support</checkBox>
+ </presentation>
+ <presentation id="POL_1009764B_DAB3_56F8_A766_B45CFC524A5E">
+ <textBox refId="TXT_A8EC94D1_CDB1_5E5B_A2D7_D4FDDD78655D">
+ <label>wreplsrv:periodic_interval</label>
+ <defaultValue>15</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_17929B31_DDBB_5B79_AD9D_F0C7EB54BFFA">
+ <textBox refId="TXT_C4483400_9388_5705_BB16_A9CD61B3FC01">
+ <label>wreplsrv:propagate name releases</label>
+ <defaultValue>no</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_E9361CA3_1260_52FE_AD12_742A86788475">
+ <textBox refId="TXT_7E454192_9281_5588_8F18_A4C13837C555">
+ <label>wreplsrv:scavenging_interval</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_D3F0B860_C5A4_5E2A_983F_90B40B5AEF46">
+ <textBox refId="TXT_C4470E01_F859_5E45_B342_290D5974C4D0">
+ <label>wreplsrv:tombstone_extra_timeout</label>
+ <defaultValue>259200</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_0CA9F8A3_6092_57F4_8CCC_114358C3B9EB">
+ <textBox refId="TXT_D81F8827_96DE_500F_B1B8_D6EF10D165FE">
+ <label>wreplsrv:tombstone_interval</label>
+ <defaultValue>518400</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_B06D59DA_A8FC_53AF_AB8F_9C00812D8832">
+ <textBox refId="TXT_B8A345EA_EAA9_524C_A511_8121FD7A5EA1">
+ <label>wreplsrv:tombstone_timeout</label>
+ <defaultValue>86400</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_3F2ADB29_E0AE_5723_BC18_0B7ABC97BBE7">
+ <textBox refId="TXT_F35F7924_DBD3_5F6F_B247_7F4893C63844">
+ <label>wreplsrv:verify_interval</label>
+ <defaultValue>2073600</defaultValue>
+ </textBox>
+ </presentation>
+ <presentation id="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07">
+ <textBox refId="TXT_609C208A_3B4D_48F1_8A15_C0DF08EAD4D6">
+ <label>Message of the day</label>
+ </textBox>
+ </presentation>
+ <presentation id="POL_68E9155C_CB49_428E_AFE0_B89316FFD948">
+ <textBox refId="TXT_8075D9EA_6E15_4B2A_833A_B918EE90856F">
+ <label>Login Prompt Message</label>
+ <defaultValue>Welcome to \s \r \l</defaultValue>
+ </textBox>
+ </presentation>
+ </presentationTable>
+ </resources>
+</policyDefinitionResources>
diff --git a/libgpo/admx/samba.admx b/libgpo/admx/samba.admx new file mode 100755 index 0000000..8db6796 --- /dev/null +++ b/libgpo/admx/samba.admx @@ -0,0 +1,2549 @@ +<?xml version="1.0" ?>
+<policyDefinitions revision="1.0" schemaVersion="1.0">
+ <policyNamespaces>
+ <target prefix="fullarmor" namespace="FullArmor.Policies.98BB16AF_01EE_4D17_870D_A3311A44D6C2" />
+ <using prefix="windows" namespace="Microsoft.Policies.Windows" />
+ </policyNamespaces>
+ <supersededAdm fileName="" />
+ <resources minRequiredRevision="1.0" />
+ <categories>
+ <category name="CAT_3338C1DD_8A00_4273_8547_158D8B8C19E9" displayName="$(string.CAT_3338C1DD_8A00_4273_8547_158D8B8C19E9)" />
+ <category name="CAT_7D8D7DC8_5A9D_4BE1_8227_F09CDD5AFFC6" displayName="$(string.CAT_7D8D7DC8_5A9D_4BE1_8227_F09CDD5AFFC6)">
+ <parentCategory ref="CAT_3338C1DD_8A00_4273_8547_158D8B8C19E9" />
+ </category>
+ <category name="CAT_2B6D622C_5721_4C23_A2D6_5C70D6E059BA" displayName="$(string.CAT_2B6D622C_5721_4C23_A2D6_5C70D6E059BA)">
+ <parentCategory ref="CAT_7D8D7DC8_5A9D_4BE1_8227_F09CDD5AFFC6" />
+ </category>
+ <category name="CAT_9DEF582D_447A_47E9_A1F5_363558D03FA9" displayName="$(string.CAT_9DEF582D_447A_47E9_A1F5_363558D03FA9)">
+ <parentCategory ref="CAT_7D8D7DC8_5A9D_4BE1_8227_F09CDD5AFFC6" />
+ </category>
+ <category displayName="$(string.CAT_10827749_64ED_5052_87F7_E81AD421856A)" name="CAT_10827749_64ED_5052_87F7_E81AD421856A">
+ <parentCategory ref="CAT_3338C1DD_8A00_4273_8547_158D8B8C19E9"/>
+ </category>
+ <category name="CAT_371A8FF5_990F_47DD_B200_D436AC28A4F9" displayName="$(string.CAT_371A8FF5_990F_47DD_B200_D436AC28A4F9)">
+ <parentCategory ref="CAT_7D8D7DC8_5A9D_4BE1_8227_F09CDD5AFFC6" />
+ </category>
+ </categories>
+ <policies>
+ <policy name="POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061" class="Both" displayName="$(string.POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061)" explainText="$(string.POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061_Help)" presentation="$(presentation.POL_9320E11F_AC80_4A7D_A5C8_1C0F3F727061)" key="Software\Policies\Samba\Unix Settings">
+ <parentCategory ref="CAT_2B6D622C_5721_4C23_A2D6_5C70D6E059BA" />
+ <supportedOn ref="windows:SUPPORTED_WindowsVista" />
+ <elements>
+ <list id="LST_2E9A4684_3C0E_415B_8FD6_D4AF68BC8AC6" key="Software\Policies\Samba\Unix Settings\Daily Scripts" valueName="Daily Scripts" />
+ </elements>
+ </policy>
+ <policy name="POL_825D441F_905E_4C7E_9E4B_03013697C6C1" class="Both" displayName="$(string.POL_825D441F_905E_4C7E_9E4B_03013697C6C1)" explainText="$(string.POL_825D441F_905E_4C7E_9E4B_03013697C6C1_Help)" presentation="$(presentation.POL_825D441F_905E_4C7E_9E4B_03013697C6C1)" key="Software\Policies\Samba\Unix Settings">
+ <parentCategory ref="CAT_2B6D622C_5721_4C23_A2D6_5C70D6E059BA" />
+ <supportedOn ref="windows:SUPPORTED_WindowsVista" />
+ <elements>
+ <list id="LST_1AA93D59_6372_4F1E_90BB_D4CBBBB77238" key="Software\Policies\Samba\Unix Settings\Hourly Scripts" valueName="Hourly Scripts" />
+ </elements>
+ </policy>
+ <policy name="POL_D298F3BD_44D9_426D_AF11_3163D31582F6" class="Both" displayName="$(string.POL_D298F3BD_44D9_426D_AF11_3163D31582F6)" explainText="$(string.POL_D298F3BD_44D9_426D_AF11_3163D31582F6_Help)" presentation="$(presentation.POL_D298F3BD_44D9_426D_AF11_3163D31582F6)" key="Software\Policies\Samba\Unix Settings">
+ <parentCategory ref="CAT_2B6D622C_5721_4C23_A2D6_5C70D6E059BA" />
+ <supportedOn ref="windows:SUPPORTED_WindowsVista" />
+ <elements>
+ <list id="LST_8BC6757D_B1FB_4780_83B4_F85F27BF6E60" key="Software\Policies\Samba\Unix Settings\Monthly Scripts" valueName="Monthly Scripts" />
+ </elements>
+ </policy>
+ <policy name="POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674" class="Both" displayName="$(string.POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674)" explainText="$(string.POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674_Help)" presentation="$(presentation.POL_3ACC7ECD_8086_4F4A_96DF_85B8FDE2F674)" key="Software\Policies\Samba\Unix Settings">
+ <parentCategory ref="CAT_2B6D622C_5721_4C23_A2D6_5C70D6E059BA" />
+ <supportedOn ref="windows:SUPPORTED_WindowsVista" />
+ <elements>
+ <list id="LST_1E7198A6_7850_4CAB_B656_BC18752564FC" key="Software\Policies\Samba\Unix Settings\Weekly Scripts" valueName="Weekly Scripts" />
+ </elements>
+ </policy>
+ <policy name="POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3" class="Machine" displayName="$(string.POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3)" explainText="$(string.POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3_Help)" presentation="$(presentation.POL_DB5DF501_6F87_42D4_9FEC_E7F32C498BD3)" key="Software\Policies\Samba\Unix Settings">
+ <parentCategory ref="CAT_7D8D7DC8_5A9D_4BE1_8227_F09CDD5AFFC6" />
+ <supportedOn ref="windows:SUPPORTED_WindowsVista" />
+ <elements>
+ <list id="LST_4F4BA073_4F7B_4B64_A61D_8E75257A4B9F" key="Software\Policies\Samba\Unix Settings\Sudo Rights" valueName="Sudo Rights" />
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_33AAE399_07A8_5CC8_882A_393E4B96B259)" explainText="$(string.POL_33AAE399_07A8_5CC8_882A_393E4B96B259_Help)" key="Software\Policies\Samba\smb_conf" name="POL_33AAE399_07A8_5CC8_882A_393E4B96B259" presentation="$(presentation.POL_A3D6C2F2_2798_527E_861E_FA8BADBBE6E6)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_F940E18B_16AE_594B_9669_96417E695AC9" key="Software\Policies\Samba\smb_conf\additional dns hostnames" valueName="additional dns hostnames"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3CD2A970_826E_518E_B5F0_5E6725FF354D)" explainText="$(string.POL_3CD2A970_826E_518E_B5F0_5E6725FF354D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3CD2A970_826E_518E_B5F0_5E6725FF354D" presentation="$(presentation.POL_AC8777B4_88D7_5A1A_BB7E_E47AB5DBD6AA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_5C837672_BFBB_592A_907C_E378BEEDA2E4" key="Software\Policies\Samba\smb_conf\bind interfaces only" valueName="bind interfaces only"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_109FA3A4_0F92_5052_A7D9_D4BBCA75F765)" explainText="$(string.POL_109FA3A4_0F92_5052_A7D9_D4BBCA75F765_Help)" key="Software\Policies\Samba\smb_conf" name="POL_109FA3A4_0F92_5052_A7D9_D4BBCA75F765" presentation="$(presentation.POL_D03F1811_D0CA_56CF_9D18_B480E9B5AFAD)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_03C82812_CCD0_5E35_8FA1_2704BAF796E9" key="Software\Policies\Samba\smb_conf\config backend" valueName="config backend"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_08734B25_7265_5D0B_B857_B2E831B624F1)" explainText="$(string.POL_08734B25_7265_5D0B_B857_B2E831B624F1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_08734B25_7265_5D0B_B857_B2E831B624F1" presentation="$(presentation.POL_DE840DAF_58CD_5B21_A76B_70740BD125A1)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_CF5594A6_FA4A_5AB4_881B_AD9270CE3523" key="Software\Policies\Samba\smb_conf\dos charset" valueName="dos charset"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4CCDFFB7_07DF_58F9_904E_13A024A3F54A)" explainText="$(string.POL_4CCDFFB7_07DF_58F9_904E_13A024A3F54A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4CCDFFB7_07DF_58F9_904E_13A024A3F54A" presentation="$(presentation.POL_3783DBBE_7F1F_52B4_BECB_6176E8D43AE1)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_A51834ED_BBB9_52C3_A7C5_A566ABE7AB3D" key="Software\Policies\Samba\smb_conf\enable core files" valueName="enable core files"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5B751E57_31A9_5EC2_A3CD_A8511D74FCFB)" explainText="$(string.POL_5B751E57_31A9_5EC2_A3CD_A8511D74FCFB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5B751E57_31A9_5EC2_A3CD_A8511D74FCFB" presentation="$(presentation.POL_5EE2E645_A509_5C51_94FE_4F84668AC869)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3E2FB206_740F_580E_889D_B53C2540732C" key="Software\Policies\Samba\smb_conf\mdns name" valueName="mdns name"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_461A8AAF_F51E_5FF5_9433_A8D25BBCF783)" explainText="$(string.POL_461A8AAF_F51E_5FF5_9433_A8D25BBCF783_Help)" key="Software\Policies\Samba\smb_conf" name="POL_461A8AAF_F51E_5FF5_9433_A8D25BBCF783" presentation="$(presentation.POL_32EB220A_5721_51EC_810C_0BEF4B9EA706)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_03FFDBD4_C185_5951_954F_189B0D4C40DA" key="Software\Policies\Samba\smb_conf\multicast dns register" valueName="multicast dns register"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_04F98D09_4223_5390_B66F_A6DA05F97FCC)" explainText="$(string.POL_04F98D09_4223_5390_B66F_A6DA05F97FCC_Help)" key="Software\Policies\Samba\smb_conf" name="POL_04F98D09_4223_5390_B66F_A6DA05F97FCC" presentation="$(presentation.POL_51EEB44F_42B8_5CEA_8DA6_CB78139F4804)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_6A12C17F_F8CF_56F3_8D82_43CAB3C57F55" key="Software\Policies\Samba\smb_conf\netbios aliases" valueName="netbios aliases"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_90CE7832_31B7_51D8_9EF2_92FEF396F49B)" explainText="$(string.POL_90CE7832_31B7_51D8_9EF2_92FEF396F49B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_90CE7832_31B7_51D8_9EF2_92FEF396F49B" presentation="$(presentation.POL_4AEFFAC4_3FBE_5DFA_9D3F_D78B50416B7C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_34827D8A_E97C_590B_BD8A_6DEA6A354BE8" key="Software\Policies\Samba\smb_conf\netbios name" valueName="netbios name"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3B93FDE1_6461_572C_AD2E_6AEEAE4EA949)" explainText="$(string.POL_3B93FDE1_6461_572C_AD2E_6AEEAE4EA949_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3B93FDE1_6461_572C_AD2E_6AEEAE4EA949" presentation="$(presentation.POL_24E6BE64_5FEA_56A1_83AF_844C8A96E96D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_0ED12914_E653_5CDA_9F46_E1C3AB2FC32E" key="Software\Policies\Samba\smb_conf\netbios scope" valueName="netbios scope"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E633B0BE_9CF3_5D79_A9F1_CB782C82A19C)" explainText="$(string.POL_E633B0BE_9CF3_5D79_A9F1_CB782C82A19C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E633B0BE_9CF3_5D79_A9F1_CB782C82A19C" presentation="$(presentation.POL_0901DFB6_7C73_5D10_82CC_5D77CD14685D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_F0896598_D8F1_579A_B01D_09A48282AC76" key="Software\Policies\Samba\smb_conf\prefork backoff increment" valueName="prefork backoff increment"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B4E848BD_E606_552C_8C9F_3F8CC1AEF191)" explainText="$(string.POL_B4E848BD_E606_552C_8C9F_3F8CC1AEF191_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B4E848BD_E606_552C_8C9F_3F8CC1AEF191" presentation="$(presentation.POL_26F4B846_C66B_5649_AA7E_B06E899017CA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_BD459D8F_47F9_558D_A641_97892C9E577E" key="Software\Policies\Samba\smb_conf\prefork children" valueName="prefork children"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D721EFAF_A53D_57B7_9639_3859CF9CE31E)" explainText="$(string.POL_D721EFAF_A53D_57B7_9639_3859CF9CE31E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D721EFAF_A53D_57B7_9639_3859CF9CE31E" presentation="$(presentation.POL_9C3E188A_07B9_5354_A206_DD0FA0B4A235)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_16991D04_74C7_54C3_9E4F_52EF9C9AEDB4" key="Software\Policies\Samba\smb_conf\prefork maximum backoff" valueName="prefork maximum backoff"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_1630255E_61BA_5686_B3E0_995F8C4DAA5E)" explainText="$(string.POL_1630255E_61BA_5686_B3E0_995F8C4DAA5E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_1630255E_61BA_5686_B3E0_995F8C4DAA5E" presentation="$(presentation.POL_609F7E6F_9AAC_56B4_B098_4E63BBBB98B4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_5B075596_6622_5C89_A426_B9DA3F43AC3A" key="Software\Policies\Samba\smb_conf\realm" valueName="realm"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E1D45258_0E70_5AF8_AE28_DAB6B318BB8A)" explainText="$(string.POL_E1D45258_0E70_5AF8_AE28_DAB6B318BB8A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E1D45258_0E70_5AF8_AE28_DAB6B318BB8A" presentation="$(presentation.POL_68ED4DED_E13E_5C54_BD04_23E499D77D51)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E2BF4D58_613E_5C2D_850A_C3585BC311C2" key="Software\Policies\Samba\smb_conf\server services" valueName="server services"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_351CFFDA_9DC3_54FB_BE9A_E434F0DB9955)" explainText="$(string.POL_351CFFDA_9DC3_54FB_BE9A_E434F0DB9955_Help)" key="Software\Policies\Samba\smb_conf" name="POL_351CFFDA_9DC3_54FB_BE9A_E434F0DB9955" presentation="$(presentation.POL_584FF155_77A9_5209_AC2F_071DEAB5FA42)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_EC20B2FC_7658_536F_A876_F0B61196042C" key="Software\Policies\Samba\smb_conf\server string" valueName="server string"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_32A7428D_00FC_5203_9943_2BDCDC3D9E0D)" explainText="$(string.POL_32A7428D_00FC_5203_9943_2BDCDC3D9E0D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_32A7428D_00FC_5203_9943_2BDCDC3D9E0D" presentation="$(presentation.POL_3D10A56C_5C5B_516D_8718_0112384056DB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_682410E7_F583_5A97_BB60_6BBAA190DA1C" key="Software\Policies\Samba\smb_conf\share backend" valueName="share backend"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_ABDCEE90_90DE_55C2_A2DC_1C7D017F4B2B)" explainText="$(string.POL_ABDCEE90_90DE_55C2_A2DC_1C7D017F4B2B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_ABDCEE90_90DE_55C2_A2DC_1C7D017F4B2B" presentation="$(presentation.POL_A64B2059_EC1C_5759_94E8_CD95EEB42F35)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3F03354B_7221_5D54_8D25_FA3229D9A026" key="Software\Policies\Samba\smb_conf\unix charset" valueName="unix charset"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D1FAAF87_1E1E_596F_A915_BE72D67A5DC5)" explainText="$(string.POL_D1FAAF87_1E1E_596F_A915_BE72D67A5DC5_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D1FAAF87_1E1E_596F_A915_BE72D67A5DC5" presentation="$(presentation.POL_38764DE0_53DC_587E_A94B_7C03323B0C69)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_A1CD4626_197B_582B_9C09_E35945F84ECF" key="Software\Policies\Samba\smb_conf\workgroup" valueName="workgroup"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_163183B9_195A_5290_927E_08FBB6C76AA0)" explainText="$(string.POL_163183B9_195A_5290_927E_08FBB6C76AA0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_163183B9_195A_5290_927E_08FBB6C76AA0" presentation="$(presentation.POL_DD5ADDCF_E8DF_50F9_9847_E821787C2C3C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_18F101C1_8754_5052_8D12_3D4B3755A739" key="Software\Policies\Samba\smb_conf\interfaces" valueName="interfaces"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_25731B61_FC84_5A83_93AE_296F7D6311C4)" explainText="$(string.POL_25731B61_FC84_5A83_93AE_296F7D6311C4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_25731B61_FC84_5A83_93AE_296F7D6311C4" presentation="$(presentation.POL_EECBA792_3D9C_5624_A01E_F5876EF8224D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_1D40EF50_9DF5_5D95_B5EF_406C4F3774B8" key="Software\Policies\Samba\smb_conf\browse list" valueName="browse list"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3E9E3188_6F1A_54F8_8E13_265E2AD1BE71)" explainText="$(string.POL_3E9E3188_6F1A_54F8_8E13_265E2AD1BE71_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3E9E3188_6F1A_54F8_8E13_265E2AD1BE71" presentation="$(presentation.POL_414481A1_7B9D_551A_96F0_B235A226F141)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_69092348_8194_5EA4_9EB2_AFFFF4A2A6C8" key="Software\Policies\Samba\smb_conf\domain master" valueName="domain master"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E14519D2_9B84_5A1B_B4A4_89F6151BFCE2)" explainText="$(string.POL_E14519D2_9B84_5A1B_B4A4_89F6151BFCE2_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E14519D2_9B84_5A1B_B4A4_89F6151BFCE2" presentation="$(presentation.POL_25D5E28F_5847_5A16_8CF5_01E528D1807D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_7A02FE2C_82BF_50CE_91F0_14B1191E7258" key="Software\Policies\Samba\smb_conf\enhanced browsing" valueName="enhanced browsing"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7E8FBFDB_CBDD_5CE7_B101_07AB8AA71209)" explainText="$(string.POL_7E8FBFDB_CBDD_5CE7_B101_07AB8AA71209_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7E8FBFDB_CBDD_5CE7_B101_07AB8AA71209" presentation="$(presentation.POL_7356F015_5915_5A1E_9154_AEE48849DC85)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_9C07BE5E_EF60_51EC_B26C_CEA97CD41C69" key="Software\Policies\Samba\smb_conf\lm announce" valueName="lm announce"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6D665B21_1F08_5183_B9CD_CFD712C1D4AB)" explainText="$(string.POL_6D665B21_1F08_5183_B9CD_CFD712C1D4AB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6D665B21_1F08_5183_B9CD_CFD712C1D4AB" presentation="$(presentation.POL_37CB9A35_D06B_581B_8BBC_96F636F2DF0D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_6B8EAB54_6B9E_5EE3_BBB3_286F512AC0F9" key="Software\Policies\Samba\smb_conf\lm interval" valueName="lm interval"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_40EA4C73_20A7_580A_A830_0EDA7FC72B7D)" explainText="$(string.POL_40EA4C73_20A7_580A_A830_0EDA7FC72B7D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_40EA4C73_20A7_580A_A830_0EDA7FC72B7D" presentation="$(presentation.POL_00BB67E5_7846_53BF_990A_8B7D03F9D88E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_CFD7EF58_DD73_5465_B0CE_4C6B4E35F416" key="Software\Policies\Samba\smb_conf\local master" valueName="local master"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_95C311BC_3067_5654_A978_70326D928F48)" explainText="$(string.POL_95C311BC_3067_5654_A978_70326D928F48_Help)" key="Software\Policies\Samba\smb_conf" name="POL_95C311BC_3067_5654_A978_70326D928F48" presentation="$(presentation.POL_99809647_A4DC_5363_8E8B_A27B51B90E87)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_3DF3E95D_2453_53C1_A98D_DB040E45E676" key="Software\Policies\Samba\smb_conf\os level" valueName="os level"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_516D10CE_AECD_50DE_B4F5_D9DBF85FA582)" explainText="$(string.POL_516D10CE_AECD_50DE_B4F5_D9DBF85FA582_Help)" key="Software\Policies\Samba\smb_conf" name="POL_516D10CE_AECD_50DE_B4F5_D9DBF85FA582" presentation="$(presentation.POL_69BB8325_FE45_56C0_8D34_F23EC38D2107)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_82D47B73_2C75_5779_A283_E9A39FD54705" key="Software\Policies\Samba\smb_conf\preferred master" valueName="preferred master"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E468B4EF_D43C_572D_9A57_390D5D22F485)" explainText="$(string.POL_E468B4EF_D43C_572D_9A57_390D5D22F485_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E468B4EF_D43C_572D_9A57_390D5D22F485" presentation="$(presentation.POL_F664E709_2422_5047_BD55_E95C422B6B33)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_BEC7C085_5840_5531_9E64_A727E258569A" key="Software\Policies\Samba\smb_conf\allow dns updates" valueName="allow dns updates"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7E805DF0_F3AD_55F6_AC1E_B13987AE73FC)" explainText="$(string.POL_7E805DF0_F3AD_55F6_AC1E_B13987AE73FC_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7E805DF0_F3AD_55F6_AC1E_B13987AE73FC" presentation="$(presentation.POL_C69048CD_ABF0_5333_B5CB_7455D5F226FF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_64C9BBC7_F73A_5844_A613_08685212F33C" key="Software\Policies\Samba\smb_conf\dns forwarder" valueName="dns forwarder"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DE5786B0_C694_53AA_85F2_F9B4EB2F9923)" explainText="$(string.POL_DE5786B0_C694_53AA_85F2_F9B4EB2F9923_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DE5786B0_C694_53AA_85F2_F9B4EB2F9923" presentation="$(presentation.POL_F9D5C585_21FD_5990_BE36_3A58B7AF326B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_05BC3827_6AE7_54BF_8E0C_008D698CC732" key="Software\Policies\Samba\smb_conf\dns update command" valueName="dns update command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C5C16F87_0017_5CC1_810B_398855115BC9)" explainText="$(string.POL_C5C16F87_0017_5CC1_810B_398855115BC9_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C5C16F87_0017_5CC1_810B_398855115BC9" presentation="$(presentation.POL_2363A474_4143_52A2_A69B_05285C98E4CF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_3104780C_9730_550D_8DF9_5C5A226B2AAE" key="Software\Policies\Samba\smb_conf\dns zone scavenging" valueName="dns zone scavenging"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_23A4E426_BE59_5616_849E_94C825DDFC5B)" explainText="$(string.POL_23A4E426_BE59_5616_849E_94C825DDFC5B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_23A4E426_BE59_5616_849E_94C825DDFC5B" presentation="$(presentation.POL_F2F11B02_D190_5766_95DC_FDB846EEEB13)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_A8FD53BD_1ED7_54DB_9A7C_159348F47A6D" key="Software\Policies\Samba\smb_conf\gpo update command" valueName="gpo update command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D32F3D0B_74B1_5C8F_81B4_CC9574EAB9B7)" explainText="$(string.POL_D32F3D0B_74B1_5C8F_81B4_CC9574EAB9B7_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D32F3D0B_74B1_5C8F_81B4_CC9574EAB9B7" presentation="$(presentation.POL_A83B176D_D2FE_5F41_9977_9A16F5B8C5ED)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_E5687DEB_DB51_5266_ACDB_2E619982BAD7" key="Software\Policies\Samba\smb_conf\machine password timeout" valueName="machine password timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_07339CF8_68F5_5B5F_9207_93D2E4526C44)" explainText="$(string.POL_07339CF8_68F5_5B5F_9207_93D2E4526C44_Help)" key="Software\Policies\Samba\smb_conf" name="POL_07339CF8_68F5_5B5F_9207_93D2E4526C44" presentation="$(presentation.POL_5BD73E55_C69F_5CCF_8D91_2513716FB1C6)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3BA3F934_5C9D_5EAB_BAEB_7FBDAE0268F5" key="Software\Policies\Samba\smb_conf\nsupdate command" valueName="nsupdate command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D0F6F805_6160_55CF_9B8B_F5AD874B1E2C)" explainText="$(string.POL_D0F6F805_6160_55CF_9B8B_F5AD874B1E2C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D0F6F805_6160_55CF_9B8B_F5AD874B1E2C" presentation="$(presentation.POL_E38856B0_C9B1_5577_9055_C48A4CCE499C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_041114D6_313A_501F_BFC9_FD004546248B" key="Software\Policies\Samba\smb_conf\spn update command" valueName="spn update command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6FFBB02C_6B3E_5D0E_9193_15F9B38E487D)" explainText="$(string.POL_6FFBB02C_6B3E_5D0E_9193_15F9B38E487D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6FFBB02C_6B3E_5D0E_9193_15F9B38E487D" presentation="$(presentation.POL_C2FCADD1_1EF0_5726_9CDE_0E155B0B6575)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_0BA0C537_293A_525C_AC5C_9BB5C0524277" key="Software\Policies\Samba\smb_conf\mangle prefix" valueName="mangle prefix"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_BE8F8AE7_99AC_582E_8105_00326D511339)" explainText="$(string.POL_BE8F8AE7_99AC_582E_8105_00326D511339_Help)" key="Software\Policies\Samba\smb_conf" name="POL_BE8F8AE7_99AC_582E_8105_00326D511339" presentation="$(presentation.POL_620B56BA_84B7_5E72_AC2D_4F0574FBB199)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_241061E9_3BDA_5AFE_87CB_13C53A164649" key="Software\Policies\Samba\smb_conf\mangling method" valueName="mangling method"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_62095050_5FA9_5E4F_8792_595D30BEF047)" explainText="$(string.POL_62095050_5FA9_5E4F_8792_595D30BEF047_Help)" key="Software\Policies\Samba\smb_conf" name="POL_62095050_5FA9_5E4F_8792_595D30BEF047" presentation="$(presentation.POL_E59D859C_7C78_5AB6_8DE3_27F672637189)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_EA859956_0483_500A_9962_8A26A8B81BB4" key="Software\Policies\Samba\smb_conf\max stat cache size" valueName="max stat cache size"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_63F6A053_E2E9_57D0_A0F8_003024AD6470)" explainText="$(string.POL_63F6A053_E2E9_57D0_A0F8_003024AD6470_Help)" key="Software\Policies\Samba\smb_conf" name="POL_63F6A053_E2E9_57D0_A0F8_003024AD6470" presentation="$(presentation.POL_6BB5939F_7CE6_588E_A6E2_B114EF17F60F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_45471F8A_D0BD_53A3_B51F_393DE6CC03D2" key="Software\Policies\Samba\smb_conf\stat cache" valueName="stat cache"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_FBDCB316_EDD2_526C_AE9F_32F50A97A72F)" explainText="$(string.POL_FBDCB316_EDD2_526C_AE9F_32F50A97A72F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_FBDCB316_EDD2_526C_AE9F_32F50A97A72F" presentation="$(presentation.POL_BE2B9E4A_5ABE_543F_8564_4CBDD1AF9179)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_4A85EF32_894F_50AF_9917_B7F431720A82" key="Software\Policies\Samba\smb_conf\client ldap sasl wrapping" valueName="client ldap sasl wrapping"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_712CFB73_7887_55DD_975B_48DEDBDB9441)" explainText="$(string.POL_712CFB73_7887_55DD_975B_48DEDBDB9441_Help)" key="Software\Policies\Samba\smb_conf" name="POL_712CFB73_7887_55DD_975B_48DEDBDB9441" presentation="$(presentation.POL_F4937393_B88E_5B26_89F5_F9933BEBEF8B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_4B00C10F_7EBB_52D5_9AD1_C893F9C094C5" key="Software\Policies\Samba\smb_conf\ldap admin dn" valueName="ldap admin dn"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_CEAB52CA_95EB_5DE5_863B_2399BEF5C727)" explainText="$(string.POL_CEAB52CA_95EB_5DE5_863B_2399BEF5C727_Help)" key="Software\Policies\Samba\smb_conf" name="POL_CEAB52CA_95EB_5DE5_863B_2399BEF5C727" presentation="$(presentation.POL_5187BD6B_3008_59FC_887D_1C89E807B11E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_87AD8E93_91B6_5439_B928_9776BF986ED0" key="Software\Policies\Samba\smb_conf\ldap connection timeout" valueName="ldap connection timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4750A945_176C_5FFF_AB50_DF2BE31C3FBB)" explainText="$(string.POL_4750A945_176C_5FFF_AB50_DF2BE31C3FBB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4750A945_176C_5FFF_AB50_DF2BE31C3FBB" presentation="$(presentation.POL_96311867_A4DE_5B57_BD8C_3D25B5084F68)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_2BC96AC0_ECEF_55D4_AEA4_039FDD24C999" key="Software\Policies\Samba\smb_conf\ldap delete dn" valueName="ldap delete dn"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_27BBF4DB_E2AE_58D3_8018_E83C4B185A3C)" explainText="$(string.POL_27BBF4DB_E2AE_58D3_8018_E83C4B185A3C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_27BBF4DB_E2AE_58D3_8018_E83C4B185A3C" presentation="$(presentation.POL_193E7C6B_E70E_55EB_AB50_3788B93F4607)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_FCC83065_2F1A_585B_A998_85AA52D99537" key="Software\Policies\Samba\smb_conf\ldap deref" valueName="ldap deref"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B383A7ED_F6A4_5BD3_B85E_E6B6527D8D79)" explainText="$(string.POL_B383A7ED_F6A4_5BD3_B85E_E6B6527D8D79_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B383A7ED_F6A4_5BD3_B85E_E6B6527D8D79" presentation="$(presentation.POL_E6D23CDA_DABC_5749_BEF1_D15FF80E02BF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_DEC758B4_6B3C_5882_B0B8_386473EECFD3" key="Software\Policies\Samba\smb_conf\ldap follow referral" valueName="ldap follow referral"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E31CD0A8_5A4A_5657_8ACA_123A200C6E06)" explainText="$(string.POL_E31CD0A8_5A4A_5657_8ACA_123A200C6E06_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E31CD0A8_5A4A_5657_8ACA_123A200C6E06" presentation="$(presentation.POL_6C44A469_31FA_512A_AB08_ACDADD5B7238)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B51FB55F_3A49_539E_A77A_7F7F2AF2CC39" key="Software\Policies\Samba\smb_conf\ldap group suffix" valueName="ldap group suffix"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_FC4495FC_4C6E_50C8_9B37_08D9955A883B)" explainText="$(string.POL_FC4495FC_4C6E_50C8_9B37_08D9955A883B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_FC4495FC_4C6E_50C8_9B37_08D9955A883B" presentation="$(presentation.POL_83D7A344_AE69_5DCA_A3D9_A79DF817A7D4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E49CAB56_E62A_5930_99DE_EEC0B04DBCF4" key="Software\Policies\Samba\smb_conf\ldap idmap suffix" valueName="ldap idmap suffix"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_2ED1402F_4CF6_5CED_BE40_9B112E1238DC)" explainText="$(string.POL_2ED1402F_4CF6_5CED_BE40_9B112E1238DC_Help)" key="Software\Policies\Samba\smb_conf" name="POL_2ED1402F_4CF6_5CED_BE40_9B112E1238DC" presentation="$(presentation.POL_07D748C7_B6EA_558D_B652_62F9BC2E9A1B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_2B9911E2_33DC_5CB0_A9CC_E7DD7B2A5799" key="Software\Policies\Samba\smb_conf\ldap machine suffix" valueName="ldap machine suffix"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_12C5B04D_D734_576A_99F1_7475BC9E90D7)" explainText="$(string.POL_12C5B04D_D734_576A_99F1_7475BC9E90D7_Help)" key="Software\Policies\Samba\smb_conf" name="POL_12C5B04D_D734_576A_99F1_7475BC9E90D7" presentation="$(presentation.POL_F831F898_66A7_53D3_B6EA_B90065F7EF41)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_1C52332B_FC98_54CA_8C3D_64E63D450DD7" key="Software\Policies\Samba\smb_conf\ldap page size" valueName="ldap page size"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DB427B53_CF02_5410_AE37_5BD4E8B968CE)" explainText="$(string.POL_DB427B53_CF02_5410_AE37_5BD4E8B968CE_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DB427B53_CF02_5410_AE37_5BD4E8B968CE" presentation="$(presentation.POL_068B0430_6CF2_5CAC_BDC8_F7074411AA6C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_03529C2D_378A_5BE4_A342_9FF088AC8396" key="Software\Policies\Samba\smb_conf\ldap passwd sync" valueName="ldap passwd sync"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0C51A40C_E06E_5A0A_B160_5EB21289B17D)" explainText="$(string.POL_0C51A40C_E06E_5A0A_B160_5EB21289B17D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0C51A40C_E06E_5A0A_B160_5EB21289B17D" presentation="$(presentation.POL_DC0C1ABD_D8CE_5175_A9AB_D58661AACFB1)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_B21A5F63_507D_5407_B582_DA64138C6B97" key="Software\Policies\Samba\smb_conf\ldap replication sleep" valueName="ldap replication sleep"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_763BAFE2_3FE0_5C25_B3DC_34AE48F2F569)" explainText="$(string.POL_763BAFE2_3FE0_5C25_B3DC_34AE48F2F569_Help)" key="Software\Policies\Samba\smb_conf" name="POL_763BAFE2_3FE0_5C25_B3DC_34AE48F2F569" presentation="$(presentation.POL_F12B9752_4939_52A6_9A5E_52FFF53FC34F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3ADB0A83_AA24_5C68_BD2E_3723FC2F2268" key="Software\Policies\Samba\smb_conf\ldapsam:editposix" valueName="ldapsam:editposix"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F7979912_0010_5656_BC3A_08876A56418C)" explainText="$(string.POL_F7979912_0010_5656_BC3A_08876A56418C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F7979912_0010_5656_BC3A_08876A56418C" presentation="$(presentation.POL_90ECE51D_8CF8_50F9_809F_87A024DDCAAE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B10770E9_1959_5A4A_8D44_F070923C2A12" key="Software\Policies\Samba\smb_conf\ldapsam:trusted" valueName="ldapsam:trusted"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_04D79AF3_042D_5ABC_BE8F_4C6628E0F703)" explainText="$(string.POL_04D79AF3_042D_5ABC_BE8F_4C6628E0F703_Help)" key="Software\Policies\Samba\smb_conf" name="POL_04D79AF3_042D_5ABC_BE8F_4C6628E0F703" presentation="$(presentation.POL_B58FAA75_79BA_53E3_A895_69D6DE3E547E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_9F11612E_1A6E_5CF7_BC96_4ADBD123A76D" key="Software\Policies\Samba\smb_conf\ldap server require strong auth" valueName="ldap server require strong auth"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5B8B9520_4858_5C2F_AA85_F972FF86784A)" explainText="$(string.POL_5B8B9520_4858_5C2F_AA85_F972FF86784A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5B8B9520_4858_5C2F_AA85_F972FF86784A" presentation="$(presentation.POL_D6465FAC_2205_59C0_A3E6_1F1DE4C50A58)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_950B2F92_3A19_5FC4_839A_3226C858811C" key="Software\Policies\Samba\smb_conf\ldap ssl" valueName="ldap ssl"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_42494B88_7254_5F5F_B738_D5D10BCFBC6C)" explainText="$(string.POL_42494B88_7254_5F5F_B738_D5D10BCFBC6C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_42494B88_7254_5F5F_B738_D5D10BCFBC6C" presentation="$(presentation.POL_EAF3D0F1_C7E5_5864_AE5D_FBF9F6102FF4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_0D06C9D8_3A6A_509E_9B4A_DE497AFA6B58" key="Software\Policies\Samba\smb_conf\ldap ssl ads" valueName="ldap ssl ads"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_9B071174_FBD3_5CA8_82AA_3BD1EB7BCF45)" explainText="$(string.POL_9B071174_FBD3_5CA8_82AA_3BD1EB7BCF45_Help)" key="Software\Policies\Samba\smb_conf" name="POL_9B071174_FBD3_5CA8_82AA_3BD1EB7BCF45" presentation="$(presentation.POL_208E2789_E8A9_53CA_B756_2694096B8DAF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_ABB81954_F41C_5FAD_BD35_873007549C27" key="Software\Policies\Samba\smb_conf\ldap suffix" valueName="ldap suffix"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_40F4D046_B9E1_53B0_9DC9_1AE4DE9B1976)" explainText="$(string.POL_40F4D046_B9E1_53B0_9DC9_1AE4DE9B1976_Help)" key="Software\Policies\Samba\smb_conf" name="POL_40F4D046_B9E1_53B0_9DC9_1AE4DE9B1976" presentation="$(presentation.POL_D76D653B_C2A3_5939_BF95_9BAE0CF6C88C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_8B73DF13_A7A3_57B4_A4BE_AC816E59EBAB" key="Software\Policies\Samba\smb_conf\ldap timeout" valueName="ldap timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_26984E46_7C64_57A4_B4BF_C2C2B13C330E)" explainText="$(string.POL_26984E46_7C64_57A4_B4BF_C2C2B13C330E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_26984E46_7C64_57A4_B4BF_C2C2B13C330E" presentation="$(presentation.POL_B3FBC8E2_DD5D_5CEA_9FC5_44687CF36BB5)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B9F4F586_8F61_53D2_AFEE_B2011D0DFF43" key="Software\Policies\Samba\smb_conf\ldap user suffix" valueName="ldap user suffix"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_AB95F2C5_BFBC_5955_8062_8B446AF7E84C)" explainText="$(string.POL_AB95F2C5_BFBC_5955_8062_8B446AF7E84C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_AB95F2C5_BFBC_5955_8062_8B446AF7E84C" presentation="$(presentation.POL_94ABA1F3_F411_52AE_ADAA_72B53F9198CA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_B7AEDDC2_0B5A_5C1C_AFA0_7518773C5F5F" key="Software\Policies\Samba\smb_conf\ldap max anonymous request size" valueName="ldap max anonymous request size"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_23FFECD5_A3C4_566C_AEB3_015F25B1A978)" explainText="$(string.POL_23FFECD5_A3C4_566C_AEB3_015F25B1A978_Help)" key="Software\Policies\Samba\smb_conf" name="POL_23FFECD5_A3C4_566C_AEB3_015F25B1A978" presentation="$(presentation.POL_A2C8FD60_A284_5409_B130_B135DEE4B615)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_1B597D08_FFDB_5BA4_ABD9_31A8446A3625" key="Software\Policies\Samba\smb_conf\ldap max authenticated request size" valueName="ldap max authenticated request size"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F7C651B1_70B4_5047_BC65_2E4D382CBD15)" explainText="$(string.POL_F7C651B1_70B4_5047_BC65_2E4D382CBD15_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F7C651B1_70B4_5047_BC65_2E4D382CBD15" presentation="$(presentation.POL_695C7E25_8C69_519C_907E_9A71D1FE2EC3)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_6FA557BE_E2D9_54CC_9A8D_FAA4BFCD552A" key="Software\Policies\Samba\smb_conf\ldap max search request size" valueName="ldap max search request size"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B3B2B9CC_3DBC_5C45_AA31_7C1E52AFEFAF)" explainText="$(string.POL_B3B2B9CC_3DBC_5C45_AA31_7C1E52AFEFAF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B3B2B9CC_3DBC_5C45_AA31_7C1E52AFEFAF" presentation="$(presentation.POL_60E126C5_9E79_54DC_B201_A3E643352D00)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_8D517C10_BE65_5D58_AC86_8A21017F479A" key="Software\Policies\Samba\smb_conf\lock spin time" valueName="lock spin time"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4A0366F2_6815_5654_8DC2_F68E840E53F4)" explainText="$(string.POL_4A0366F2_6815_5654_8DC2_F68E840E53F4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4A0366F2_6815_5654_8DC2_F68E840E53F4" presentation="$(presentation.POL_6B50B6B6_D038_54C5_BD82_9D377C2E8C0C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_14C326D8_5326_5883_95FA_D903E07A457A" key="Software\Policies\Samba\smb_conf\oplock break wait time" valueName="oplock break wait time"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B49FAE41_B4C1_5AFA_870E_9E1C35F9A96F)" explainText="$(string.POL_B49FAE41_B4C1_5AFA_870E_9E1C35F9A96F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B49FAE41_B4C1_5AFA_870E_9E1C35F9A96F" presentation="$(presentation.POL_D9E75BB0_F19B_5F72_A58E_22718E614EB3)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_8649286E_DE5D_5DE7_A836_AA15E736A911" key="Software\Policies\Samba\smb_conf\smb2 leases" valueName="smb2 leases"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_1E9B5BE6_8C81_5141_88CD_B5AC0E8D964B)" explainText="$(string.POL_1E9B5BE6_8C81_5141_88CD_B5AC0E8D964B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_1E9B5BE6_8C81_5141_88CD_B5AC0E8D964B" presentation="$(presentation.POL_D7003A7B_D00A_51AE_8D40_7446533B2974)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_4915975F_60D1_5187_9E6A_F835D1086622" key="Software\Policies\Samba\smb_conf\debug class" valueName="debug class"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_07D2E039_C5A0_5123_BD71_0C74E2569310)" explainText="$(string.POL_07D2E039_C5A0_5123_BD71_0C74E2569310_Help)" key="Software\Policies\Samba\smb_conf" name="POL_07D2E039_C5A0_5123_BD71_0C74E2569310" presentation="$(presentation.POL_CF714212_43A8_52ED_BDAD_B1D6F82A6EF9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_ADDEF100_7619_5056_B632_ECEF204DBEC8" key="Software\Policies\Samba\smb_conf\debug hires timestamp" valueName="debug hires timestamp"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E066DF4A_5BA1_5B35_A96F_90DE6CF27132)" explainText="$(string.POL_E066DF4A_5BA1_5B35_A96F_90DE6CF27132_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E066DF4A_5BA1_5B35_A96F_90DE6CF27132" presentation="$(presentation.POL_CF524D7E_11CA_5027_9777_5398DD2804B4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_6D39A340_480D_596C_A9F5_3412FC28765D" key="Software\Policies\Samba\smb_conf\debug pid" valueName="debug pid"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4B4EF8B5_3526_5583_8174_E3E332727970)" explainText="$(string.POL_4B4EF8B5_3526_5583_8174_E3E332727970_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4B4EF8B5_3526_5583_8174_E3E332727970" presentation="$(presentation.POL_BDF671C9_3811_5B19_AB78_5F12B25CEC84)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_2367747B_4E47_503A_A92C_1EA98AC3D5CC" key="Software\Policies\Samba\smb_conf\debug prefix timestamp" valueName="debug prefix timestamp"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_571A8B87_3CCC_5725_BA33_BDEE367BB740)" explainText="$(string.POL_571A8B87_3CCC_5725_BA33_BDEE367BB740_Help)" key="Software\Policies\Samba\smb_conf" name="POL_571A8B87_3CCC_5725_BA33_BDEE367BB740" presentation="$(presentation.POL_B76DE893_21E7_5B6A_81AB_23B8F00D782D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_5BD4217F_5C51_59D6_9582_3037FB4B6E4F" key="Software\Policies\Samba\smb_conf\debug uid" valueName="debug uid"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_2167CEE9_B2C9_5574_8F7D_F38DA9EBBFF1)" explainText="$(string.POL_2167CEE9_B2C9_5574_8F7D_F38DA9EBBFF1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_2167CEE9_B2C9_5574_8F7D_F38DA9EBBFF1" presentation="$(presentation.POL_BACB061C_C7A0_5830_80FE_15FA009DEAA2)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_DBF1992F_D735_55E7_9029_AE5D9EBA66FB" key="Software\Policies\Samba\smb_conf\ldap debug level" valueName="ldap debug level"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F324946B_9B0D_53F0_AD4F_56800DD63085)" explainText="$(string.POL_F324946B_9B0D_53F0_AD4F_56800DD63085_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F324946B_9B0D_53F0_AD4F_56800DD63085" presentation="$(presentation.POL_B51CE2D4_7EFD_577E_97EC_8EEA650C0F0F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_2D488F55_5DE8_5AC6_85AE_F77BE4429364" key="Software\Policies\Samba\smb_conf\ldap debug threshold" valueName="ldap debug threshold"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3A601C55_A5EB_5E86_817B_38DACFD45CF9)" explainText="$(string.POL_3A601C55_A5EB_5E86_817B_38DACFD45CF9_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3A601C55_A5EB_5E86_817B_38DACFD45CF9" presentation="$(presentation.POL_1C03B9BE_5E74_58CF_A649_CDFD9E91F6CC)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_2C83A41B_5CDA_5130_8343_1278307321CD" key="Software\Policies\Samba\smb_conf\log file" valueName="log file"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A3E0303F_93B5_5C1F_8C01_362881F843CC)" explainText="$(string.POL_A3E0303F_93B5_5C1F_8C01_362881F843CC_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A3E0303F_93B5_5C1F_8C01_362881F843CC" presentation="$(presentation.POL_FA6B22DA_628C_5C5E_8BAD_97BBCE0E4F1F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_2533346E_4C1C_5ACB_9355_B40495EB63CD" key="Software\Policies\Samba\smb_conf\logging" valueName="logging"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E077BD91_3587_5DBA_A7CB_13044D97E451)" explainText="$(string.POL_E077BD91_3587_5DBA_A7CB_13044D97E451_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E077BD91_3587_5DBA_A7CB_13044D97E451" presentation="$(presentation.POL_C4E11396_B289_5D98_9F39_6BD19BBB4330)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_60E8D3F6_8EC7_5FDC_8645_3E4E3EF85512" key="Software\Policies\Samba\smb_conf\log level" valueName="log level"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7E7EB779_098F_5383_A0B3_66216F434918)" explainText="$(string.POL_7E7EB779_098F_5383_A0B3_66216F434918_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7E7EB779_098F_5383_A0B3_66216F434918" presentation="$(presentation.POL_EA5127A5_4C6A_5B8A_9D52_D5D17D9E8AFE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_60E6F44F_5185_576D_91C2_9B10FB853416" key="Software\Policies\Samba\smb_conf\max log size" valueName="max log size"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_57C1D731_63A4_519D_BD0B_05683B94BFDB)" explainText="$(string.POL_57C1D731_63A4_519D_BD0B_05683B94BFDB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_57C1D731_63A4_519D_BD0B_05683B94BFDB" presentation="$(presentation.POL_69FD7A6B_0BA2_570F_9BB1_B869C7404630)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_FCD3912D_FD93_54A5_91E4_A834457B8F2E" key="Software\Policies\Samba\smb_conf\syslog" valueName="syslog"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_07C28AF5_BA9B_5B55_A018_28B10E803B26)" explainText="$(string.POL_07C28AF5_BA9B_5B55_A018_28B10E803B26_Help)" key="Software\Policies\Samba\smb_conf" name="POL_07C28AF5_BA9B_5B55_A018_28B10E803B26" presentation="$(presentation.POL_FD3A0B38_1664_58B4_983A_3A21EC4A76EA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_88778A4E_D102_588A_A01C_E930BEE81D6C" key="Software\Policies\Samba\smb_conf\syslog only" valueName="syslog only"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C2541812_F829_51FC_93D7_75BA34C1F487)" explainText="$(string.POL_C2541812_F829_51FC_93D7_75BA34C1F487_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C2541812_F829_51FC_93D7_75BA34C1F487" presentation="$(presentation.POL_AB153BC2_9291_51D0_81AC_1A78B1A0DE6F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_16FD7E9E_1FCF_58D9_940E_42D45860825B" key="Software\Policies\Samba\smb_conf\timestamp logs" valueName="timestamp logs"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3B7BF4ED_04E2_5466_9368_8610A5657F8F)" explainText="$(string.POL_3B7BF4ED_04E2_5466_9368_8610A5657F8F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3B7BF4ED_04E2_5466_9368_8610A5657F8F" presentation="$(presentation.POL_7C7A3857_7762_5F1F_BDB5_A621FEBD0E99)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_6716C37B_3C84_5AB4_8A8D_B6D070787CEB" key="Software\Policies\Samba\smb_conf\abort shutdown script" valueName="abort shutdown script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7EEBACBA_ED90_5C68_826F_737212B364EF)" explainText="$(string.POL_7EEBACBA_ED90_5C68_826F_737212B364EF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7EEBACBA_ED90_5C68_826F_737212B364EF" presentation="$(presentation.POL_A6105481_F59A_5B08_8B4C_B100EF112BD9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_BB6CFFBF_3E2F_5FDF_A2CC_E255231A3370" key="Software\Policies\Samba\smb_conf\add group script" valueName="add group script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_96F9DA59_163C_56B8_9F66_40CAAD868F91)" explainText="$(string.POL_96F9DA59_163C_56B8_9F66_40CAAD868F91_Help)" key="Software\Policies\Samba\smb_conf" name="POL_96F9DA59_163C_56B8_9F66_40CAAD868F91" presentation="$(presentation.POL_01C79ED8_2727_54DF_AF75_96E5A25722DD)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C3FD37B5_A643_57DF_AE57_048E75B21BDF" key="Software\Policies\Samba\smb_conf\add machine script" valueName="add machine script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4AEC4EDA_3303_57E2_BC12_784F40DACA8F)" explainText="$(string.POL_4AEC4EDA_3303_57E2_BC12_784F40DACA8F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4AEC4EDA_3303_57E2_BC12_784F40DACA8F" presentation="$(presentation.POL_BA7787E8_0D26_5963_8F44_498B278A4703)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_56C28546_216A_5AFF_B212_FFEC207F3FFD" key="Software\Policies\Samba\smb_conf\add user script" valueName="add user script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5268249C_58BD_59DA_B44F_DA9109370C58)" explainText="$(string.POL_5268249C_58BD_59DA_B44F_DA9109370C58_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5268249C_58BD_59DA_B44F_DA9109370C58" presentation="$(presentation.POL_077466DB_CB4D_5489_8934_C2F22592D94A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_218549FC_FD8A_5036_8199_9B2AB628624F" key="Software\Policies\Samba\smb_conf\add user to group script" valueName="add user to group script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_89206841_7524_5BFF_872C_444F45C82318)" explainText="$(string.POL_89206841_7524_5BFF_872C_444F45C82318_Help)" key="Software\Policies\Samba\smb_conf" name="POL_89206841_7524_5BFF_872C_444F45C82318" presentation="$(presentation.POL_8F632169_4F0C_500B_BE8B_88960312C345)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_61299541_E6C3_50AD_9CCD_409DBABC3DA2" key="Software\Policies\Samba\smb_conf\allow nt4 crypto" valueName="allow nt4 crypto"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_9A41AF51_88E9_5566_B12E_36DEA5C42D49)" explainText="$(string.POL_9A41AF51_88E9_5566_B12E_36DEA5C42D49_Help)" key="Software\Policies\Samba\smb_conf" name="POL_9A41AF51_88E9_5566_B12E_36DEA5C42D49" presentation="$(presentation.POL_5A6DC206_1A48_5FFE_8B2D_897EF95CCBAD)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_F34DA878_4D45_5E26_8454_77BAE0D9FCAA" key="Software\Policies\Samba\smb_conf\auth event notification" valueName="auth event notification"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_1CAC5DAB_3CB5_586A_AB6F_84E39DDF4796)" explainText="$(string.POL_1CAC5DAB_3CB5_586A_AB6F_84E39DDF4796_Help)" key="Software\Policies\Samba\smb_conf" name="POL_1CAC5DAB_3CB5_586A_AB6F_84E39DDF4796" presentation="$(presentation.POL_3152501B_87A8_5907_AAD5_00B3F7752516)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_F75A550B_6B11_57A4_9EAD_27361359E4CB" key="Software\Policies\Samba\smb_conf\delete group script" valueName="delete group script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_789E0632_E8D7_5FD6_86C6_0EBD079D28C4)" explainText="$(string.POL_789E0632_E8D7_5FD6_86C6_0EBD079D28C4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_789E0632_E8D7_5FD6_86C6_0EBD079D28C4" presentation="$(presentation.POL_676F211D_0B27_54F6_9FF0_1B6F6CC88CA6)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E6287F6E_CDD6_57CC_A6CF_59E26391473A" key="Software\Policies\Samba\smb_conf\delete user from group script" valueName="delete user from group script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A399CF3E_C0C6_594B_8F31_F2AA4A18B5AC)" explainText="$(string.POL_A399CF3E_C0C6_594B_8F31_F2AA4A18B5AC_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A399CF3E_C0C6_594B_8F31_F2AA4A18B5AC" presentation="$(presentation.POL_3033EDC8_8938_5A64_A8B9_1F7349DC1149)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_1FC62BD1_6541_5C03_B233_B5DE1B987775" key="Software\Policies\Samba\smb_conf\delete user script" valueName="delete user script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B35B056A_EEB8_5B89_9FCC_127565F4A6AC)" explainText="$(string.POL_B35B056A_EEB8_5B89_9FCC_127565F4A6AC_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B35B056A_EEB8_5B89_9FCC_127565F4A6AC" presentation="$(presentation.POL_27365CD7_D0DF_5A41_9140_A1C6970CB3D0)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_B67618DB_ED7B_5A2E_AC14_C2E808E1A927" key="Software\Policies\Samba\smb_conf\domain logons" valueName="domain logons"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3B3E3AD6_FB80_5225_8EDA_6066E5987CE1)" explainText="$(string.POL_3B3E3AD6_FB80_5225_8EDA_6066E5987CE1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3B3E3AD6_FB80_5225_8EDA_6066E5987CE1" presentation="$(presentation.POL_49526C11_2F64_5D85_A25D_A90D2152195E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_A6532133_05F0_5D5F_983E_8924AB2334D5" key="Software\Policies\Samba\smb_conf\enable privileges" valueName="enable privileges"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_130E1C0E_9AED_52F5_B1AB_20FD88C999E8)" explainText="$(string.POL_130E1C0E_9AED_52F5_B1AB_20FD88C999E8_Help)" key="Software\Policies\Samba\smb_conf" name="POL_130E1C0E_9AED_52F5_B1AB_20FD88C999E8" presentation="$(presentation.POL_026CF0E2_B95C_5B67_BBAA_E95C5F809B28)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_1FD373A1_8A61_5884_9208_07A886F6334F" key="Software\Policies\Samba\smb_conf\init logon delay" valueName="init logon delay"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_EEBDC4C9_64BA_58DF_B7A3_C384D6972690)" explainText="$(string.POL_EEBDC4C9_64BA_58DF_B7A3_C384D6972690_Help)" key="Software\Policies\Samba\smb_conf" name="POL_EEBDC4C9_64BA_58DF_B7A3_C384D6972690" presentation="$(presentation.POL_B9587C82_562E_5CA5_8BBD_835B3940D00D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_633A0D2D_C7E6_54EF_BCE0_46ECFB6B2C1E" key="Software\Policies\Samba\smb_conf\init logon delayed hosts" valueName="init logon delayed hosts"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_2FCE2207_11A6_5B55_9ECC_49D171438176)" explainText="$(string.POL_2FCE2207_11A6_5B55_9ECC_49D171438176_Help)" key="Software\Policies\Samba\smb_conf" name="POL_2FCE2207_11A6_5B55_9ECC_49D171438176" presentation="$(presentation.POL_84F161E0_6C65_55C2_9DB5_CC61E66CEA9F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_8F910181_D80D_58A5_937D_186E347E6433" key="Software\Policies\Samba\smb_conf\logon drive" valueName="logon drive"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_12DCA5BB_14ED_5BC6_AB9D_E6A57E943B24)" explainText="$(string.POL_12DCA5BB_14ED_5BC6_AB9D_E6A57E943B24_Help)" key="Software\Policies\Samba\smb_conf" name="POL_12DCA5BB_14ED_5BC6_AB9D_E6A57E943B24" presentation="$(presentation.POL_508CD547_53D7_59ED_BB1F_E6EE939C1AF2)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3C94DDFB_94DD_598E_BC0D_B70465DA9C0C" key="Software\Policies\Samba\smb_conf\logon home" valueName="logon home"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6C04D9F3_27E3_51A9_82B5_BEB5265E1236)" explainText="$(string.POL_6C04D9F3_27E3_51A9_82B5_BEB5265E1236_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6C04D9F3_27E3_51A9_82B5_BEB5265E1236" presentation="$(presentation.POL_204A522A_CF55_5E96_A2AD_B58E105AA80C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_05B40781_B875_53DD_B1DD_4CA590B56E4A" key="Software\Policies\Samba\smb_conf\logon path" valueName="logon path"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D354C217_6C18_5AD8_B0A2_DDC89463D0C6)" explainText="$(string.POL_D354C217_6C18_5AD8_B0A2_DDC89463D0C6_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D354C217_6C18_5AD8_B0A2_DDC89463D0C6" presentation="$(presentation.POL_A1B5FFEC_19C2_5415_ACE0_38E5D118E369)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C1B894A7_BDF5_52B8_AC59_900953D453AC" key="Software\Policies\Samba\smb_conf\logon script" valueName="logon script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0AABECB8_5A60_50DA_973A_7EED1138DB0C)" explainText="$(string.POL_0AABECB8_5A60_50DA_973A_7EED1138DB0C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0AABECB8_5A60_50DA_973A_7EED1138DB0C" presentation="$(presentation.POL_DD7A32CE_6F63_596B_8E15_43B11C82E2AF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_805FD143_5242_56DE_BD51_0B514A588E9F" key="Software\Policies\Samba\smb_conf\reject md5 clients" valueName="reject md5 clients"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_68A94D8F_DA35_5CEC_90E6_4FB245FF32D3)" explainText="$(string.POL_68A94D8F_DA35_5CEC_90E6_4FB245FF32D3_Help)" key="Software\Policies\Samba\smb_conf" name="POL_68A94D8F_DA35_5CEC_90E6_4FB245FF32D3" presentation="$(presentation.POL_2AD85924_5D09_571B_B048_E996EC819C57)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B00F123E_2430_5EA0_A543_92D22A0F5FD4" key="Software\Policies\Samba\smb_conf\set primary group script" valueName="set primary group script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5CDF89E1_F318_5495_BEA0_DA44F0542D49)" explainText="$(string.POL_5CDF89E1_F318_5495_BEA0_DA44F0542D49_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5CDF89E1_F318_5495_BEA0_DA44F0542D49" presentation="$(presentation.POL_A8F30942_8D30_583F_8C0F_877BD20D9B26)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_74A021FE_F97F_5D54_9C4E_023D1964D37E" key="Software\Policies\Samba\smb_conf\shutdown script" valueName="shutdown script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3F1B0630_F3F0_5FDE_B66B_1A315CC059B3)" explainText="$(string.POL_3F1B0630_F3F0_5FDE_B66B_1A315CC059B3_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3F1B0630_F3F0_5FDE_B66B_1A315CC059B3" presentation="$(presentation.POL_F0D581AB_54B4_58AA_9B84_6794FB8D3D55)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C77D6CE7_BED5_52A8_BD8C_0259439992FA" key="Software\Policies\Samba\smb_conf\add share command" valueName="add share command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_66A8EC32_6235_5E7C_A085_189166239268)" explainText="$(string.POL_66A8EC32_6235_5E7C_A085_189166239268_Help)" key="Software\Policies\Samba\smb_conf" name="POL_66A8EC32_6235_5E7C_A085_189166239268" presentation="$(presentation.POL_91CEEB79_E73B_563E_84CC_0C1483141142)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_FBB1DAD6_26B9_5FB1_9678_EB499E48CC26" key="Software\Policies\Samba\smb_conf\afs token lifetime" valueName="afs token lifetime"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_78946CAB_73BD_507E_96D5_C643814290D0)" explainText="$(string.POL_78946CAB_73BD_507E_96D5_C643814290D0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_78946CAB_73BD_507E_96D5_C643814290D0" presentation="$(presentation.POL_77D04206_AF73_51DE_9BE8_63524E440826)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_22E4592F_8119_5A26_AF4F_0624F1AC5E0E" key="Software\Policies\Samba\smb_conf\afs username map" valueName="afs username map"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DEF84B6C_B415_56EB_B3E7_1ED683BFEDE5)" explainText="$(string.POL_DEF84B6C_B415_56EB_B3E7_1ED683BFEDE5_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DEF84B6C_B415_56EB_B3E7_1ED683BFEDE5" presentation="$(presentation.POL_5FA91D1E_B675_5681_9FE8_E14B3E1BA737)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_AC4E2E8E_74FE_5FD1_B6F4_3637B4582348" key="Software\Policies\Samba\smb_conf\allow insecure wide links" valueName="allow insecure wide links"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_8539DC0B_8971_5145_8173_C77681F13A94)" explainText="$(string.POL_8539DC0B_8971_5145_8173_C77681F13A94_Help)" key="Software\Policies\Samba\smb_conf" name="POL_8539DC0B_8971_5145_8173_C77681F13A94" presentation="$(presentation.POL_153D9711_80CD_56CD_8A51_DDA71A3800C0)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_D36441A8_7E2F_5174_8483_4DFE0503C16D" key="Software\Policies\Samba\smb_conf\allow unsafe cluster upgrade" valueName="allow unsafe cluster upgrade"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A05EAA54_C6F4_567A_8DE6_7541F9B11046)" explainText="$(string.POL_A05EAA54_C6F4_567A_8DE6_7541F9B11046_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A05EAA54_C6F4_567A_8DE6_7541F9B11046" presentation="$(presentation.POL_DFD4B19F_8874_5AE7_83CE_F8F507F26D51)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_E37B6C82_F04E_5025_B457_01D9296753BE" key="Software\Policies\Samba\smb_conf\async smb echo handler" valueName="async smb echo handler"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_087EEAB6_7F83_50CF_A3D0_97B4C6F94F67)" explainText="$(string.POL_087EEAB6_7F83_50CF_A3D0_97B4C6F94F67_Help)" key="Software\Policies\Samba\smb_conf" name="POL_087EEAB6_7F83_50CF_A3D0_97B4C6F94F67" presentation="$(presentation.POL_AA42E677_62D1_5408_A8B7_98222854E79B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_34B124B0_A219_5575_BFDC_EAC426D7A3A5" key="Software\Policies\Samba\smb_conf\auto services" valueName="auto services"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5518624A_7DB9_51BA_A891_F00A40152354)" explainText="$(string.POL_5518624A_7DB9_51BA_A891_F00A40152354_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5518624A_7DB9_51BA_A891_F00A40152354" presentation="$(presentation.POL_2099F7FC_F033_5E2F_B2D0_17E1CCB2969A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_07FAF490_385F_5A63_8A03_BF34531D019D" key="Software\Policies\Samba\smb_conf\cache directory" valueName="cache directory"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3E23F826_A699_511F_9370_F79DBB4977A9)" explainText="$(string.POL_3E23F826_A699_511F_9370_F79DBB4977A9_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3E23F826_A699_511F_9370_F79DBB4977A9" presentation="$(presentation.POL_2CD315A0_5DDA_5123_A973_79C1DE40BC82)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_1A966B04_20C5_5E97_8C75_71519DB4783C" key="Software\Policies\Samba\smb_conf\change notify" valueName="change notify"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3EF254FF_4CC2_58A5_9A1B_4E0655610DCA)" explainText="$(string.POL_3EF254FF_4CC2_58A5_9A1B_4E0655610DCA_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3EF254FF_4CC2_58A5_9A1B_4E0655610DCA" presentation="$(presentation.POL_2D514759_876D_5B59_B854_8DC51888BB02)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B8991748_9729_56D2_8DAD_5BAFEC5A7A8A" key="Software\Policies\Samba\smb_conf\change share command" valueName="change share command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_93ADB149_A45A_56A2_9462_0BE437084E47)" explainText="$(string.POL_93ADB149_A45A_56A2_9462_0BE437084E47_Help)" key="Software\Policies\Samba\smb_conf" name="POL_93ADB149_A45A_56A2_9462_0BE437084E47" presentation="$(presentation.POL_239BABBB_C9C7_538A_B6CF_0FA2FC980562)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E05A6480_11BB_5FF4_8E6E_37E281DA95F6" key="Software\Policies\Samba\smb_conf\cluster addresses" valueName="cluster addresses"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_306A8E87_1400_5208_8ABF_B9802BFA685B)" explainText="$(string.POL_306A8E87_1400_5208_8ABF_B9802BFA685B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_306A8E87_1400_5208_8ABF_B9802BFA685B" presentation="$(presentation.POL_92925554_781D_56B7_958E_DD33A753ED22)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_D800E6F3_FB17_5561_9C47_88EB4384129D" key="Software\Policies\Samba\smb_conf\clustering" valueName="clustering"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_2D29302D_8AD7_5BC3_B681_8C54D0A61E68)" explainText="$(string.POL_2D29302D_8AD7_5BC3_B681_8C54D0A61E68_Help)" key="Software\Policies\Samba\smb_conf" name="POL_2D29302D_8AD7_5BC3_B681_8C54D0A61E68" presentation="$(presentation.POL_F2210D02_1B94_561B_9B05_1C5B896AF6D4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_EB6161C1_BF92_5E6F_A106_AAE90FBD9EBD" key="Software\Policies\Samba\smb_conf\config file" valueName="config file"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3838911B_D4E6_50BD_B168_85F113E29165)" explainText="$(string.POL_3838911B_D4E6_50BD_B168_85F113E29165_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3838911B_D4E6_50BD_B168_85F113E29165" presentation="$(presentation.POL_2EED8B7C_AF41_514A_A33D_8100A5F831AC)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E56A7A49_B6A1_502F_AF0E_A3944A5DBFFA" key="Software\Policies\Samba\smb_conf\ctdbd socket" valueName="ctdbd socket"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_57D6924C_3F94_5C29_8F63_39808A84FA0F)" explainText="$(string.POL_57D6924C_3F94_5C29_8F63_39808A84FA0F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_57D6924C_3F94_5C29_8F63_39808A84FA0F" presentation="$(presentation.POL_0DE178AC_0A5A_5CDD_8BE6_0E24150CF2BA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_BB942009_69C3_5BAD_8507_AF692DF05CA1" key="Software\Policies\Samba\smb_conf\ctdb locktime warn threshold" valueName="ctdb locktime warn threshold"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6392B974_5997_5E87_916F_FCDCCCCA6069)" explainText="$(string.POL_6392B974_5997_5E87_916F_FCDCCCCA6069_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6392B974_5997_5E87_916F_FCDCCCCA6069" presentation="$(presentation.POL_026C959C_5371_5698_903A_03F46EEDEBE9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_8A4C2887_09B3_542A_A22B_EEC3404DBEF8" key="Software\Policies\Samba\smb_conf\ctdb timeout" valueName="ctdb timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_65E02D5E_EC95_5CD1_9976_6FF4E023ADDD)" explainText="$(string.POL_65E02D5E_EC95_5CD1_9976_6FF4E023ADDD_Help)" key="Software\Policies\Samba\smb_conf" name="POL_65E02D5E_EC95_5CD1_9976_6FF4E023ADDD" presentation="$(presentation.POL_C16447B8_9E34_57E6_A1F7_A6F87E66CF73)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_70112D53_C921_5D1F_9AFC_15D4890131CE" key="Software\Policies\Samba\smb_conf\default service" valueName="default service"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6CD86A19_3EBF_5E3B_A686_462CA044C5D8)" explainText="$(string.POL_6CD86A19_3EBF_5E3B_A686_462CA044C5D8_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6CD86A19_3EBF_5E3B_A686_462CA044C5D8" presentation="$(presentation.POL_41887133_D321_5526_B73E_2D5BEDA6B644)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_7B81ED14_1277_5697_B4DE_2CCFB8F79BC3" key="Software\Policies\Samba\smb_conf\delete share command" valueName="delete share command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_EA272781_6D7D_5FD5_96BF_069193C67F65)" explainText="$(string.POL_EA272781_6D7D_5FD5_96BF_069193C67F65_Help)" key="Software\Policies\Samba\smb_conf" name="POL_EA272781_6D7D_5FD5_96BF_069193C67F65" presentation="$(presentation.POL_B93F17F1_6F2A_5D04_AC96_EA043AC87144)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_3D317248_E078_5FDD_B3C7_B7051C10506D" key="Software\Policies\Samba\smb_conf\dsdb event notification" valueName="dsdb event notification"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_560BC356_6AEC_5D1A_9859_6479FE0F97C0)" explainText="$(string.POL_560BC356_6AEC_5D1A_9859_6479FE0F97C0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_560BC356_6AEC_5D1A_9859_6479FE0F97C0" presentation="$(presentation.POL_ED5A8D54_C086_5C46_985E_746D4ED62FEA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_F76A8EFA_4388_54E3_B283_976BA2DD2A2E" key="Software\Policies\Samba\smb_conf\dsdb group change notification" valueName="dsdb group change notification"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_2CF8E791_3F03_5CE3_AC93_0B8078E9667D)" explainText="$(string.POL_2CF8E791_3F03_5CE3_AC93_0B8078E9667D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_2CF8E791_3F03_5CE3_AC93_0B8078E9667D" presentation="$(presentation.POL_5B2313F4_5239_57E8_88E9_822DBB4C0E77)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_4B61A9A1_8E18_56CF_9B9E_6904A78328A0" key="Software\Policies\Samba\smb_conf\dsdb password event notification" valueName="dsdb password event notification"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C8A040D9_B798_5FE4_A736_BAD9C81CE976)" explainText="$(string.POL_C8A040D9_B798_5FE4_A736_BAD9C81CE976_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C8A040D9_B798_5FE4_A736_BAD9C81CE976" presentation="$(presentation.POL_B86BF972_B64C_57B2_9E82_96C5EECFAFA7)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_7AB84D08_FB4A_5676_B106_B4DB68C5F577" key="Software\Policies\Samba\smb_conf\elasticsearch:mappings" valueName="elasticsearch:mappings"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_66C9072D_C818_5DFB_AB72_5EDDD4CAE999)" explainText="$(string.POL_66C9072D_C818_5DFB_AB72_5EDDD4CAE999_Help)" key="Software\Policies\Samba\smb_conf" name="POL_66C9072D_C818_5DFB_AB72_5EDDD4CAE999" presentation="$(presentation.POL_444019F3_369A_5807_805C_AB00E59CDD4B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_9EA28A80_4AA6_5D4A_8A14_E22205D488CD" key="Software\Policies\Samba\smb_conf\fss: prune stale" valueName="fss: prune stale"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A7F4325A_910F_5437_B911_6D94050EF882)" explainText="$(string.POL_A7F4325A_910F_5437_B911_6D94050EF882_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A7F4325A_910F_5437_B911_6D94050EF882" presentation="$(presentation.POL_472F0591_240C_5E5D_827C_49E760A75B8E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_D5D56481_74EE_5D10_8476_B3FDB82AE518" key="Software\Policies\Samba\smb_conf\fss: sequence timeout" valueName="fss: sequence timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_529A6287_1697_57CA_A6D0_811F61A441A0)" explainText="$(string.POL_529A6287_1697_57CA_A6D0_811F61A441A0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_529A6287_1697_57CA_A6D0_811F61A441A0" presentation="$(presentation.POL_DADF0887_C19B_5B14_9CEF_6721596557EB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B001AD6C_7FA0_5EE0_8C4D_D506EECFF497" key="Software\Policies\Samba\smb_conf\homedir map" valueName="homedir map"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3EE25C0A_C920_54B4_8B7B_D0A91CF3E3F1)" explainText="$(string.POL_3EE25C0A_C920_54B4_8B7B_D0A91CF3E3F1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3EE25C0A_C920_54B4_8B7B_D0A91CF3E3F1" presentation="$(presentation.POL_AFF4FEEA_8C88_5AED_9414_F4A320074A99)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_F273132D_C805_596F_A0E1_B6ECB4752ADB" key="Software\Policies\Samba\smb_conf\kernel change notify" valueName="kernel change notify"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_15EAB330_0CF4_537E_AD96_8FCECB55194F)" explainText="$(string.POL_15EAB330_0CF4_537E_AD96_8FCECB55194F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_15EAB330_0CF4_537E_AD96_8FCECB55194F" presentation="$(presentation.POL_4F279322_30AA_564B_844F_7827454574D2)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_A384C210_BD62_5E63_B7EB_BC26844F51C8" key="Software\Policies\Samba\smb_conf\lock directory" valueName="lock directory"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A53007F8_7951_51F3_9753_B6FA4B38B9B7)" explainText="$(string.POL_A53007F8_7951_51F3_9753_B6FA4B38B9B7_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A53007F8_7951_51F3_9753_B6FA4B38B9B7" presentation="$(presentation.POL_1120E96A_0F8E_5827_A6D2_3CA7AD66D689)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_EB18668D_E754_524B_B2D7_CC74BA90421D" key="Software\Policies\Samba\smb_conf\log writeable files on exit" valueName="log writeable files on exit"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7DD9B43E_A2B8_59F8_9927_2B56698E65B6)" explainText="$(string.POL_7DD9B43E_A2B8_59F8_9927_2B56698E65B6_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7DD9B43E_A2B8_59F8_9927_2B56698E65B6" presentation="$(presentation.POL_63067D3C_4F00_5193_92FE_A58651D4BACC)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_18DDFF0D_D5DB_5617_AE32_D93BE7E38C4B" key="Software\Policies\Samba\smb_conf\message command" valueName="message command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3BDFEE33_A965_5CA9_BC8C_7E5FDA1BB1D5)" explainText="$(string.POL_3BDFEE33_A965_5CA9_BC8C_7E5FDA1BB1D5_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3BDFEE33_A965_5CA9_BC8C_7E5FDA1BB1D5" presentation="$(presentation.POL_8765A188_6EFA_515B_B602_8F67140CFE7F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C551A0C4_E3B9_5985_9492_C7F42D10E75C" key="Software\Policies\Samba\smb_conf\nbt client socket address" valueName="nbt client socket address"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C4D98472_F115_59FD_A3E6_A7984D662B99)" explainText="$(string.POL_C4D98472_F115_59FD_A3E6_A7984D662B99_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C4D98472_F115_59FD_A3E6_A7984D662B99" presentation="$(presentation.POL_D7C62F7B_B1B6_57B3_AE48_34D09A88ECFE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_1A090CE6_58F5_56F0_A29C_175CADD196D7" key="Software\Policies\Samba\smb_conf\ncalrpc dir" valueName="ncalrpc dir"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4308D035_8B4B_575A_8984_BAC33A169EBA)" explainText="$(string.POL_4308D035_8B4B_575A_8984_BAC33A169EBA_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4308D035_8B4B_575A_8984_BAC33A169EBA" presentation="$(presentation.POL_CCC72421_6131_58BC_BFE1_D9EC7399CD57)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_8E5A65B4_42A2_5F00_8558_E69C28758E1B" key="Software\Policies\Samba\smb_conf\NIS homedir" valueName="NIS homedir"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_359CDEF8_9711_56A5_8621_C50718A5B8A1)" explainText="$(string.POL_359CDEF8_9711_56A5_8621_C50718A5B8A1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_359CDEF8_9711_56A5_8621_C50718A5B8A1" presentation="$(presentation.POL_3E9DEECC_9015_5720_9251_CF804FAB2602)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_49457A99_B4CF_594B_B796_916B9AB74838" key="Software\Policies\Samba\smb_conf\nmbd bind explicit broadcast" valueName="nmbd bind explicit broadcast"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_23418947_2DAF_54B3_812C_D9B43F49CFCB)" explainText="$(string.POL_23418947_2DAF_54B3_812C_D9B43F49CFCB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_23418947_2DAF_54B3_812C_D9B43F49CFCB" presentation="$(presentation.POL_5A63DA17_F433_5414_A47F_26C5B9BE57C2)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_A21115E3_D3E1_505B_9D2C_84A3DC428246" key="Software\Policies\Samba\smb_conf\panic action" valueName="panic action"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C5C3267E_6E80_5311_96A5_B492C8C3C0AF)" explainText="$(string.POL_C5C3267E_6E80_5311_96A5_B492C8C3C0AF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C5C3267E_6E80_5311_96A5_B492C8C3C0AF" presentation="$(presentation.POL_50CDC71F_7927_5631_A40A_C0BD12899CA1)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_6C7D4E2F_9ABE_5C67_9A8C_18D11AEF6038" key="Software\Policies\Samba\smb_conf\perfcount module" valueName="perfcount module"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_02EAE588_9ED7_589C_A454_5B168B65A48A)" explainText="$(string.POL_02EAE588_9ED7_589C_A454_5B168B65A48A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_02EAE588_9ED7_589C_A454_5B168B65A48A" presentation="$(presentation.POL_A02E7761_E359_5528_A160_F2B67024244F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_DC19A229_4604_5CC9_8C83_CA2A1323653A" key="Software\Policies\Samba\smb_conf\pid directory" valueName="pid directory"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_77C5FC2D_BBFA_5B4E_906F_ED49B11BF069)" explainText="$(string.POL_77C5FC2D_BBFA_5B4E_906F_ED49B11BF069_Help)" key="Software\Policies\Samba\smb_conf" name="POL_77C5FC2D_BBFA_5B4E_906F_ED49B11BF069" presentation="$(presentation.POL_C030CCF1_08E7_5B6F_9239_F19B792C2157)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_0200BA53_C2E5_5136_8A69_D8561A556A50" key="Software\Policies\Samba\smb_conf\registry shares" valueName="registry shares"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0FB22970_94A4_5403_888E_3CF8242A955C)" explainText="$(string.POL_0FB22970_94A4_5403_888E_3CF8242A955C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0FB22970_94A4_5403_888E_3CF8242A955C" presentation="$(presentation.POL_ADE18BC6_D01E_58CF_98FA_BCDCC7CDDC37)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_D765EA37_D1F5_50B2_91CE_49E66F462943" key="Software\Policies\Samba\smb_conf\remote announce" valueName="remote announce"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B570A06A_7945_5818_B81D_D27007986548)" explainText="$(string.POL_B570A06A_7945_5818_B81D_D27007986548_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B570A06A_7945_5818_B81D_D27007986548" presentation="$(presentation.POL_2D35EC75_4D7A_533F_96C8_3A331BDEDF34)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_F44D8D8A_1E1F_5BEE_AB4F_B3DAAFB7DBA9" key="Software\Policies\Samba\smb_conf\remote browse sync" valueName="remote browse sync"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_BA134175_B8C1_5781_9585_AF3A47C44354)" explainText="$(string.POL_BA134175_B8C1_5781_9585_AF3A47C44354_Help)" key="Software\Policies\Samba\smb_conf" name="POL_BA134175_B8C1_5781_9585_AF3A47C44354" presentation="$(presentation.POL_2594A0C3_CF98_5B89_B182_1BB9C275B742)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_57B96280_EA3D_5DAC_83DE_13338587A0D6" key="Software\Policies\Samba\smb_conf\reset on zero vc" valueName="reset on zero vc"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F0071286_C011_5F1C_A520_2DD14DF7682C)" explainText="$(string.POL_F0071286_C011_5F1C_A520_2DD14DF7682C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F0071286_C011_5F1C_A520_2DD14DF7682C" presentation="$(presentation.POL_17837A58_88D4_5F29_8D41_479688BD8CBD)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_90158AA7_C0BE_5650_9204_2AFC0BD9D5E8" key="Software\Policies\Samba\smb_conf\rpc_daemon:DAEMON" valueName="rpc_daemon:DAEMON"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_820BF686_A78C_5314_A371_3633A8448DC2)" explainText="$(string.POL_820BF686_A78C_5314_A371_3633A8448DC2_Help)" key="Software\Policies\Samba\smb_conf" name="POL_820BF686_A78C_5314_A371_3633A8448DC2" presentation="$(presentation.POL_AC41C088_31DF_569D_8FC8_8747C4A30548)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_31E1741F_829C_5B90_9A2F_B0E0DC5F1E75" key="Software\Policies\Samba\smb_conf\rpc_server:SERVER" valueName="rpc_server:SERVER"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_70434A64_4979_53D2_80EE_09FBF1562741)" explainText="$(string.POL_70434A64_4979_53D2_80EE_09FBF1562741_Help)" key="Software\Policies\Samba\smb_conf" name="POL_70434A64_4979_53D2_80EE_09FBF1562741" presentation="$(presentation.POL_1233682B_A71D_5081_9CF1_F5112A62EE3B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B5965925_60A9_5A4E_B348_80C590F7AF7A" key="Software\Policies\Samba\smb_conf\smbd profiling level" valueName="smbd profiling level"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_9598A191_3D22_5B49_8188_8D6901A5B4CE)" explainText="$(string.POL_9598A191_3D22_5B49_8188_8D6901A5B4CE_Help)" key="Software\Policies\Samba\smb_conf" name="POL_9598A191_3D22_5B49_8188_8D6901A5B4CE" presentation="$(presentation.POL_C2788566_CBC3_59A3_80A2_72D92E42C276)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_58CF9CC7_1A14_55B0_8E4E_52E962A10EE4" key="Software\Policies\Samba\smb_conf\state directory" valueName="state directory"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_73FD8B56_579A_5BC6_A49A_4000BE94A02F)" explainText="$(string.POL_73FD8B56_579A_5BC6_A49A_4000BE94A02F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_73FD8B56_579A_5BC6_A49A_4000BE94A02F" presentation="$(presentation.POL_6AF97A17_10D7_553C_8CEC_09C8466A2AA4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_2D14A430_BA96_5B3F_970F_CE1AE9F7E8AA" key="Software\Policies\Samba\smb_conf\usershare allow guests" valueName="usershare allow guests"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A0CE47E8_AE8A_5602_8265_1C8D3AEC6064)" explainText="$(string.POL_A0CE47E8_AE8A_5602_8265_1C8D3AEC6064_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A0CE47E8_AE8A_5602_8265_1C8D3AEC6064" presentation="$(presentation.POL_35B0CCC2_C387_5AED_9345_A2E4DE654F5F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_AD83F27E_4FF7_5E8D_A441_0A8925C9D917" key="Software\Policies\Samba\smb_conf\usershare max shares" valueName="usershare max shares"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_411611B5_93F6_546F_B68B_05167A064628)" explainText="$(string.POL_411611B5_93F6_546F_B68B_05167A064628_Help)" key="Software\Policies\Samba\smb_conf" name="POL_411611B5_93F6_546F_B68B_05167A064628" presentation="$(presentation.POL_4E1A7DA3_3014_5C3C_9B0B_1919ECADACFB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_950CF79D_4898_55EB_A6A8_24F2A6867B1D" key="Software\Policies\Samba\smb_conf\usershare owner only" valueName="usershare owner only"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DD97B40A_CB2A_5818_8D39_F94911EB3F13)" explainText="$(string.POL_DD97B40A_CB2A_5818_8D39_F94911EB3F13_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DD97B40A_CB2A_5818_8D39_F94911EB3F13" presentation="$(presentation.POL_F2D66EF9_F99C_5347_A075_E8733603E83D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_D24709D9_FFEF_5871_AF49_5E3A3466761C" key="Software\Policies\Samba\smb_conf\usershare path" valueName="usershare path"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4AAFAB11_EB55_5600_A574_08E074B5DC28)" explainText="$(string.POL_4AAFAB11_EB55_5600_A574_08E074B5DC28_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4AAFAB11_EB55_5600_A574_08E074B5DC28" presentation="$(presentation.POL_568D23D8_683D_5E32_96B8_5CCF81F0BDEC)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C0DF82DC_7C0A_5B7F_9B93_19D517976672" key="Software\Policies\Samba\smb_conf\usershare prefix allow list" valueName="usershare prefix allow list"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_1D783E13_3E5A_5FEB_B1C0_486FF385960E)" explainText="$(string.POL_1D783E13_3E5A_5FEB_B1C0_486FF385960E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_1D783E13_3E5A_5FEB_B1C0_486FF385960E" presentation="$(presentation.POL_8A095F7E_AF4C_5F23_8C6D_327CF9225A8E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_0CE59443_3FA6_5849_9671_8D70B1EA7E50" key="Software\Policies\Samba\smb_conf\usershare prefix deny list" valueName="usershare prefix deny list"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_2974E59A_2225_59CA_A4C8_C967FDB0E588)" explainText="$(string.POL_2974E59A_2225_59CA_A4C8_C967FDB0E588_Help)" key="Software\Policies\Samba\smb_conf" name="POL_2974E59A_2225_59CA_A4C8_C967FDB0E588" presentation="$(presentation.POL_ABD81045_A7F0_5D9D_93E5_0D96C0BD7AA8)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_029600AB_FD39_52B7_AE5D_AE0D7138153A" key="Software\Policies\Samba\smb_conf\usershare template share" valueName="usershare template share"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_99ADA47F_F025_52B8_B8F5_DDFA0EEFEF31)" explainText="$(string.POL_99ADA47F_F025_52B8_B8F5_DDFA0EEFEF31_Help)" key="Software\Policies\Samba\smb_conf" name="POL_99ADA47F_F025_52B8_B8F5_DDFA0EEFEF31" presentation="$(presentation.POL_238B28BE_5F6B_5251_B47B_4932EA213DAE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_651BA339_0B8E_5456_99AA_E4CD4BE64F51" key="Software\Policies\Samba\smb_conf\utmp" valueName="utmp"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_21565354_4253_5482_97D2_9C2558461C47)" explainText="$(string.POL_21565354_4253_5482_97D2_9C2558461C47_Help)" key="Software\Policies\Samba\smb_conf" name="POL_21565354_4253_5482_97D2_9C2558461C47" presentation="$(presentation.POL_BB0E4D55_D6E9_5FDD_A75B_59F7403CF67C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C85A703E_0428_51EF_8A2A_D4803BE9446E" key="Software\Policies\Samba\smb_conf\utmp directory" valueName="utmp directory"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4F8E9BC0_CFAB_52F8_9C49_B8BB7400E60A)" explainText="$(string.POL_4F8E9BC0_CFAB_52F8_9C49_B8BB7400E60A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4F8E9BC0_CFAB_52F8_9C49_B8BB7400E60A" presentation="$(presentation.POL_2AD1815C_5DBC_5A7E_8DC9_CEE194030C59)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_CF0F4D90_5001_57CB_A6C8_58575659305D" key="Software\Policies\Samba\smb_conf\wtmp directory" valueName="wtmp directory"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_83F826D3_2069_552C_8376_C0512E99728D)" explainText="$(string.POL_83F826D3_2069_552C_8376_C0512E99728D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_83F826D3_2069_552C_8376_C0512E99728D" presentation="$(presentation.POL_63B9016C_EBE5_5EA7_85B0_493E3155F943)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_63999B72_41DB_5A45_A6DE_66574F1F442F" key="Software\Policies\Samba\smb_conf\addport command" valueName="addport command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B4BE84FF_FB13_5496_AC34_B15BF764F654)" explainText="$(string.POL_B4BE84FF_FB13_5496_AC34_B15BF764F654_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B4BE84FF_FB13_5496_AC34_B15BF764F654" presentation="$(presentation.POL_778F868C_7119_5059_9D0D_62B468410A7D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_5581F365_D9D7_535E_A25B_A58F2FBABCBB" key="Software\Policies\Samba\smb_conf\addprinter command" valueName="addprinter command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D9D048A2_779C_5D85_A26E_131535508B70)" explainText="$(string.POL_D9D048A2_779C_5D85_A26E_131535508B70_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D9D048A2_779C_5D85_A26E_131535508B70" presentation="$(presentation.POL_E4EA6E76_DFE6_5C90_8D2F_544185E10581)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_21FF9D0E_70B9_5790_9877_F218D435CAA2" key="Software\Policies\Samba\smb_conf\cups connection timeout" valueName="cups connection timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_AB9D00A2_AB72_5D21_94C6_8EC1238F2793)" explainText="$(string.POL_AB9D00A2_AB72_5D21_94C6_8EC1238F2793_Help)" key="Software\Policies\Samba\smb_conf" name="POL_AB9D00A2_AB72_5D21_94C6_8EC1238F2793" presentation="$(presentation.POL_5A6F3F97_C655_501A_8A1D_D3B96E22D189)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_90A3BD2E_13EF_5BC9_970F_32A3CE582200" key="Software\Policies\Samba\smb_conf\cups encrypt" valueName="cups encrypt"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_CDEAD263_A87A_550A_A067_3FF8C0C60986)" explainText="$(string.POL_CDEAD263_A87A_550A_A067_3FF8C0C60986_Help)" key="Software\Policies\Samba\smb_conf" name="POL_CDEAD263_A87A_550A_A067_3FF8C0C60986" presentation="$(presentation.POL_713C453D_7C4E_5446_99F0_93FDC97CBD6E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E3EF87B6_2525_530F_96D9_36770179DBEF" key="Software\Policies\Samba\smb_conf\cups server" valueName="cups server"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7CC90037_633A_5C8D_99C5_380E6B2E1EF0)" explainText="$(string.POL_7CC90037_633A_5C8D_99C5_380E6B2E1EF0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7CC90037_633A_5C8D_99C5_380E6B2E1EF0" presentation="$(presentation.POL_7801A389_C366_5376_9D03_631BD51C46C4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_6477B02C_3AE4_5724_B00B_0A11F16A1ECD" key="Software\Policies\Samba\smb_conf\deleteprinter command" valueName="deleteprinter command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_60B548F0_E8B3_576F_B520_D4954AF3ED8E)" explainText="$(string.POL_60B548F0_E8B3_576F_B520_D4954AF3ED8E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_60B548F0_E8B3_576F_B520_D4954AF3ED8E" presentation="$(presentation.POL_8AEEC70D_CC12_55A5_A39F_ED0C3A3B652E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_BA883BE5_77CE_5478_BBC8_10B796EF09C2" key="Software\Policies\Samba\smb_conf\disable spoolss" valueName="disable spoolss"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_EAFBD5E6_54EC_5776_A757_5401DE77BBCE)" explainText="$(string.POL_EAFBD5E6_54EC_5776_A757_5401DE77BBCE_Help)" key="Software\Policies\Samba\smb_conf" name="POL_EAFBD5E6_54EC_5776_A757_5401DE77BBCE" presentation="$(presentation.POL_D8A14125_4BEE_575E_B7A2_A6D2809A0CC9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_76C31A1A_3CCA_54F4_A09B_01ED9C31465A" key="Software\Policies\Samba\smb_conf\enable spoolss" valueName="enable spoolss"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_88C2E1AE_E15B_561A_83B3_A7A7610CB3A2)" explainText="$(string.POL_88C2E1AE_E15B_561A_83B3_A7A7610CB3A2_Help)" key="Software\Policies\Samba\smb_conf" name="POL_88C2E1AE_E15B_561A_83B3_A7A7610CB3A2" presentation="$(presentation.POL_E95AFA3E_7680_5281_88E1_BC2B9DE7C60D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_9B7FB891_910F_5AB1_96BC_432F871E50AA" key="Software\Policies\Samba\smb_conf\enumports command" valueName="enumports command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5247D3AE_60E1_526B_B3A0_956818E2EA49)" explainText="$(string.POL_5247D3AE_60E1_526B_B3A0_956818E2EA49_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5247D3AE_60E1_526B_B3A0_956818E2EA49" presentation="$(presentation.POL_D0CE14C7_93FC_54DA_84A8_FB6579A01A95)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_CEDD5E8E_4BCB_515F_B962_7C06E9E4EBE6" key="Software\Policies\Samba\smb_conf\iprint server" valueName="iprint server"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A6ACC104_2480_55A0_A53C_D38DFF7A093B)" explainText="$(string.POL_A6ACC104_2480_55A0_A53C_D38DFF7A093B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A6ACC104_2480_55A0_A53C_D38DFF7A093B" presentation="$(presentation.POL_2AA9A3C9_2D35_5140_AAFD_5A6D4A8B46A9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_01150395_D329_542B_8848_2D352BA599CA" key="Software\Policies\Samba\smb_conf\load printers" valueName="load printers"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5CC89C3B_45B2_5C52_ADE0_79FB968E5EDE)" explainText="$(string.POL_5CC89C3B_45B2_5C52_ADE0_79FB968E5EDE_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5CC89C3B_45B2_5C52_ADE0_79FB968E5EDE" presentation="$(presentation.POL_CB7375CD_3BD9_5AFF_885F_5CD41077D92A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_86697EF6_0F2B_59EA_AC0A_2A6B16860DC2" key="Software\Policies\Samba\smb_conf\lpq cache time" valueName="lpq cache time"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_45819251_B577_5069_AA0C_AD798BFDC903)" explainText="$(string.POL_45819251_B577_5069_AA0C_AD798BFDC903_Help)" key="Software\Policies\Samba\smb_conf" name="POL_45819251_B577_5069_AA0C_AD798BFDC903" presentation="$(presentation.POL_6C573DCA_ADF2_503D_86F1_167FB4B20390)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_60176F30_80AE_5289_8984_1213DB736520" key="Software\Policies\Samba\smb_conf\os2 driver map" valueName="os2 driver map"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_40CAC79E_549A_5AAA_8FD3_DDF6FDC3EF35)" explainText="$(string.POL_40CAC79E_549A_5AAA_8FD3_DDF6FDC3EF35_Help)" key="Software\Policies\Samba\smb_conf" name="POL_40CAC79E_549A_5AAA_8FD3_DDF6FDC3EF35" presentation="$(presentation.POL_4E996FBA_21B1_54D2_AF3E_0290231D9225)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_30FEC2C2_FB9E_59DC_86AC_0952A9904B2F" key="Software\Policies\Samba\smb_conf\printcap cache time" valueName="printcap cache time"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A0530959_BE77_53B1_82AC_B3E11CA6D2D8)" explainText="$(string.POL_A0530959_BE77_53B1_82AC_B3E11CA6D2D8_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A0530959_BE77_53B1_82AC_B3E11CA6D2D8" presentation="$(presentation.POL_9E502331_FC16_56A6_BAA2_8A4F8CD7403E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_8288D727_1C29_5CDF_A162_3F5701E803B2" key="Software\Policies\Samba\smb_conf\printcap name" valueName="printcap name"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_73B2297D_6138_544A_BAF8_A31CC8192C22)" explainText="$(string.POL_73B2297D_6138_544A_BAF8_A31CC8192C22_Help)" key="Software\Policies\Samba\smb_conf" name="POL_73B2297D_6138_544A_BAF8_A31CC8192C22" presentation="$(presentation.POL_63DFC41F_0FA5_52C6_95CC_071B309E09A9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_21859C56_D5DA_5C2E_9215_BA75864C9B4B" key="Software\Policies\Samba\smb_conf\show add printer wizard" valueName="show add printer wizard"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3CD8EF2C_23D9_58C5_A92C_3E1C2E4F3A4A)" explainText="$(string.POL_3CD8EF2C_23D9_58C5_A92C_3E1C2E4F3A4A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3CD8EF2C_23D9_58C5_A92C_3E1C2E4F3A4A" presentation="$(presentation.POL_C105B217_101D_5080_B2F2_28F453585AF3)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C9E18177_8584_5290_8B40_37D46546DDB1" key="Software\Policies\Samba\smb_conf\spoolss: architecture" valueName="spoolss: architecture"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DE5BD97B_EB5B_571A_98EE_814B2C006262)" explainText="$(string.POL_DE5BD97B_EB5B_571A_98EE_814B2C006262_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DE5BD97B_EB5B_571A_98EE_814B2C006262" presentation="$(presentation.POL_B7405490_DE98_5CC9_A096_8B6F690536A5)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_1D4352B8_DB79_5551_A486_7D4D33F8D4D9" key="Software\Policies\Samba\smb_conf\spoolss: os_major" valueName="spoolss: os_major"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5EB4315D_6DDE_50E9_A228_2F5062CB23B9)" explainText="$(string.POL_5EB4315D_6DDE_50E9_A228_2F5062CB23B9_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5EB4315D_6DDE_50E9_A228_2F5062CB23B9" presentation="$(presentation.POL_5049AEF7_B2E3_5F11_BB76_CD05A0F405D1)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_6F51D95E_66DD_50B2_B62F_7665EF471B52" key="Software\Policies\Samba\smb_conf\spoolss: os_minor" valueName="spoolss: os_minor"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_FEE2B5DC_E367_5173_8A6A_43EB82F22680)" explainText="$(string.POL_FEE2B5DC_E367_5173_8A6A_43EB82F22680_Help)" key="Software\Policies\Samba\smb_conf" name="POL_FEE2B5DC_E367_5173_8A6A_43EB82F22680" presentation="$(presentation.POL_52B0D644_BD3A_5C9D_873F_3DF18D2FDB60)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_B21A8651_347B_5648_94FA_37B943B6A547" key="Software\Policies\Samba\smb_conf\spoolss: os_build" valueName="spoolss: os_build"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6E7AC428_65F6_5006_97A7_B985AE445E43)" explainText="$(string.POL_6E7AC428_65F6_5006_97A7_B985AE445E43_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6E7AC428_65F6_5006_97A7_B985AE445E43" presentation="$(presentation.POL_4B72C056_F162_529E_A137_1F557D5FDFCE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_6188EEA1_529A_508D_B9D5_378CAB822D89" key="Software\Policies\Samba\smb_conf\spoolss_client: os_major" valueName="spoolss_client: os_major"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_732E108C_5701_547E_903E_6112EDF3E999)" explainText="$(string.POL_732E108C_5701_547E_903E_6112EDF3E999_Help)" key="Software\Policies\Samba\smb_conf" name="POL_732E108C_5701_547E_903E_6112EDF3E999" presentation="$(presentation.POL_1855B435_5BFA_512B_A805_E30B09CFD23F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_A21AB0C1_D47D_5B8C_8609_171B9D2F4C27" key="Software\Policies\Samba\smb_conf\spoolss_client: os_minor" valueName="spoolss_client: os_minor"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_CBC8563A_7BEB_54F3_8554_74815EF130DF)" explainText="$(string.POL_CBC8563A_7BEB_54F3_8554_74815EF130DF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_CBC8563A_7BEB_54F3_8554_74815EF130DF" presentation="$(presentation.POL_F173249E_078E_531E_A8DC_85931745FBF9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_EC7D7A9D_C0D7_5665_9030_9C85D402BDB1" key="Software\Policies\Samba\smb_conf\spoolss_client: os_build" valueName="spoolss_client: os_build"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A51777A2_FA82_5D61_B7E1_9B223537A750)" explainText="$(string.POL_A51777A2_FA82_5D61_B7E1_9B223537A750_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A51777A2_FA82_5D61_B7E1_9B223537A750" presentation="$(presentation.POL_A3C35AAF_A7F5_5DCD_B328_C7ABD0F2FDFF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_BCC54168_D5A8_5014_903F_D0689B350906" key="Software\Policies\Samba\smb_conf\cldap port" valueName="cldap port"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E2162FCB_2AF4_5BED_8254_84C87787CAA8)" explainText="$(string.POL_E2162FCB_2AF4_5BED_8254_84C87787CAA8_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E2162FCB_2AF4_5BED_8254_84C87787CAA8" presentation="$(presentation.POL_7D6BFF26_946F_5B18_B213_0B9EE147C3C9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_BC8B7A29_65FA_5B55_BC11_A7574ECD0AA8" key="Software\Policies\Samba\smb_conf\client ipc max protocol" valueName="client ipc max protocol"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_86DD41DB_D3AE_5445_8E2D_335E8182ECDF)" explainText="$(string.POL_86DD41DB_D3AE_5445_8E2D_335E8182ECDF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_86DD41DB_D3AE_5445_8E2D_335E8182ECDF" presentation="$(presentation.POL_4D5635CC_F944_5F32_83F0_7730FC9DE680)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_2FAFBF21_5429_5CF1_9152_921CF9CEEC6C" key="Software\Policies\Samba\smb_conf\client ipc min protocol" valueName="client ipc min protocol"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_8E18914D_E4D5_5B9E_8641_02F84DEA8092)" explainText="$(string.POL_8E18914D_E4D5_5B9E_8641_02F84DEA8092_Help)" key="Software\Policies\Samba\smb_conf" name="POL_8E18914D_E4D5_5B9E_8641_02F84DEA8092" presentation="$(presentation.POL_79B1D2DB_C2F7_57FA_8D6F_83D756A43A40)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_6E173477_D6E4_5C47_BC6C_5961404DB0CD" key="Software\Policies\Samba\smb_conf\client max protocol" valueName="client max protocol"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_277C30D1_A2C2_5AB4_8748_A9ECC063AE91)" explainText="$(string.POL_277C30D1_A2C2_5AB4_8748_A9ECC063AE91_Help)" key="Software\Policies\Samba\smb_conf" name="POL_277C30D1_A2C2_5AB4_8748_A9ECC063AE91" presentation="$(presentation.POL_E5D3402E_7A4B_555E_AC54_E5C7AE196EF2)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_30573924_1A09_5202_8DF8_9B24FA69C14E" key="Software\Policies\Samba\smb_conf\client min protocol" valueName="client min protocol"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_89A40B64_721B_55DF_841D_C3481F32C2FF)" explainText="$(string.POL_89A40B64_721B_55DF_841D_C3481F32C2FF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_89A40B64_721B_55DF_841D_C3481F32C2FF" presentation="$(presentation.POL_B86463E0_7A50_5BD1_9CD5_A43C20A5E087)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_5549EDCC_940D_5AEA_8465_B771FEE013BC" key="Software\Policies\Samba\smb_conf\client use spnego" valueName="client use spnego"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_FCF4AF88_1B2D_5A6E_B630_7E88FA13F4EB)" explainText="$(string.POL_FCF4AF88_1B2D_5A6E_B630_7E88FA13F4EB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_FCF4AF88_1B2D_5A6E_B630_7E88FA13F4EB" presentation="$(presentation.POL_F0990CDC_21DF_538D_9282_2749E00AF99E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E8C89EE3_FF60_5216_A5C7_803A3AA8D790" key="Software\Policies\Samba\smb_conf\dcerpc endpoint servers" valueName="dcerpc endpoint servers"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_73CE9581_7CF3_5CD8_ABBD_3DD273E7ED10)" explainText="$(string.POL_73CE9581_7CF3_5CD8_ABBD_3DD273E7ED10_Help)" key="Software\Policies\Samba\smb_conf" name="POL_73CE9581_7CF3_5CD8_ABBD_3DD273E7ED10" presentation="$(presentation.POL_BD3F8921_7AF6_57F8_894A_9C73D40C6202)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_AA0DA4CF_4431_509C_8E2D_27BD0DD5CCAB" key="Software\Policies\Samba\smb_conf\defer sharing violations" valueName="defer sharing violations"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_951C9DAC_2C21_58B0_8B22_D9D2CCEB1755)" explainText="$(string.POL_951C9DAC_2C21_58B0_8B22_D9D2CCEB1755_Help)" key="Software\Policies\Samba\smb_conf" name="POL_951C9DAC_2C21_58B0_8B22_D9D2CCEB1755" presentation="$(presentation.POL_0C775437_E6FD_5657_9A04_AF137F18FACE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_8E6D975D_6C56_56F9_9853_60394A2CEFA7" key="Software\Policies\Samba\smb_conf\dgram port" valueName="dgram port"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_401F735E_7E1F_5EBC_A3E3_9642A9F023DA)" explainText="$(string.POL_401F735E_7E1F_5EBC_A3E3_9642A9F023DA_Help)" key="Software\Policies\Samba\smb_conf" name="POL_401F735E_7E1F_5EBC_A3E3_9642A9F023DA" presentation="$(presentation.POL_614DA2E7_D77F_5434_9C73_137D1D89D086)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_D433FDEC_A984_5B75_AD88_924962077009" key="Software\Policies\Samba\smb_conf\disable netbios" valueName="disable netbios"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6BB5884D_D948_5765_B165_FCB496E3A64A)" explainText="$(string.POL_6BB5884D_D948_5765_B165_FCB496E3A64A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6BB5884D_D948_5765_B165_FCB496E3A64A" presentation="$(presentation.POL_35845C32_CE1D_5395_A07C_142BCFD9744C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_31A76B18_E56F_57E6_BBC1_A5988C8D731C" key="Software\Policies\Samba\smb_conf\enable asu support" valueName="enable asu support"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D389B35D_C2C8_5971_A195_FBD8C0AAC94C)" explainText="$(string.POL_D389B35D_C2C8_5971_A195_FBD8C0AAC94C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D389B35D_C2C8_5971_A195_FBD8C0AAC94C" presentation="$(presentation.POL_000AF517_65A2_5220_B1DD_7187EFC59AAB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3A3CA4FB_B0F0_5D20_AA43_D6CAECA189E1" key="Software\Policies\Samba\smb_conf\eventlog list" valueName="eventlog list"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_04CE2D0D_386E_5CA3_B450_F1BC9FC9CC9B)" explainText="$(string.POL_04CE2D0D_386E_5CA3_B450_F1BC9FC9CC9B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_04CE2D0D_386E_5CA3_B450_F1BC9FC9CC9B" presentation="$(presentation.POL_B4BFA8D2_FF42_5E4A_ADE8_D7829A2CC94A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_21EE7A7A_DF8F_56F7_85FB_6EC5DD083DD6" key="Software\Policies\Samba\smb_conf\large readwrite" valueName="large readwrite"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_63F5048E_6174_5012_8637_738DD79034E5)" explainText="$(string.POL_63F5048E_6174_5012_8637_738DD79034E5_Help)" key="Software\Policies\Samba\smb_conf" name="POL_63F5048E_6174_5012_8637_738DD79034E5" presentation="$(presentation.POL_644A4C74_3ECB_5A01_8E2B_1FA9E74EC778)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_52E0D939_4722_5165_AAFE_A5FD7584E12C" key="Software\Policies\Samba\smb_conf\lsa over netlogon" valueName="lsa over netlogon"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_87E8C778_F6AC_5666_8855_D40F11853504)" explainText="$(string.POL_87E8C778_F6AC_5666_8855_D40F11853504_Help)" key="Software\Policies\Samba\smb_conf" name="POL_87E8C778_F6AC_5666_8855_D40F11853504" presentation="$(presentation.POL_EAE8C258_343E_522B_A09C_69E9FD81B535)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_549D41B9_4692_55A3_B8C0_11D91DBCC133" key="Software\Policies\Samba\smb_conf\max mux" valueName="max mux"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E754670E_4295_5CAC_8817_8C848E31BA0B)" explainText="$(string.POL_E754670E_4295_5CAC_8817_8C848E31BA0B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E754670E_4295_5CAC_8817_8C848E31BA0B" presentation="$(presentation.POL_2BAFBEFD_9CEA_53C2_9E78_04807EA6531F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_F5E2AC7A_E892_5316_81C3_368BC6F5E4C4" key="Software\Policies\Samba\smb_conf\max ttl" valueName="max ttl"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0AAACA11_DE41_5664_A306_F44D752598C5)" explainText="$(string.POL_0AAACA11_DE41_5664_A306_F44D752598C5_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0AAACA11_DE41_5664_A306_F44D752598C5" presentation="$(presentation.POL_7D30022C_3DDE_56D1_8D07_D90741127527)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_8A171231_CF95_5684_B665_9B1F5B046ABD" key="Software\Policies\Samba\smb_conf\max xmit" valueName="max xmit"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_24E58521_FFD2_5ADE_A9C8_4050EE408BC2)" explainText="$(string.POL_24E58521_FFD2_5ADE_A9C8_4050EE408BC2_Help)" key="Software\Policies\Samba\smb_conf" name="POL_24E58521_FFD2_5ADE_A9C8_4050EE408BC2" presentation="$(presentation.POL_02E42B0E_C3F3_5E0B_83C1_6F3ABFEEF251)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_0B40F1AE_EF9C_58E0_9E35_6D119671AAE1" key="Software\Policies\Samba\smb_conf\min receivefile size" valueName="min receivefile size"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_1DDE423B_1CCB_5179_87D3_1FEE7D4CA621)" explainText="$(string.POL_1DDE423B_1CCB_5179_87D3_1FEE7D4CA621_Help)" key="Software\Policies\Samba\smb_conf" name="POL_1DDE423B_1CCB_5179_87D3_1FEE7D4CA621" presentation="$(presentation.POL_9AA4C867_EE0B_5742_94F0_4D2243C2E368)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_7C9CF069_5856_5D63_94DD_AF9530B8D495" key="Software\Policies\Samba\smb_conf\name resolve order" valueName="name resolve order"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B1C3F6FC_E4FB_58A7_9CE4_50090EF8FF17)" explainText="$(string.POL_B1C3F6FC_E4FB_58A7_9CE4_50090EF8FF17_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B1C3F6FC_E4FB_58A7_9CE4_50090EF8FF17" presentation="$(presentation.POL_0EAD5917_3B68_5B59_92E1_69BD263150EA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_F06BA6AF_533A_520F_B2E1_EA508FF26E55" key="Software\Policies\Samba\smb_conf\nbt port" valueName="nbt port"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E2A4C01A_1EFC_5826_9D3A_A4AD065518EF)" explainText="$(string.POL_E2A4C01A_1EFC_5826_9D3A_A4AD065518EF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E2A4C01A_1EFC_5826_9D3A_A4AD065518EF" presentation="$(presentation.POL_3FA711F7_BD87_5CF6_9A5A_77CF771AAFF2)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_DAAC7C86_8FD9_55BF_9125_9C95E2D52AFE" key="Software\Policies\Samba\smb_conf\nt pipe support" valueName="nt pipe support"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C1F0941D_67B4_55EA_A915_6F5E9A945E57)" explainText="$(string.POL_C1F0941D_67B4_55EA_A915_6F5E9A945E57_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C1F0941D_67B4_55EA_A915_6F5E9A945E57" presentation="$(presentation.POL_85D402BD_4D59_5CE0_8EA2_3331CABD23CA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_95DD62AA_03E3_5679_AD11_D5616CD25255" key="Software\Policies\Samba\smb_conf\nt status support" valueName="nt status support"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_CDB6A4B8_D076_5332_9EA2_CC994C8B45C7)" explainText="$(string.POL_CDB6A4B8_D076_5332_9EA2_CC994C8B45C7_Help)" key="Software\Policies\Samba\smb_conf" name="POL_CDB6A4B8_D076_5332_9EA2_CC994C8B45C7" presentation="$(presentation.POL_9045A4F7_5DED_5A70_B01D_D92B419B6634)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_B11F35D5_3196_5D92_9B1D_9C746F9162FA" key="Software\Policies\Samba\smb_conf\read raw" valueName="read raw"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F9AD06B5_1870_5BE4_87A9_08E3821667E4)" explainText="$(string.POL_F9AD06B5_1870_5BE4_87A9_08E3821667E4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F9AD06B5_1870_5BE4_87A9_08E3821667E4" presentation="$(presentation.POL_9926B5F8_3F22_569B_BB6C_06F2CDF21381)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_CCA3E37C_1A5F_5493_BFC6_AD75B7AEF1D7" key="Software\Policies\Samba\smb_conf\rpc big endian" valueName="rpc big endian"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_380E7843_58D7_505E_9092_392FE1FC4BA2)" explainText="$(string.POL_380E7843_58D7_505E_9092_392FE1FC4BA2_Help)" key="Software\Policies\Samba\smb_conf" name="POL_380E7843_58D7_505E_9092_392FE1FC4BA2" presentation="$(presentation.POL_56DBEBB2_3508_5C9E_91B2_3E55EF357FFB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_9489E35C_10BA_57DF_BCA8_E482D719B220" key="Software\Policies\Samba\smb_conf\rpc server port" valueName="rpc server port"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D910FC29_975B_5105_97C8_BD75D68FDC5F)" explainText="$(string.POL_D910FC29_975B_5105_97C8_BD75D68FDC5F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D910FC29_975B_5105_97C8_BD75D68FDC5F" presentation="$(presentation.POL_738E8CDC_C229_5926_8153_E0009CC07424)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B22408B0_8FF5_5F41_BB61_F89CF80FB1C4" key="Software\Policies\Samba\smb_conf\server max protocol" valueName="server max protocol"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_98D56061_466A_5DDE_BFF3_8A194DE5FE2E)" explainText="$(string.POL_98D56061_466A_5DDE_BFF3_8A194DE5FE2E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_98D56061_466A_5DDE_BFF3_8A194DE5FE2E" presentation="$(presentation.POL_00778E7A_F34D_546E_9FA8_3968A937392B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_633970D9_6038_55ED_856F_A39492AE0173" key="Software\Policies\Samba\smb_conf\server min protocol" valueName="server min protocol"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_2A034462_D418_5914_B24C_6535DD368A66)" explainText="$(string.POL_2A034462_D418_5914_B24C_6535DD368A66_Help)" key="Software\Policies\Samba\smb_conf" name="POL_2A034462_D418_5914_B24C_6535DD368A66" presentation="$(presentation.POL_B33A00A2_B848_59D9_9C41_582F886C008A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3C8506A1_3A67_58AF_BB1F_DD3A931A7FBE" key="Software\Policies\Samba\smb_conf\share:fake_fscaps" valueName="share:fake_fscaps"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A3F9ABC7_494B_5007_B5A1_1DA0B9FC345D)" explainText="$(string.POL_A3F9ABC7_494B_5007_B5A1_1DA0B9FC345D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A3F9ABC7_494B_5007_B5A1_1DA0B9FC345D" presentation="$(presentation.POL_0BC6C240_419F_5F72_9A24_DA191CFFE18E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_4FCC3712_A2B7_5C65_933A_621697E78E8F" key="Software\Policies\Samba\smb_conf\smb2 max credits" valueName="smb2 max credits"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_209C2DE8_5843_50FC_9B61_A3F3EBFE95B5)" explainText="$(string.POL_209C2DE8_5843_50FC_9B61_A3F3EBFE95B5_Help)" key="Software\Policies\Samba\smb_conf" name="POL_209C2DE8_5843_50FC_9B61_A3F3EBFE95B5" presentation="$(presentation.POL_908FC006_7CE8_5B56_A049_A3E582C281F3)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_8D17E70E_8AA1_5DEC_86C2_154031314317" key="Software\Policies\Samba\smb_conf\smb2 max read" valueName="smb2 max read"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0696582B_7928_558B_B4DA_9A0C647CFBB8)" explainText="$(string.POL_0696582B_7928_558B_B4DA_9A0C647CFBB8_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0696582B_7928_558B_B4DA_9A0C647CFBB8" presentation="$(presentation.POL_84ED1A25_58B9_5C00_8261_11A7D387EAB9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_0923E7AF_8C15_54FD_A360_41E09D67D24C" key="Software\Policies\Samba\smb_conf\smb2 max trans" valueName="smb2 max trans"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DA17FE47_6637_50D0_9AD1_A95AAA49F717)" explainText="$(string.POL_DA17FE47_6637_50D0_9AD1_A95AAA49F717_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DA17FE47_6637_50D0_9AD1_A95AAA49F717" presentation="$(presentation.POL_A1955D87_2287_524B_9A8C_454C8218F590)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_AC8EA085_B897_5581_8260_25EC8761048F" key="Software\Policies\Samba\smb_conf\smb2 max write" valueName="smb2 max write"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_97C2005C_F45B_5675_B450_75842A4139F0)" explainText="$(string.POL_97C2005C_F45B_5675_B450_75842A4139F0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_97C2005C_F45B_5675_B450_75842A4139F0" presentation="$(presentation.POL_796581A5_F65E_5D31_BB5C_2CC641B8D03C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_07CA0480_16BB_5E14_B1E8_716E293305F7" key="Software\Policies\Samba\smb_conf\smb ports" valueName="smb ports"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5B8B1A0B_AC6B_5E89_8FDE_4CBE538A9CB8)" explainText="$(string.POL_5B8B1A0B_AC6B_5E89_8FDE_4CBE538A9CB8_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5B8B1A0B_AC6B_5E89_8FDE_4CBE538A9CB8" presentation="$(presentation.POL_C141D92D_B912_54D7_88D6_CC3A12A4739D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_7312B2B6_2E91_5D9E_BE33_A1C73675950E" key="Software\Policies\Samba\smb_conf\svcctl list" valueName="svcctl list"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0E701672_524B_56CE_9C43_D9DE631558EA)" explainText="$(string.POL_0E701672_524B_56CE_9C43_D9DE631558EA_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0E701672_524B_56CE_9C43_D9DE631558EA" presentation="$(presentation.POL_747C776B_2150_5FD4_9A47_9832FD35EBC5)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_838A32D7_1BA5_55CB_9FA4_95280DFB26F6" key="Software\Policies\Samba\smb_conf\time server" valueName="time server"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B8322D3C_E4C4_5EAD_AE99_B912C35C56C8)" explainText="$(string.POL_B8322D3C_E4C4_5EAD_AE99_B912C35C56C8_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B8322D3C_E4C4_5EAD_AE99_B912C35C56C8" presentation="$(presentation.POL_69C69BCA_D38B_54E1_817C_E6993FF1AB91)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_2280B94E_EB17_5A5E_80F0_B48BE0CBC2CB" key="Software\Policies\Samba\smb_conf\unicode" valueName="unicode"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4A31BF60_B9E4_5E35_B979_A1C15754CA9A)" explainText="$(string.POL_4A31BF60_B9E4_5E35_B979_A1C15754CA9A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4A31BF60_B9E4_5E35_B979_A1C15754CA9A" presentation="$(presentation.POL_063DDC7C_E490_5F1B_866D_06D25ABAED90)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_E429FAE8_6D3B_5B56_8EFF_B3B7C25B3DE1" key="Software\Policies\Samba\smb_conf\unix extensions" valueName="unix extensions"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_911349A8_68E0_5370_B0C8_1E5D4DD47DA4)" explainText="$(string.POL_911349A8_68E0_5370_B0C8_1E5D4DD47DA4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_911349A8_68E0_5370_B0C8_1E5D4DD47DA4" presentation="$(presentation.POL_CC4C4C4D_0BA2_52C2_A510_1C4F669856F3)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_4FD77295_65FD_5553_AB18_D6CF04394DAB" key="Software\Policies\Samba\smb_conf\write raw" valueName="write raw"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_585034D0_C9E6_568C_AF40_354A01C24E02)" explainText="$(string.POL_585034D0_C9E6_568C_AF40_354A01C24E02_Help)" key="Software\Policies\Samba\smb_conf" name="POL_585034D0_C9E6_568C_AF40_354A01C24E02" presentation="$(presentation.POL_D1D0620C_FFC1_5C7D_9733_4005F5F61A8D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_82B2446C_9CAB_5880_AF33_2803AE49B294" key="Software\Policies\Samba\smb_conf\server multi channel support" valueName="server multi channel support"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4553EC0B_4966_52CE_83C6_948DAC67A281)" explainText="$(string.POL_4553EC0B_4966_52CE_83C6_948DAC67A281_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4553EC0B_4966_52CE_83C6_948DAC67A281" presentation="$(presentation.POL_D0AC80B8_9AFD_5848_B779_1E43C144D7B3)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_B6B60597_42F0_58D3_98BB_DB6B75D07112" key="Software\Policies\Samba\smb_conf\smb2 disable lock sequence checking" valueName="smb2 disable lock sequence checking"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_690A701E_D101_57E5_A180_30E9E54B8B38)" explainText="$(string.POL_690A701E_D101_57E5_A180_30E9E54B8B38_Help)" key="Software\Policies\Samba\smb_conf" name="POL_690A701E_D101_57E5_A180_30E9E54B8B38" presentation="$(presentation.POL_85DD283F_59E2_5E1D_A694_D52FD7C7627A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_B83E6646_94FD_5882_B57A_15B4BA0AABFD" key="Software\Policies\Samba\smb_conf\smb2 disable oplock break retry" valueName="smb2 disable oplock break retry"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7564C5C4_88AA_576B_A9E8_091901A3D6E0)" explainText="$(string.POL_7564C5C4_88AA_576B_A9E8_091901A3D6E0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7564C5C4_88AA_576B_A9E8_091901A3D6E0" presentation="$(presentation.POL_9E9B6ADB_2118_5108_9C2D_9899DDDC59AF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_28520FBC_2959_5800_B0C5_FE205973260B" key="Software\Policies\Samba\smb_conf\rpc server dynamic port range" valueName="rpc server dynamic port range"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_8D3A68BB_46F0_55A8_B53F_A4AA70C39B46)" explainText="$(string.POL_8D3A68BB_46F0_55A8_B53F_A4AA70C39B46_Help)" key="Software\Policies\Samba\smb_conf" name="POL_8D3A68BB_46F0_55A8_B53F_A4AA70C39B46" presentation="$(presentation.POL_9B792D3F_06B3_5683_92D9_45D323276228)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_9EFB50AC_B3B6_51C1_AD40_298F546733DC" key="Software\Policies\Samba\smb_conf\algorithmic rid base" valueName="algorithmic rid base"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4A36DCFC_E9DB_5CD6_A67B_F94F3D95224F)" explainText="$(string.POL_4A36DCFC_E9DB_5CD6_A67B_F94F3D95224F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4A36DCFC_E9DB_5CD6_A67B_F94F3D95224F" presentation="$(presentation.POL_F30A212E_4A35_5E67_8902_5D28B4E37CE7)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_EAA911EE_CB2D_5459_AF50_DC1CA4719686" key="Software\Policies\Samba\smb_conf\allow dcerpc auth level connect" valueName="allow dcerpc auth level connect"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F3A8A539_E774_5498_B8B7_5D295841A159)" explainText="$(string.POL_F3A8A539_E774_5498_B8B7_5D295841A159_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F3A8A539_E774_5498_B8B7_5D295841A159" presentation="$(presentation.POL_2725BCA8_877C_519D_A248_D6EE701DAD53)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_83FBBE91_8F41_5C06_BD1D_9A47A10B07FE" key="Software\Policies\Samba\smb_conf\allow trusted domains" valueName="allow trusted domains"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DF7112E5_5322_5A42_A1AD_45085CB6EC86)" explainText="$(string.POL_DF7112E5_5322_5A42_A1AD_45085CB6EC86_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DF7112E5_5322_5A42_A1AD_45085CB6EC86" presentation="$(presentation.POL_92DB14AD_A920_5D74_BA74_0C51B13AECBF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_D70FDB73_012F_5168_8371_B68B4B2FF60E" key="Software\Policies\Samba\smb_conf\binddns dir" valueName="binddns dir"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_41C0408D_BF8C_5BA3_992E_6D58CF58FF84)" explainText="$(string.POL_41C0408D_BF8C_5BA3_992E_6D58CF58FF84_Help)" key="Software\Policies\Samba\smb_conf" name="POL_41C0408D_BF8C_5BA3_992E_6D58CF58FF84" presentation="$(presentation.POL_C95900AB_E4E2_5313_9EF5_9AC181CD63A7)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_D6E02483_EC02_52E1_AB5A_E65E2C7FD5C8" key="Software\Policies\Samba\smb_conf\check password script" valueName="check password script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_9869726F_8F58_512B_A708_C7360AC9146F)" explainText="$(string.POL_9869726F_8F58_512B_A708_C7360AC9146F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_9869726F_8F58_512B_A708_C7360AC9146F" presentation="$(presentation.POL_0DDAC1B2_5E35_5770_B177_333E21EF2A80)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_28B76952_9A9C_5E2D_89C6_28CA8ABBEFD4" key="Software\Policies\Samba\smb_conf\client ipc signing" valueName="client ipc signing"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_309DB173_58D7_5326_B21D_8DF044225CB9)" explainText="$(string.POL_309DB173_58D7_5326_B21D_8DF044225CB9_Help)" key="Software\Policies\Samba\smb_conf" name="POL_309DB173_58D7_5326_B21D_8DF044225CB9" presentation="$(presentation.POL_045DA01B_9A96_5BB1_A5AD_9EA38ECFC199)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_5203727D_209F_5E8A_AA94_F9DC1BB27027" key="Software\Policies\Samba\smb_conf\client lanman auth" valueName="client lanman auth"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0F39ED01_BB64_5653_839C_CB26A70EC531)" explainText="$(string.POL_0F39ED01_BB64_5653_839C_CB26A70EC531_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0F39ED01_BB64_5653_839C_CB26A70EC531" presentation="$(presentation.POL_B1954186_3F6B_5F1F_B066_9105058C20A6)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_B6DB6C5E_8C6F_5288_B469_0C54B947EA2F" key="Software\Policies\Samba\smb_conf\client NTLMv2 auth" valueName="client NTLMv2 auth"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_94342D11_937E_5F14_BBEA_C9B370F6A523)" explainText="$(string.POL_94342D11_937E_5F14_BBEA_C9B370F6A523_Help)" key="Software\Policies\Samba\smb_conf" name="POL_94342D11_937E_5F14_BBEA_C9B370F6A523" presentation="$(presentation.POL_676B4751_B95E_5720_A513_203DC3A33B5C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_3DCC027B_9C81_5EDE_A64D_D6F956AFE5B8" key="Software\Policies\Samba\smb_conf\client plaintext auth" valueName="client plaintext auth"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DCB591D5_0F63_58EC_A0BB_F5F81064B714)" explainText="$(string.POL_DCB591D5_0F63_58EC_A0BB_F5F81064B714_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DCB591D5_0F63_58EC_A0BB_F5F81064B714" presentation="$(presentation.POL_C3248F39_498F_5B9B_B82D_E99AB08FD0AF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_4A77A711_9230_5D41_A77C_97123E4789B7" key="Software\Policies\Samba\smb_conf\client schannel" valueName="client schannel"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F35419AB_2114_5382_8060_B1AAED24F2A1)" explainText="$(string.POL_F35419AB_2114_5382_8060_B1AAED24F2A1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F35419AB_2114_5382_8060_B1AAED24F2A1" presentation="$(presentation.POL_0A922D59_F39C_57B5_82CE_E08DB4EFC5F9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E3513F2F_1C85_5D8C_8DEE_741059C1F393" key="Software\Policies\Samba\smb_conf\client signing" valueName="client signing"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F761A7A7_2852_560C_B6D7_A50C613C5431)" explainText="$(string.POL_F761A7A7_2852_560C_B6D7_A50C613C5431_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F761A7A7_2852_560C_B6D7_A50C613C5431" presentation="$(presentation.POL_952DF975_FF04_55BD_8C6B_1D0CF167106B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_E5D1CBBE_5B07_5559_8885_E8F6DBA75A18" key="Software\Policies\Samba\smb_conf\client use spnego principal" valueName="client use spnego principal"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_158C42B4_685B_5FDE_BF9D_C42504E8C09C)" explainText="$(string.POL_158C42B4_685B_5FDE_BF9D_C42504E8C09C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_158C42B4_685B_5FDE_BF9D_C42504E8C09C" presentation="$(presentation.POL_D9E8EB33_0AE9_5DA5_BA48_00221DCE75EB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_711A458E_DC58_57EC_B315_0FEF0D2354BF" key="Software\Policies\Samba\smb_conf\debug encryption" valueName="debug encryption"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_8853D1A2_6482_58E1_9748_192D92523750)" explainText="$(string.POL_8853D1A2_6482_58E1_9748_192D92523750_Help)" key="Software\Policies\Samba\smb_conf" name="POL_8853D1A2_6482_58E1_9748_192D92523750" presentation="$(presentation.POL_B7875E95_FF94_5579_956F_6E2CEB41AB91)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_F17E81EB_DEBF_56F4_B372_D6F61F5516E3" key="Software\Policies\Samba\smb_conf\dedicated keytab file" valueName="dedicated keytab file"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3C1941B5_4894_501A_A7FD_F0C6BCE77DA9)" explainText="$(string.POL_3C1941B5_4894_501A_A7FD_F0C6BCE77DA9_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3C1941B5_4894_501A_A7FD_F0C6BCE77DA9" presentation="$(presentation.POL_1EE4C27C_051F_55A6_8385_E55B6776D7E4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_EC390E59_1CA4_5C42_960E_B0EEA3B0C1F4" key="Software\Policies\Samba\smb_conf\encrypt passwords" valueName="encrypt passwords"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_99472FC1_E6CE_5476_9EC3_EB2EF52862AE)" explainText="$(string.POL_99472FC1_E6CE_5476_9EC3_EB2EF52862AE_Help)" key="Software\Policies\Samba\smb_conf" name="POL_99472FC1_E6CE_5476_9EC3_EB2EF52862AE" presentation="$(presentation.POL_59E14991_089B_550D_A563_8FB90A8333FB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_92855060_EFF4_5BCA_B30B_10C364F30E2E" key="Software\Policies\Samba\smb_conf\guest account" valueName="guest account"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_75BBDBCB_46D1_55DE_9A7C_9EEA7DD026BF)" explainText="$(string.POL_75BBDBCB_46D1_55DE_9A7C_9EEA7DD026BF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_75BBDBCB_46D1_55DE_9A7C_9EEA7DD026BF" presentation="$(presentation.POL_772B9223_59BD_57E8_8FA7_17AF0E0EC8EC)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_751BA79F_27EA_55BE_B787_D424CBD47CED" key="Software\Policies\Samba\smb_conf\kerberos encryption types" valueName="kerberos encryption types"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4AE746EE_4A10_55CC_8934_7E4FEF028E4D)" explainText="$(string.POL_4AE746EE_4A10_55CC_8934_7E4FEF028E4D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4AE746EE_4A10_55CC_8934_7E4FEF028E4D" presentation="$(presentation.POL_F11FAFDE_22DF_5BB6_9F63_007597D313BD)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_30977E18_9746_5A78_A6DC_82AC5157781F" key="Software\Policies\Samba\smb_conf\kerberos method" valueName="kerberos method"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C0E75830_A92F_5E76_A2CF_8E864DF58497)" explainText="$(string.POL_C0E75830_A92F_5E76_A2CF_8E864DF58497_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C0E75830_A92F_5E76_A2CF_8E864DF58497" presentation="$(presentation.POL_F37DD404_E28E_50F2_BFF4_90142620EA2F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_3E0E91A2_1877_54F2_AFFE_13F912C4B534" key="Software\Policies\Samba\smb_conf\kpasswd port" valueName="kpasswd port"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_37987863_7B25_5531_81BE_8EB427F3D0E1)" explainText="$(string.POL_37987863_7B25_5531_81BE_8EB427F3D0E1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_37987863_7B25_5531_81BE_8EB427F3D0E1" presentation="$(presentation.POL_E6FCD1B7_7104_5EF9_BAA7_73E15CC49EE2)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_41AD8F69_347F_58D1_9DA4_B9A600C32EAE" key="Software\Policies\Samba\smb_conf\krb5 port" valueName="krb5 port"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_91CB69F0_B95B_565D_B50D_0BC441ED9E34)" explainText="$(string.POL_91CB69F0_B95B_565D_B50D_0BC441ED9E34_Help)" key="Software\Policies\Samba\smb_conf" name="POL_91CB69F0_B95B_565D_B50D_0BC441ED9E34" presentation="$(presentation.POL_F77B9807_0B1E_5EA5_A1CB_62B310FE5034)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_7460D4AE_3934_5090_9E10_BBF60CD5A983" key="Software\Policies\Samba\smb_conf\lanman auth" valueName="lanman auth"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_89CBBE4F_9104_594C_88D1_F9C11246B21F)" explainText="$(string.POL_89CBBE4F_9104_594C_88D1_F9C11246B21F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_89CBBE4F_9104_594C_88D1_F9C11246B21F" presentation="$(presentation.POL_3D0B6848_AEF7_54A0_8FA0_B6EAD987D449)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E576122E_9E34_5B1D_9362_2EF751F22E3F" key="Software\Policies\Samba\smb_conf\log nt token command" valueName="log nt token command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6BE3D165_D5BE_5252_A0A2_31CD0E777478)" explainText="$(string.POL_6BE3D165_D5BE_5252_A0A2_31CD0E777478_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6BE3D165_D5BE_5252_A0A2_31CD0E777478" presentation="$(presentation.POL_32F00B99_2861_5EFE_B961_1F52B4FC0530)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_12B82358_1926_5FEC_B016_946E52DDC7A7" key="Software\Policies\Samba\smb_conf\map to guest" valueName="map to guest"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_56EEE2C2_6458_524A_95A8_C59B86A453E0)" explainText="$(string.POL_56EEE2C2_6458_524A_95A8_C59B86A453E0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_56EEE2C2_6458_524A_95A8_C59B86A453E0" presentation="$(presentation.POL_6D23275C_279D_571C_8835_3DA99356979C)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_4C14ACC2_4652_5801_BF08_1D9E81090E16" key="Software\Policies\Samba\smb_conf\mit kdc command" valueName="mit kdc command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E82BE4E4_3F51_5B03_9809_03101186CE80)" explainText="$(string.POL_E82BE4E4_3F51_5B03_9809_03101186CE80_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E82BE4E4_3F51_5B03_9809_03101186CE80" presentation="$(presentation.POL_3AE05749_32F8_5D7C_BEF0_D0DFB206EA34)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E71B9BA6_F3A9_510D_AE73_34CC2E7AF19F" key="Software\Policies\Samba\smb_conf\ntlm auth" valueName="ntlm auth"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_BEB01EAD_B60E_5832_BDD5_5C8ACE276FD4)" explainText="$(string.POL_BEB01EAD_B60E_5832_BDD5_5C8ACE276FD4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_BEB01EAD_B60E_5832_BDD5_5C8ACE276FD4" presentation="$(presentation.POL_7A4CC1D5_FF89_5D5A_9711_B783227B92CE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_9AB44C0C_849E_55AD_BF88_30862CC83464" key="Software\Policies\Samba\smb_conf\ntp signd socket directory" valueName="ntp signd socket directory"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C04AB7ED_DBC2_50A6_8082_AD0D6CCB758A)" explainText="$(string.POL_C04AB7ED_DBC2_50A6_8082_AD0D6CCB758A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C04AB7ED_DBC2_50A6_8082_AD0D6CCB758A" presentation="$(presentation.POL_1F95F2F6_790E_5946_8F22_F93441D1B91D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_905844C6_A433_5422_9020_A275A062AB6F" key="Software\Policies\Samba\smb_conf\null passwords" valueName="null passwords"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E305251F_7C82_54A6_8F9D_CFBB7934B1DF)" explainText="$(string.POL_E305251F_7C82_54A6_8F9D_CFBB7934B1DF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E305251F_7C82_54A6_8F9D_CFBB7934B1DF" presentation="$(presentation.POL_4B855392_C467_5D42_B793_3EC858462C02)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_FFDDD176_BDAB_58E3_A455_F60861FD2C63" key="Software\Policies\Samba\smb_conf\obey pam restrictions" valueName="obey pam restrictions"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DD8E3C33_F1AE_59CB_B2B6_3358FFBF41AF)" explainText="$(string.POL_DD8E3C33_F1AE_59CB_B2B6_3358FFBF41AF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DD8E3C33_F1AE_59CB_B2B6_3358FFBF41AF" presentation="$(presentation.POL_F388E520_9E19_53AC_9AFA_D6DAAE139BFE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_1D580B43_F65E_5F39_A938_BE0D03A04F2B" key="Software\Policies\Samba\smb_conf\old password allowed period" valueName="old password allowed period"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B65F086B_4235_5646_8C8B_AF4C16B6E4AD)" explainText="$(string.POL_B65F086B_4235_5646_8C8B_AF4C16B6E4AD_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B65F086B_4235_5646_8C8B_AF4C16B6E4AD" presentation="$(presentation.POL_FC62DA5F_6B94_5AD6_B9E6_51A9F5F52E2E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_49F56502_4B93_5C98_A4BB_327120E5F7D8" key="Software\Policies\Samba\smb_conf\pam password change" valueName="pam password change"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_755D3500_5D11_5DF0_82AC_E5E964C7707B)" explainText="$(string.POL_755D3500_5D11_5DF0_82AC_E5E964C7707B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_755D3500_5D11_5DF0_82AC_E5E964C7707B" presentation="$(presentation.POL_6F5A4F7B_B2BC_50D0_84F6_64202749462B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_38925248_C56C_5F67_959E_45860FA3CEDE" key="Software\Policies\Samba\smb_conf\passdb backend" valueName="passdb backend"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_2F42A35D_FAD2_545A_9ACE_84CD88BEBDB4)" explainText="$(string.POL_2F42A35D_FAD2_545A_9ACE_84CD88BEBDB4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_2F42A35D_FAD2_545A_9ACE_84CD88BEBDB4" presentation="$(presentation.POL_F3E8ECEA_80D4_529F_8F7B_97B8847E3101)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_4D782AF0_E6B7_5C3E_AE8F_90D07527724B" key="Software\Policies\Samba\smb_conf\passdb expand explicit" valueName="passdb expand explicit"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_87D22064_A317_506A_8057_62D7EB06E246)" explainText="$(string.POL_87D22064_A317_506A_8057_62D7EB06E246_Help)" key="Software\Policies\Samba\smb_conf" name="POL_87D22064_A317_506A_8057_62D7EB06E246" presentation="$(presentation.POL_EE00148B_DAEA_5039_B087_B342E865E3AE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_9E734663_521F_5654_A01C_E8B5C19A4684" key="Software\Policies\Samba\smb_conf\passwd chat" valueName="passwd chat"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_FB5B5BAF_88EA_547F_B6C1_C26EF698C89B)" explainText="$(string.POL_FB5B5BAF_88EA_547F_B6C1_C26EF698C89B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_FB5B5BAF_88EA_547F_B6C1_C26EF698C89B" presentation="$(presentation.POL_A0D04F58_1760_5152_AE42_748ABA7B15D8)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_6F2AD6B8_489E_512B_A7CC_EDB6FA628D1E" key="Software\Policies\Samba\smb_conf\passwd chat debug" valueName="passwd chat debug"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_885CA09B_77E8_5E63_85E8_108397557B0B)" explainText="$(string.POL_885CA09B_77E8_5E63_85E8_108397557B0B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_885CA09B_77E8_5E63_85E8_108397557B0B" presentation="$(presentation.POL_0F8503B0_2D17_54A4_AECA_C8954FC2F1B3)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_849C03F3_A9CF_5B20_81B9_D4EEE2435447" key="Software\Policies\Samba\smb_conf\passwd chat timeout" valueName="passwd chat timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E710453F_700A_5430_BE8D_5364117F7E85)" explainText="$(string.POL_E710453F_700A_5430_BE8D_5364117F7E85_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E710453F_700A_5430_BE8D_5364117F7E85" presentation="$(presentation.POL_484C71CF_D856_514E_A645_C94805B51752)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_97FDEF1F_BA9C_5995_BB37_93AF59ADB59C" key="Software\Policies\Samba\smb_conf\passwd program" valueName="passwd program"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_77F6400F_03D4_53F9_AB7B_E0464F72E61F)" explainText="$(string.POL_77F6400F_03D4_53F9_AB7B_E0464F72E61F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_77F6400F_03D4_53F9_AB7B_E0464F72E61F" presentation="$(presentation.POL_DE8AED8D_92DF_5DC8_A412_F374508B2DF2)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_DF9C4D42_5129_5D7A_A155_18F2DBB5B2E7" key="Software\Policies\Samba\smb_conf\password hash gpg key ids" valueName="password hash gpg key ids"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5EA8345D_5B61_554F_AAF5_2C069A37DFCA)" explainText="$(string.POL_5EA8345D_5B61_554F_AAF5_2C069A37DFCA_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5EA8345D_5B61_554F_AAF5_2C069A37DFCA" presentation="$(presentation.POL_E57A4D09_C62A_5ACB_BA14_A52FB3A14D54)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_8F89431E_D922_5610_8770_40BD094BA98D" key="Software\Policies\Samba\smb_conf\password hash userPassword schemes" valueName="password hash userPassword schemes"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_1D36B51B_8AB7_593A_95D8_93B12C9F9EFA)" explainText="$(string.POL_1D36B51B_8AB7_593A_95D8_93B12C9F9EFA_Help)" key="Software\Policies\Samba\smb_conf" name="POL_1D36B51B_8AB7_593A_95D8_93B12C9F9EFA" presentation="$(presentation.POL_8DF1C787_4DD3_5769_981D_AD98697D5FAB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_2BD70FBF_B577_55F7_B757_5DE68D1ECB4B" key="Software\Policies\Samba\smb_conf\password server" valueName="password server"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_4605CA34_85F3_51DB_8BCE_C56B51AA39BF)" explainText="$(string.POL_4605CA34_85F3_51DB_8BCE_C56B51AA39BF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_4605CA34_85F3_51DB_8BCE_C56B51AA39BF" presentation="$(presentation.POL_576D7547_5317_5D19_9105_4BFD5714D591)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_799A2EBA_FC4C_53C2_B724_0838399601DF" key="Software\Policies\Samba\smb_conf\preload modules" valueName="preload modules"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_5103CDE2_436D_5FB9_8633_6BB5EBB59406)" explainText="$(string.POL_5103CDE2_436D_5FB9_8633_6BB5EBB59406_Help)" key="Software\Policies\Samba\smb_conf" name="POL_5103CDE2_436D_5FB9_8633_6BB5EBB59406" presentation="$(presentation.POL_0B74AC8D_E102_5E02_9B21_D264A6662698)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_97A88495_3A90_5773_AF8C_5D35B63E672A" key="Software\Policies\Samba\smb_conf\private dir" valueName="private dir"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7DB136EF_7DAD_5A4F_8C40_F3079FCB925F)" explainText="$(string.POL_7DB136EF_7DAD_5A4F_8C40_F3079FCB925F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7DB136EF_7DAD_5A4F_8C40_F3079FCB925F" presentation="$(presentation.POL_84F44316_118C_5460_A9E9_022AE89D6BC7)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_C2793981_4BCD_5CDF_8F7B_7AD01E207D2C" key="Software\Policies\Samba\smb_conf\raw NTLMv2 auth" valueName="raw NTLMv2 auth"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E4D542FC_3D67_5397_9AC3_3868BB017F03)" explainText="$(string.POL_E4D542FC_3D67_5397_9AC3_3868BB017F03_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E4D542FC_3D67_5397_9AC3_3868BB017F03" presentation="$(presentation.POL_81A0C9F8_E865_532F_8FF6_EA55C23E6417)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3697BE5E_8DCE_5701_A121_A7E36F07CE6C" key="Software\Policies\Samba\smb_conf\rename user script" valueName="rename user script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7D42E3F0_DE0E_57E0_8EAF_F56111560EA3)" explainText="$(string.POL_7D42E3F0_DE0E_57E0_8EAF_F56111560EA3_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7D42E3F0_DE0E_57E0_8EAF_F56111560EA3" presentation="$(presentation.POL_61F81501_C5C3_5F3F_8A89_4490F25812D1)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_B5114D77_9A2D_5FB4_8862_313764FA836F" key="Software\Policies\Samba\smb_conf\restrict anonymous" valueName="restrict anonymous"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6745DAC3_A866_5519_83C8_8086C063AAB7)" explainText="$(string.POL_6745DAC3_A866_5519_83C8_8086C063AAB7_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6745DAC3_A866_5519_83C8_8086C063AAB7" presentation="$(presentation.POL_82E70187_3C79_5C38_837A_F6F7660F7D10)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_00392C71_F9D4_5A75_8082_F7806B6B7564" key="Software\Policies\Samba\smb_conf\root directory" valueName="root directory"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_9218F54E_BE22_57C0_BEF2_489F89B7D3BA)" explainText="$(string.POL_9218F54E_BE22_57C0_BEF2_489F89B7D3BA_Help)" key="Software\Policies\Samba\smb_conf" name="POL_9218F54E_BE22_57C0_BEF2_489F89B7D3BA" presentation="$(presentation.POL_487E924D_1F5E_52FA_9DD7_7C893DC03299)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_98D641EC_FAA9_546B_A032_3D7D3D0B28E2" key="Software\Policies\Samba\smb_conf\samba kcc command" valueName="samba kcc command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_86AEEBA8_5181_54A2_A436_FD35443F7C03)" explainText="$(string.POL_86AEEBA8_5181_54A2_A436_FD35443F7C03_Help)" key="Software\Policies\Samba\smb_conf" name="POL_86AEEBA8_5181_54A2_A436_FD35443F7C03" presentation="$(presentation.POL_1D7DD262_FBC1_53B0_8981_D664D2793B98)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_94515E41_3367_514F_978D_FB02F7C7ABD1" key="Software\Policies\Samba\smb_conf\security" valueName="security"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_925F9081_BDD3_5BE8_BB73_89EBE3A0A8F0)" explainText="$(string.POL_925F9081_BDD3_5BE8_BB73_89EBE3A0A8F0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_925F9081_BDD3_5BE8_BB73_89EBE3A0A8F0" presentation="$(presentation.POL_E94725FD_24A2_5499_9793_E27F2E3D82AB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_7688CBD7_E2F8_573B_AA8D_9EF8C47630F8" key="Software\Policies\Samba\smb_conf\server role" valueName="server role"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6B0930DB_3CC7_57DB_8798_A6B6D3AF05B9)" explainText="$(string.POL_6B0930DB_3CC7_57DB_8798_A6B6D3AF05B9_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6B0930DB_3CC7_57DB_8798_A6B6D3AF05B9" presentation="$(presentation.POL_51A99ED6_90F2_5884_904E_FBB01AE99010)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_0DC074F0_E1DE_5232_B834_889409466FB7" key="Software\Policies\Samba\smb_conf\server schannel" valueName="server schannel"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6DC4F5E8_3493_5D3C_8E35_D928C38C2604)" explainText="$(string.POL_6DC4F5E8_3493_5D3C_8E35_D928C38C2604_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6DC4F5E8_3493_5D3C_8E35_D928C38C2604" presentation="$(presentation.POL_5FCA2961_E0AB_5E89_8361_C30A3FBAB1EC)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_90F5A286_21F2_5FE7_97F9_88EF3C9B636C" key="Software\Policies\Samba\smb_conf\server signing" valueName="server signing"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7C0D1957_E0F4_5B60_805D_FBA7399D8737)" explainText="$(string.POL_7C0D1957_E0F4_5B60_805D_FBA7399D8737_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7C0D1957_E0F4_5B60_805D_FBA7399D8737" presentation="$(presentation.POL_619FBE76_46C6_5CD4_8FAB_F6031B681197)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_A5857127_9668_5119_9FB1_28989C19BE29" key="Software\Policies\Samba\smb_conf\smb passwd file" valueName="smb passwd file"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_94D60BE2_185E_5EC1_8E58_146C4B17C1E7)" explainText="$(string.POL_94D60BE2_185E_5EC1_8E58_146C4B17C1E7_Help)" key="Software\Policies\Samba\smb_conf" name="POL_94D60BE2_185E_5EC1_8E58_146C4B17C1E7" presentation="$(presentation.POL_F01FFF92_4BCB_5309_8B5C_3910D8E2EE4D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_18E2AB7A_7B3D_5588_8E22_91549B53719E" key="Software\Policies\Samba\smb_conf\tls cafile" valueName="tls cafile"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A9FA5D2E_2052_5A81_812D_83A2952DF38B)" explainText="$(string.POL_A9FA5D2E_2052_5A81_812D_83A2952DF38B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A9FA5D2E_2052_5A81_812D_83A2952DF38B" presentation="$(presentation.POL_2D715716_887A_5F22_B8BF_F4D8239F9576)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_24A9FF35_91AF_50B7_9C8B_DCB8815A3B19" key="Software\Policies\Samba\smb_conf\tls certfile" valueName="tls certfile"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C3E30BBB_123E_55E6_9693_7FF6CCF7488D)" explainText="$(string.POL_C3E30BBB_123E_55E6_9693_7FF6CCF7488D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C3E30BBB_123E_55E6_9693_7FF6CCF7488D" presentation="$(presentation.POL_823C796B_2B4A_5733_B90D_9179CA58C03D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3B707725_83FA_511D_BBC2_69122D141655" key="Software\Policies\Samba\smb_conf\tls crlfile" valueName="tls crlfile"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_ABFC90A0_6AA2_5372_85E6_FCD989E458EE)" explainText="$(string.POL_ABFC90A0_6AA2_5372_85E6_FCD989E458EE_Help)" key="Software\Policies\Samba\smb_conf" name="POL_ABFC90A0_6AA2_5372_85E6_FCD989E458EE" presentation="$(presentation.POL_EE10300D_C58D_5AF3_819F_6707ACE727E9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_EB8D2F6A_9929_5004_BD04_03EB0F381453" key="Software\Policies\Samba\smb_conf\tls dh params file" valueName="tls dh params file"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0F91E806_ADD5_59A1_B4FA_E99A51FED659)" explainText="$(string.POL_0F91E806_ADD5_59A1_B4FA_E99A51FED659_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0F91E806_ADD5_59A1_B4FA_E99A51FED659" presentation="$(presentation.POL_D1A081CF_40D1_5505_9E0F_1DF2B67DC69F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_FBD1856B_6C06_5CF4_9A53_DDF372A2250F" key="Software\Policies\Samba\smb_conf\tls enabled" valueName="tls enabled"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D245CE57_C525_5967_A452_F28BFDB9509B)" explainText="$(string.POL_D245CE57_C525_5967_A452_F28BFDB9509B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D245CE57_C525_5967_A452_F28BFDB9509B" presentation="$(presentation.POL_686F2495_B4CA_5D83_95E3_BF372A1857A3)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_45D2AB07_CCD6_5350_A04D_DB915B7B79A3" key="Software\Policies\Samba\smb_conf\tls keyfile" valueName="tls keyfile"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6DB833DB_F8B8_5A20_8E2A_6B7D8E298B9D)" explainText="$(string.POL_6DB833DB_F8B8_5A20_8E2A_6B7D8E298B9D_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6DB833DB_F8B8_5A20_8E2A_6B7D8E298B9D" presentation="$(presentation.POL_869E3C32_6369_5FB5_B149_F982FB872384)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_09331402_B0D6_59B2_8C69_2758849398CE" key="Software\Policies\Samba\smb_conf\tls verify peer" valueName="tls verify peer"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_82913C09_64C3_59C3_8303_3A815661F70E)" explainText="$(string.POL_82913C09_64C3_59C3_8303_3A815661F70E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_82913C09_64C3_59C3_8303_3A815661F70E" presentation="$(presentation.POL_6B1AC895_029E_5686_B072_4BD0BD8B7C4D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_1E20CD87_5BB4_5449_9E0C_BFFBE014C934" key="Software\Policies\Samba\smb_conf\unix password sync" valueName="unix password sync"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_37EE4890_B571_50D5_B6D7_3462FF89BCE1)" explainText="$(string.POL_37EE4890_B571_50D5_B6D7_3462FF89BCE1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_37EE4890_B571_50D5_B6D7_3462FF89BCE1" presentation="$(presentation.POL_821FE87C_398B_5051_A106_BB4C41475FA2)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_55E19EF4_DFB4_5F5F_8DF5_D88E4874D090" key="Software\Policies\Samba\smb_conf\username level" valueName="username level"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_086EBC7E_1D72_5C67_9447_F5F6E36EFA8F)" explainText="$(string.POL_086EBC7E_1D72_5C67_9447_F5F6E36EFA8F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_086EBC7E_1D72_5C67_9447_F5F6E36EFA8F" presentation="$(presentation.POL_4A737F54_FE8F_5996_AE22_5AD683E96F64)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_F413607F_E22F_5652_B367_376C260376CF" key="Software\Policies\Samba\smb_conf\username map" valueName="username map"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0FE7956E_5744_5658_A2ED_8433C45918D7)" explainText="$(string.POL_0FE7956E_5744_5658_A2ED_8433C45918D7_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0FE7956E_5744_5658_A2ED_8433C45918D7" presentation="$(presentation.POL_B01C544C_C17F_58BE_A8C5_B8B93A5D6D6B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_54B979EE_6AB6_5CFA_9EE0_CAF728D8EC17" key="Software\Policies\Samba\smb_conf\username map cache time" valueName="username map cache time"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7C2B49D9_45DE_5D97_B844_9F509F86D211)" explainText="$(string.POL_7C2B49D9_45DE_5D97_B844_9F509F86D211_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7C2B49D9_45DE_5D97_B844_9F509F86D211" presentation="$(presentation.POL_D6C75311_EF00_56FB_BB7E_2AED9360F004)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C8B62E8A_0311_5EC2_A8CF_70B60E1BD044" key="Software\Policies\Samba\smb_conf\username map script" valueName="username map script"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_22AAB8AC_4E62_5B51_BC38_C9340E8AC56E)" explainText="$(string.POL_22AAB8AC_4E62_5B51_BC38_C9340E8AC56E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_22AAB8AC_4E62_5B51_BC38_C9340E8AC56E" presentation="$(presentation.POL_D915E5DA_6227_5AF7_84CC_C5FF9079D441)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_55A11C3A_195F_55F9_852D_0D62FD18327B" key="Software\Policies\Samba\smb_conf\tls priority" valueName="tls priority"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_08DDB9FE_1D88_5264_BEB0_6D60420CE12B)" explainText="$(string.POL_08DDB9FE_1D88_5264_BEB0_6D60420CE12B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_08DDB9FE_1D88_5264_BEB0_6D60420CE12B" presentation="$(presentation.POL_5413F647_D5E0_5620_B00D_101274974D25)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_8BBF5B06_26CE_5BCE_B851_7B1D4E5BA791" key="Software\Policies\Samba\smb_conf\aio max threads" valueName="aio max threads"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0F98F240_9B2D_5788_AC7C_7B2ECDAE60A2)" explainText="$(string.POL_0F98F240_9B2D_5788_AC7C_7B2ECDAE60A2_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0F98F240_9B2D_5788_AC7C_7B2ECDAE60A2" presentation="$(presentation.POL_B9BCD3D7_045F_57C2_9347_4258B5841D4B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_1C7D2B97_728C_587E_880B_EDEF41300FAB" key="Software\Policies\Samba\smb_conf\deadtime" valueName="deadtime"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_BAC6D3CB_A32D_5702_93FD_289B714016C3)" explainText="$(string.POL_BAC6D3CB_A32D_5702_93FD_289B714016C3_Help)" key="Software\Policies\Samba\smb_conf" name="POL_BAC6D3CB_A32D_5702_93FD_289B714016C3" presentation="$(presentation.POL_29E85EE4_9F4B_5824_AAD0_B71BC3AD529A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_18CC19EE_D0BD_5776_9816_F100799183AB" key="Software\Policies\Samba\smb_conf\getwd cache" valueName="getwd cache"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0FB07FB9_33B4_5ECF_9725_9B7A38F863AF)" explainText="$(string.POL_0FB07FB9_33B4_5ECF_9725_9B7A38F863AF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0FB07FB9_33B4_5ECF_9725_9B7A38F863AF" presentation="$(presentation.POL_9FC38F18_A498_5A48_A001_E1C9DF302BAD)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_04B2F1DF_E88E_5792_B491_793217A0C8C8" key="Software\Policies\Samba\smb_conf\hostname lookups" valueName="hostname lookups"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C2D014CF_45D1_5A08_9727_3F2B500A4D58)" explainText="$(string.POL_C2D014CF_45D1_5A08_9727_3F2B500A4D58_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C2D014CF_45D1_5A08_9727_3F2B500A4D58" presentation="$(presentation.POL_A09855DC_589A_515D_B123_3846F60F4908)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_3DAC248C_C8A8_5C1C_8CFB_443894213FC9" key="Software\Policies\Samba\smb_conf\keepalive" valueName="keepalive"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_AF4738EE_230C_5D39_A4CE_F270B28FE9AB)" explainText="$(string.POL_AF4738EE_230C_5D39_A4CE_F270B28FE9AB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_AF4738EE_230C_5D39_A4CE_F270B28FE9AB" presentation="$(presentation.POL_8C101F96_8BD1_5E91_ACA0_813AA7EB6F03)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_4DAE2123_2535_5E0D_BCD1_D5D819A750B9" key="Software\Policies\Samba\smb_conf\max disk size" valueName="max disk size"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_21C3BE22_42E5_544F_97AB_732B2163839B)" explainText="$(string.POL_21C3BE22_42E5_544F_97AB_732B2163839B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_21C3BE22_42E5_544F_97AB_732B2163839B" presentation="$(presentation.POL_571D0589_CE6E_50D9_A04F_4070993911D4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_E36137FA_C613_5FBE_B6FE_1A0554C4130E" key="Software\Policies\Samba\smb_conf\max open files" valueName="max open files"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_67BA8388_A439_54EA_8A1B_B6D2CCD8BB9B)" explainText="$(string.POL_67BA8388_A439_54EA_8A1B_B6D2CCD8BB9B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_67BA8388_A439_54EA_8A1B_B6D2CCD8BB9B" presentation="$(presentation.POL_4B0BF94D_F644_5874_9963_FB1DB672DFCF)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_3DC584F7_71D3_5762_BB59_FB55D524AF1D" key="Software\Policies\Samba\smb_conf\max smbd processes" valueName="max smbd processes"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7CB978B4_3314_5AE7_9821_574DC024294B)" explainText="$(string.POL_7CB978B4_3314_5AE7_9821_574DC024294B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7CB978B4_3314_5AE7_9821_574DC024294B" presentation="$(presentation.POL_CCB2A269_DED1_5A89_B0EA_AC8B9A248E01)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_23802D96_34E6_5E30_BB47_2839CFF09E5E" key="Software\Policies\Samba\smb_conf\name cache timeout" valueName="name cache timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_93A78BFD_8C1E_5643_8329_A90FF5CE5A6B)" explainText="$(string.POL_93A78BFD_8C1E_5643_8329_A90FF5CE5A6B_Help)" key="Software\Policies\Samba\smb_conf" name="POL_93A78BFD_8C1E_5643_8329_A90FF5CE5A6B" presentation="$(presentation.POL_D0EACF0A_A7EC_5114_84E9_A119EAB06054)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_9F944C4E_3CCB_5C34_AC11_84D5E8AE9675" key="Software\Policies\Samba\smb_conf\socket options" valueName="socket options"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3FD02174_8A27_5426_848C_B3123EA8C4C3)" explainText="$(string.POL_3FD02174_8A27_5426_848C_B3123EA8C4C3_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3FD02174_8A27_5426_848C_B3123EA8C4C3" presentation="$(presentation.POL_0BEE9D62_728C_5BEC_B208_C6413ACB23CA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_AE0F9277_9994_5245_9AF5_2FE2694EADB3" key="Software\Policies\Samba\smb_conf\use mmap" valueName="use mmap"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_77FC1090_5D4B_587E_BD3B_DAE9F7A9682F)" explainText="$(string.POL_77FC1090_5D4B_587E_BD3B_DAE9F7A9682F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_77FC1090_5D4B_587E_BD3B_DAE9F7A9682F" presentation="$(presentation.POL_F0BBD72A_2F52_5518_978A_E4DE80EA63A7)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_1299FC9B_B974_5807_B85B_96EF03DF6E7E" key="Software\Policies\Samba\smb_conf\get quota command" valueName="get quota command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B093DF52_6C77_5327_AC90_AAC6AF6CB126)" explainText="$(string.POL_B093DF52_6C77_5327_AC90_AAC6AF6CB126_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B093DF52_6C77_5327_AC90_AAC6AF6CB126" presentation="$(presentation.POL_1B9A680B_C7D9_5909_A73A_4A88884B1A1A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_D8B6A576_57BD_5C1B_8503_D7514BF9A79A" key="Software\Policies\Samba\smb_conf\host msdfs" valueName="host msdfs"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6B9A8C91_49AF_58C8_931C_0304B60491D2)" explainText="$(string.POL_6B9A8C91_49AF_58C8_931C_0304B60491D2_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6B9A8C91_49AF_58C8_931C_0304B60491D2" presentation="$(presentation.POL_23841534_EA5C_5066_9A34_A81201DFA255)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_CB4EB282_B71E_5E88_AAD0_CBE322ED1354" key="Software\Policies\Samba\smb_conf\set quota command" valueName="set quota command"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6A683A86_8075_55FF_B1E6_D7874A3539AA)" explainText="$(string.POL_6A683A86_8075_55FF_B1E6_D7874A3539AA_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6A683A86_8075_55FF_B1E6_D7874A3539AA" presentation="$(presentation.POL_A8D8A049_7017_5627_B698_79DB288ACF3D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_E3F6F2BF_E5EF_5ECD_B4EF_525C704252CE" key="Software\Policies\Samba\smb_conf\apply group policies" valueName="apply group policies"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_0471CC71_51D5_58F6_A00A_6E8B283C3AF5)" explainText="$(string.POL_0471CC71_51D5_58F6_A00A_6E8B283C3AF5_Help)" key="Software\Policies\Samba\smb_conf" name="POL_0471CC71_51D5_58F6_A00A_6E8B283C3AF5" presentation="$(presentation.POL_322C552E_7DC6_57F9_845A_F76107A65059)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_4D19E247_9D41_57FC_A81B_7AAA3DA70D22" key="Software\Policies\Samba\smb_conf\create krb5 conf" valueName="create krb5 conf"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_46FF92BD_F484_5B2C_A639_ACBE73F15F3A)" explainText="$(string.POL_46FF92BD_F484_5B2C_A639_ACBE73F15F3A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_46FF92BD_F484_5B2C_A639_ACBE73F15F3A" presentation="$(presentation.POL_D65A78B4_B284_51E5_86B8_548907E5B99E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_E8A538AD_C502_5298_A571_D37AF30908B1" key="Software\Policies\Samba\smb_conf\idmap backend" valueName="idmap backend"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_309434B4_68BA_53E0_BDF9_CA589711EA29)" explainText="$(string.POL_309434B4_68BA_53E0_BDF9_CA589711EA29_Help)" key="Software\Policies\Samba\smb_conf" name="POL_309434B4_68BA_53E0_BDF9_CA589711EA29" presentation="$(presentation.POL_D9437864_AD98_5DE6_A280_76BF74DF6241)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_9707658F_1F28_5859_A19A_74FA303C63FD" key="Software\Policies\Samba\smb_conf\idmap cache time" valueName="idmap cache time"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_066B06D4_3BC0_5CFA_80A9_D2B1C046B5B0)" explainText="$(string.POL_066B06D4_3BC0_5CFA_80A9_D2B1C046B5B0_Help)" key="Software\Policies\Samba\smb_conf" name="POL_066B06D4_3BC0_5CFA_80A9_D2B1C046B5B0" presentation="$(presentation.POL_DADA8FE7_2FB0_5AFE_AE6F_5CDE2F6C835A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_8E0B0FA4_3946_55DD_9AD6_B31C5AC79265" key="Software\Policies\Samba\smb_conf\idmap gid" valueName="idmap gid"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_9B5D009F_1EBE_5E94_A46B_8644157A6061)" explainText="$(string.POL_9B5D009F_1EBE_5E94_A46B_8644157A6061_Help)" key="Software\Policies\Samba\smb_conf" name="POL_9B5D009F_1EBE_5E94_A46B_8644157A6061" presentation="$(presentation.POL_595CE1B7_F379_543C_99B1_DDF5DCBB2034)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_DB0243EE_0466_539F_8844_6C0FFDEC6AA3" key="Software\Policies\Samba\smb_conf\idmap negative cache time" valueName="idmap negative cache time"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_37D1856A_CAF9_5395_AC8E_8E0F3E9C03E4)" explainText="$(string.POL_37D1856A_CAF9_5395_AC8E_8E0F3E9C03E4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_37D1856A_CAF9_5395_AC8E_8E0F3E9C03E4" presentation="$(presentation.POL_1493AE04_9E17_51E3_BF56_61A594C41065)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_5BC5E3D4_DCD5_5F0A_92C3_74C651DE0CEA" key="Software\Policies\Samba\smb_conf\idmap uid" valueName="idmap uid"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_283F0A5F_5841_5D1D_8EE3_D2715805A463)" explainText="$(string.POL_283F0A5F_5841_5D1D_8EE3_D2715805A463_Help)" key="Software\Policies\Samba\smb_conf" name="POL_283F0A5F_5841_5D1D_8EE3_D2715805A463" presentation="$(presentation.POL_BFD4E3E9_B3CF_5703_95C9_D5AF443628EC)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_09A137C2_9429_5D4A_A327_A5F475E367AE" key="Software\Policies\Samba\smb_conf\include system krb5 conf" valueName="include system krb5 conf"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_61C9E6AE_96EF_5E8D_9AB8_7598584D391E)" explainText="$(string.POL_61C9E6AE_96EF_5E8D_9AB8_7598584D391E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_61C9E6AE_96EF_5E8D_9AB8_7598584D391E" presentation="$(presentation.POL_B2DF30E2_2C79_5DB4_BDD4_2A72F3AAE4D1)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_5CF9E5FF_8158_5689_9FD3_E408D710EC13" key="Software\Policies\Samba\smb_conf\neutralize nt4 emulation" valueName="neutralize nt4 emulation"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D8459DE9_6E91_58A6_8E4E_83BFBB41AE4E)" explainText="$(string.POL_D8459DE9_6E91_58A6_8E4E_83BFBB41AE4E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D8459DE9_6E91_58A6_8E4E_83BFBB41AE4E" presentation="$(presentation.POL_D5D3240F_0956_5A05_8847_1B20DF57BEC8)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_25E7D915_B85C_5F5B_9A60_056A326ED8F5" key="Software\Policies\Samba\smb_conf\reject md5 servers" valueName="reject md5 servers"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_E3A88031_AF89_5D12_9F48_5BD36B25F58C)" explainText="$(string.POL_E3A88031_AF89_5D12_9F48_5BD36B25F58C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_E3A88031_AF89_5D12_9F48_5BD36B25F58C" presentation="$(presentation.POL_5D72D99B_EFA5_5B2F_8616_2FBE8DBBCF81)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_C103A13B_7017_50F6_A337_C2A90DAE4419" key="Software\Policies\Samba\smb_conf\require strong key" valueName="require strong key"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D55FF104_CF84_512D_9962_D01784923C49)" explainText="$(string.POL_D55FF104_CF84_512D_9962_D01784923C49_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D55FF104_CF84_512D_9962_D01784923C49" presentation="$(presentation.POL_A7D4A2B5_A2CB_5BE6_A7D2_111FFC0BB9C5)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_A6A67F77_1744_5905_9C6F_A3468BBFC424" key="Software\Policies\Samba\smb_conf\template homedir" valueName="template homedir"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A317595E_2C79_5B73_9043_CEB7525F6692)" explainText="$(string.POL_A317595E_2C79_5B73_9043_CEB7525F6692_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A317595E_2C79_5B73_9043_CEB7525F6692" presentation="$(presentation.POL_D7A44478_576C_554E_B31A_5316A836F68E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_73F5972B_1879_58A0_9815_A627E1F6D5BC" key="Software\Policies\Samba\smb_conf\template shell" valueName="template shell"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F8F9B8BF_2D26_5079_928E_7168BBCA91BE)" explainText="$(string.POL_F8F9B8BF_2D26_5079_928E_7168BBCA91BE_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F8F9B8BF_2D26_5079_928E_7168BBCA91BE" presentation="$(presentation.POL_EE40BE14_5D1D_5ED4_845C_E7E51C529C2B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_22E52F9D_8E44_59CE_ACC2_916D022CDFA6" key="Software\Policies\Samba\smb_conf\winbind cache time" valueName="winbind cache time"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_07E24EA1_B340_5215_BDBB_5248537F9540)" explainText="$(string.POL_07E24EA1_B340_5215_BDBB_5248537F9540_Help)" key="Software\Policies\Samba\smb_conf" name="POL_07E24EA1_B340_5215_BDBB_5248537F9540" presentation="$(presentation.POL_76E2E87A_908A_5F9A_AA09_FF096575D9A7)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C06A3052_6AD2_53D9_BD21_2A738D8BB155" key="Software\Policies\Samba\smb_conf\winbindd socket directory" valueName="winbindd socket directory"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_8FEAD8B9_8097_5BA2_BD78_7BB0AA8691C1)" explainText="$(string.POL_8FEAD8B9_8097_5BA2_BD78_7BB0AA8691C1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_8FEAD8B9_8097_5BA2_BD78_7BB0AA8691C1" presentation="$(presentation.POL_91508E50_D468_5787_B9AD_BD8160522742)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_F53BC663_D7A1_5D33_8C57_9EC32E71DC68" key="Software\Policies\Samba\smb_conf\winbind enum groups" valueName="winbind enum groups"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_FAB1BAAD_85CD_5FE6_B0AA_AC48B77ACCCC)" explainText="$(string.POL_FAB1BAAD_85CD_5FE6_B0AA_AC48B77ACCCC_Help)" key="Software\Policies\Samba\smb_conf" name="POL_FAB1BAAD_85CD_5FE6_B0AA_AC48B77ACCCC" presentation="$(presentation.POL_F4AED7E2_E1E5_50C5_BBCA_C543EB5E383E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_08E1CF79_DDA7_588B_B86D_590B4967C1C0" key="Software\Policies\Samba\smb_conf\winbind enum users" valueName="winbind enum users"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_2B331ECE_5A4A_5DE9_8DBF_EFBCE108F070)" explainText="$(string.POL_2B331ECE_5A4A_5DE9_8DBF_EFBCE108F070_Help)" key="Software\Policies\Samba\smb_conf" name="POL_2B331ECE_5A4A_5DE9_8DBF_EFBCE108F070" presentation="$(presentation.POL_FE94B125_13A6_5560_A963_34F8F6C8F4D6)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_B28BA151_1969_59E2_B275_C81CA16B5A23" key="Software\Policies\Samba\smb_conf\winbind expand groups" valueName="winbind expand groups"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7F3A4DCD_923C_5586_AFFB_1BA559F399CB)" explainText="$(string.POL_7F3A4DCD_923C_5586_AFFB_1BA559F399CB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7F3A4DCD_923C_5586_AFFB_1BA559F399CB" presentation="$(presentation.POL_7548D0E2_C166_5A7A_9701_063C15E4172D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_3C8A3138_1C1C_5FFF_A3F7_513DEA315389" key="Software\Policies\Samba\smb_conf\winbind:ignore domains" valueName="winbind:ignore domains"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_FE5A1763_2311_55A2_AB2E_10D92C3A7FC4)" explainText="$(string.POL_FE5A1763_2311_55A2_AB2E_10D92C3A7FC4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_FE5A1763_2311_55A2_AB2E_10D92C3A7FC4" presentation="$(presentation.POL_DD3D412F_8AD9_54B9_8D5A_A0501DF3AB07)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_C2980001_BA2C_57BA_8C1B_F973C067028B" key="Software\Policies\Samba\smb_conf\winbind max clients" valueName="winbind max clients"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_57855ED8_E596_52E6_A8F8_B710E76BD0F6)" explainText="$(string.POL_57855ED8_E596_52E6_A8F8_B710E76BD0F6_Help)" key="Software\Policies\Samba\smb_conf" name="POL_57855ED8_E596_52E6_A8F8_B710E76BD0F6" presentation="$(presentation.POL_BE09D431_FA6A_5383_994E_1AEA3E9EEC4A)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_6F41A5F1_F003_54F4_88AF_9CC14C5B64F0" key="Software\Policies\Samba\smb_conf\winbind max domain connections" valueName="winbind max domain connections"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6C096F2D_4DB1_5E05_84BB_9E9E3E0708BB)" explainText="$(string.POL_6C096F2D_4DB1_5E05_84BB_9E9E3E0708BB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6C096F2D_4DB1_5E05_84BB_9E9E3E0708BB" presentation="$(presentation.POL_2ABFD1ED_23F7_5C67_8ECD_3F7EE2752B7D)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_EE309E41_F404_5CE1_AC86_5E795D0C979A" key="Software\Policies\Samba\smb_conf\winbind nested groups" valueName="winbind nested groups"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7C9859FE_6BA0_526D_A308_9454D3063550)" explainText="$(string.POL_7C9859FE_6BA0_526D_A308_9454D3063550_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7C9859FE_6BA0_526D_A308_9454D3063550" presentation="$(presentation.POL_4542EFF0_F19C_5215_92F8_0B006803D437)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_E9249CF9_4820_553B_B406_5560E8B3DEFF" key="Software\Policies\Samba\smb_conf\winbind normalize names" valueName="winbind normalize names"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_3D3D280A_1D60_58AA_A7BD_54D13DDBE1A6)" explainText="$(string.POL_3D3D280A_1D60_58AA_A7BD_54D13DDBE1A6_Help)" key="Software\Policies\Samba\smb_conf" name="POL_3D3D280A_1D60_58AA_A7BD_54D13DDBE1A6" presentation="$(presentation.POL_62688BAF_1F03_5CF4_888F_4B88677FF4AC)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B2B0FF5C_C714_52AC_BAFE_846EC003D31E" key="Software\Policies\Samba\smb_conf\winbind nss info" valueName="winbind nss info"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_34B48F10_7723_5E77_A57B_AE606BBB43B7)" explainText="$(string.POL_34B48F10_7723_5E77_A57B_AE606BBB43B7_Help)" key="Software\Policies\Samba\smb_conf" name="POL_34B48F10_7723_5E77_A57B_AE606BBB43B7" presentation="$(presentation.POL_053CBE3D_DD33_522A_9B34_9AFF4044D454)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_5945AB58_D8F0_5BA1_9964_D8E69AF19CBB" key="Software\Policies\Samba\smb_conf\winbind offline logon" valueName="winbind offline logon"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_05A14875_99EE_5000_A1E2_100D2F7B079F)" explainText="$(string.POL_05A14875_99EE_5000_A1E2_100D2F7B079F_Help)" key="Software\Policies\Samba\smb_conf" name="POL_05A14875_99EE_5000_A1E2_100D2F7B079F" presentation="$(presentation.POL_3BF15158_B942_5458_999E_4FEBCA3A2290)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_BEC37822_5BBB_56AE_B122_DFA48B55FF4A" key="Software\Policies\Samba\smb_conf\winbind reconnect delay" valueName="winbind reconnect delay"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_98A94538_AA09_51C8_A96D_ACB0B314F5F4)" explainText="$(string.POL_98A94538_AA09_51C8_A96D_ACB0B314F5F4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_98A94538_AA09_51C8_A96D_ACB0B314F5F4" presentation="$(presentation.POL_46E902CB_4766_50A8_8A8A_86893347E86F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_9DDF19FA_7129_5F46_82E2_FED21BCF9048" key="Software\Policies\Samba\smb_conf\winbind refresh tickets" valueName="winbind refresh tickets"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_96B1E9F8_5418_5EA0_8B87_614B45822D92)" explainText="$(string.POL_96B1E9F8_5418_5EA0_8B87_614B45822D92_Help)" key="Software\Policies\Samba\smb_conf" name="POL_96B1E9F8_5418_5EA0_8B87_614B45822D92" presentation="$(presentation.POL_9F679274_5E36_5B71_BBB3_880590FFB5A4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_542C16F7_4011_5AFF_A127_7A773681E95B" key="Software\Policies\Samba\smb_conf\winbind request timeout" valueName="winbind request timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_FEC015B1_6B0B_5D76_B23D_71363578FAF7)" explainText="$(string.POL_FEC015B1_6B0B_5D76_B23D_71363578FAF7_Help)" key="Software\Policies\Samba\smb_conf" name="POL_FEC015B1_6B0B_5D76_B23D_71363578FAF7" presentation="$(presentation.POL_B5754213_7C07_59E8_BE54_44BD0B64A8ED)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_2EB29672_8B33_566A_AFE5_41BFDBE0F72E" key="Software\Policies\Samba\smb_conf\winbind rpc only" valueName="winbind rpc only"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_412B470E_EC88_556F_B9DE_1952C70E45B1)" explainText="$(string.POL_412B470E_EC88_556F_B9DE_1952C70E45B1_Help)" key="Software\Policies\Samba\smb_conf" name="POL_412B470E_EC88_556F_B9DE_1952C70E45B1" presentation="$(presentation.POL_923523CB_9B7D_5261_93D6_B5FD86FC39E4)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_3CAC88EA_556D_5AA8_8A29_282B574B2743" key="Software\Policies\Samba\smb_conf\winbind scan trusted domains" valueName="winbind scan trusted domains"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_6247DEB4_05CC_51B8_A8CB_1FF7DEDA741C)" explainText="$(string.POL_6247DEB4_05CC_51B8_A8CB_1FF7DEDA741C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_6247DEB4_05CC_51B8_A8CB_1FF7DEDA741C" presentation="$(presentation.POL_FFF6590E_C5E7_5680_9A62_61DC88079555)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_E93252A7_06C7_566B_B7E6_8D4D7AADFB8D" key="Software\Policies\Samba\smb_conf\winbind sealed pipes" valueName="winbind sealed pipes"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_7E1E179F_7E0D_5CB4_BDAA_B8EDF41428CC)" explainText="$(string.POL_7E1E179F_7E0D_5CB4_BDAA_B8EDF41428CC_Help)" key="Software\Policies\Samba\smb_conf" name="POL_7E1E179F_7E0D_5CB4_BDAA_B8EDF41428CC" presentation="$(presentation.POL_A55D34ED_E614_5500_9F7B_A07E0EE1F7BE)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_25CC57B6_941F_525A_99F8_1C041F206D9B" key="Software\Policies\Samba\smb_conf\winbind separator" valueName="winbind separator"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_1780A1A5_0535_5D0B_8105_2129879E3C40)" explainText="$(string.POL_1780A1A5_0535_5D0B_8105_2129879E3C40_Help)" key="Software\Policies\Samba\smb_conf" name="POL_1780A1A5_0535_5D0B_8105_2129879E3C40" presentation="$(presentation.POL_14AE5941_E62F_53FC_95AE_441E7EF43F56)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_BF4DA096_841C_5A0D_A5E3_CD564122C924" key="Software\Policies\Samba\smb_conf\winbind use default domain" valueName="winbind use default domain"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_71A1842A_9526_5BF9_A0FC_07322D2C6C81)" explainText="$(string.POL_71A1842A_9526_5BF9_A0FC_07322D2C6C81_Help)" key="Software\Policies\Samba\smb_conf" name="POL_71A1842A_9526_5BF9_A0FC_07322D2C6C81" presentation="$(presentation.POL_4B5E805D_7C7A_5CCE_AAB2_FBD0B9CC6D2E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_7E9390CD_05D9_570F_A761_7B5A605BA1F9" key="Software\Policies\Samba\smb_conf\winbind use krb5 enterprise principals" valueName="winbind use krb5 enterprise principals"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_B05D0593_B0CE_52A9_977C_E7A897EEA307)" explainText="$(string.POL_B05D0593_B0CE_52A9_977C_E7A897EEA307_Help)" key="Software\Policies\Samba\smb_conf" name="POL_B05D0593_B0CE_52A9_977C_E7A897EEA307" presentation="$(presentation.POL_DBC0E447_01F4_5B72_BA4E_E9248006FD96)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_243E92BD_CBA1_50BC_BD4D_87B750B6FABB" key="Software\Policies\Samba\smb_conf\dns proxy" valueName="dns proxy"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_C1A54865_BE76_5627_B737_BBB708AEC44C)" explainText="$(string.POL_C1A54865_BE76_5627_B737_BBB708AEC44C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_C1A54865_BE76_5627_B737_BBB708AEC44C" presentation="$(presentation.POL_2E4CDFD7_AB3A_5898_B4A1_44EDABBEE713)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_761AB0AD_EED6_5734_BC07_88D6599EF57F" key="Software\Policies\Samba\smb_conf\max wins ttl" valueName="max wins ttl"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_BEE0A696_13BD_578B_B448_1E0A01AB915A)" explainText="$(string.POL_BEE0A696_13BD_578B_B448_1E0A01AB915A_Help)" key="Software\Policies\Samba\smb_conf" name="POL_BEE0A696_13BD_578B_B448_1E0A01AB915A" presentation="$(presentation.POL_584FFB0D_E6B4_51B1_B65D_FBFD4D40C4D9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <decimal id="DXT_153EA1D4_FC29_50AF_878D_5695C6C186CD" key="Software\Policies\Samba\smb_conf\min wins ttl" valueName="min wins ttl"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_890DE0DC_C0FC_565A_A1D3_AD06EFAC41ED)" explainText="$(string.POL_890DE0DC_C0FC_565A_A1D3_AD06EFAC41ED_Help)" key="Software\Policies\Samba\smb_conf" name="POL_890DE0DC_C0FC_565A_A1D3_AD06EFAC41ED" presentation="$(presentation.POL_6D6BFEF8_655A_59B7_B17E_050ADA0FAD0F)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_4B630740_3B6C_5FCF_9B93_46CD46767198" key="Software\Policies\Samba\smb_conf\nbtd:wins_prepend1Bto1Cqueries" valueName="nbtd:wins_prepend1Bto1Cqueries"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_06F0FFB1_F595_57BB_B964_6D419A02F468)" explainText="$(string.POL_06F0FFB1_F595_57BB_B964_6D419A02F468_Help)" key="Software\Policies\Samba\smb_conf" name="POL_06F0FFB1_F595_57BB_B964_6D419A02F468" presentation="$(presentation.POL_F145528D_6177_5DA0_9730_05420DF91116)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_A7D6BC38_6BF1_56CF_85B2_FEEA5DAB1A45" key="Software\Policies\Samba\smb_conf\nbtd:wins_wins_randomize1Clist" valueName="nbtd:wins_wins_randomize1Clist"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F63D2A1E_D6BA_516E_995D_F9FEE05D49DB)" explainText="$(string.POL_F63D2A1E_D6BA_516E_995D_F9FEE05D49DB_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F63D2A1E_D6BA_516E_995D_F9FEE05D49DB" presentation="$(presentation.POL_1D8649CE_6826_507E_A697_A06B2B693295)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_845EC4E4_224C_5FE8_B43E_3F417E26E1F8" key="Software\Policies\Samba\smb_conf\nbtd:wins_randomize1Clist_mask" valueName="nbtd:wins_randomize1Clist_mask"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_D0A83CCC_07AF_553B_84AE_4824377AE692)" explainText="$(string.POL_D0A83CCC_07AF_553B_84AE_4824377AE692_Help)" key="Software\Policies\Samba\smb_conf" name="POL_D0A83CCC_07AF_553B_84AE_4824377AE692" presentation="$(presentation.POL_8A6CF1A8_12F0_5EC4_B588_658C72C10C4B)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_5A9C87F1_E213_5A53_AD54_9B3AFAB13F9C" key="Software\Policies\Samba\smb_conf\winsdb:local_owner" valueName="winsdb:local_owner"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_06442D20_4739_5DE0_820F_516416AD0ECF)" explainText="$(string.POL_06442D20_4739_5DE0_820F_516416AD0ECF_Help)" key="Software\Policies\Samba\smb_conf" name="POL_06442D20_4739_5DE0_820F_516416AD0ECF" presentation="$(presentation.POL_4B068333_B3F0_5408_A84F_05BFDB2AD521)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_DE8267A0_F6DE_5043_AFDA_3D98B6494A6D" key="Software\Policies\Samba\smb_conf\winsdb:dbnosync" valueName="winsdb:dbnosync"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F7271C08_2949_53E0_809D_9B976AB9DE2E)" explainText="$(string.POL_F7271C08_2949_53E0_809D_9B976AB9DE2E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F7271C08_2949_53E0_809D_9B976AB9DE2E" presentation="$(presentation.POL_61D06DDC_5FC1_5A27_9953_0522C71D3C81)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_7AC86D1C_8F55_5202_9960_E3F76BE03021" key="Software\Policies\Samba\smb_conf\wins hook" valueName="wins hook"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_A1E6C0E7_38BA_5583_816D_73C91FCAADB4)" explainText="$(string.POL_A1E6C0E7_38BA_5583_816D_73C91FCAADB4_Help)" key="Software\Policies\Samba\smb_conf" name="POL_A1E6C0E7_38BA_5583_816D_73C91FCAADB4" presentation="$(presentation.POL_DA957F88_D7CE_566D_A902_4CCDEF755586)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_F6AECF98_9DF6_5B4D_8F4C_1A262B314282" key="Software\Policies\Samba\smb_conf\wins proxy" valueName="wins proxy"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_31C40FB1_1B0A_5AA3_80F9_7914AC38FD99)" explainText="$(string.POL_31C40FB1_1B0A_5AA3_80F9_7914AC38FD99_Help)" key="Software\Policies\Samba\smb_conf" name="POL_31C40FB1_1B0A_5AA3_80F9_7914AC38FD99" presentation="$(presentation.POL_8F4113F9_15A6_5E26_9F02_7CA7971BE6C9)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C1395789_AF99_5B0A_89F7_DD274EC794EA" key="Software\Policies\Samba\smb_conf\wins server" valueName="wins server"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_44517D2D_845B_5F7B_90F2_F7BD0DA063A9)" explainText="$(string.POL_44517D2D_845B_5F7B_90F2_F7BD0DA063A9_Help)" key="Software\Policies\Samba\smb_conf" name="POL_44517D2D_845B_5F7B_90F2_F7BD0DA063A9" presentation="$(presentation.POL_0F35BC3D_B809_53E1_9BFD_1765E5E4E934)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <boolean id="CHK_BE0D6F0B_4FEE_5580_AD27_507FBCC53AB5" key="Software\Policies\Samba\smb_conf\wins support" valueName="wins support"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_8A035569_9C85_59DC_9BF8_241994D4E947)" explainText="$(string.POL_8A035569_9C85_59DC_9BF8_241994D4E947_Help)" key="Software\Policies\Samba\smb_conf" name="POL_8A035569_9C85_59DC_9BF8_241994D4E947" presentation="$(presentation.POL_1009764B_DAB3_56F8_A766_B45CFC524A5E)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_A8EC94D1_CDB1_5E5B_A2D7_D4FDDD78655D" key="Software\Policies\Samba\smb_conf\wreplsrv:periodic_interval" valueName="wreplsrv:periodic_interval"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_186864AE_CE31_5628_BA4E_6B9F06F087E5)" explainText="$(string.POL_186864AE_CE31_5628_BA4E_6B9F06F087E5_Help)" key="Software\Policies\Samba\smb_conf" name="POL_186864AE_CE31_5628_BA4E_6B9F06F087E5" presentation="$(presentation.POL_17929B31_DDBB_5B79_AD9D_F0C7EB54BFFA)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C4483400_9388_5705_BB16_A9CD61B3FC01" key="Software\Policies\Samba\smb_conf\wreplsrv:propagate name releases" valueName="wreplsrv:propagate name releases"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_8DC9CC59_A490_5F52_8C69_A9EEC802C48C)" explainText="$(string.POL_8DC9CC59_A490_5F52_8C69_A9EEC802C48C_Help)" key="Software\Policies\Samba\smb_conf" name="POL_8DC9CC59_A490_5F52_8C69_A9EEC802C48C" presentation="$(presentation.POL_E9361CA3_1260_52FE_AD12_742A86788475)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_7E454192_9281_5588_8F18_A4C13837C555" key="Software\Policies\Samba\smb_conf\wreplsrv:scavenging_interval" valueName="wreplsrv:scavenging_interval"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_DB737BF2_9B47_5895_A3F8_D51BBD764222)" explainText="$(string.POL_DB737BF2_9B47_5895_A3F8_D51BBD764222_Help)" key="Software\Policies\Samba\smb_conf" name="POL_DB737BF2_9B47_5895_A3F8_D51BBD764222" presentation="$(presentation.POL_D3F0B860_C5A4_5E2A_983F_90B40B5AEF46)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_C4470E01_F859_5E45_B342_290D5974C4D0" key="Software\Policies\Samba\smb_conf\wreplsrv:tombstone_extra_timeout" valueName="wreplsrv:tombstone_extra_timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_30D1C3B2_BDCD_5A5C_A131_11E1E6DA2A76)" explainText="$(string.POL_30D1C3B2_BDCD_5A5C_A131_11E1E6DA2A76_Help)" key="Software\Policies\Samba\smb_conf" name="POL_30D1C3B2_BDCD_5A5C_A131_11E1E6DA2A76" presentation="$(presentation.POL_0CA9F8A3_6092_57F4_8CCC_114358C3B9EB)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_D81F8827_96DE_500F_B1B8_D6EF10D165FE" key="Software\Policies\Samba\smb_conf\wreplsrv:tombstone_interval" valueName="wreplsrv:tombstone_interval"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_F19C445A_AFD5_51B6_B87A_E42499C3C5D8)" explainText="$(string.POL_F19C445A_AFD5_51B6_B87A_E42499C3C5D8_Help)" key="Software\Policies\Samba\smb_conf" name="POL_F19C445A_AFD5_51B6_B87A_E42499C3C5D8" presentation="$(presentation.POL_B06D59DA_A8FC_53AF_AB8F_9C00812D8832)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_B8A345EA_EAA9_524C_A511_8121FD7A5EA1" key="Software\Policies\Samba\smb_conf\wreplsrv:tombstone_timeout" valueName="wreplsrv:tombstone_timeout"/>
+ </elements>
+ </policy>
+ <policy class="Machine" displayName="$(string.POL_8CF1FEA3_BD3E_53C0_9F73_34050187A91E)" explainText="$(string.POL_8CF1FEA3_BD3E_53C0_9F73_34050187A91E_Help)" key="Software\Policies\Samba\smb_conf" name="POL_8CF1FEA3_BD3E_53C0_9F73_34050187A91E" presentation="$(presentation.POL_3F2ADB29_E0AE_5723_BC18_0B7ABC97BBE7)">
+ <parentCategory ref="CAT_10827749_64ED_5052_87F7_E81AD421856A"/>
+ <supportedOn ref="SUPPORTED_WIN7"/>
+ <elements>
+ <text id="TXT_F35F7924_DBD3_5F6F_B247_7F4893C63844" key="Software\Policies\Samba\smb_conf\wreplsrv:verify_interval" valueName="wreplsrv:verify_interval"/>
+ </elements>
+ </policy>
+ <policy name="POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07" class="Machine" displayName="$(string.POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07)" explainText="$(string.POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07_Help)" presentation="$(presentation.POL_38DA04F0_3FD6_4425_8924_1CEEA685FD07)" key="Software\Policies\Samba\Unix Settings\Messages">
+ <parentCategory ref="CAT_9DEF582D_447A_47E9_A1F5_363558D03FA9" />
+ <supportedOn ref="windows:SUPPORTED_WindowsVista" />
+ <elements>
+ <text id="TXT_609C208A_3B4D_48F1_8A15_C0DF08EAD4D6" key="Software\Policies\Samba\Unix Settings\Messages" valueName="motd" />
+ </elements>
+ </policy>
+ <policy name="POL_68E9155C_CB49_428E_AFE0_B89316FFD948" class="Machine" displayName="$(string.POL_68E9155C_CB49_428E_AFE0_B89316FFD948)" explainText="$(string.POL_68E9155C_CB49_428E_AFE0_B89316FFD948_Help)" presentation="$(presentation.POL_68E9155C_CB49_428E_AFE0_B89316FFD948)" key="Software\Policies\Samba\Unix Settings\Messages">
+ <parentCategory ref="CAT_9DEF582D_447A_47E9_A1F5_363558D03FA9" />
+ <supportedOn ref="windows:SUPPORTED_WindowsVista" />
+ <elements>
+ <text id="TXT_8075D9EA_6E15_4B2A_833A_B918EE90856F" key="Software\Policies\Samba\Unix Settings\Messages" valueName="issue" />
+ </elements>
+ </policy>
+ <policy name="POL_ADABE9E0_FFF9_4FFE_A105_03E646C79978" class="Machine" displayName="$(string.POL_ADABE9E0_FFF9_4FFE_A105_03E646C79978)" explainText="$(string.POL_ADABE9E0_FFF9_4FFE_A105_03E646C79978_Help)" presentation="$(presentation.POL_ADABE9E0_FFF9_4FFE_A105_03E646C79978)" key="Software\Policies\Samba\Unix Settings\Firewalld" valueName="Zones">
+ <parentCategory ref="CAT_371A8FF5_990F_47DD_B200_D436AC28A4F9" />
+ <supportedOn ref="SUPPORTED_SAMBA_4_16" />
+ <elements>
+ <list id="LST_5B9AE80A_6529_4313_A9A1_764DF5320930" key="Software\Policies\Samba\Unix Settings\Firewalld\Zones" />
+ </elements>
+ </policy>
+ <policy name="POL_B21F349F_4BF6_473E_8452_047D714F156C" class="Machine" displayName="$(string.POL_B21F349F_4BF6_473E_8452_047D714F156C)" explainText="$(string.POL_B21F349F_4BF6_473E_8452_047D714F156C_Help)" presentation="$(presentation.POL_B21F349F_4BF6_473E_8452_047D714F156C)" key="Software\Policies\Samba\Unix Settings\Firewalld" valueName="Rules">
+ <parentCategory ref="CAT_371A8FF5_990F_47DD_B200_D436AC28A4F9" />
+ <supportedOn ref="SUPPORTED_SAMBA_4_16" />
+ <elements>
+ <text id="TXT_76109A0B_AA79_4F69_ADFC_2B3CA52763D2" key="Software\Policies\Samba\Unix Settings\Firewalld\Rules" valueName="Rules" />
+ </elements>
+ </policy>
+ </policies>
+</policyDefinitions>
diff --git a/libgpo/admx/wscript_build b/libgpo/admx/wscript_build new file mode 100644 index 0000000..3d51336 --- /dev/null +++ b/libgpo/admx/wscript_build @@ -0,0 +1,8 @@ +#!/usr/bin/env python + +bld.INSTALL_FILES('${DATADIR}/samba/admx', ['samba.admx', + 'en-US/samba.adml', + 'GNOME_Settings.admx', + 'en-US/GNOME_Settings.adml', + 'ru-RU/GNOME_Settings.adml' + ]) diff --git a/libgpo/gpext/gpext.c b/libgpo/gpext/gpext.c new file mode 100644 index 0000000..45c8970 --- /dev/null +++ b/libgpo/gpext/gpext.c @@ -0,0 +1,882 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Support + * Copyright (C) Guenther Deschner 2007-2008 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#include "includes.h" +#include "../libgpo/gpo.h" +#include "../libgpo/gpext/gpext.h" +#include "librpc/gen_ndr/ndr_misc.h" +#include "lib/util/dlinklist.h" +#include "../libcli/registry/util_reg.h" +#include "libgpo/gpo_proto.h" +#include "registry.h" +#include "registry/reg_api.h" +#include "lib/util/util_paths.h" +#include "lib/util/string_wrappers.h" + +static struct gp_extension *extensions = NULL; + +/**************************************************************** +****************************************************************/ + +struct gp_extension *gpext_get_gp_extension_list(void) +{ + return extensions; +} + +/**************************************************************** +****************************************************************/ + + +struct gp_extension_reg_table gpext_reg_vals[] = { + { + .val = "DllName", + .type = REG_EXPAND_SZ, + }, + { + .val = "ProcessGroupPolicy", + .type = REG_SZ, + }, + { + .val = "NoMachinePolicy", + .type = REG_DWORD, + }, + { + .val = "NoUserPolicy", + .type = REG_DWORD, + }, + { + .val = "NoSlowLink", + .type = REG_DWORD, + }, + { + .val = "NoBackgroundPolicy", + .type = REG_DWORD, + }, + { + .val = "NoGPOListChanges", + .type = REG_DWORD, + }, + { + .val = "PerUserLocalSettings", + .type = REG_DWORD, + }, + { + .val = "RequiresSuccessfulRegistry", + .type = REG_DWORD, + }, + { + .val = "EnableAsynchronousProcessing", + .type = REG_DWORD, + }, + { + .val = "ExtensionDebugLevel", + .type = REG_DWORD, + }, + /* new */ + { + .val = "GenerateGroupPolicy", /* not supported on w2k */ + .type = REG_SZ, + }, + { + .val = "NotifyLinkTransition", + .type = REG_DWORD, + }, + { + .val = "ProcessGroupPolicyEx", /* not supported on w2k */ + .type = REG_SZ, + }, + { + .val = "ExtensionEventSource", /* not supported on w2k */ + .type = REG_MULTI_SZ, + }, + { + .val = "MaxNoGPOListChangesInterval", + .type = REG_DWORD, + }, + { .type = REG_NONE } +}; + +/**************************************************************** +****************************************************************/ + +static struct gp_extension *get_extension_by_name(struct gp_extension *be, + const char *name) +{ + struct gp_extension *b; + + for (b = be; b; b = b->next) { + if (strequal(b->name, name)) { + return b; + } + } + + return NULL; +} + +/**************************************************************** +****************************************************************/ + +static struct gp_extension_methods *get_methods_by_name(struct gp_extension *be, + const char *name) +{ + struct gp_extension *b; + + for (b = be; b; b = b->next) { + if (strequal(b->name, name)) { + return b->methods; + } + } + + return NULL; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpext_unregister_gp_extension(const char *name) +{ + struct gp_extension *ext; + + ext = get_extension_by_name(extensions, name); + if (!ext) { + return NT_STATUS_OK; + } + + DLIST_REMOVE(extensions, ext); + talloc_free(ext); + + DEBUG(2,("Successfully removed GP extension '%s'\n", name)); + + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpext_register_gp_extension(TALLOC_CTX *gpext_ctx, + int version, + const char *name, + const char *guid, + struct gp_extension_methods *methods) +{ + struct gp_extension_methods *test; + struct gp_extension *entry; + NTSTATUS status; + + if (!gpext_ctx) { + return NT_STATUS_INTERNAL_DB_ERROR; + } + + if ((version != SMB_GPEXT_INTERFACE_VERSION)) { + DEBUG(0,("Failed to register gp extension.\n" + "The module was compiled against " + "SMB_GPEXT_INTERFACE_VERSION %d,\n" + "current SMB_GPEXT_INTERFACE_VERSION is %d.\n" + "Please recompile against the current " + "version of samba!\n", + version, SMB_GPEXT_INTERFACE_VERSION)); + return NT_STATUS_OBJECT_TYPE_MISMATCH; + } + + if (!guid || !name || !name[0] || !methods) { + DEBUG(0,("Called with NULL pointer or empty name!\n")); + return NT_STATUS_INVALID_PARAMETER; + } + + test = get_methods_by_name(extensions, name); + if (test) { + DEBUG(0,("GP extension module %s already registered!\n", + name)); + return NT_STATUS_OBJECT_NAME_COLLISION; + } + + entry = talloc_zero(gpext_ctx, struct gp_extension); + NT_STATUS_HAVE_NO_MEMORY(entry); + + entry->name = talloc_strdup(gpext_ctx, name); + NT_STATUS_HAVE_NO_MEMORY(entry->name); + + entry->guid = talloc_zero(gpext_ctx, struct GUID); + NT_STATUS_HAVE_NO_MEMORY(entry->guid); + status = GUID_from_string(guid, entry->guid); + NT_STATUS_NOT_OK_RETURN(status); + + entry->methods = methods; + DLIST_ADD(extensions, entry); + + DEBUG(2,("Successfully added GP extension '%s' %s\n", + name, GUID_string2(gpext_ctx, entry->guid))); + + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +static NTSTATUS gp_extension_init_module(TALLOC_CTX *mem_ctx, + const char *name, + struct gp_extension **gpext) +{ + NTSTATUS status; + struct gp_extension *ext = NULL; + + ext = talloc_zero(mem_ctx, struct gp_extension); + NT_STATUS_HAVE_NO_MEMORY(gpext); + + ext->methods = get_methods_by_name(extensions, name); + if (!ext->methods) { + + status = smb_probe_module(SAMBA_SUBSYSTEM_GPEXT, + name); + if (!NT_STATUS_IS_OK(status)) { + return status; + } + + ext->methods = get_methods_by_name(extensions, name); + if (!ext->methods) { + return NT_STATUS_DLL_INIT_FAILED; + } + } + + *gpext = ext; + + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +static bool add_gp_extension_reg_entry_to_array(TALLOC_CTX *mem_ctx, + struct gp_extension_reg_entry *entry, + struct gp_extension_reg_entry **entries, + size_t *num) +{ + *entries = talloc_realloc(mem_ctx, *entries, + struct gp_extension_reg_entry, + (*num)+1); + if (*entries == NULL) { + *num = 0; + return false; + } + + (*entries)[*num].value = entry->value; + (*entries)[*num].data = entry->data; + + *num += 1; + return true; +} + +/**************************************************************** +****************************************************************/ + +static bool add_gp_extension_reg_info_entry_to_array(TALLOC_CTX *mem_ctx, + struct gp_extension_reg_info_entry *entry, + struct gp_extension_reg_info_entry **entries, + size_t *num) +{ + *entries = talloc_realloc(mem_ctx, *entries, + struct gp_extension_reg_info_entry, + (*num)+1); + if (*entries == NULL) { + *num = 0; + return false; + } + + (*entries)[*num].guid = entry->guid; + (*entries)[*num].num_entries = entry->num_entries; + (*entries)[*num].entries = entry->entries; + + *num += 1; + return true; +} + +/**************************************************************** +****************************************************************/ + +static NTSTATUS gp_ext_info_add_reg(TALLOC_CTX *mem_ctx, + struct gp_extension_reg_info_entry *entry, + const char *value, + enum winreg_Type type, + const char *data_s) +{ + struct gp_extension_reg_entry *reg_entry = NULL; + struct registry_value *data = NULL; + + reg_entry = talloc_zero(mem_ctx, struct gp_extension_reg_entry); + NT_STATUS_HAVE_NO_MEMORY(reg_entry); + + data = talloc_zero(mem_ctx, struct registry_value); + NT_STATUS_HAVE_NO_MEMORY(data); + + data->type = type; + + switch (type) { + case REG_SZ: + case REG_EXPAND_SZ: + if (!push_reg_sz(mem_ctx, &data->data, data_s)) { + return NT_STATUS_NO_MEMORY; + } + break; + case REG_DWORD: { + uint32_t v = atoi(data_s); + data->data = data_blob_talloc(mem_ctx, NULL, 4); + SIVAL(data->data.data, 0, v); + break; + } + default: + return NT_STATUS_NOT_SUPPORTED; + } + + reg_entry->value = value; + reg_entry->data = data; + + if (!add_gp_extension_reg_entry_to_array(mem_ctx, reg_entry, + &entry->entries, + &entry->num_entries)) { + return NT_STATUS_NO_MEMORY; + } + + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +static NTSTATUS gp_ext_info_add_reg_table(TALLOC_CTX *mem_ctx, + const char *module, + struct gp_extension_reg_info_entry *entry, + struct gp_extension_reg_table *table) +{ + NTSTATUS status; + const char *module_name = NULL; + int i; + + module_name = talloc_asprintf(mem_ctx, "%s.%s", module, shlib_ext()); + NT_STATUS_HAVE_NO_MEMORY(module_name); + + status = gp_ext_info_add_reg(mem_ctx, entry, + "DllName", REG_EXPAND_SZ, module_name); + NT_STATUS_NOT_OK_RETURN(status); + + for (i=0; table[i].val; i++) { + status = gp_ext_info_add_reg(mem_ctx, entry, + table[i].val, + table[i].type, + table[i].data); + NT_STATUS_NOT_OK_RETURN(status); + } + + return status; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpext_info_add_entry(TALLOC_CTX *mem_ctx, + const char *module, + const char *ext_guid, + struct gp_extension_reg_table *table, + struct gp_extension_reg_info *info) +{ + NTSTATUS status; + struct gp_extension_reg_info_entry *entry = NULL; + + entry = talloc_zero(mem_ctx, struct gp_extension_reg_info_entry); + NT_STATUS_HAVE_NO_MEMORY(entry); + + status = GUID_from_string(ext_guid, &entry->guid); + NT_STATUS_NOT_OK_RETURN(status); + + status = gp_ext_info_add_reg_table(mem_ctx, module, entry, table); + NT_STATUS_NOT_OK_RETURN(status); + + if (!add_gp_extension_reg_info_entry_to_array(mem_ctx, entry, + &info->entries, + &info->num_entries)) { + return NT_STATUS_NO_MEMORY; + } + + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +static bool gp_extension_reg_info_verify_entry(struct gp_extension_reg_entry *entry) +{ + int i; + + for (i=0; gpext_reg_vals[i].val; i++) { + + if ((strequal(entry->value, gpext_reg_vals[i].val)) && + (entry->data->type == gpext_reg_vals[i].type)) { + return true; + } + } + + return false; +} + +/**************************************************************** +****************************************************************/ + +static bool gp_extension_reg_info_verify(struct gp_extension_reg_info_entry *entry) +{ + int i; + + for (i=0; i < entry->num_entries; i++) { + if (!gp_extension_reg_info_verify_entry(&entry->entries[i])) { + return false; + } + } + + return true; +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_extension_store_reg_vals(TALLOC_CTX *mem_ctx, + struct registry_key *key, + struct gp_extension_reg_info_entry *entry) +{ + WERROR werr = WERR_OK; + size_t i; + + for (i=0; i < entry->num_entries; i++) { + + werr = reg_setvalue(key, + entry->entries[i].value, + entry->entries[i].data); + W_ERROR_NOT_OK_RETURN(werr); + } + + return werr; +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_extension_store_reg_entry(TALLOC_CTX *mem_ctx, + struct gp_registry_context *reg_ctx, + struct gp_extension_reg_info_entry *entry) +{ + WERROR werr; + struct registry_key *key = NULL; + const char *subkeyname = NULL; + + if (!gp_extension_reg_info_verify(entry)) { + return WERR_INVALID_PARAMETER; + } + + subkeyname = GUID_string2(mem_ctx, &entry->guid); + W_ERROR_HAVE_NO_MEMORY(subkeyname); + + if (!strupper_m(discard_const_p(char, subkeyname))) { + return WERR_INVALID_PARAMETER; + } + + werr = gp_store_reg_subkey(mem_ctx, + subkeyname, + reg_ctx->curr_key, + &key); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_extension_store_reg_vals(mem_ctx, + key, + entry); + W_ERROR_NOT_OK_RETURN(werr); + + return werr; +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_extension_store_reg(TALLOC_CTX *mem_ctx, + struct gp_registry_context *reg_ctx, + struct gp_extension_reg_info *info) +{ + WERROR werr = WERR_OK; + int i; + + if (!info) { + return WERR_OK; + } + + for (i=0; i < info->num_entries; i++) { + werr = gp_extension_store_reg_entry(mem_ctx, + reg_ctx, + &info->entries[i]); + W_ERROR_NOT_OK_RETURN(werr); + } + + return werr; +} + +/**************************************************************** +****************************************************************/ + +static NTSTATUS gp_glob_ext_list(TALLOC_CTX *mem_ctx, + const char ***ext_list, + size_t *ext_list_len) +{ + DIR *dir = NULL; + struct dirent *dirent = NULL; + + dir = opendir(modules_path(talloc_tos(), + SAMBA_SUBSYSTEM_GPEXT)); + if (!dir) { + return map_nt_error_from_unix_common(errno); + } + + while ((dirent = readdir(dir))) { + + fstring name; /* forgive me... */ + char *p; + + if ((strequal(dirent->d_name, ".")) || + (strequal(dirent->d_name, ".."))) { + continue; + } + + p = strrchr(dirent->d_name, '.'); + if (!p) { + closedir(dir); + return NT_STATUS_NO_MEMORY; + } + + if (!strcsequal(p+1, shlib_ext())) { + DEBUG(10,("gp_glob_ext_list: not a *.so file: %s\n", + dirent->d_name)); + continue; + } + + fstrcpy(name, dirent->d_name); + name[PTR_DIFF(p, dirent->d_name)] = 0; + + if (!add_string_to_array(mem_ctx, name, ext_list, + ext_list_len)) { + closedir(dir); + return NT_STATUS_NO_MEMORY; + } + } + + closedir(dir); + + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpext_shutdown_gp_extensions(void) +{ + struct gp_extension *ext = NULL; + + for (ext = extensions; ext; ext = ext->next) { + if (ext->methods && ext->methods->shutdown) { + ext->methods->shutdown(); + } + } + + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpext_init_gp_extensions(TALLOC_CTX *mem_ctx) +{ + NTSTATUS status; + WERROR werr; + int i = 0; + const char **ext_array = NULL; + size_t ext_array_len = 0; + struct gp_extension *gpext = NULL; + struct gp_registry_context *reg_ctx = NULL; + + if (gpext_get_gp_extension_list()) { + return NT_STATUS_OK; + } + + status = gp_glob_ext_list(mem_ctx, &ext_array, &ext_array_len); + NT_STATUS_NOT_OK_RETURN(status); + + for (i=0; i<ext_array_len; i++) { + + struct gp_extension_reg_info *info = NULL; + + status = gp_extension_init_module(mem_ctx, ext_array[i], + &gpext); + if (!NT_STATUS_IS_OK(status)) { + goto out; + } + + if (gpext->methods->get_reg_config) { + + status = gpext->methods->initialize(mem_ctx); + if (!NT_STATUS_IS_OK(status)) { + gpext->methods->shutdown(); + goto out; + } + + status = gpext->methods->get_reg_config(mem_ctx, + &info); + if (!NT_STATUS_IS_OK(status)) { + gpext->methods->shutdown(); + goto out; + } + + if (!reg_ctx) { + struct security_token *token; + + token = registry_create_system_token(mem_ctx); + NT_STATUS_HAVE_NO_MEMORY(token); + + werr = gp_init_reg_ctx(mem_ctx, + KEY_WINLOGON_GPEXT_PATH, + REG_KEY_WRITE, + token, + ®_ctx); + if (!W_ERROR_IS_OK(werr)) { + status = werror_to_ntstatus(werr); + gpext->methods->shutdown(); + goto out; + } + } + + werr = gp_extension_store_reg(mem_ctx, reg_ctx, info); + if (!W_ERROR_IS_OK(werr)) { + DEBUG(1,("gp_extension_store_reg failed: %s\n", + win_errstr(werr))); + TALLOC_FREE(info); + gpext->methods->shutdown(); + status = werror_to_ntstatus(werr); + goto out; + } + TALLOC_FREE(info); + } + + } + + out: + TALLOC_FREE(reg_ctx); + + return status; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpext_free_gp_extensions(void) +{ + struct gp_extension *ext, *ext_next = NULL; + + for (ext = extensions; ext; ext = ext_next) { + ext_next = ext->next; + DLIST_REMOVE(extensions, ext); + TALLOC_FREE(ext); + } + + extensions = NULL; + + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +void gpext_debug_header(int lvl, + const char *name, + uint32_t flags, + const struct GROUP_POLICY_OBJECT *gpo, + const char *extension_guid, + const char *snapin_guid) +{ + char *flags_str = NULL; + + DEBUG(lvl,("%s\n", name)); + DEBUGADD(lvl,("\tgpo: %s (%s)\n", gpo->name, + gpo->display_name)); + DEBUGADD(lvl,("\tcse extension: %s (%s)\n", extension_guid, + cse_gpo_guid_string_to_name(extension_guid))); + DEBUGADD(lvl,("\tgplink: %s\n", gpo->link)); + DEBUGADD(lvl,("\tsnapin: %s (%s)\n", snapin_guid, + cse_snapin_gpo_guid_string_to_name(snapin_guid))); + + flags_str = gpo_flag_str(NULL, flags); + DEBUGADD(lvl,("\tflags: 0x%08x %s\n", flags, flags_str)); + TALLOC_FREE(flags_str); +} + +/**************************************************************** +****************************************************************/ + +static NTSTATUS gpext_check_gpo_for_gpext_presence(TALLOC_CTX *mem_ctx, + uint32_t flags, + const struct GROUP_POLICY_OBJECT *gpo, + const struct GUID *guid, + bool *gpext_guid_present) +{ + struct GP_EXT *gp_ext = NULL; + int i; + bool ok; + + *gpext_guid_present = false; + + + if (gpo->link_type == GP_LINK_LOCAL) { + return NT_STATUS_OK; + } + + ok = gpo_get_gp_ext_from_gpo(mem_ctx, flags, gpo, &gp_ext); + if (!ok) { + return NT_STATUS_INVALID_PARAMETER; + } + + if (gp_ext == NULL) { + return NT_STATUS_OK; + } + + for (i = 0; i < gp_ext->num_exts; i++) { + struct GUID guid2; + NTSTATUS status; + + status = GUID_from_string(gp_ext->extensions_guid[i], &guid2); + if (!NT_STATUS_IS_OK(status)) { + return status; + } + if (GUID_equal(guid, &guid2)) { + *gpext_guid_present = true; + return NT_STATUS_OK; + } + } + + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpext_process_extension(TALLOC_CTX *mem_ctx, + uint32_t flags, + const struct security_token *token, + struct registry_key *root_key, + const struct GROUP_POLICY_OBJECT *deleted_gpo_list, + const struct GROUP_POLICY_OBJECT *changed_gpo_list, + const char *extension_guid_filter) +{ + NTSTATUS status; + struct gp_extension *ext = NULL; + const struct GROUP_POLICY_OBJECT *gpo; + struct GUID extension_guid_filter_guid; + + status = gpext_init_gp_extensions(mem_ctx); + if (!NT_STATUS_IS_OK(status)) { + DEBUG(1,("gpext_init_gp_extensions failed: %s\n", + nt_errstr(status))); + return status; + } + + if (extension_guid_filter) { + status = GUID_from_string(extension_guid_filter, + &extension_guid_filter_guid); + if (!NT_STATUS_IS_OK(status)) { + return status; + } + } + + for (ext = extensions; ext; ext = ext->next) { + + struct GROUP_POLICY_OBJECT *deleted_gpo_list_filtered = NULL; + struct GROUP_POLICY_OBJECT *changed_gpo_list_filtered = NULL; + + if (extension_guid_filter) { + if (!GUID_equal(&extension_guid_filter_guid, ext->guid)) { + continue; + } + } + + for (gpo = deleted_gpo_list; gpo; gpo = gpo->next) { + + bool is_present = false; + + status = gpext_check_gpo_for_gpext_presence(mem_ctx, + flags, + gpo, + ext->guid, + &is_present); + if (!NT_STATUS_IS_OK(status)) { + return status; + } + + if (is_present) { + struct GROUP_POLICY_OBJECT *new_gpo; + + status = gpo_copy(mem_ctx, gpo, &new_gpo); + if (!NT_STATUS_IS_OK(status)) { + return status; + } + + DLIST_ADD(deleted_gpo_list_filtered, new_gpo); + } + } + + for (gpo = changed_gpo_list; gpo; gpo = gpo->next) { + + bool is_present = false; + + status = gpext_check_gpo_for_gpext_presence(mem_ctx, + flags, + gpo, + ext->guid, + &is_present); + if (!NT_STATUS_IS_OK(status)) { + return status; + } + + if (is_present) { + struct GROUP_POLICY_OBJECT *new_gpo; + + status = gpo_copy(mem_ctx, gpo, &new_gpo); + if (!NT_STATUS_IS_OK(status)) { + return status; + } + + DLIST_ADD(changed_gpo_list_filtered, new_gpo); + } + } + + status = ext->methods->initialize(mem_ctx); + NT_STATUS_NOT_OK_RETURN(status); + + status = ext->methods->process_group_policy(mem_ctx, + flags, + root_key, + token, + deleted_gpo_list_filtered, + changed_gpo_list_filtered); + if (!NT_STATUS_IS_OK(status)) { + ext->methods->shutdown(); + } + } + + return status; +} diff --git a/libgpo/gpext/gpext.h b/libgpo/gpext/gpext.h new file mode 100644 index 0000000..0f5139d --- /dev/null +++ b/libgpo/gpext/gpext.h @@ -0,0 +1,109 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Support + * Copyright (C) Guenther Deschner 2007-2008 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#ifndef __GPEXT_H__ +#define __GPEXT_H__ + +#include "librpc/gen_ndr/winreg.h" + +#define KEY_WINLOGON_GPEXT_PATH "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\GPExtensions" + +#define SAMBA_SUBSYSTEM_GPEXT "gpext" + +#define SMB_GPEXT_INTERFACE_VERSION 1 + +struct gp_extension { + struct GUID *guid; + const char *name; + struct gp_extension_methods *methods; + struct gp_extension *prev, *next; +}; + +struct gp_extension_reg_table { + const char *val; + enum winreg_Type type; + const char *data; +}; + +struct gp_extension_reg_entry { + const char *value; + struct registry_value *data; +}; + +struct gp_extension_reg_info_entry { + struct GUID guid; + size_t num_entries; + struct gp_extension_reg_entry *entries; +}; + +struct gp_extension_reg_info { + size_t num_entries; + struct gp_extension_reg_info_entry *entries; +}; + +struct gp_extension_methods { + + NTSTATUS (*initialize)(TALLOC_CTX *mem_ctx); + + NTSTATUS (*process_group_policy)(TALLOC_CTX *mem_ctx, + uint32_t flags, + struct registry_key *root_key, + const struct security_token *token, + const struct GROUP_POLICY_OBJECT *deleted_gpo_list, + const struct GROUP_POLICY_OBJECT *changed_gpo_list); + + NTSTATUS (*get_reg_config)(TALLOC_CTX *mem_ctx, + struct gp_extension_reg_info **info); + + NTSTATUS (*shutdown)(void); +}; + +/* The following definitions come from libgpo/gpext/gpext.c */ + +struct gp_extension *gpext_get_gp_extension_list(void); +NTSTATUS gpext_unregister_gp_extension(const char *name); +NTSTATUS gpext_register_gp_extension(TALLOC_CTX *gpext_ctx, + int version, + const char *name, + const char *guid, + struct gp_extension_methods *methods); +NTSTATUS gpext_info_add_entry(TALLOC_CTX *mem_ctx, + const char *module, + const char *ext_guid, + struct gp_extension_reg_table *table, + struct gp_extension_reg_info *info); +NTSTATUS gpext_shutdown_gp_extensions(void); +NTSTATUS gpext_init_gp_extensions(TALLOC_CTX *mem_ctx); +NTSTATUS gpext_free_gp_extensions(void); +void gpext_debug_header(int lvl, + const char *name, + uint32_t flags, + const struct GROUP_POLICY_OBJECT *gpo, + const char *extension_guid, + const char *snapin_guid); +NTSTATUS gpext_process_extension(TALLOC_CTX *mem_ctx, + uint32_t flags, + const struct security_token *token, + struct registry_key *root_key, + const struct GROUP_POLICY_OBJECT *deleted_gpo_list, + const struct GROUP_POLICY_OBJECT *changed_gpo_list, + const char *extension_guid); + + +#endif /* __GPEXT_H__ */ diff --git a/libgpo/gpo.h b/libgpo/gpo.h new file mode 100644 index 0000000..740a558 --- /dev/null +++ b/libgpo/gpo.h @@ -0,0 +1,254 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Object Support + * Copyright (C) Guenther Deschner 2005-2008 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#ifndef __GPO_H__ +#define __GPO_H__ + +#include "ads.h" + +enum GPO_LINK_TYPE { + GP_LINK_UNKOWN = 0, + GP_LINK_MACHINE = 1, + GP_LINK_SITE = 2, + GP_LINK_DOMAIN = 3, + GP_LINK_OU = 4, + GP_LINK_LOCAL = 5 /* for convenience */ +}; + +/* GPO_OPTIONS */ +#define GPO_FLAG_DISABLE 0x00000001 +#define GPO_FLAG_FORCE 0x00000002 + +/* GPO_LIST_FLAGS */ +#define GPO_LIST_FLAG_MACHINE 0x00000001 +#define GPO_LIST_FLAG_SITEONLY 0x00000002 + +/* following flags from http://support.microsoft.com/kb/312164/EN-US/ */ +#define GPO_INFO_FLAG_MACHINE 0x00000001 +#define GPO_INFO_FLAG_BACKGROUND 0x00000010 +#define GPO_INFO_FLAG_SLOWLINK 0x00000020 +#define GPO_INFO_FLAG_VERBOSE 0x00000040 +#define GPO_INFO_FLAG_NOCHANGES 0x00000080 +#define GPO_INFO_FLAG_LINKTRANSITION 0x00000100 +#define GPO_INFO_FLAG_LOGRSOP_TRANSITION 0x00000200 +#define GPO_INFO_FLAG_FORCED_REFRESH 0x00000400 +#define GPO_INFO_FLAG_SAFEMODE_BOOT 0x00000800 + +#define GPO_VERSION_USER(x) (x >> 16) +#define GPO_VERSION_MACHINE(x) (x & 0xffff) + +struct GROUP_POLICY_OBJECT { + uint32_t options; /* GPFLAGS_* */ + uint32_t version; + const char *ds_path; + const char *file_sys_path; + const char *display_name; + const char *name; + const char *link; + enum GPO_LINK_TYPE link_type; + const char *user_extensions; + const char *machine_extensions; + struct security_descriptor *security_descriptor; + struct GROUP_POLICY_OBJECT *next, *prev; +}; + +/* the following is seen on the DS (see adssearch.pl for details) */ + +/* the type field in a 'gPLink', the same as GPO_FLAG ? */ +#define GPO_LINK_OPT_NONE 0x00000000 +#define GPO_LINK_OPT_DISABLED 0x00000001 +#define GPO_LINK_OPT_ENFORCED 0x00000002 + +/* GPO_LINK_OPT_ENFORCED takes precedence over GPOPTIONS_BLOCK_INHERITANCE */ + +/* 'gPOptions', maybe a bitmask as well */ +enum GPO_INHERIT { + GPOPTIONS_INHERIT = 0, + GPOPTIONS_BLOCK_INHERITANCE = 1 +}; + +/* 'flags' in a 'groupPolicyContainer' object */ +#define GPFLAGS_ALL_ENABLED 0x00000000 +#define GPFLAGS_USER_SETTINGS_DISABLED 0x00000001 +#define GPFLAGS_MACHINE_SETTINGS_DISABLED 0x00000002 +#define GPFLAGS_ALL_DISABLED (GPFLAGS_USER_SETTINGS_DISABLED | \ + GPFLAGS_MACHINE_SETTINGS_DISABLED) + +struct GP_LINK { + const char *gp_link; /* raw link name */ + uint32_t gp_opts; /* inheritance options GPO_INHERIT */ + uint32_t num_links; /* number of links */ + char **link_names; /* array of parsed link names */ + uint32_t *link_opts; /* array of parsed link opts GPO_LINK_OPT_* */ +}; + +struct GP_EXT { + const char *gp_extension; /* raw extension name */ + uint32_t num_exts; + char **extensions; + char **extensions_guid; + char **snapins; + char **snapins_guid; + struct GP_EXT *next, *prev; +}; + +#define GPO_CACHE_DIR "gpo_cache" +#define GPT_INI "GPT.INI" +#define GPO_REFRESH_INTERVAL 60*90 + +#define GPO_REG_STATE_MACHINE "State\\Machine" + +enum gp_reg_action { + GP_REG_ACTION_NONE = 0, + GP_REG_ACTION_ADD_VALUE = 1, + GP_REG_ACTION_ADD_KEY = 2, + GP_REG_ACTION_DEL_VALUES = 3, + GP_REG_ACTION_DEL_VALUE = 4, + GP_REG_ACTION_DEL_ALL_VALUES = 5, + GP_REG_ACTION_DEL_KEYS = 6, + GP_REG_ACTION_SEC_KEY_SET = 7, + GP_REG_ACTION_SEC_KEY_RESET = 8 +}; + +struct gp_registry_entry { + enum gp_reg_action action; + const char *key; + const char *value; + struct registry_value *data; +}; + +struct gp_registry_value { + const char *value; + struct registry_value *data; +}; + +struct gp_registry_entries { + size_t num_entries; + struct gp_registry_entry **entries; +}; + +struct gp_registry_context { + const struct security_token *token; + const char *path; + struct registry_key *curr_key; +}; + +#define GP_EXT_GUID_SECURITY "827D319E-6EAC-11D2-A4EA-00C04F79F83A" +#define GP_EXT_GUID_REGISTRY "35378EAC-683F-11D2-A89A-00C04FBBCFA2" +#define GP_EXT_GUID_SCRIPTS "42B5FAAE-6536-11D2-AE5A-0000F87571E3" +#define ADS_EXTENDED_RIGHT_APPLY_GROUP_POLICY "edacfd8f-ffb3-11d1-b41d-00a0c968f939" + + +struct cli_state; + +/* The following definitions come from libgpo/gpo_fetch.c */ + +NTSTATUS gpo_explode_filesyspath(TALLOC_CTX *mem_ctx, + const char *cache_dir, + const char *file_sys_path, + char **server, + char **service, + char **nt_path, + char **unix_path); +NTSTATUS gpo_get_sysvol_gpt_version(TALLOC_CTX *mem_ctx, + const char *unix_path, + uint32_t *sysvol_version, + char **display_name); + +/* The following definitions come from libgpo/gpo_ldap.c */ + +bool ads_parse_gp_ext(TALLOC_CTX *mem_ctx, + const char *extension_raw, + struct GP_EXT **gp_ext); +ADS_STATUS ads_get_gpo_link(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *link_dn, + struct GP_LINK *gp_link_struct); +ADS_STATUS ads_add_gpo_link(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *link_dn, + const char *gpo_dn, + uint32_t gpo_opt); +ADS_STATUS ads_delete_gpo_link(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *link_dn, + const char *gpo_dn); +ADS_STATUS ads_get_gpo(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *gpo_dn, + const char *display_name, + const char *guid_name, + struct GROUP_POLICY_OBJECT *gpo); +ADS_STATUS ads_get_sid_token(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *dn, + struct security_token **token); +ADS_STATUS ads_get_gpo_list(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *dn, + uint32_t flags, + const struct security_token *token, + struct GROUP_POLICY_OBJECT **gpo_list); + +/* The following definitions come from libgpo/gpo_sec.c */ + +NTSTATUS gpo_apply_security_filtering(const struct GROUP_POLICY_OBJECT *gpo, + const struct security_token *token); + +/* The following definitions come from libgpo/gpo_util.c */ + +const char *cse_gpo_guid_string_to_name(const char *guid); +const char *cse_gpo_name_to_guid_string(const char *name); +const char *cse_snapin_gpo_guid_string_to_name(const char *guid); +void dump_gp_ext(struct GP_EXT *gp_ext, int debuglevel); +void dump_gpo(const struct GROUP_POLICY_OBJECT *gpo, + int debuglevel); +void dump_gpo_list(const struct GROUP_POLICY_OBJECT *gpo_list, + int debuglevel); +void dump_gplink(const struct GP_LINK *gp_link); +NTSTATUS gpo_process_gpo_list(TALLOC_CTX *mem_ctx, + const struct security_token *token, + const struct GROUP_POLICY_OBJECT *deleted_gpo_list, + const struct GROUP_POLICY_OBJECT *changed_gpo_list, + const char *extensions_guid_filter, + uint32_t flags); +NTSTATUS gpo_get_unix_path(TALLOC_CTX *mem_ctx, + const char *cache_dir, + const struct GROUP_POLICY_OBJECT *gpo, + char **unix_path); +char *gpo_flag_str(TALLOC_CTX *mem_ctx, uint32_t flags); +NTSTATUS gp_find_file(TALLOC_CTX *mem_ctx, + uint32_t flags, + const char *filename, + const char *suffix, + const char **filename_out); +ADS_STATUS gp_get_machine_token(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *dn, + struct security_token **token); + +bool gpo_get_gp_ext_from_gpo(TALLOC_CTX *mem_ctx, + uint32_t flags, + const struct GROUP_POLICY_OBJECT *gpo, + struct GP_EXT **gp_ext); +NTSTATUS gpo_copy(TALLOC_CTX *mem_ctx, + const struct GROUP_POLICY_OBJECT *gpo_src, + struct GROUP_POLICY_OBJECT **gpo_dst); + +#endif diff --git a/libgpo/gpo_fetch.c b/libgpo/gpo_fetch.c new file mode 100644 index 0000000..31d510d --- /dev/null +++ b/libgpo/gpo_fetch.c @@ -0,0 +1,124 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Object Support + * Copyright (C) Guenther Deschner 2005-2006 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#include "includes.h" +#include "system/filesys.h" +#include "../libgpo/gpo.h" +#include "../libgpo/gpo_ini.h" + +#include "libgpo/gpo_proto.h" +#include "libsmb/libsmb.h" + +/**************************************************************** + explode the GPO CIFS URI into their components +****************************************************************/ + +NTSTATUS gpo_explode_filesyspath(TALLOC_CTX *mem_ctx, + const char *cache_dir, + const char *file_sys_path, + char **server, + char **service, + char **nt_path, + char **unix_path) +{ + char *path = NULL; + + *server = NULL; + *service = NULL; + *nt_path = NULL; + *unix_path = NULL; + + if (!file_sys_path) { + return NT_STATUS_OK; + } + + if (!next_token_talloc(mem_ctx, &file_sys_path, server, "\\")) { + return NT_STATUS_INVALID_PARAMETER; + } + NT_STATUS_HAVE_NO_MEMORY(*server); + + if (!next_token_talloc(mem_ctx, &file_sys_path, service, "\\")) { + return NT_STATUS_INVALID_PARAMETER; + } + NT_STATUS_HAVE_NO_MEMORY(*service); + + if ((*nt_path = talloc_asprintf(mem_ctx, "\\%s", file_sys_path)) + == NULL) { + return NT_STATUS_NO_MEMORY; + } + NT_STATUS_HAVE_NO_MEMORY(*nt_path); + + if ((path = talloc_asprintf(mem_ctx, + "%s/%s", + cache_dir, + file_sys_path)) == NULL) { + return NT_STATUS_NO_MEMORY; + } + path = talloc_string_sub(mem_ctx, path, "\\", "/"); + if (!path) { + return NT_STATUS_NO_MEMORY; + } + + *unix_path = talloc_strdup(mem_ctx, path); + NT_STATUS_HAVE_NO_MEMORY(*unix_path); + + talloc_free(path); + return NT_STATUS_OK; +} + +/**************************************************************** + get the locally stored gpt.ini version number +****************************************************************/ + +NTSTATUS gpo_get_sysvol_gpt_version(TALLOC_CTX *mem_ctx, + const char *unix_path, + uint32_t *sysvol_version, + char **display_name) +{ + NTSTATUS status; + uint32_t version = 0; + char *local_path = NULL; + char *name = NULL; + + if (!unix_path) { + return NT_STATUS_OK; + } + + local_path = talloc_asprintf(mem_ctx, "%s/%s", unix_path, GPT_INI); + NT_STATUS_HAVE_NO_MEMORY(local_path); + + status = parse_gpt_ini(mem_ctx, local_path, &version, &name); + if (!NT_STATUS_IS_OK(status)) { + DEBUG(10,("gpo_get_sysvol_gpt_version: " + "failed to parse ini [%s]: %s\n", + local_path, nt_errstr(status))); + return status; + } + + if (sysvol_version) { + *sysvol_version = version; + } + + if (name && *display_name) { + *display_name = talloc_strdup(mem_ctx, name); + NT_STATUS_HAVE_NO_MEMORY(*display_name); + } + + return NT_STATUS_OK; +} diff --git a/libgpo/gpo_filesync.c b/libgpo/gpo_filesync.c new file mode 100644 index 0000000..b0d1447 --- /dev/null +++ b/libgpo/gpo_filesync.c @@ -0,0 +1,245 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Object Support + * Copyright (C) Guenther Deschner 2006 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#include "includes.h" +#include "system/filesys.h" +#include "libsmb/libsmb.h" +#include "../libgpo/gpo.h" +#include "libgpo/gpo_proto.h" +#include "lib/util/string_wrappers.h" + +struct sync_context { + TALLOC_CTX *mem_ctx; + struct cli_state *cli; + char *remote_path; + char *local_path; + char *mask; + uint16_t attribute; +}; + +static NTSTATUS gpo_sync_func(struct file_info *info, + const char *mask, + void *state); + +NTSTATUS gpo_copy_file(TALLOC_CTX *mem_ctx, + struct cli_state *cli, + const char *nt_path, + const char *unix_path) +{ + NTSTATUS result; + uint16_t fnum; + int fd = -1; + char *data = NULL; + static int io_bufsize = 64512; + int read_size = io_bufsize; + off_t nread = 0; + + result = cli_open(cli, nt_path, O_RDONLY, DENY_NONE, &fnum); + if (!NT_STATUS_IS_OK(result)) { + goto out; + } + + if ((fd = open(unix_path, O_WRONLY|O_CREAT|O_TRUNC, 0644)) == -1) { + result = map_nt_error_from_unix(errno); + goto out; + } + + if ((data = (char *)SMB_MALLOC(read_size)) == NULL) { + result = NT_STATUS_NO_MEMORY; + goto out; + } + + while (1) { + size_t n = 0; + + result = cli_read(cli, fnum, data, nread, read_size, &n); + if (!NT_STATUS_IS_OK(result)) { + goto out; + } + + if (n == 0) + break; + + if (write(fd, data, n) != n) { + break; + } + + nread += n; + } + + result = NT_STATUS_OK; + + out: + SAFE_FREE(data); + if (fnum) { + cli_close(cli, fnum); + } + if (fd != -1) { + close(fd); + } + + return result; +} + +/**************************************************************** + copy dir +****************************************************************/ + +static NTSTATUS gpo_copy_dir(const char *unix_path) +{ + if ((mkdir(unix_path, 0644)) < 0 && errno != EEXIST) { + return map_nt_error_from_unix(errno); + } + + return NT_STATUS_OK; +} + +/**************************************************************** + sync files +****************************************************************/ + +static NTSTATUS gpo_sync_files(struct sync_context *ctx) +{ + NTSTATUS status; + + DEBUG(3,("calling cli_list with mask: %s\n", ctx->mask)); + + status = cli_list(ctx->cli, ctx->mask, ctx->attribute, gpo_sync_func, + ctx); + if (!NT_STATUS_IS_OK(status)) { + DEBUG(1, ("listing [%s] failed with error: %s\n", + ctx->mask, nt_errstr(status))); + return status; + } + + return status; +} + +/**************************************************************** + synchronisation callback +****************************************************************/ + +static NTSTATUS gpo_sync_func(struct file_info *info, + const char *mask, + void *state) +{ + NTSTATUS result; + struct sync_context *ctx; + fstring nt_filename, unix_filename; + fstring nt_dir, unix_dir; + char *old_nt_dir, *old_unix_dir; + + ctx = (struct sync_context *)state; + + if (strequal(info->name, ".") || strequal(info->name, "..")) { + return NT_STATUS_OK; + } + + DEBUG(5,("gpo_sync_func: got mask: [%s], name: [%s]\n", + mask, info->name)); + + if (info->attr & FILE_ATTRIBUTE_DIRECTORY) { + + DEBUG(3,("got dir: [%s]\n", info->name)); + + fstrcpy(nt_dir, ctx->remote_path); + fstrcat(nt_dir, "\\"); + fstrcat(nt_dir, info->name); + + fstrcpy(unix_dir, ctx->local_path); + fstrcat(unix_dir, "/"); + fstrcat(unix_dir, info->name); + + result = gpo_copy_dir(unix_dir); + if (!NT_STATUS_IS_OK(result)) { + DEBUG(1,("failed to copy dir: %s\n", + nt_errstr(result))); + return result; + } + + old_nt_dir = ctx->remote_path; + ctx->remote_path = talloc_strdup(ctx->mem_ctx, nt_dir); + + old_unix_dir = ctx->local_path; + ctx->local_path = talloc_strdup(ctx->mem_ctx, unix_dir); + + ctx->mask = talloc_asprintf(ctx->mem_ctx, + "%s\\*", + nt_dir); + if (!ctx->local_path || !ctx->mask || !ctx->remote_path) { + DEBUG(0,("gpo_sync_func: ENOMEM\n")); + return NT_STATUS_NO_MEMORY; + } + result = gpo_sync_files(ctx); + if (!NT_STATUS_IS_OK(result)) { + DEBUG(0,("could not sync files\n")); + return result; + } + + ctx->remote_path = old_nt_dir; + ctx->local_path = old_unix_dir; + return NT_STATUS_OK; + } + + DEBUG(3,("got file: [%s]\n", info->name)); + + fstrcpy(nt_filename, ctx->remote_path); + fstrcat(nt_filename, "\\"); + fstrcat(nt_filename, info->name); + + fstrcpy(unix_filename, ctx->local_path); + fstrcat(unix_filename, "/"); + fstrcat(unix_filename, info->name); + + result = gpo_copy_file(ctx->mem_ctx, ctx->cli, + nt_filename, unix_filename); + if (!NT_STATUS_IS_OK(result)) { + DEBUG(1,("failed to copy file: %s\n", + nt_errstr(result))); + } + return result; +} + + +/**************************************************************** + list a remote directory and download recursively +****************************************************************/ + +NTSTATUS gpo_sync_directories(TALLOC_CTX *mem_ctx, + struct cli_state *cli, + const char *nt_path, + const char *local_path) +{ + struct sync_context ctx; + + ctx.mem_ctx = mem_ctx; + ctx.cli = cli; + ctx.remote_path = discard_const_p(char, nt_path); + ctx.local_path = discard_const_p(char, local_path); + ctx.attribute = (FILE_ATTRIBUTE_SYSTEM | FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_DIRECTORY); + + ctx.mask = talloc_asprintf(mem_ctx, + "%s\\*", + nt_path); + if (!ctx.mask) { + return NT_STATUS_NO_MEMORY; + } + + return gpo_sync_files(&ctx); +} diff --git a/libgpo/gpo_ini.c b/libgpo/gpo_ini.c new file mode 100644 index 0000000..66f743e --- /dev/null +++ b/libgpo/gpo_ini.c @@ -0,0 +1,468 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Support + * Copyright (C) Guenther Deschner 2007 + * Copyright (C) Wilco Baan Hofman 2009 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#include "includes.h" +#include "gpo.h" +#include "gpo_ini.h" +#include "system/filesys.h" + + +static bool change_section(const char *section, void *ctx_ptr) +{ + struct gp_inifile_context *ctx = (struct gp_inifile_context *) ctx_ptr; + + if (ctx->current_section) { + talloc_free(ctx->current_section); + } + ctx->current_section = talloc_strdup(ctx, section); + if (!ctx->current_section) { + return false; + } + return true; +} + +/**************************************************************** +****************************************************************/ + +static bool store_keyval_pair(const char *key, const char *value, void *ctx_ptr) +{ + struct gp_inifile_context *ctx = (struct gp_inifile_context *) ctx_ptr; + + ctx->data = talloc_realloc(ctx, ctx->data, struct keyval_pair *, ctx->keyval_count+1); + if (!ctx->data) { + return false; + } + + ctx->data[ctx->keyval_count] = talloc_zero(ctx, struct keyval_pair); + if (!ctx->data[ctx->keyval_count]) { + return false; + } + + ctx->data[ctx->keyval_count]->key = talloc_asprintf(ctx, "%s:%s", ctx->current_section, key); + ctx->data[ctx->keyval_count]->val = talloc_strdup(ctx, value ? value : ""); + + if (!ctx->data[ctx->keyval_count]->key || + !ctx->data[ctx->keyval_count]->val) { + return false; + } + + ctx->keyval_count++; + return true; +} + +/**************************************************************** +****************************************************************/ + +static NTSTATUS convert_file_from_ucs2(TALLOC_CTX *mem_ctx, + const char *filename_in, + char **filename_out) +{ + int tmp_fd = -1; + uint8_t *data_in = NULL; + uint8_t *data_out = NULL; + char *tmp_name = NULL; + NTSTATUS status; + size_t n = 0; + size_t converted_size; + mode_t mask; + + if (!filename_out) { + return NT_STATUS_INVALID_PARAMETER; + } + + data_in = (uint8_t *)file_load(filename_in, &n, 0, mem_ctx); + if (!data_in) { + status = NT_STATUS_NO_SUCH_FILE; + goto out; + } + + DEBUG(11,("convert_file_from_ucs2: " + "data_in[0]: 0x%x, data_in[1]: 0x%x, data_in[2]: 0x%x\n", + data_in[0], data_in[1], data_in[2])); + + if ((data_in[0] != 0xff) || (data_in[1] != 0xfe) || (data_in[2] != 0x0d)) { + *filename_out = NULL; + status = NT_STATUS_OK; + goto out; + } + + tmp_name = talloc_asprintf(mem_ctx, "%s/convert_file_from_ucs2.XXXXXX", + tmpdir()); + if (!tmp_name) { + status = NT_STATUS_NO_MEMORY; + goto out; + } + + mask = umask(S_IRWXO | S_IRWXG); + tmp_fd = mkstemp(tmp_name); + umask(mask); + if (tmp_fd == -1) { + status = NT_STATUS_ACCESS_DENIED; + goto out; + } + + if (!convert_string_talloc(mem_ctx, CH_UTF16LE, CH_UNIX, data_in, n, + &data_out, &converted_size)) + { + status = NT_STATUS_INVALID_BUFFER_SIZE; + goto out; + } + + DEBUG(11,("convert_file_from_ucs2: " + "%s skipping utf16-le BOM\n", tmp_name)); + + converted_size -= 3; + + if (write(tmp_fd, data_out + 3, converted_size) != converted_size) { + status = map_nt_error_from_unix_common(errno); + goto out; + } + + *filename_out = tmp_name; + + status = NT_STATUS_OK; + + out: + if (tmp_fd != -1) { + close(tmp_fd); + } + + talloc_free(data_in); + talloc_free(data_out); + + return status; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gp_inifile_getstring(struct gp_inifile_context *ctx, const char *key, const char **ret) +{ + int i; + + for (i = 0; i < ctx->keyval_count; i++) { + if (strcmp(ctx->data[i]->key, key) == 0) { + if (ret) { + *ret = ctx->data[i]->val; + } + return NT_STATUS_OK; + } + } + return NT_STATUS_NOT_FOUND; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gp_inifile_getint(struct gp_inifile_context *ctx, const char *key, int *ret) +{ + const char *value; + NTSTATUS result; + + result = gp_inifile_getstring(ctx,key, &value); + if (!NT_STATUS_IS_OK(result)) { + return result; + } + + if (ret) { + *ret = (int)strtol(value, NULL, 10); + } + return NT_STATUS_OK; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gp_inifile_getbool(struct gp_inifile_context *ctx, const char *key, bool *ret) +{ + const char *value; + NTSTATUS result; + + result = gp_inifile_getstring(ctx,key, &value); + if (!NT_STATUS_IS_OK(result)) { + return result; + } + + if (strequal(value, "Yes") || + strequal(value, "True")) { + if (ret) { + *ret = true; + } + return NT_STATUS_OK; + } else if (strequal(value, "No") || + strequal(value, "False")) { + if (ret) { + *ret = false; + } + return NT_STATUS_OK; + } + + return NT_STATUS_NOT_FOUND; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gp_inifile_enum_section(struct gp_inifile_context *ctx, + const char *section, + size_t *num_ini_keys, + const char ***ini_keys, + const char ***ini_values) +{ + NTSTATUS status; + int i; + size_t num_keys = 0, num_vals = 0; + const char **keys = NULL; + const char **values = NULL; + + if (section == NULL || num_ini_keys == NULL || + ini_keys == NULL || ini_values == NULL) { + return NT_STATUS_INVALID_PARAMETER; + } + + for (i = 0; i < ctx->keyval_count; i++) { + + bool ok; + + /* + * section: KEYNAME + * KEYNAME:value matches + * KEYNAME_OEM:value not + */ + + if (strlen(section)+1 > strlen(ctx->data[i]->key)) { + continue; + } + + if (!strnequal(section, ctx->data[i]->key, strlen(section))) { + continue; + } + + if (ctx->data[i]->key[strlen(section)] != ':') { + continue; + } + + ok = add_string_to_array(ctx, ctx->data[i]->key, &keys, &num_keys); + if (!ok) { + status = NT_STATUS_NO_MEMORY; + goto failed; + } + + ok = add_string_to_array(ctx, ctx->data[i]->val, &values, &num_vals); + if (!ok) { + status = NT_STATUS_NO_MEMORY; + goto failed; + } + + if (num_keys != num_vals) { + status = NT_STATUS_INTERNAL_DB_CORRUPTION; + goto failed; + } + } + + *num_ini_keys = num_keys; + *ini_keys = keys; + *ini_values = values; + + return NT_STATUS_OK; + + failed: + talloc_free(keys); + talloc_free(values); + + return status; +} + + +/**************************************************************** +****************************************************************/ + +NTSTATUS gp_inifile_init_context(TALLOC_CTX *mem_ctx, + uint32_t flags, + const char *unix_path, + const char *suffix, + struct gp_inifile_context **ctx_ret) +{ + struct gp_inifile_context *ctx = NULL; + NTSTATUS status; + int rv; + char *tmp_filename = NULL; + const char *ini_filename = NULL; + + if (!unix_path || !ctx_ret) { + return NT_STATUS_INVALID_PARAMETER; + } + + ctx = talloc_zero(mem_ctx, struct gp_inifile_context); + NT_STATUS_HAVE_NO_MEMORY(ctx); + + status = gp_find_file(mem_ctx, flags, unix_path, suffix, + &ini_filename); + + if (!NT_STATUS_IS_OK(status)) { + goto failed; + } + + status = convert_file_from_ucs2(mem_ctx, ini_filename, + &tmp_filename); + if (!NT_STATUS_IS_OK(status)) { + goto failed; + } + + rv = pm_process(tmp_filename != NULL ? tmp_filename : ini_filename, + change_section, store_keyval_pair, ctx); + if (!rv) { + return NT_STATUS_NO_SUCH_FILE; + } + + + ctx->generated_filename = tmp_filename; + ctx->mem_ctx = mem_ctx; + + *ctx_ret = ctx; + + return NT_STATUS_OK; + + failed: + + DEBUG(1,("gp_inifile_init_context failed: %s\n", + nt_errstr(status))); + + talloc_free(ctx); + + return status; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gp_inifile_init_context_direct(TALLOC_CTX *mem_ctx, + const char *unix_path, + struct gp_inifile_context **pgp_ctx) +{ + struct gp_inifile_context *gp_ctx = NULL; + NTSTATUS status; + bool rv; + char *tmp_filename = NULL; + + if (unix_path == NULL || pgp_ctx == NULL) { + return NT_STATUS_INVALID_PARAMETER; + } + + gp_ctx = talloc_zero(mem_ctx, struct gp_inifile_context); + if (gp_ctx == NULL) { + return NT_STATUS_NO_MEMORY; + } + + status = convert_file_from_ucs2(mem_ctx, unix_path, + &tmp_filename); + if (!NT_STATUS_IS_OK(status)) { + goto failed; + } + + rv = pm_process_with_flags(tmp_filename != NULL ? tmp_filename : unix_path, + true, + change_section, + store_keyval_pair, + gp_ctx); + if (!rv) { + return NT_STATUS_NO_SUCH_FILE; + } + + gp_ctx->generated_filename = tmp_filename; + gp_ctx->mem_ctx = mem_ctx; + + *pgp_ctx = gp_ctx; + + return NT_STATUS_OK; + + failed: + + DEBUG(1,("gp_inifile_init_context_direct failed: %s\n", + nt_errstr(status))); + + talloc_free(gp_ctx); + + return status; +} + + +/**************************************************************** + parse the local gpt.ini file +****************************************************************/ + +#define GPT_INI_SECTION_GENERAL "General" +#define GPT_INI_PARAMETER_VERSION "Version" +#define GPT_INI_PARAMETER_DISPLAYNAME "displayName" + +NTSTATUS parse_gpt_ini(TALLOC_CTX *mem_ctx, + const char *filename, + uint32_t *version, + char **display_name) +{ + NTSTATUS result; + int rv; + int v = 0; + const char *name = NULL; + struct gp_inifile_context *ctx; + + if (!filename) { + return NT_STATUS_INVALID_PARAMETER; + } + + ctx = talloc_zero(mem_ctx, struct gp_inifile_context); + NT_STATUS_HAVE_NO_MEMORY(ctx); + + rv = pm_process(filename, change_section, store_keyval_pair, ctx); + if (!rv) { + return NT_STATUS_NO_SUCH_FILE; + } + + + result = gp_inifile_getstring(ctx, GPT_INI_SECTION_GENERAL + ":"GPT_INI_PARAMETER_DISPLAYNAME, &name); + if (!NT_STATUS_IS_OK(result)) { + /* the default domain policy and the default domain controller + * policy never have a displayname in their gpt.ini file */ + DEBUG(10,("parse_gpt_ini: no name in %s\n", filename)); + } + + if (name && display_name) { + *display_name = talloc_strdup(ctx, name); + if (*display_name == NULL) { + return NT_STATUS_NO_MEMORY; + } + } + + result = gp_inifile_getint(ctx, GPT_INI_SECTION_GENERAL + ":"GPT_INI_PARAMETER_VERSION, &v); + if (!NT_STATUS_IS_OK(result)) { + DEBUG(10,("parse_gpt_ini: no version\n")); + return NT_STATUS_INTERNAL_DB_CORRUPTION; + } + + if (version) { + *version = v; + } + + talloc_free(ctx); + + return NT_STATUS_OK; +} diff --git a/libgpo/gpo_ini.h b/libgpo/gpo_ini.h new file mode 100644 index 0000000..0bfe5b1 --- /dev/null +++ b/libgpo/gpo_ini.h @@ -0,0 +1,53 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Support + * Copyright (C) Guenther Deschner 2007 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +struct keyval_pair { + const char *key; + const char *val; +}; + +struct gp_inifile_context { + TALLOC_CTX *mem_ctx; + uint32_t keyval_count; + struct keyval_pair **data; + char *current_section; + const char *generated_filename; +}; + +/* prototypes */ + +NTSTATUS gp_inifile_init_context(TALLOC_CTX *mem_ctx, uint32_t flags, + const char *unix_path, const char *suffix, + struct gp_inifile_context **ctx_ret); +NTSTATUS gp_inifile_init_context_direct(TALLOC_CTX *mem_ctx, + const char *unix_path, + struct gp_inifile_context **ctx_ret); +NTSTATUS parse_gpt_ini(TALLOC_CTX *ctx, + const char *filename, + uint32_t *version, + char **display_name); +NTSTATUS gp_inifile_getstring(struct gp_inifile_context *ctx, const char *key, const char **ret); +NTSTATUS gp_inifile_getint(struct gp_inifile_context *ctx, const char *key, int *ret); +NTSTATUS gp_inifile_getbool(struct gp_inifile_context *ctx, const char *key, bool *ret); + +NTSTATUS gp_inifile_enum_section(struct gp_inifile_context *ctx, + const char *section, + size_t *num_ini_keys, + const char ***ini_keys, + const char ***ini_values); diff --git a/libgpo/gpo_ldap.c b/libgpo/gpo_ldap.c new file mode 100644 index 0000000..2d95f74 --- /dev/null +++ b/libgpo/gpo_ldap.c @@ -0,0 +1,956 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Object Support + * Copyright (C) Guenther Deschner 2005,2007 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#include "includes.h" +#include "libgpo/gpo.h" +#include "auth.h" +#include "../libcli/security/security.h" + +/**************************************************************** + parse the raw extension string into a GP_EXT structure +****************************************************************/ + +bool ads_parse_gp_ext(TALLOC_CTX *mem_ctx, + const char *extension_raw, + struct GP_EXT **gp_ext) +{ + bool ret = false; + struct GP_EXT *ext = NULL; + char **ext_list = NULL; + char **ext_strings = NULL; + int i; + + if (!extension_raw) { + goto parse_error; + } + + DEBUG(20,("ads_parse_gp_ext: %s\n", extension_raw)); + + ext = talloc_zero(mem_ctx, struct GP_EXT); + if (!ext) { + goto parse_error; + } + + ext_list = str_list_make(mem_ctx, extension_raw, "]"); + if (!ext_list) { + goto parse_error; + } + + for (i = 0; ext_list[i] != NULL; i++) { + /* no op */ + } + + ext->num_exts = i; + + if (ext->num_exts) { + ext->extensions = talloc_zero_array(mem_ctx, char *, + ext->num_exts); + ext->extensions_guid = talloc_zero_array(mem_ctx, char *, + ext->num_exts); + ext->snapins = talloc_zero_array(mem_ctx, char *, + ext->num_exts); + ext->snapins_guid = talloc_zero_array(mem_ctx, char *, + ext->num_exts); + } + + ext->gp_extension = talloc_strdup(mem_ctx, extension_raw); + + if (!ext->extensions || !ext->extensions_guid || + !ext->snapins || !ext->snapins_guid || + !ext->gp_extension) { + goto parse_error; + } + + for (i = 0; ext_list[i] != NULL; i++) { + + int k; + char *p, *q; + + DEBUGADD(10,("extension #%d\n", i)); + + p = ext_list[i]; + + if (p[0] == '[') { + p++; + } + + ext_strings = str_list_make(mem_ctx, p, "}"); + if (ext_strings == NULL) { + goto parse_error; + } + + for (k = 0; ext_strings[k] != NULL; k++) { + /* no op */ + } + if (k == 0) { + goto parse_error; + } + q = ext_strings[0]; + + if (q[0] == '{') { + q++; + } + + ext->extensions[i] = talloc_strdup(mem_ctx, + cse_gpo_guid_string_to_name(q)); + ext->extensions_guid[i] = talloc_strdup(mem_ctx, q); + + /* we might have no name for the guid */ + if (ext->extensions_guid[i] == NULL) { + goto parse_error; + } + + for (k = 1; ext_strings[k] != NULL; k++) { + + char *m = ext_strings[k]; + + if (m[0] == '{') { + m++; + } + + /* FIXME: theoretically there could be more than one + * snapin per extension */ + ext->snapins[i] = talloc_strdup(mem_ctx, + cse_snapin_gpo_guid_string_to_name(m)); + ext->snapins_guid[i] = talloc_strdup(mem_ctx, m); + + /* we might have no name for the guid */ + if (ext->snapins_guid[i] == NULL) { + goto parse_error; + } + } + } + + *gp_ext = ext; + + ret = true; + + parse_error: + talloc_free(ext_list); + talloc_free(ext_strings); + + return ret; +} + +#ifdef HAVE_LDAP + +/**************************************************************** + parse the raw link string into a GP_LINK structure +****************************************************************/ + +static ADS_STATUS gpo_parse_gplink(TALLOC_CTX *mem_ctx, + const char *gp_link_raw, + uint32_t options, + struct GP_LINK *gp_link) +{ + ADS_STATUS status = ADS_ERROR_NT(NT_STATUS_NO_MEMORY); + char **link_list; + int i; + + ZERO_STRUCTP(gp_link); + + DEBUG(10,("gpo_parse_gplink: gPLink: %s\n", gp_link_raw)); + + link_list = str_list_make_v3(mem_ctx, gp_link_raw, "]"); + if (!link_list) { + goto parse_error; + } + + for (i = 0; link_list[i] != NULL; i++) { + /* no op */ + } + + gp_link->gp_opts = options; + gp_link->num_links = i; + + if (gp_link->num_links) { + gp_link->link_names = talloc_zero_array(mem_ctx, char *, + gp_link->num_links); + gp_link->link_opts = talloc_zero_array(mem_ctx, uint32_t, + gp_link->num_links); + } + + gp_link->gp_link = talloc_strdup(mem_ctx, gp_link_raw); + + if (!gp_link->link_names || !gp_link->link_opts || !gp_link->gp_link) { + goto parse_error; + } + + for (i = 0; link_list[i] != NULL; i++) { + + char *p, *q; + + DEBUGADD(10,("gpo_parse_gplink: processing link #%d\n", i)); + + q = link_list[i]; + if (q[0] == '[') { + q++; + }; + + p = strchr(q, ';'); + + if (p == NULL) { + goto parse_error; + } + + gp_link->link_names[i] = talloc_strdup(mem_ctx, q); + if (gp_link->link_names[i] == NULL) { + goto parse_error; + } + gp_link->link_names[i][PTR_DIFF(p, q)] = 0; + + gp_link->link_opts[i] = atoi(p + 1); + + DEBUGADD(10,("gpo_parse_gplink: link: %s\n", + gp_link->link_names[i])); + DEBUGADD(10,("gpo_parse_gplink: opt: %d\n", + gp_link->link_opts[i])); + + } + + status = ADS_SUCCESS; + + parse_error: + talloc_free(link_list); + + return status; +} + +/**************************************************************** + helper call to get a GP_LINK structure from a linkdn +****************************************************************/ + +ADS_STATUS ads_get_gpo_link(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *link_dn, + struct GP_LINK *gp_link_struct) +{ + ADS_STATUS status; + const char *attrs[] = {"gPLink", "gPOptions", NULL}; + LDAPMessage *res = NULL; + const char *gp_link; + uint32_t gp_options; + + ZERO_STRUCTP(gp_link_struct); + + status = ads_search_dn(ads, &res, link_dn, attrs); + if (!ADS_ERR_OK(status)) { + DEBUG(10,("ads_get_gpo_link: search failed with %s\n", + ads_errstr(status))); + return status; + } + + if (ads_count_replies(ads, res) != 1) { + DEBUG(10,("ads_get_gpo_link: no result\n")); + ads_msgfree(ads, res); + return ADS_ERROR(LDAP_NO_SUCH_OBJECT); + } + + gp_link = ads_pull_string(ads, mem_ctx, res, "gPLink"); + if (gp_link == NULL) { + DEBUG(10,("ads_get_gpo_link: no 'gPLink' attribute found\n")); + ads_msgfree(ads, res); + return ADS_ERROR(LDAP_NO_SUCH_ATTRIBUTE); + } + + /* perfectly legal to have no options */ + if (!ads_pull_uint32(ads, res, "gPOptions", &gp_options)) { + DEBUG(10,("ads_get_gpo_link: " + "no 'gPOptions' attribute found\n")); + gp_options = 0; + } + + ads_msgfree(ads, res); + + return gpo_parse_gplink(mem_ctx, gp_link, gp_options, gp_link_struct); +} + +/**************************************************************** + helper call to add a gp link +****************************************************************/ + +ADS_STATUS ads_add_gpo_link(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *link_dn, + const char *gpo_dn, + uint32_t gpo_opt) +{ + ADS_STATUS status; + const char *attrs[] = {"gPLink", NULL}; + LDAPMessage *res = NULL; + const char *gp_link, *gp_link_new; + ADS_MODLIST mods; + + /* although ADS allows one to set anything here, we better check here if + * the gpo_dn is sane */ + + if (!strnequal(gpo_dn, "LDAP://CN={", strlen("LDAP://CN={")) != 0) { + return ADS_ERROR(LDAP_INVALID_DN_SYNTAX); + } + + status = ads_search_dn(ads, &res, link_dn, attrs); + if (!ADS_ERR_OK(status)) { + DEBUG(10,("ads_add_gpo_link: search failed with %s\n", + ads_errstr(status))); + return status; + } + + if (ads_count_replies(ads, res) != 1) { + DEBUG(10,("ads_add_gpo_link: no result\n")); + ads_msgfree(ads, res); + return ADS_ERROR(LDAP_NO_SUCH_OBJECT); + } + + gp_link = ads_pull_string(ads, mem_ctx, res, "gPLink"); + if (gp_link == NULL) { + gp_link_new = talloc_asprintf(mem_ctx, "[%s;%d]", + gpo_dn, gpo_opt); + } else { + gp_link_new = talloc_asprintf(mem_ctx, "%s[%s;%d]", + gp_link, gpo_dn, gpo_opt); + } + + ads_msgfree(ads, res); + ADS_ERROR_HAVE_NO_MEMORY(gp_link_new); + + mods = ads_init_mods(mem_ctx); + ADS_ERROR_HAVE_NO_MEMORY(mods); + + status = ads_mod_str(mem_ctx, &mods, "gPLink", gp_link_new); + if (!ADS_ERR_OK(status)) { + return status; + } + + return ads_gen_mod(ads, link_dn, mods); +} + +/**************************************************************** + helper call to delete add a gp link +****************************************************************/ + +/* untested & broken */ +ADS_STATUS ads_delete_gpo_link(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *link_dn, + const char *gpo_dn) +{ + ADS_STATUS status; + const char *attrs[] = {"gPLink", NULL}; + LDAPMessage *res = NULL; + const char *gp_link, *gp_link_new = NULL; + ADS_MODLIST mods; + + /* check for a sane gpo_dn */ + if (gpo_dn[0] != '[') { + DEBUG(10,("ads_delete_gpo_link: first char not: [\n")); + return ADS_ERROR(LDAP_INVALID_DN_SYNTAX); + } + + if (gpo_dn[strlen(gpo_dn)] != ']') { + DEBUG(10,("ads_delete_gpo_link: last char not: ]\n")); + return ADS_ERROR(LDAP_INVALID_DN_SYNTAX); + } + + status = ads_search_dn(ads, &res, link_dn, attrs); + if (!ADS_ERR_OK(status)) { + DEBUG(10,("ads_delete_gpo_link: search failed with %s\n", + ads_errstr(status))); + return status; + } + + if (ads_count_replies(ads, res) != 1) { + DEBUG(10,("ads_delete_gpo_link: no result\n")); + ads_msgfree(ads, res); + return ADS_ERROR(LDAP_NO_SUCH_OBJECT); + } + + gp_link = ads_pull_string(ads, mem_ctx, res, "gPLink"); + if (gp_link == NULL) { + return ADS_ERROR(LDAP_NO_SUCH_ATTRIBUTE); + } + + /* find link to delete */ + /* gp_link_new = talloc_asprintf(mem_ctx, "%s[%s;%d]", gp_link, + gpo_dn, gpo_opt); */ + + ads_msgfree(ads, res); + ADS_ERROR_HAVE_NO_MEMORY(gp_link_new); + + mods = ads_init_mods(mem_ctx); + ADS_ERROR_HAVE_NO_MEMORY(mods); + + status = ads_mod_str(mem_ctx, &mods, "gPLink", gp_link_new); + if (!ADS_ERR_OK(status)) { + return status; + } + + return ads_gen_mod(ads, link_dn, mods); +} + +/**************************************************************** + parse a GROUP_POLICY_OBJECT structure from an LDAPMessage result +****************************************************************/ + + ADS_STATUS ads_parse_gpo(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + LDAPMessage *res, + const char *gpo_dn, + struct GROUP_POLICY_OBJECT *gpo) +{ + ZERO_STRUCTP(gpo); + + ADS_ERROR_HAVE_NO_MEMORY(res); + + if (gpo_dn) { + gpo->ds_path = talloc_strdup(mem_ctx, gpo_dn); + } else { + gpo->ds_path = ads_get_dn(ads, mem_ctx, res); + } + + ADS_ERROR_HAVE_NO_MEMORY(gpo->ds_path); + + if (!ads_pull_uint32(ads, res, "versionNumber", &gpo->version)) { + return ADS_ERROR(LDAP_NO_SUCH_ATTRIBUTE); + } + + if (!ads_pull_uint32(ads, res, "flags", &gpo->options)) { + return ADS_ERROR(LDAP_NO_SUCH_ATTRIBUTE); + } + + gpo->file_sys_path = ads_pull_string(ads, mem_ctx, res, + "gPCFileSysPath"); + if (gpo->file_sys_path == NULL) { + return ADS_ERROR(LDAP_NO_SUCH_ATTRIBUTE); + } + + gpo->display_name = ads_pull_string(ads, mem_ctx, res, + "displayName"); + if (gpo->display_name == NULL) { + return ADS_ERROR(LDAP_NO_SUCH_ATTRIBUTE); + } + + gpo->name = ads_pull_string(ads, mem_ctx, res, + "name"); + if (gpo->name == NULL) { + return ADS_ERROR(LDAP_NO_SUCH_ATTRIBUTE); + } + + gpo->machine_extensions = ads_pull_string(ads, mem_ctx, res, + "gPCMachineExtensionNames"); + gpo->user_extensions = ads_pull_string(ads, mem_ctx, res, + "gPCUserExtensionNames"); + + ads_pull_sd(ads, mem_ctx, res, "ntSecurityDescriptor", + &gpo->security_descriptor); + if (gpo->security_descriptor == NULL) { + return ADS_ERROR(LDAP_NO_SUCH_ATTRIBUTE); + } + + return ADS_ERROR(LDAP_SUCCESS); +} + +/**************************************************************** + get a GROUP_POLICY_OBJECT structure based on different input parameters +****************************************************************/ + +ADS_STATUS ads_get_gpo(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *gpo_dn, + const char *display_name, + const char *guid_name, + struct GROUP_POLICY_OBJECT *gpo) +{ + ADS_STATUS status = ADS_ERROR(LDAP_NO_SUCH_OBJECT); + LDAPMessage *res = NULL; + char *dn; + const char *filter; + const char *attrs[] = { + "cn", + "displayName", + "flags", + "gPCFileSysPath", + "gPCFunctionalityVersion", + "gPCMachineExtensionNames", + "gPCUserExtensionNames", + "gPCWQLFilter", + "name", + "ntSecurityDescriptor", + "versionNumber", + NULL}; + uint32_t sd_flags = SECINFO_DACL; + + ZERO_STRUCTP(gpo); + + if (!gpo_dn && !display_name && !guid_name) { + return ADS_ERROR(LDAP_NO_SUCH_OBJECT); + } + + if (gpo_dn) { + + if (strnequal(gpo_dn, "LDAP://", strlen("LDAP://")) != 0) { + gpo_dn = gpo_dn + strlen("LDAP://"); + } + + status = ads_search_retry_dn_sd_flags(ads, &res, + sd_flags, + gpo_dn, attrs); + + } else if (display_name || guid_name) { + + filter = talloc_asprintf(mem_ctx, + "(&(objectclass=groupPolicyContainer)(%s=%s))", + display_name ? "displayName" : "name", + display_name ? display_name : guid_name); + ADS_ERROR_HAVE_NO_MEMORY(filter); + + status = ads_do_search_all_sd_flags(ads, ads->config.bind_path, + LDAP_SCOPE_SUBTREE, filter, + attrs, sd_flags, &res); + } + + if (!ADS_ERR_OK(status)) { + DEBUG(10,("ads_get_gpo: search failed with %s\n", + ads_errstr(status))); + return status; + } + + if (ads_count_replies(ads, res) != 1) { + DEBUG(10,("ads_get_gpo: no result\n")); + ads_msgfree(ads, res); + return ADS_ERROR(LDAP_NO_SUCH_OBJECT); + } + + dn = ads_get_dn(ads, mem_ctx, res); + if (dn == NULL) { + ads_msgfree(ads, res); + return ADS_ERROR(LDAP_NO_MEMORY); + } + + status = ads_parse_gpo(ads, mem_ctx, res, dn, gpo); + ads_msgfree(ads, res); + TALLOC_FREE(dn); + + return status; +} + +/**************************************************************** + add a gplink to the GROUP_POLICY_OBJECT linked list +****************************************************************/ + +static ADS_STATUS add_gplink_to_gpo_list(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + struct GROUP_POLICY_OBJECT **gpo_list, + struct GROUP_POLICY_OBJECT **forced_gpo_list, + const char *link_dn, + struct GP_LINK *gp_link, + enum GPO_LINK_TYPE link_type, + bool only_add_forced_gpos, + const struct security_token *token) +{ + ADS_STATUS status; + uint32_t count; + + /* + * Note: DLIST_ADD pushes to the front, + * so loop from last to first to get the + * order right. + */ + for (count = gp_link->num_links; count > 0; count--) { + /* NB. Index into arrays is one less than counter. */ + uint32_t i = count - 1; + struct GROUP_POLICY_OBJECT **target_list = NULL; + struct GROUP_POLICY_OBJECT *new_gpo = NULL; + bool is_forced = + (gp_link->link_opts[i] & GPO_LINK_OPT_ENFORCED) != 0; + + if (gp_link->link_opts[i] & GPO_LINK_OPT_DISABLED) { + DEBUG(10,("skipping disabled GPO\n")); + continue; + } + + if (only_add_forced_gpos) { + + if (!is_forced) { + DEBUG(10,("skipping nonenforced GPO link " + "because GPOPTIONS_BLOCK_INHERITANCE " + "has been set\n")); + continue; + } else { + DEBUG(10,("adding enforced GPO link although " + "the GPOPTIONS_BLOCK_INHERITANCE " + "has been set\n")); + } + } + + new_gpo = talloc_zero(mem_ctx, struct GROUP_POLICY_OBJECT); + ADS_ERROR_HAVE_NO_MEMORY(new_gpo); + + status = ads_get_gpo(ads, mem_ctx, gp_link->link_names[i], + NULL, NULL, new_gpo); + if (!ADS_ERR_OK(status)) { + DEBUG(10,("failed to get gpo: %s\n", + gp_link->link_names[i])); + if ((status.error_type == ENUM_ADS_ERROR_LDAP) && + (status.err.rc == LDAP_NO_SUCH_ATTRIBUTE)) { + DEBUG(10,("skipping empty gpo: %s\n", + gp_link->link_names[i])); + talloc_free(new_gpo); + continue; + } + return status; + } + + status = ADS_ERROR_NT(gpo_apply_security_filtering(new_gpo, + token)); + if (!ADS_ERR_OK(status)) { + DEBUG(10,("skipping GPO \"%s\" as object " + "has no access to it\n", + new_gpo->display_name)); + talloc_free(new_gpo); + continue; + } + + new_gpo->link = link_dn; + new_gpo->link_type = link_type; + + target_list = is_forced ? forced_gpo_list : gpo_list; + DLIST_ADD(*target_list, new_gpo); + + DEBUG(10,("add_gplink_to_gplist: added GPLINK #%d %s " + "to GPO list\n", i, gp_link->link_names[i])); + } + + return ADS_ERROR(LDAP_SUCCESS); +} + +/**************************************************************** +****************************************************************/ + +ADS_STATUS ads_get_sid_token(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *dn, + struct security_token **token) +{ + ADS_STATUS status; + struct dom_sid object_sid; + struct dom_sid primary_group_sid; + struct dom_sid *ad_token_sids; + size_t num_ad_token_sids = 0; + struct dom_sid *token_sids; + uint32_t num_token_sids = 0; + struct security_token *new_token = NULL; + int i; + + status = ads_get_tokensids(ads, mem_ctx, dn, + &object_sid, &primary_group_sid, + &ad_token_sids, &num_ad_token_sids); + if (!ADS_ERR_OK(status)) { + return status; + } + + token_sids = talloc_array(mem_ctx, struct dom_sid, 1); + ADS_ERROR_HAVE_NO_MEMORY(token_sids); + + status = ADS_ERROR_NT(add_sid_to_array_unique(mem_ctx, + &primary_group_sid, + &token_sids, + &num_token_sids)); + if (!ADS_ERR_OK(status)) { + return status; + } + + for (i = 0; i < num_ad_token_sids; i++) { + + if (sid_check_is_in_builtin(&ad_token_sids[i])) { + continue; + } + + status = ADS_ERROR_NT(add_sid_to_array_unique(mem_ctx, + &ad_token_sids[i], + &token_sids, + &num_token_sids)); + if (!ADS_ERR_OK(status)) { + return status; + } + } + + status = ADS_ERROR_NT(create_local_nt_token(mem_ctx, + &object_sid, false, + num_token_sids, token_sids, &new_token)); + if (!ADS_ERR_OK(status)) { + return status; + } + + *token = new_token; + + security_token_debug(DBGC_CLASS, 5, *token); + + return ADS_ERROR_LDAP(LDAP_SUCCESS); +} + +/**************************************************************** +****************************************************************/ + +static ADS_STATUS add_local_policy_to_gpo_list(TALLOC_CTX *mem_ctx, + struct GROUP_POLICY_OBJECT **gpo_list, + enum GPO_LINK_TYPE link_type) +{ + struct GROUP_POLICY_OBJECT *gpo = NULL; + + ADS_ERROR_HAVE_NO_MEMORY(gpo_list); + + gpo = talloc_zero(mem_ctx, struct GROUP_POLICY_OBJECT); + ADS_ERROR_HAVE_NO_MEMORY(gpo); + + gpo->name = talloc_strdup(mem_ctx, "Local Policy"); + ADS_ERROR_HAVE_NO_MEMORY(gpo->name); + + gpo->display_name = talloc_strdup(mem_ctx, "Local Policy"); + ADS_ERROR_HAVE_NO_MEMORY(gpo->display_name); + + gpo->link_type = link_type; + + DLIST_ADD(*gpo_list, gpo); + + return ADS_ERROR_NT(NT_STATUS_OK); +} + +/**************************************************************** + Get the full list of GROUP_POLICY_OBJECTs for a given dn. +****************************************************************/ + +static ADS_STATUS ads_get_gpo_list_internal(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *dn, + uint32_t flags, + const struct security_token *token, + struct GROUP_POLICY_OBJECT **gpo_list, + struct GROUP_POLICY_OBJECT **forced_gpo_list) +{ + /* + * Push GPOs to gpo_list so that the traversal order of the list matches + * the order of application: + * (L)ocal (S)ite (D)omain (O)rganizational(U)nit + * For different domains and OUs: parent-to-child. + * Within same level of domains and OUs: Link order. + * Since GPOs are pushed to the front of gpo_list, GPOs have to be + * pushed in the opposite order of application (OUs first, local last, + * child-to-parent). + * Forced GPOs are appended in the end since they override all others. + */ + + ADS_STATUS status; + struct GP_LINK gp_link; + const char *parent_dn, *site_dn, *tmp_dn; + bool add_only_forced_gpos = false; + + ZERO_STRUCTP(gpo_list); + ZERO_STRUCTP(forced_gpo_list); + + if (!dn) { + return ADS_ERROR_NT(NT_STATUS_INVALID_PARAMETER); + } + + if (!ads_set_sasl_wrap_flags(ads, ADS_AUTH_SASL_SIGN)) { + return ADS_ERROR(LDAP_INVALID_CREDENTIALS); + } + + DEBUG(10,("ads_get_gpo_list: getting GPO list for [%s]\n", dn)); + + tmp_dn = dn; + + while ((parent_dn = ads_parent_dn(tmp_dn)) && + (!strequal(parent_dn, ads_parent_dn(ads->config.bind_path)))) { + + + /* (O)rganizational(U)nit */ + + /* An account can be a member of more OUs */ + if (strncmp(parent_dn, "OU=", strlen("OU=")) == 0) { + + DEBUG(10,("ads_get_gpo_list: query OU: [%s] for GPOs\n", + parent_dn)); + + status = ads_get_gpo_link(ads, mem_ctx, parent_dn, + &gp_link); + if (ADS_ERR_OK(status)) { + + if (DEBUGLEVEL >= 100) { + dump_gplink(&gp_link); + } + + status = add_gplink_to_gpo_list(ads, + mem_ctx, + gpo_list, + forced_gpo_list, + parent_dn, + &gp_link, + GP_LINK_OU, + add_only_forced_gpos, + token); + if (!ADS_ERR_OK(status)) { + return status; + } + + /* block inheritance from now on */ + if (gp_link.gp_opts & + GPOPTIONS_BLOCK_INHERITANCE) { + add_only_forced_gpos = true; + } + } + } + + tmp_dn = parent_dn; + + } + + /* reset dn again */ + tmp_dn = dn; + + while ((parent_dn = ads_parent_dn(tmp_dn)) && + (!strequal(parent_dn, ads_parent_dn(ads->config.bind_path)))) { + + /* (D)omain */ + + /* An account can just be a member of one domain */ + if (strncmp(parent_dn, "DC=", strlen("DC=")) == 0) { + + DEBUG(10,("ads_get_gpo_list: query DC: [%s] for GPOs\n", + parent_dn)); + + status = ads_get_gpo_link(ads, mem_ctx, parent_dn, + &gp_link); + if (ADS_ERR_OK(status)) { + + if (DEBUGLEVEL >= 100) { + dump_gplink(&gp_link); + } + + status = add_gplink_to_gpo_list(ads, + mem_ctx, + gpo_list, + forced_gpo_list, + parent_dn, + &gp_link, + GP_LINK_DOMAIN, + add_only_forced_gpos, + token); + if (!ADS_ERR_OK(status)) { + return status; + } + + /* block inheritance from now on */ + if (gp_link.gp_opts & + GPOPTIONS_BLOCK_INHERITANCE) { + add_only_forced_gpos = true; + } + } + } + + tmp_dn = parent_dn; + } + + /* (S)ite */ + + /* are site GPOs valid for users as well ??? */ + if (flags & GPO_LIST_FLAG_MACHINE) { + + status = ads_site_dn_for_machine(ads, mem_ctx, + ads->config.ldap_server_name, + &site_dn); + if (!ADS_ERR_OK(status)) { + return status; + } + + DEBUG(10,("ads_get_gpo_list: query SITE: [%s] for GPOs\n", + site_dn)); + + status = ads_get_gpo_link(ads, mem_ctx, site_dn, &gp_link); + if (ADS_ERR_OK(status)) { + + if (DEBUGLEVEL >= 100) { + dump_gplink(&gp_link); + } + + status = add_gplink_to_gpo_list(ads, + mem_ctx, + gpo_list, + forced_gpo_list, + site_dn, + &gp_link, + GP_LINK_SITE, + add_only_forced_gpos, + token); + if (!ADS_ERR_OK(status)) { + return status; + } + + if (flags & GPO_LIST_FLAG_SITEONLY) { + return ADS_ERROR(LDAP_SUCCESS); + } + + /* inheritance can't be blocked at the site level */ + } + } + + /* (L)ocal */ + status = add_local_policy_to_gpo_list(mem_ctx, gpo_list, + GP_LINK_LOCAL); + if (!ADS_ERR_OK(status)) { + return status; + } + + return ADS_ERROR(LDAP_SUCCESS); +} + +/**************************************************************** + Get the full list of GROUP_POLICY_OBJECTs for a given dn, wrapper + around ads_get_gpo_list_internal() that ensures correct ordering. +****************************************************************/ + +ADS_STATUS ads_get_gpo_list(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *dn, + uint32_t flags, + const struct security_token *token, + struct GROUP_POLICY_OBJECT **gpo_list) +{ + struct GROUP_POLICY_OBJECT *forced_gpo_list = NULL; + ADS_STATUS status; + + status = ads_get_gpo_list_internal(ads, + mem_ctx, + dn, + flags, + token, + gpo_list, + &forced_gpo_list); + if (!ADS_ERR_OK(status)) { + return status; + } + /* + * Append |forced_gpo_list| at the end of |gpo_list|, + * so that forced GPOs are applied on top of non enforced GPOs. + */ + DLIST_CONCATENATE(*gpo_list, forced_gpo_list); + + return ADS_ERROR(LDAP_SUCCESS); +} + +#endif /* HAVE_LDAP */ diff --git a/libgpo/gpo_proto.h b/libgpo/gpo_proto.h new file mode 100644 index 0000000..32a61ea --- /dev/null +++ b/libgpo/gpo_proto.h @@ -0,0 +1,94 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Object Support + * + * Copyright (C) Guenther Deschner 2006-2008 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#ifndef _LIBGPO_GPO_PROTO_H_ +#define _LIBGPO_GPO_PROTO_H_ + +/* The following definitions come from libgpo/gpo_filesync.c */ + +NTSTATUS gpo_copy_file(TALLOC_CTX *mem_ctx, + struct cli_state *cli, + const char *nt_path, + const char *unix_path); +NTSTATUS gpo_sync_directories(TALLOC_CTX *mem_ctx, + struct cli_state *cli, + const char *nt_path, + const char *local_path); + +/* The following definitions come from libgpo/gpo_reg.c */ + +struct security_token *registry_create_system_token(TALLOC_CTX *mem_ctx); +WERROR gp_init_reg_ctx(TALLOC_CTX *mem_ctx, + const char *initial_path, + uint32_t desired_access, + const struct security_token *token, + struct gp_registry_context **reg_ctx); +void gp_free_reg_ctx(struct gp_registry_context *reg_ctx); +WERROR gp_store_reg_subkey(TALLOC_CTX *mem_ctx, + const char *subkeyname, + struct registry_key *curr_key, + struct registry_key **new_key); +WERROR gp_read_reg_subkey(TALLOC_CTX *mem_ctx, + struct gp_registry_context *reg_ctx, + const char *subkeyname, + struct registry_key **key); +WERROR gp_store_reg_val_sz(TALLOC_CTX *mem_ctx, + struct registry_key *key, + const char *val_name, + const char *val); +WERROR gp_read_reg_val_sz(TALLOC_CTX *mem_ctx, + struct registry_key *key, + const char *val_name, + const char **val); +WERROR gp_reg_state_store(TALLOC_CTX *mem_ctx, + uint32_t flags, + const char *dn, + const struct security_token *token, + struct GROUP_POLICY_OBJECT *gpo_list); +WERROR gp_reg_state_read(TALLOC_CTX *mem_ctx, + uint32_t flags, + const struct dom_sid *sid, + struct GROUP_POLICY_OBJECT **gpo_list); +WERROR gp_secure_key(TALLOC_CTX *mem_ctx, + uint32_t flags, + struct registry_key *key, + const struct dom_sid *sid); +void dump_reg_val(int lvl, const char *direction, + const char *key, const char *subkey, + struct registry_value *val); +void dump_reg_entry(uint32_t flags, + const char *dir, + struct gp_registry_entry *entry); +void dump_reg_entries(uint32_t flags, + const char *dir, + struct gp_registry_entry *entries, + size_t num_entries); +bool add_gp_registry_entry_to_array(TALLOC_CTX *mem_ctx, + struct gp_registry_entry *entry, + struct gp_registry_entry **entries, + size_t *num); +WERROR reg_apply_registry_entry(TALLOC_CTX *mem_ctx, + struct registry_key *root_key, + struct gp_registry_context *reg_ctx, + struct gp_registry_entry *entry, + const struct security_token *token, + uint32_t flags); + +#endif /* _LIBGPO_GPO_PROTO_H_ */ diff --git a/libgpo/gpo_reg.c b/libgpo/gpo_reg.c new file mode 100644 index 0000000..a1a8d7d --- /dev/null +++ b/libgpo/gpo_reg.c @@ -0,0 +1,1047 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Object Support + * Copyright (C) Guenther Deschner 2007-2008 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#include "includes.h" +#include "../libgpo/gpo.h" +#include "libgpo/gpo_proto.h" +#include "registry.h" +#include "registry/reg_api.h" +#include "registry/reg_backend_db.h" +#include "registry/reg_api_util.h" +#include "registry/reg_init_basic.h" +#include "../libcli/security/security.h" +#include "libcli/security/dom_sid.h" +#include "../libcli/registry/util_reg.h" + + +/**************************************************************** +****************************************************************/ + +struct security_token *registry_create_system_token(TALLOC_CTX *mem_ctx) +{ + const struct security_token *system_token = get_system_token(); + + struct security_token *dup_token + = security_token_duplicate(mem_ctx, system_token); + + if (dup_token == NULL) { + DBG_WARNING("security_token_duplicate() failed\n"); + return NULL; + } + + return dup_token; +} + +/**************************************************************** +****************************************************************/ + +WERROR gp_init_reg_ctx(TALLOC_CTX *mem_ctx, + const char *initial_path, + uint32_t desired_access, + const struct security_token *token, + struct gp_registry_context **reg_ctx) +{ + struct gp_registry_context *tmp_ctx; + WERROR werr; + + if (!reg_ctx) { + return WERR_INVALID_PARAMETER; + } + + werr = registry_init_basic(); + if (!W_ERROR_IS_OK(werr)) { + return werr; + } + + tmp_ctx = talloc_zero(mem_ctx, struct gp_registry_context); + W_ERROR_HAVE_NO_MEMORY(tmp_ctx); + + if (token) { + tmp_ctx->token = token; + } else { + tmp_ctx->token = registry_create_system_token(mem_ctx); + } + if (!tmp_ctx->token) { + TALLOC_FREE(tmp_ctx); + return WERR_NOT_ENOUGH_MEMORY; + } + + werr = regdb_open(); + if (!W_ERROR_IS_OK(werr)) { + return werr; + } + + if (initial_path) { + tmp_ctx->path = talloc_strdup(mem_ctx, initial_path); + if (!tmp_ctx->path) { + TALLOC_FREE(tmp_ctx); + return WERR_NOT_ENOUGH_MEMORY; + } + + werr = reg_open_path(mem_ctx, tmp_ctx->path, desired_access, + tmp_ctx->token, &tmp_ctx->curr_key); + if (!W_ERROR_IS_OK(werr)) { + TALLOC_FREE(tmp_ctx); + return werr; + } + } + + *reg_ctx = tmp_ctx; + + return WERR_OK; +} + +/**************************************************************** +****************************************************************/ + +void gp_free_reg_ctx(struct gp_registry_context *reg_ctx) +{ + TALLOC_FREE(reg_ctx); +} + +/**************************************************************** +****************************************************************/ + +WERROR gp_store_reg_subkey(TALLOC_CTX *mem_ctx, + const char *subkeyname, + struct registry_key *curr_key, + struct registry_key **new_key) +{ + enum winreg_CreateAction action = REG_ACTION_NONE; + WERROR werr; + + werr = reg_createkey(mem_ctx, curr_key, subkeyname, + REG_KEY_WRITE, new_key, &action); + if (W_ERROR_IS_OK(werr) && (action != REG_CREATED_NEW_KEY)) { + return WERR_OK; + } + + return werr; +} + +/**************************************************************** +****************************************************************/ + +WERROR gp_read_reg_subkey(TALLOC_CTX *mem_ctx, + struct gp_registry_context *reg_ctx, + const char *subkeyname, + struct registry_key **key) +{ + const char *tmp = NULL; + + if (!reg_ctx || !subkeyname || !key) { + return WERR_INVALID_PARAMETER; + } + + tmp = talloc_asprintf(mem_ctx, "%s\\%s", reg_ctx->path, subkeyname); + W_ERROR_HAVE_NO_MEMORY(tmp); + + return reg_open_path(mem_ctx, tmp, REG_KEY_READ, + reg_ctx->token, key); +} + +/**************************************************************** +****************************************************************/ + +WERROR gp_store_reg_val_sz(TALLOC_CTX *mem_ctx, + struct registry_key *key, + const char *val_name, + const char *val) +{ + struct registry_value reg_val; + + reg_val.type = REG_SZ; + if (!push_reg_sz(mem_ctx, ®_val.data, val)) { + return WERR_NOT_ENOUGH_MEMORY; + } + + return reg_setvalue(key, val_name, ®_val); +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_store_reg_val_dword(TALLOC_CTX *mem_ctx, + struct registry_key *key, + const char *val_name, + uint32_t val) +{ + struct registry_value reg_val; + + reg_val.type = REG_DWORD; + reg_val.data = data_blob_talloc(mem_ctx, NULL, 4); + SIVAL(reg_val.data.data, 0, val); + + return reg_setvalue(key, val_name, ®_val); +} + +/**************************************************************** +****************************************************************/ + +WERROR gp_read_reg_val_sz(TALLOC_CTX *mem_ctx, + struct registry_key *key, + const char *val_name, + const char **val) +{ + WERROR werr; + struct registry_value *reg_val = NULL; + + werr = reg_queryvalue(mem_ctx, key, val_name, ®_val); + W_ERROR_NOT_OK_RETURN(werr); + + if (reg_val->type != REG_SZ) { + return WERR_INVALID_DATATYPE; + } + + if (!pull_reg_sz(mem_ctx, ®_val->data, val)) { + return WERR_NOT_ENOUGH_MEMORY; + } + + return WERR_OK; +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_read_reg_val_dword(TALLOC_CTX *mem_ctx, + struct registry_key *key, + const char *val_name, + uint32_t *val) +{ + WERROR werr; + struct registry_value *reg_val = NULL; + + werr = reg_queryvalue(mem_ctx, key, val_name, ®_val); + W_ERROR_NOT_OK_RETURN(werr); + + if (reg_val->type != REG_DWORD) { + return WERR_INVALID_DATATYPE; + } + + if (reg_val->data.length < 4) { + return WERR_INSUFFICIENT_BUFFER; + } + *val = IVAL(reg_val->data.data, 0); + + return WERR_OK; +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_store_reg_gpovals(TALLOC_CTX *mem_ctx, + struct registry_key *key, + struct GROUP_POLICY_OBJECT *gpo) +{ + WERROR werr; + + if (!key || !gpo) { + return WERR_INVALID_PARAMETER; + } + + werr = gp_store_reg_val_dword(mem_ctx, key, "Version", + gpo->version); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_store_reg_val_dword(mem_ctx, key, "WQLFilterPass", + true); /* fake */ + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_store_reg_val_dword(mem_ctx, key, "AccessDenied", + false); /* fake */ + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_store_reg_val_dword(mem_ctx, key, "GPO-Disabled", + (gpo->options & GPO_FLAG_DISABLE)); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_store_reg_val_dword(mem_ctx, key, "Options", + gpo->options); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_store_reg_val_sz(mem_ctx, key, "GPOID", + gpo->name); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_store_reg_val_sz(mem_ctx, key, "SOM", + gpo->link ? gpo->link : ""); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_store_reg_val_sz(mem_ctx, key, "DisplayName", + gpo->display_name); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_store_reg_val_sz(mem_ctx, key, "WQL-Id", + ""); + W_ERROR_NOT_OK_RETURN(werr); + + return werr; +} + +/**************************************************************** +****************************************************************/ + +static const char *gp_reg_groupmembership_path(TALLOC_CTX *mem_ctx, + const struct dom_sid *sid, + uint32_t flags) +{ + struct dom_sid_buf sidbuf; + + if (flags & GPO_LIST_FLAG_MACHINE) { + return "GroupMembership"; + } + + return talloc_asprintf( + mem_ctx, + "%s\\%s", + dom_sid_str_buf(sid, &sidbuf), + "GroupMembership"); +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_reg_del_groupmembership(TALLOC_CTX *mem_ctx, + struct registry_key *key, + const struct security_token *token, + uint32_t flags) +{ + const char *path = NULL; + + path = gp_reg_groupmembership_path(mem_ctx, &token->sids[PRIMARY_USER_SID_INDEX], + flags); + W_ERROR_HAVE_NO_MEMORY(path); + + return reg_deletekey_recursive(key, path); + +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_reg_store_groupmembership(TALLOC_CTX *mem_ctx, + struct gp_registry_context *reg_ctx, + const struct security_token *token, + uint32_t flags) +{ + struct registry_key *key = NULL; + WERROR werr; + uint32_t i = 0; + const char *valname = NULL; + const char *path = NULL; + int count = 0; + + path = gp_reg_groupmembership_path(mem_ctx, &token->sids[PRIMARY_USER_SID_INDEX], + flags); + W_ERROR_HAVE_NO_MEMORY(path); + + gp_reg_del_groupmembership(mem_ctx, reg_ctx->curr_key, token, flags); + + werr = gp_store_reg_subkey(mem_ctx, path, + reg_ctx->curr_key, &key); + W_ERROR_NOT_OK_RETURN(werr); + + for (i=0; i<token->num_sids; i++) { + struct dom_sid_buf buf; + + valname = talloc_asprintf(mem_ctx, "Group%d", count++); + W_ERROR_HAVE_NO_MEMORY(valname); + + werr = gp_store_reg_val_sz( + mem_ctx, + key, + valname, + dom_sid_str_buf(&token->sids[i], &buf)); + W_ERROR_NOT_OK_RETURN(werr); + } + + werr = gp_store_reg_val_dword(mem_ctx, key, "Count", count); + W_ERROR_NOT_OK_RETURN(werr); + + return WERR_OK; +} + +/**************************************************************** +****************************************************************/ +#if 0 +/* not used yet */ +static WERROR gp_reg_read_groupmembership(TALLOC_CTX *mem_ctx, + struct gp_registry_context *reg_ctx, + const struct dom_sid *object_sid, + struct security_token **token, + uint32_t flags) +{ + struct registry_key *key = NULL; + WERROR werr; + int i = 0; + const char *valname = NULL; + const char *val = NULL; + const char *path = NULL; + uint32_t count = 0; + int num_token_sids = 0; + struct security_token *tmp_token = NULL; + + tmp_token = talloc_zero(mem_ctx, struct security_token); + W_ERROR_HAVE_NO_MEMORY(tmp_token); + + path = gp_reg_groupmembership_path(mem_ctx, object_sid, flags); + W_ERROR_HAVE_NO_MEMORY(path); + + werr = gp_read_reg_subkey(mem_ctx, reg_ctx, path, &key); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_read_reg_val_dword(mem_ctx, key, "Count", &count); + W_ERROR_NOT_OK_RETURN(werr); + + for (i=0; i<count; i++) { + + valname = talloc_asprintf(mem_ctx, "Group%d", i); + W_ERROR_HAVE_NO_MEMORY(valname); + + werr = gp_read_reg_val_sz(mem_ctx, key, valname, &val); + W_ERROR_NOT_OK_RETURN(werr); + + if (!string_to_sid(&tmp_token->sids[num_token_sids++], + val)) { + return WERR_INSUFFICIENT_BUFFER; + } + } + + tmp_token->num_sids = num_token_sids; + + *token = tmp_token; + + return WERR_OK; +} +#endif +/**************************************************************** +****************************************************************/ + +static const char *gp_req_state_path(TALLOC_CTX *mem_ctx, + const struct dom_sid *sid, + uint32_t flags) +{ + struct dom_sid_buf sidbuf; + + if (flags & GPO_LIST_FLAG_MACHINE) { + return GPO_REG_STATE_MACHINE; + } + + return talloc_asprintf( + mem_ctx, + "%s\\%s", + "State", + dom_sid_str_buf(sid, &sidbuf)); +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_del_reg_state(TALLOC_CTX *mem_ctx, + struct registry_key *key, + const char *path) +{ + return reg_deletesubkeys_recursive(key, path); +} + +/**************************************************************** +****************************************************************/ + +WERROR gp_reg_state_store(TALLOC_CTX *mem_ctx, + uint32_t flags, + const char *dn, + const struct security_token *token, + struct GROUP_POLICY_OBJECT *gpo_list) +{ + struct gp_registry_context *reg_ctx = NULL; + WERROR werr = WERR_GEN_FAILURE; + const char *subkeyname = NULL; + struct GROUP_POLICY_OBJECT *gpo; + int count = 0; + struct registry_key *key; + + werr = gp_init_reg_ctx(mem_ctx, KEY_GROUP_POLICY, REG_KEY_WRITE, + token, ®_ctx); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_secure_key(mem_ctx, flags, reg_ctx->curr_key, + &token->sids[PRIMARY_USER_SID_INDEX]); + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("failed to secure key: %s\n", win_errstr(werr))); + goto done; + } + + werr = gp_reg_store_groupmembership(mem_ctx, reg_ctx, token, flags); + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("failed to store group membership: %s\n", win_errstr(werr))); + goto done; + } + + subkeyname = gp_req_state_path(mem_ctx, &token->sids[PRIMARY_USER_SID_INDEX], flags); + if (!subkeyname) { + werr = WERR_NOT_ENOUGH_MEMORY; + goto done; + } + + werr = gp_del_reg_state(mem_ctx, reg_ctx->curr_key, subkeyname); + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("failed to delete old state: %s\n", win_errstr(werr))); + /* goto done; */ + } + + werr = gp_store_reg_subkey(mem_ctx, subkeyname, + reg_ctx->curr_key, ®_ctx->curr_key); + if (!W_ERROR_IS_OK(werr)) { + goto done; + } + + werr = gp_store_reg_val_sz(mem_ctx, reg_ctx->curr_key, + "Distinguished-Name", dn); + if (!W_ERROR_IS_OK(werr)) { + goto done; + } + + /* store link list */ + + werr = gp_store_reg_subkey(mem_ctx, "GPLink-List", + reg_ctx->curr_key, &key); + if (!W_ERROR_IS_OK(werr)) { + goto done; + } + + /* store gpo list */ + + werr = gp_store_reg_subkey(mem_ctx, "GPO-List", + reg_ctx->curr_key, ®_ctx->curr_key); + if (!W_ERROR_IS_OK(werr)) { + goto done; + } + + for (gpo = gpo_list; gpo; gpo = gpo->next) { + + subkeyname = talloc_asprintf(mem_ctx, "%d", count++); + if (!subkeyname) { + werr = WERR_NOT_ENOUGH_MEMORY; + goto done; + } + + werr = gp_store_reg_subkey(mem_ctx, subkeyname, + reg_ctx->curr_key, &key); + if (!W_ERROR_IS_OK(werr)) { + goto done; + } + + werr = gp_store_reg_gpovals(mem_ctx, key, gpo); + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("gp_reg_state_store: " + "gp_store_reg_gpovals failed for %s: %s\n", + gpo->display_name, win_errstr(werr))); + goto done; + } + } + done: + gp_free_reg_ctx(reg_ctx); + return werr; +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_read_reg_gpovals(TALLOC_CTX *mem_ctx, + struct registry_key *key, + struct GROUP_POLICY_OBJECT *gpo) +{ + WERROR werr; + + if (!key || !gpo) { + return WERR_INVALID_PARAMETER; + } + + werr = gp_read_reg_val_dword(mem_ctx, key, "Version", + &gpo->version); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_read_reg_val_dword(mem_ctx, key, "Options", + &gpo->options); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_read_reg_val_sz(mem_ctx, key, "GPOID", + &gpo->name); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_read_reg_val_sz(mem_ctx, key, "SOM", + &gpo->link); + W_ERROR_NOT_OK_RETURN(werr); + + werr = gp_read_reg_val_sz(mem_ctx, key, "DisplayName", + &gpo->display_name); + W_ERROR_NOT_OK_RETURN(werr); + + return werr; +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_read_reg_gpo(TALLOC_CTX *mem_ctx, + struct registry_key *key, + struct GROUP_POLICY_OBJECT **gpo_ret) +{ + struct GROUP_POLICY_OBJECT *gpo = NULL; + WERROR werr; + + if (!gpo_ret || !key) { + return WERR_INVALID_PARAMETER; + } + + gpo = talloc_zero(mem_ctx, struct GROUP_POLICY_OBJECT); + W_ERROR_HAVE_NO_MEMORY(gpo); + + werr = gp_read_reg_gpovals(mem_ctx, key, gpo); + W_ERROR_NOT_OK_RETURN(werr); + + *gpo_ret = gpo; + + return werr; +} + +/**************************************************************** +****************************************************************/ + +WERROR gp_reg_state_read(TALLOC_CTX *mem_ctx, + uint32_t flags, + const struct dom_sid *sid, + struct GROUP_POLICY_OBJECT **gpo_list) +{ + struct gp_registry_context *reg_ctx = NULL; + WERROR werr = WERR_GEN_FAILURE; + const char *subkeyname = NULL; + struct GROUP_POLICY_OBJECT *gpo = NULL; + int count = 0; + struct registry_key *key = NULL; + const char *path = NULL; + const char *gp_state_path = NULL; + + if (!gpo_list) { + return WERR_INVALID_PARAMETER; + } + + ZERO_STRUCTP(gpo_list); + + gp_state_path = gp_req_state_path(mem_ctx, sid, flags); + if (!gp_state_path) { + werr = WERR_NOT_ENOUGH_MEMORY; + goto done; + } + + path = talloc_asprintf(mem_ctx, "%s\\%s\\%s", + KEY_GROUP_POLICY, + gp_state_path, + "GPO-List"); + if (!path) { + werr = WERR_NOT_ENOUGH_MEMORY; + goto done; + } + + werr = gp_init_reg_ctx(mem_ctx, path, REG_KEY_READ, NULL, ®_ctx); + if (!W_ERROR_IS_OK(werr)) { + goto done; + } + + while (1) { + + subkeyname = talloc_asprintf(mem_ctx, "%d", count++); + if (!subkeyname) { + werr = WERR_NOT_ENOUGH_MEMORY; + goto done; + } + + werr = gp_read_reg_subkey(mem_ctx, reg_ctx, subkeyname, &key); + if (W_ERROR_EQUAL(werr, WERR_FILE_NOT_FOUND)) { + werr = WERR_OK; + break; + } + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("gp_reg_state_read: " + "gp_read_reg_subkey gave: %s\n", + win_errstr(werr))); + goto done; + } + + werr = gp_read_reg_gpo(mem_ctx, key, &gpo); + if (!W_ERROR_IS_OK(werr)) { + goto done; + } + + DLIST_ADD(*gpo_list, gpo); + } + + done: + gp_free_reg_ctx(reg_ctx); + return werr; +} + +/**************************************************************** +****************************************************************/ + +static WERROR gp_reg_generate_sd(TALLOC_CTX *mem_ctx, + const struct dom_sid *sid, + struct security_descriptor **sd, + size_t *sd_size) +{ + struct security_ace ace[6]; + uint32_t mask; + + struct security_acl *theacl = NULL; + + uint8_t inherit_flags; + + mask = REG_KEY_ALL; + init_sec_ace(&ace[0], + &global_sid_System, + SEC_ACE_TYPE_ACCESS_ALLOWED, + mask, 0); + + mask = REG_KEY_ALL; + init_sec_ace(&ace[1], + &global_sid_Builtin_Administrators, + SEC_ACE_TYPE_ACCESS_ALLOWED, + mask, 0); + + mask = REG_KEY_READ; + init_sec_ace(&ace[2], + sid ? sid : &global_sid_Authenticated_Users, + SEC_ACE_TYPE_ACCESS_ALLOWED, + mask, 0); + + inherit_flags = SEC_ACE_FLAG_OBJECT_INHERIT | + SEC_ACE_FLAG_CONTAINER_INHERIT | + SEC_ACE_FLAG_INHERIT_ONLY; + + mask = REG_KEY_ALL; + init_sec_ace(&ace[3], + &global_sid_System, + SEC_ACE_TYPE_ACCESS_ALLOWED, + mask, inherit_flags); + + mask = REG_KEY_ALL; + init_sec_ace(&ace[4], + &global_sid_Builtin_Administrators, + SEC_ACE_TYPE_ACCESS_ALLOWED, + mask, inherit_flags); + + mask = REG_KEY_READ; + init_sec_ace(&ace[5], + sid ? sid : &global_sid_Authenticated_Users, + SEC_ACE_TYPE_ACCESS_ALLOWED, + mask, inherit_flags); + + theacl = make_sec_acl(mem_ctx, NT4_ACL_REVISION, 6, ace); + W_ERROR_HAVE_NO_MEMORY(theacl); + + *sd = make_sec_desc(mem_ctx, SD_REVISION, + SEC_DESC_SELF_RELATIVE | + SEC_DESC_DACL_AUTO_INHERITED | /* really ? */ + SEC_DESC_DACL_AUTO_INHERIT_REQ, /* really ? */ + NULL, NULL, NULL, + theacl, sd_size); + W_ERROR_HAVE_NO_MEMORY(*sd); + + return WERR_OK; +} + +/**************************************************************** +****************************************************************/ + +WERROR gp_secure_key(TALLOC_CTX *mem_ctx, + uint32_t flags, + struct registry_key *key, + const struct dom_sid *sid) +{ + struct security_descriptor *sd = NULL; + size_t sd_size = 0; + const struct dom_sid *sd_sid = NULL; + WERROR werr; + + if (!(flags & GPO_LIST_FLAG_MACHINE)) { + sd_sid = sid; + } + + werr = gp_reg_generate_sd(mem_ctx, sd_sid, &sd, &sd_size); + W_ERROR_NOT_OK_RETURN(werr); + + return reg_setkeysecurity(key, sd); +} + +/**************************************************************** +****************************************************************/ + +void dump_reg_val(int lvl, const char *direction, + const char *key, const char *subkey, + struct registry_value *val) +{ + int i = 0; + const char *type_str = NULL; + + if (!val) { + DEBUG(lvl,("no val!\n")); + return; + } + + type_str = str_regtype(val->type); + + DEBUG(lvl,("\tdump_reg_val:\t%s '%s'\n\t\t\t'%s' %s: ", + direction, key, subkey, type_str)); + + switch (val->type) { + case REG_DWORD: { + uint32_t v; + if (val->data.length < 4) { + break; + } + v = IVAL(val->data.data, 0); + DEBUG(lvl,("%d (0x%08x)\n", + (int)v, v)); + break; + } + case REG_QWORD: { + uint64_t v; + if (val->data.length < 8) { + break; + } + v = BVAL(val->data.data, 0); + DEBUG(lvl,("%d (0x%016llx)\n", + (int)v, + (unsigned long long)v)); + break; + } + case REG_SZ: { + const char *s; + if (!pull_reg_sz(talloc_tos(), &val->data, &s)) { + break; + } + DEBUG(lvl,("%s (length: %d)\n", + s, (int)strlen_m(s))); + break; + } + case REG_MULTI_SZ: { + const char **a; + if (!pull_reg_multi_sz(talloc_tos(), &val->data, &a)) { + break; + } + for (i=0; a[i] != NULL; i++) { + ;; + } + DEBUG(lvl,("(num_strings: %d)\n", i)); + for (i=0; a[i] != NULL; i++) { + DEBUGADD(lvl,("\t%s\n", a[i])); + } + break; + } + case REG_NONE: + DEBUG(lvl,("\n")); + break; + case REG_BINARY: + dump_data(lvl, val->data.data, + val->data.length); + break; + default: + DEBUG(lvl,("unsupported type: %d\n", val->type)); + break; + } +} + +/**************************************************************** +****************************************************************/ + +void dump_reg_entry(uint32_t flags, + const char *dir, + struct gp_registry_entry *entry) +{ + if (!(flags & GPO_INFO_FLAG_VERBOSE)) + return; + + dump_reg_val(1, dir, + entry->key, + entry->value, + entry->data); +} + +/**************************************************************** +****************************************************************/ + +void dump_reg_entries(uint32_t flags, + const char *dir, + struct gp_registry_entry *entries, + size_t num_entries) +{ + size_t i; + + if (!(flags & GPO_INFO_FLAG_VERBOSE)) + return; + + for (i=0; i < num_entries; i++) { + dump_reg_entry(flags, dir, &entries[i]); + } +} + +/**************************************************************** +****************************************************************/ + +bool add_gp_registry_entry_to_array(TALLOC_CTX *mem_ctx, + struct gp_registry_entry *entry, + struct gp_registry_entry **entries, + size_t *num) +{ + *entries = talloc_realloc(mem_ctx, *entries, + struct gp_registry_entry, + (*num)+1); + + if (*entries == NULL) { + *num = 0; + return false; + } + + (*entries)[*num].action = entry->action; + (*entries)[*num].key = entry->key; + (*entries)[*num].value = entry->value; + (*entries)[*num].data = entry->data; + + *num += 1; + return true; +} + +/**************************************************************** +****************************************************************/ + +static const char *gp_reg_action_str(enum gp_reg_action action) +{ + switch (action) { + case GP_REG_ACTION_NONE: + return "GP_REG_ACTION_NONE"; + case GP_REG_ACTION_ADD_VALUE: + return "GP_REG_ACTION_ADD_VALUE"; + case GP_REG_ACTION_ADD_KEY: + return "GP_REG_ACTION_ADD_KEY"; + case GP_REG_ACTION_DEL_VALUES: + return "GP_REG_ACTION_DEL_VALUES"; + case GP_REG_ACTION_DEL_VALUE: + return "GP_REG_ACTION_DEL_VALUE"; + case GP_REG_ACTION_DEL_ALL_VALUES: + return "GP_REG_ACTION_DEL_ALL_VALUES"; + case GP_REG_ACTION_DEL_KEYS: + return "GP_REG_ACTION_DEL_KEYS"; + case GP_REG_ACTION_SEC_KEY_SET: + return "GP_REG_ACTION_SEC_KEY_SET"; + case GP_REG_ACTION_SEC_KEY_RESET: + return "GP_REG_ACTION_SEC_KEY_RESET"; + default: + return "unknown"; + } +} + +/**************************************************************** +****************************************************************/ + +WERROR reg_apply_registry_entry(TALLOC_CTX *mem_ctx, + struct registry_key *root_key, + struct gp_registry_context *reg_ctx, + struct gp_registry_entry *entry, + const struct security_token *token, + uint32_t flags) +{ + WERROR werr; + struct registry_key *key = NULL; + + if (flags & GPO_INFO_FLAG_VERBOSE) { + printf("about to store key: [%s]\n", entry->key); + printf(" value: [%s]\n", entry->value); + printf(" data: [%s]\n", str_regtype(entry->data->type)); + printf(" action: [%s]\n", gp_reg_action_str(entry->action)); + } + + werr = gp_store_reg_subkey(mem_ctx, entry->key, + root_key, &key); + /* reg_ctx->curr_key, &key); */ + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("gp_store_reg_subkey failed: %s\n", win_errstr(werr))); + return werr; + } + + switch (entry->action) { + case GP_REG_ACTION_NONE: + case GP_REG_ACTION_ADD_KEY: + return WERR_OK; + + case GP_REG_ACTION_SEC_KEY_SET: + werr = gp_secure_key(mem_ctx, flags, + key, + &token->sids[PRIMARY_USER_SID_INDEX]); + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("reg_apply_registry_entry: " + "gp_secure_key failed: %s\n", + win_errstr(werr))); + return werr; + } + break; + case GP_REG_ACTION_ADD_VALUE: + werr = reg_setvalue(key, entry->value, entry->data); + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("reg_apply_registry_entry: " + "reg_setvalue failed: %s\n", + win_errstr(werr))); + dump_reg_entry(flags, "STORE", entry); + return werr; + } + break; + case GP_REG_ACTION_DEL_VALUE: + werr = reg_deletevalue(key, entry->value); + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("reg_apply_registry_entry: " + "reg_deletevalue failed: %s\n", + win_errstr(werr))); + dump_reg_entry(flags, "STORE", entry); + return werr; + } + break; + case GP_REG_ACTION_DEL_ALL_VALUES: + werr = reg_deleteallvalues(key); + if (!W_ERROR_IS_OK(werr)) { + DEBUG(0,("reg_apply_registry_entry: " + "reg_deleteallvalues failed: %s\n", + win_errstr(werr))); + dump_reg_entry(flags, "STORE", entry); + return werr; + } + break; + case GP_REG_ACTION_DEL_VALUES: + case GP_REG_ACTION_DEL_KEYS: + case GP_REG_ACTION_SEC_KEY_RESET: + DEBUG(0,("reg_apply_registry_entry: " + "not yet supported: %s (%d)\n", + gp_reg_action_str(entry->action), + entry->action)); + return WERR_NOT_SUPPORTED; + default: + DEBUG(0,("invalid action: %d\n", entry->action)); + return WERR_INVALID_PARAMETER; + } + + return werr; +} diff --git a/libgpo/gpo_sec.c b/libgpo/gpo_sec.c new file mode 100644 index 0000000..82887bc --- /dev/null +++ b/libgpo/gpo_sec.c @@ -0,0 +1,196 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Object Support + * Copyright (C) Guenther Deschner 2007 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#include "includes.h" +#include "libcli/security/security.h" +#include "../libgpo/gpo.h" +#include "auth.h" +#include "../librpc/ndr/libndr.h" + +/**************************************************************** +****************************************************************/ + +static bool gpo_sd_check_agp_object_guid(const struct security_ace_object *object) +{ + struct GUID ext_right_apg_guid; + NTSTATUS status; + + if (!object) { + return false; + } + + status = GUID_from_string(ADS_EXTENDED_RIGHT_APPLY_GROUP_POLICY, + &ext_right_apg_guid); + if (!NT_STATUS_IS_OK(status)) { + return false; + } + + switch (object->flags) { + case SEC_ACE_OBJECT_TYPE_PRESENT: + if (GUID_equal(&object->type.type, + &ext_right_apg_guid)) { + return true; + } + + FALL_THROUGH; + case SEC_ACE_INHERITED_OBJECT_TYPE_PRESENT: + if (GUID_equal(&object->inherited_type.inherited_type, + &ext_right_apg_guid)) { + return true; + } + + FALL_THROUGH; + default: + break; + } + + return false; +} + +/**************************************************************** +****************************************************************/ + +static bool gpo_sd_check_agp_object(const struct security_ace *ace) +{ + if (!sec_ace_object(ace->type)) { + return false; + } + + return gpo_sd_check_agp_object_guid(&ace->object.object); +} + +/**************************************************************** +****************************************************************/ + +static bool gpo_sd_check_agp_access_bits(uint32_t access_mask) +{ + return (access_mask & SEC_ADS_CONTROL_ACCESS); +} + +#if 0 +/**************************************************************** +****************************************************************/ + +static bool gpo_sd_check_read_access_bits(uint32_t access_mask) +{ + uint32_t read_bits = SEC_RIGHTS_LIST_CONTENTS | + SEC_RIGHTS_READ_ALL_PROP | + SEC_RIGHTS_READ_PERMS; + + return (read_bits == (access_mask & read_bits)); +} +#endif + +/**************************************************************** +****************************************************************/ + +static NTSTATUS gpo_sd_check_ace_denied_object(const struct security_ace *ace, + const struct security_token *token) +{ + if (gpo_sd_check_agp_object(ace) && + gpo_sd_check_agp_access_bits(ace->access_mask) && + security_token_has_sid(token, &ace->trustee)) { + struct dom_sid_buf sid_str; + DEBUG(10,("gpo_sd_check_ace_denied_object: " + "Access denied as of ace for %s\n", + dom_sid_str_buf(&ace->trustee, &sid_str))); + return NT_STATUS_ACCESS_DENIED; + } + + return STATUS_MORE_ENTRIES; +} + +/**************************************************************** +****************************************************************/ + +static NTSTATUS gpo_sd_check_ace_allowed_object(const struct security_ace *ace, + const struct security_token *token) +{ + if (gpo_sd_check_agp_object(ace) && + gpo_sd_check_agp_access_bits(ace->access_mask) && + security_token_has_sid(token, &ace->trustee)) { + struct dom_sid_buf sid_str; + DEBUG(10,("gpo_sd_check_ace_allowed_object: " + "Access granted as of ace for %s\n", + dom_sid_str_buf(&ace->trustee, &sid_str))); + return NT_STATUS_OK; + } + + return STATUS_MORE_ENTRIES; +} + +/**************************************************************** +****************************************************************/ + +static NTSTATUS gpo_sd_check_ace(const struct security_ace *ace, + const struct security_token *token) +{ + switch (ace->type) { + case SEC_ACE_TYPE_ACCESS_DENIED_OBJECT: + return gpo_sd_check_ace_denied_object(ace, token); + case SEC_ACE_TYPE_ACCESS_ALLOWED_OBJECT: + return gpo_sd_check_ace_allowed_object(ace, token); + default: + return STATUS_MORE_ENTRIES; + } +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpo_apply_security_filtering(const struct GROUP_POLICY_OBJECT *gpo, + const struct security_token *token) +{ + struct security_descriptor *sd = gpo->security_descriptor; + struct security_acl *dacl = NULL; + NTSTATUS status = NT_STATUS_ACCESS_DENIED; + int i; + + if (!token) { + return NT_STATUS_INVALID_USER_BUFFER; + } + + if (!sd) { + return NT_STATUS_INVALID_SECURITY_DESCR; + } + + dacl = sd->dacl; + if (!dacl) { + return NT_STATUS_INVALID_SECURITY_DESCR; + } + + /* check all aces and only return NT_STATUS_OK (== Access granted) or + * NT_STATUS_ACCESS_DENIED ( == Access denied) - the default is to + * deny access */ + + for (i = 0; i < dacl->num_aces; i ++) { + + status = gpo_sd_check_ace(&dacl->aces[i], token); + + if (NT_STATUS_EQUAL(status, NT_STATUS_ACCESS_DENIED)) { + return status; + } else if (NT_STATUS_IS_OK(status)) { + return status; + } + + continue; + } + + return NT_STATUS_ACCESS_DENIED; +} diff --git a/libgpo/gpo_util.c b/libgpo/gpo_util.c new file mode 100644 index 0000000..0c72340 --- /dev/null +++ b/libgpo/gpo_util.c @@ -0,0 +1,672 @@ +/* + * Unix SMB/CIFS implementation. + * Group Policy Object Support + * Copyright (C) Guenther Deschner 2005-2008 + * + * This program is free software; you can redistribute it and/or modify + * it under the terms of the GNU General Public License as published by + * the Free Software Foundation; either version 3 of the License, or + * (at your option) any later version. + * + * This program is distributed in the hope that it will be useful, + * but WITHOUT ANY WARRANTY; without even the implied warranty of + * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + * GNU General Public License for more details. + * + * You should have received a copy of the GNU General Public License + * along with this program; if not, see <http://www.gnu.org/licenses/>. + */ + +#include "includes.h" +#include "system/filesys.h" +#include "librpc/gen_ndr/ndr_misc.h" +#include "../librpc/gen_ndr/ndr_security.h" +#include "../libgpo/gpo.h" +#include "../libcli/security/security.h" +#include "registry.h" +#include "libgpo/gpo_proto.h" +#include "libgpo/gpext/gpext.h" + +#if 0 +#define DEFAULT_DOMAIN_POLICY "Default Domain Policy" +#define DEFAULT_DOMAIN_CONTROLLERS_POLICY "Default Domain Controllers Policy" +#endif + +/* should we store a parsed guid ? */ +struct gp_table { + const char *name; + const char *guid_string; +}; + +#if 0 /* unused */ +static struct gp_table gpo_default_policy[] = { + { DEFAULT_DOMAIN_POLICY, + "31B2F340-016D-11D2-945F-00C04FB984F9" }, + { DEFAULT_DOMAIN_CONTROLLERS_POLICY, + "6AC1786C-016F-11D2-945F-00C04fB984F9" }, + { NULL, NULL } +}; +#endif + +/* the following is seen in gPCMachineExtensionNames / gPCUserExtensionNames */ + +static struct gp_table gpo_cse_extensions[] = { + /* used to be "Administrative Templates Extension" */ + /* "Registry Settings" + (http://support.microsoft.com/kb/216357/EN-US/) */ + { "Registry Settings", + GP_EXT_GUID_REGISTRY }, + { "Microsoft Disc Quota", + "3610EDA5-77EF-11D2-8DC5-00C04FA31A66" }, + { "EFS recovery", + "B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A" }, + { "Folder Redirection", + "25537BA6-77A8-11D2-9B6C-0000F8080861" }, + { "IP Security", + "E437BC1C-AA7D-11D2-A382-00C04F991E27" }, + { "Internet Explorer Branding", + "A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B" }, + { "QoS Packet Scheduler", + "426031c0-0b47-4852-b0ca-ac3d37bfcb39" }, + { "Scripts", + GP_EXT_GUID_SCRIPTS }, + { "Security", + GP_EXT_GUID_SECURITY }, + { "Software Installation", + "C6DC5466-785A-11D2-84D0-00C04FB169F7" }, + { "Wireless Group Policy", + "0ACDD40C-75AC-BAA0-BF6DE7E7FE63" }, + { "Application Management", + "C6DC5466-785A-11D2-84D0-00C04FB169F7" }, + { "unknown", + "3060E8D0-7020-11D2-842D-00C04FA372D4" }, + { NULL, NULL } +}; + +/* guess work */ +static struct gp_table gpo_cse_snapin_extensions[] = { + { "Administrative Templates", + "0F6B957D-509E-11D1-A7CC-0000F87571E3" }, + { "Certificates", + "53D6AB1D-2488-11D1-A28C-00C04FB94F17" }, + { "EFS recovery policy processing", + "B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A" }, + { "Folder Redirection policy processing", + "25537BA6-77A8-11D2-9B6C-0000F8080861" }, + { "Folder Redirection", + "88E729D6-BDC1-11D1-BD2A-00C04FB9603F" }, + { "Registry policy processing", + "35378EAC-683F-11D2-A89A-00C04FBBCFA2" }, + { "Remote Installation Services", + "3060E8CE-7020-11D2-842D-00C04FA372D4" }, + { "Security Settings", + "803E14A0-B4FB-11D0-A0D0-00A0C90F574B" }, + { "Security policy processing", + "827D319E-6EAC-11D2-A4EA-00C04F79F83A" }, + { "unknown", + "3060E8D0-7020-11D2-842D-00C04FA372D4" }, + { "unknown2", + "53D6AB1B-2488-11D1-A28C-00C04FB94F17" }, + { NULL, NULL } +}; + +/**************************************************************** +****************************************************************/ + +static const char *name_to_guid_string(const char *name, + struct gp_table *table) +{ + int i; + + for (i = 0; table[i].name; i++) { + if (strequal(name, table[i].name)) { + return table[i].guid_string; + } + } + + return NULL; +} + +/**************************************************************** +****************************************************************/ + +static const char *guid_string_to_name(const char *guid_string, + struct gp_table *table) +{ + int i; + + for (i = 0; table[i].guid_string; i++) { + if (strequal(guid_string, table[i].guid_string)) { + return table[i].name; + } + } + + return NULL; +} + +/**************************************************************** +****************************************************************/ + +static const char *snapin_guid_string_to_name(const char *guid_string, + struct gp_table *table) +{ + int i; + for (i = 0; table[i].guid_string; i++) { + if (strequal(guid_string, table[i].guid_string)) { + return table[i].name; + } + } + return NULL; +} + +#if 0 /* unused */ +static const char *default_gpo_name_to_guid_string(const char *name) +{ + return name_to_guid_string(name, gpo_default_policy); +} + +static const char *default_gpo_guid_string_to_name(const char *guid) +{ + return guid_string_to_name(guid, gpo_default_policy); +} +#endif + +/**************************************************************** +****************************************************************/ + +const char *cse_gpo_guid_string_to_name(const char *guid) +{ + return guid_string_to_name(guid, gpo_cse_extensions); +} + +/**************************************************************** +****************************************************************/ + +const char *cse_gpo_name_to_guid_string(const char *name) +{ + return name_to_guid_string(name, gpo_cse_extensions); +} + +/**************************************************************** +****************************************************************/ + +const char *cse_snapin_gpo_guid_string_to_name(const char *guid) +{ + return snapin_guid_string_to_name(guid, gpo_cse_snapin_extensions); +} + +/**************************************************************** +****************************************************************/ + +void dump_gp_ext(struct GP_EXT *gp_ext, int debuglevel) +{ + int lvl = debuglevel; + int i; + + if (gp_ext == NULL) { + return; + } + + DEBUG(lvl,("\t---------------------\n\n")); + DEBUGADD(lvl,("\tname:\t\t\t%s\n", gp_ext->gp_extension)); + + for (i=0; i< gp_ext->num_exts; i++) { + + DEBUGADD(lvl,("\textension:\t\t\t%s\n", + gp_ext->extensions_guid[i])); + DEBUGADD(lvl,("\textension (name):\t\t\t%s\n", + gp_ext->extensions[i])); + + DEBUGADD(lvl,("\tsnapin:\t\t\t%s\n", + gp_ext->snapins_guid[i])); + DEBUGADD(lvl,("\tsnapin (name):\t\t\t%s\n", + gp_ext->snapins[i])); + } +} + +#ifdef HAVE_LDAP + +/**************************************************************** +****************************************************************/ + +void dump_gpo(const struct GROUP_POLICY_OBJECT *gpo, + int debuglevel) +{ + int lvl = debuglevel; + TALLOC_CTX *frame = talloc_stackframe(); + + if (gpo == NULL) { + goto out; + } + + DEBUG(lvl,("---------------------\n\n")); + + DEBUGADD(lvl,("name:\t\t\t%s\n", gpo->name)); + DEBUGADD(lvl,("displayname:\t\t%s\n", gpo->display_name)); + DEBUGADD(lvl,("version:\t\t%d (0x%08x)\n", gpo->version, gpo->version)); + DEBUGADD(lvl,("version_user:\t\t%d (0x%04x)\n", + GPO_VERSION_USER(gpo->version), + GPO_VERSION_USER(gpo->version))); + DEBUGADD(lvl,("version_machine:\t%d (0x%04x)\n", + GPO_VERSION_MACHINE(gpo->version), + GPO_VERSION_MACHINE(gpo->version))); + DEBUGADD(lvl,("filesyspath:\t\t%s\n", gpo->file_sys_path)); + DEBUGADD(lvl,("dspath:\t\t%s\n", gpo->ds_path)); + + DEBUGADD(lvl,("options:\t\t%d ", gpo->options)); + switch (gpo->options) { + case GPFLAGS_ALL_ENABLED: + DEBUGADD(lvl,("GPFLAGS_ALL_ENABLED\n")); + break; + case GPFLAGS_USER_SETTINGS_DISABLED: + DEBUGADD(lvl,("GPFLAGS_USER_SETTINGS_DISABLED\n")); + break; + case GPFLAGS_MACHINE_SETTINGS_DISABLED: + DEBUGADD(lvl,("GPFLAGS_MACHINE_SETTINGS_DISABLED\n")); + break; + case GPFLAGS_ALL_DISABLED: + DEBUGADD(lvl,("GPFLAGS_ALL_DISABLED\n")); + break; + default: + DEBUGADD(lvl,("unknown option: %d\n", gpo->options)); + break; + } + + DEBUGADD(lvl,("link:\t\t\t%s\n", gpo->link)); + DEBUGADD(lvl,("link_type:\t\t%d ", gpo->link_type)); + switch (gpo->link_type) { + case GP_LINK_UNKOWN: + DEBUGADD(lvl,("GP_LINK_UNKOWN\n")); + break; + case GP_LINK_OU: + DEBUGADD(lvl,("GP_LINK_OU\n")); + break; + case GP_LINK_DOMAIN: + DEBUGADD(lvl,("GP_LINK_DOMAIN\n")); + break; + case GP_LINK_SITE: + DEBUGADD(lvl,("GP_LINK_SITE\n")); + break; + case GP_LINK_MACHINE: + DEBUGADD(lvl,("GP_LINK_MACHINE\n")); + break; + default: + break; + } + + DEBUGADD(lvl,("machine_extensions:\t%s\n", gpo->machine_extensions)); + + if (gpo->machine_extensions) { + + struct GP_EXT *gp_ext = NULL; + + if (!ads_parse_gp_ext(frame, gpo->machine_extensions, + &gp_ext)) { + goto out; + } + dump_gp_ext(gp_ext, lvl); + } + + DEBUGADD(lvl,("user_extensions:\t%s\n", gpo->user_extensions)); + + if (gpo->user_extensions) { + + struct GP_EXT *gp_ext = NULL; + + if (!ads_parse_gp_ext(frame, gpo->user_extensions, + &gp_ext)) { + goto out; + } + dump_gp_ext(gp_ext, lvl); + } + if (gpo->security_descriptor) { + DEBUGADD(lvl,("security descriptor:\n")); + + NDR_PRINT_DEBUG(security_descriptor, gpo->security_descriptor); + } + out: + talloc_free(frame); +} + +/**************************************************************** +****************************************************************/ + +void dump_gpo_list(const struct GROUP_POLICY_OBJECT *gpo_list, + int debuglevel) +{ + const struct GROUP_POLICY_OBJECT *gpo = NULL; + + for (gpo = gpo_list; gpo; gpo = gpo->next) { + dump_gpo(gpo, debuglevel); + } +} + +/**************************************************************** +****************************************************************/ + +void dump_gplink(const struct GP_LINK *gp_link) +{ + int i; + int lvl = 10; + + if (gp_link == NULL) { + return; + } + + DEBUG(lvl,("---------------------\n\n")); + + DEBUGADD(lvl,("gplink: %s\n", gp_link->gp_link)); + DEBUGADD(lvl,("gpopts: %d ", gp_link->gp_opts)); + switch (gp_link->gp_opts) { + case GPOPTIONS_INHERIT: + DEBUGADD(lvl,("GPOPTIONS_INHERIT\n")); + break; + case GPOPTIONS_BLOCK_INHERITANCE: + DEBUGADD(lvl,("GPOPTIONS_BLOCK_INHERITANCE\n")); + break; + default: + break; + } + + DEBUGADD(lvl,("num links: %d\n", gp_link->num_links)); + + for (i = 0; i < gp_link->num_links; i++) { + + DEBUGADD(lvl,("---------------------\n\n")); + + DEBUGADD(lvl,("link: #%d\n", i + 1)); + DEBUGADD(lvl,("name: %s\n", gp_link->link_names[i])); + + DEBUGADD(lvl,("opt: %d ", gp_link->link_opts[i])); + if (gp_link->link_opts[i] & GPO_LINK_OPT_ENFORCED) { + DEBUGADD(lvl,("GPO_LINK_OPT_ENFORCED ")); + } + if (gp_link->link_opts[i] & GPO_LINK_OPT_DISABLED) { + DEBUGADD(lvl,("GPO_LINK_OPT_DISABLED")); + } + DEBUGADD(lvl,("\n")); + } +} + +#endif /* HAVE_LDAP */ + +/**************************************************************** +****************************************************************/ + +bool gpo_get_gp_ext_from_gpo(TALLOC_CTX *mem_ctx, + uint32_t flags, + const struct GROUP_POLICY_OBJECT *gpo, + struct GP_EXT **gp_ext) +{ + ZERO_STRUCTP(*gp_ext); + + if (flags & GPO_INFO_FLAG_MACHINE) { + + if (gpo->machine_extensions) { + + if (!ads_parse_gp_ext(mem_ctx, gpo->machine_extensions, + gp_ext)) { + return false; + } + } + } else { + + if (gpo->user_extensions) { + + if (!ads_parse_gp_ext(mem_ctx, gpo->user_extensions, + gp_ext)) { + return false; + } + } + } + + return true; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpo_process_gpo_list(TALLOC_CTX *mem_ctx, + const struct security_token *token, + const struct GROUP_POLICY_OBJECT *deleted_gpo_list, + const struct GROUP_POLICY_OBJECT *changed_gpo_list, + const char *extensions_guid_filter, + uint32_t flags) +{ + NTSTATUS status = NT_STATUS_OK; + struct registry_key *root_key = NULL; + struct gp_registry_context *reg_ctx = NULL; + WERROR werr; + + /* get the key here */ + if (flags & GPO_LIST_FLAG_MACHINE) { + werr = gp_init_reg_ctx(mem_ctx, KEY_HKLM, REG_KEY_WRITE, + get_system_token(), + ®_ctx); + } else { + werr = gp_init_reg_ctx(mem_ctx, KEY_HKCU, REG_KEY_WRITE, + token, + ®_ctx); + } + if (!W_ERROR_IS_OK(werr)) { + talloc_free(reg_ctx); + return werror_to_ntstatus(werr); + } + + root_key = reg_ctx->curr_key; + + status = gpext_process_extension(mem_ctx, + flags, token, root_key, + deleted_gpo_list, + changed_gpo_list, + extensions_guid_filter); + talloc_free(reg_ctx); + talloc_free(root_key); + gpext_free_gp_extensions(); + + return status; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpo_get_unix_path(TALLOC_CTX *mem_ctx, + const char *cache_dir, + const struct GROUP_POLICY_OBJECT *gpo, + char **unix_path) +{ + char *server, *share, *nt_path; + return gpo_explode_filesyspath(mem_ctx, cache_dir, gpo->file_sys_path, + &server, &share, &nt_path, unix_path); +} + +/**************************************************************** +****************************************************************/ + +char *gpo_flag_str(TALLOC_CTX *ctx, uint32_t flags) +{ + char *str = NULL; + + if (flags == 0) { + return NULL; + } + + str = talloc_strdup(ctx, ""); + if (!str) { + return NULL; + } + + if (flags & GPO_INFO_FLAG_SLOWLINK) + str = talloc_strdup_append(str, "GPO_INFO_FLAG_SLOWLINK "); + if (flags & GPO_INFO_FLAG_VERBOSE) + str = talloc_strdup_append(str, "GPO_INFO_FLAG_VERBOSE "); + if (flags & GPO_INFO_FLAG_SAFEMODE_BOOT) + str = talloc_strdup_append(str, "GPO_INFO_FLAG_SAFEMODE_BOOT "); + if (flags & GPO_INFO_FLAG_NOCHANGES) + str = talloc_strdup_append(str, "GPO_INFO_FLAG_NOCHANGES "); + if (flags & GPO_INFO_FLAG_MACHINE) + str = talloc_strdup_append(str, "GPO_INFO_FLAG_MACHINE "); + if (flags & GPO_INFO_FLAG_LOGRSOP_TRANSITION) + str = talloc_strdup_append(str, "GPO_INFO_FLAG_LOGRSOP_TRANSITION "); + if (flags & GPO_INFO_FLAG_LINKTRANSITION) + str = talloc_strdup_append(str, "GPO_INFO_FLAG_LINKTRANSITION "); + if (flags & GPO_INFO_FLAG_FORCED_REFRESH) + str = talloc_strdup_append(str, "GPO_INFO_FLAG_FORCED_REFRESH "); + if (flags & GPO_INFO_FLAG_BACKGROUND) + str = talloc_strdup_append(str, "GPO_INFO_FLAG_BACKGROUND "); + + return str; +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gp_find_file(TALLOC_CTX *mem_ctx, + uint32_t flags, + const char *filename, + const char *suffix, + const char **filename_out) +{ + const char *tmp = NULL; + struct stat sbuf; + const char *path = NULL; + + if (flags & GPO_LIST_FLAG_MACHINE) { + path = "Machine"; + } else { + path = "User"; + } + + tmp = talloc_asprintf(mem_ctx, "%s/%s/%s", filename, + path, suffix); + NT_STATUS_HAVE_NO_MEMORY(tmp); + + if (stat(tmp, &sbuf) == 0) { + *filename_out = tmp; + return NT_STATUS_OK; + } + + path = talloc_strdup_upper(mem_ctx, path); + NT_STATUS_HAVE_NO_MEMORY(path); + + tmp = talloc_asprintf(mem_ctx, "%s/%s/%s", filename, + path, suffix); + NT_STATUS_HAVE_NO_MEMORY(tmp); + + if (stat(tmp, &sbuf) == 0) { + *filename_out = tmp; + return NT_STATUS_OK; + } + + return NT_STATUS_NO_SUCH_FILE; +} + +/**************************************************************** +****************************************************************/ + +ADS_STATUS gp_get_machine_token(ADS_STRUCT *ads, + TALLOC_CTX *mem_ctx, + const char *dn, + struct security_token **token) +{ +#ifdef HAVE_ADS + struct security_token *ad_token = NULL; + ADS_STATUS status; + NTSTATUS ntstatus; + + status = ads_get_sid_token(ads, mem_ctx, dn, &ad_token); + if (!ADS_ERR_OK(status)) { + return status; + } + ntstatus = merge_with_system_token(mem_ctx, ad_token, + token); + if (!NT_STATUS_IS_OK(ntstatus)) { + return ADS_ERROR_NT(ntstatus); + } + return ADS_SUCCESS; +#else + return ADS_ERROR_NT(NT_STATUS_NOT_SUPPORTED); +#endif +} + +/**************************************************************** +****************************************************************/ + +NTSTATUS gpo_copy(TALLOC_CTX *mem_ctx, + const struct GROUP_POLICY_OBJECT *gpo_src, + struct GROUP_POLICY_OBJECT **gpo_dst) +{ + struct GROUP_POLICY_OBJECT *gpo; + + gpo = talloc_zero(mem_ctx, struct GROUP_POLICY_OBJECT); + NT_STATUS_HAVE_NO_MEMORY(gpo); + + gpo->options = gpo_src->options; + gpo->version = gpo_src->version; + + gpo->ds_path = talloc_strdup(gpo, gpo_src->ds_path); + if (gpo->ds_path == NULL) { + TALLOC_FREE(gpo); + return NT_STATUS_NO_MEMORY; + } + + gpo->file_sys_path = talloc_strdup(gpo, gpo_src->file_sys_path); + if (gpo->file_sys_path == NULL) { + TALLOC_FREE(gpo); + return NT_STATUS_NO_MEMORY; + } + + gpo->display_name = talloc_strdup(gpo, gpo_src->display_name); + if (gpo->display_name == NULL) { + TALLOC_FREE(gpo); + return NT_STATUS_NO_MEMORY; + } + + gpo->name = talloc_strdup(gpo, gpo_src->name); + if (gpo->name == NULL) { + TALLOC_FREE(gpo); + return NT_STATUS_NO_MEMORY; + } + + gpo->link = talloc_strdup(gpo, gpo_src->link); + if (gpo->link == NULL) { + TALLOC_FREE(gpo); + return NT_STATUS_NO_MEMORY; + } + + gpo->link_type = gpo_src->link_type; + + if (gpo_src->user_extensions) { + gpo->user_extensions = talloc_strdup(gpo, gpo_src->user_extensions); + if (gpo->user_extensions == NULL) { + TALLOC_FREE(gpo); + return NT_STATUS_NO_MEMORY; + } + } + + if (gpo_src->machine_extensions) { + gpo->machine_extensions = talloc_strdup(gpo, gpo_src->machine_extensions); + if (gpo->machine_extensions == NULL) { + TALLOC_FREE(gpo); + return NT_STATUS_NO_MEMORY; + } + } + + if (gpo_src->security_descriptor == NULL) { + /* existing SD assumed */ + TALLOC_FREE(gpo); + return NT_STATUS_INVALID_PARAMETER; + } + gpo->security_descriptor = security_descriptor_copy(gpo, + gpo_src->security_descriptor); + if (gpo->security_descriptor == NULL) { + TALLOC_FREE(gpo); + return NT_STATUS_NO_MEMORY; + } + + gpo->next = gpo->prev = NULL; + + *gpo_dst = gpo; + + return NT_STATUS_OK; +} diff --git a/libgpo/pygpo.c b/libgpo/pygpo.c new file mode 100644 index 0000000..0f71163 --- /dev/null +++ b/libgpo/pygpo.c @@ -0,0 +1,767 @@ +/* + Unix SMB/CIFS implementation. + Copyright (C) Luke Morrison <luc785@hotmail.com> 2013 + + This program is free software; you can redistribute it and/or modify + it under the terms of the GNU General Public License as published by + the Free Software Foundation; either version 3 of the License, or + (at your option) any later version. + + This program is distributed in the hope that it will be useful, + but WITHOUT ANY WARRANTY; without even the implied warranty of + MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the + GNU General Public License for more details. + + You should have received a copy of the GNU General Public License + along with this program. If not, see <http://www.gnu.org/licenses/>. +*/ + +#include "lib/replace/system/python.h" +#include "includes.h" +#include "version.h" +#include "param/pyparam.h" +#include "gpo.h" +#include "ads.h" +#include "secrets.h" +#include "../libds/common/flags.h" +#include "librpc/rpc/pyrpc_util.h" +#include "auth/credentials/pycredentials.h" +#include "libcli/util/pyerrors.h" +#include "python/py3compat.h" +#include "python/modules.h" +#include <pytalloc.h> +#include "../libcli/security/security.h" + +/* A Python C API module to use LIBGPO */ + +#define GPO_getter(ATTR) \ +static PyObject* GPO_get_##ATTR(PyObject *self, void *closure) \ +{ \ + struct GROUP_POLICY_OBJECT *gpo_ptr \ + = pytalloc_get_ptr(self); \ + \ + if (gpo_ptr->ATTR) \ + return PyUnicode_FromString(gpo_ptr->ATTR); \ + else \ + Py_RETURN_NONE; \ +} +GPO_getter(ds_path) +GPO_getter(file_sys_path) +GPO_getter(display_name) +GPO_getter(name) +GPO_getter(link) +GPO_getter(user_extensions) +GPO_getter(machine_extensions) +#define GPO_setter(ATTR) \ +static int GPO_set_##ATTR(PyObject *self, PyObject *val, void *closure) \ +{ \ + struct GROUP_POLICY_OBJECT *gpo_ptr \ + = pytalloc_get_ptr(self); \ + \ + if (!PyUnicode_Check(val)) { \ + PyErr_Format(PyExc_TypeError, \ + "Cannot convert input to string"); \ + return -1; \ + } \ + if (val != Py_None) { \ + gpo_ptr->ATTR = talloc_strdup(gpo_ptr, \ + _PyUnicode_AsString(val)); \ + } else { \ + gpo_ptr->ATTR = NULL; \ + } \ + return 0; \ +} +GPO_setter(ds_path) +GPO_setter(file_sys_path) +GPO_setter(display_name) +GPO_setter(name) +GPO_setter(link) +GPO_setter(user_extensions) +GPO_setter(machine_extensions) +#define GPO_int_getter(ATTR) \ +static PyObject* GPO_get_##ATTR(PyObject *self, void *closure) \ +{ \ + struct GROUP_POLICY_OBJECT *gpo_ptr \ + = pytalloc_get_ptr(self); \ + \ + return PyLong_FromLong(gpo_ptr->ATTR); \ +} +GPO_int_getter(options) +GPO_int_getter(version) +GPO_int_getter(link_type) +#define GPO_int_setter(ATTR) \ +static int GPO_set_##ATTR(PyObject *self, PyObject *val, void *closure) \ +{ \ + struct GROUP_POLICY_OBJECT *gpo_ptr \ + = pytalloc_get_ptr(self); \ + \ + if (!PyLong_Check(val)) { \ + PyErr_Format(PyExc_TypeError, \ + "Cannot convert input to int"); \ + return -1; \ + } else { \ + gpo_ptr->ATTR = PyLong_AsLong(val); \ + } \ + return 0; \ +} +GPO_int_setter(options) +GPO_int_setter(version) +GPO_int_setter(link_type) + +static PyObject *GPO_marshall_get_sec_desc_buf(PyObject *self, PyObject *args, + PyObject *kwds) +{ + struct GROUP_POLICY_OBJECT *gpo_ptr = pytalloc_get_ptr(self); + NTSTATUS status; + uint8_t *data = NULL; + size_t len = 0; + + if (gpo_ptr->security_descriptor == NULL) { + PyErr_SetString(PyExc_RuntimeError, "Uninitialized"); + return NULL; + } + + status = marshall_sec_desc(gpo_ptr, gpo_ptr->security_descriptor, + &data, &len); + if (!NT_STATUS_IS_OK(status)) { + PyErr_Format(PyExc_BufferError, + "marshall_sec_desc_buf failed: %s", + nt_errstr(status)); + return NULL; + } + + return PyBytes_FromStringAndSize((char *)data, len); +} + +static PyObject *GPO_unmarshall_set_sec_desc(PyObject *self, PyObject *args, + PyObject *kwds) +{ + struct GROUP_POLICY_OBJECT *gpo_ptr = pytalloc_get_ptr(self); + char *bytes = NULL; + size_t length = 0; + NTSTATUS status; + + if (!PyArg_ParseTuple(args, "s#", &bytes, &length)) { + PyErr_Format(PyExc_TypeError, + "Cannot convert input to bytes"); + return NULL; + } + + gpo_ptr->security_descriptor = talloc_zero(gpo_ptr, + struct security_descriptor); + status = unmarshall_sec_desc(gpo_ptr, (uint8_t *)bytes, length, + &gpo_ptr->security_descriptor); + if (!NT_STATUS_IS_OK(status)) { + PyErr_Format(PyExc_BufferError, + "unmarshall_sec_desc failed: %s", + nt_errstr(status)); + return NULL; + } + + return Py_None; +} + +static PyGetSetDef GPO_setters[] = { + {discard_const_p(char, "options"), (getter)GPO_get_options, + (setter)GPO_set_options, NULL, NULL}, + {discard_const_p(char, "version"), (getter)GPO_get_version, + (setter)GPO_set_version, NULL, NULL}, + {discard_const_p(char, "ds_path"), (getter)GPO_get_ds_path, + (setter)GPO_set_ds_path, NULL, NULL}, + {discard_const_p(char, "file_sys_path"), (getter)GPO_get_file_sys_path, + (setter)GPO_set_file_sys_path, NULL, NULL}, + {discard_const_p(char, "display_name"), (getter)GPO_get_display_name, + (setter)GPO_set_display_name, NULL, NULL}, + {discard_const_p(char, "name"), (getter)GPO_get_name, + (setter)GPO_set_name, NULL, NULL}, + {discard_const_p(char, "link"), (getter)GPO_get_link, + (setter)GPO_set_link, NULL, NULL}, + {discard_const_p(char, "link_type"), (getter)GPO_get_link_type, + (setter)GPO_set_link_type, NULL, NULL}, + {discard_const_p(char, "user_extensions"), + (getter)GPO_get_user_extensions, + (setter)GPO_set_user_extensions, NULL, NULL}, + {discard_const_p(char, "machine_extensions"), + (getter)GPO_get_machine_extensions, + (setter)GPO_set_machine_extensions, NULL, NULL}, + {0} +}; + +static PyObject *py_gpo_get_unix_path(PyObject *self, PyObject *args, + PyObject *kwds) +{ + NTSTATUS status; + const char *cache_dir = NULL; + PyObject *ret = NULL; + char *unix_path = NULL; + TALLOC_CTX *frame = NULL; + static const char *kwlist[] = {"cache_dir", NULL}; + struct GROUP_POLICY_OBJECT *gpo_ptr \ + = (struct GROUP_POLICY_OBJECT *)pytalloc_get_ptr(self); + + frame = talloc_stackframe(); + + if (!PyArg_ParseTupleAndKeywords(args, kwds, "|s", + discard_const_p(char *, kwlist), + &cache_dir)) { + goto out; + } + + if (!cache_dir) { + cache_dir = cache_path(talloc_tos(), GPO_CACHE_DIR); + if (!cache_dir) { + PyErr_SetString(PyExc_MemoryError, + "Failed to determine gpo cache dir"); + goto out; + } + } + + status = gpo_get_unix_path(frame, cache_dir, gpo_ptr, &unix_path); + + if (!NT_STATUS_IS_OK(status)) { + PyErr_Format(PyExc_RuntimeError, + "Failed to determine gpo unix path: %s", + get_friendly_nt_error_msg(status)); + goto out; + } + + ret = PyUnicode_FromString(unix_path); + +out: + TALLOC_FREE(frame); + return ret; +} + +static PyMethodDef GPO_methods[] = { + {"get_unix_path", PY_DISCARD_FUNC_SIG(PyCFunction, + py_gpo_get_unix_path), + METH_VARARGS | METH_KEYWORDS, + NULL }, + {"set_sec_desc", PY_DISCARD_FUNC_SIG(PyCFunction, + GPO_unmarshall_set_sec_desc), + METH_VARARGS, NULL }, + {"get_sec_desc_buf", PY_DISCARD_FUNC_SIG(PyCFunction, + GPO_marshall_get_sec_desc_buf), + METH_NOARGS, NULL }, + {0} +}; + +static int py_gpo_init(PyObject *self, PyObject *args, PyObject *kwds) +{ + struct GROUP_POLICY_OBJECT *gpo_ptr = pytalloc_get_ptr(self); + const char *name = NULL; + const char *display_name = NULL; + enum GPO_LINK_TYPE link_type = GP_LINK_UNKOWN; + const char *file_sys_path = NULL; + + static const char *kwlist[] = { + "name", "display_name", "link_type", "file_sys_path", NULL + }; + if (!PyArg_ParseTupleAndKeywords(args, kwds, "|ssIs", + discard_const_p(char *, kwlist), + &name, &display_name, &link_type, + &file_sys_path)) { + return -1; + } + + if (name) { + gpo_ptr->name = talloc_strdup(gpo_ptr, name); + } + if (display_name) { + gpo_ptr->display_name = talloc_strdup(gpo_ptr, display_name); + } + gpo_ptr->link_type = link_type; + if (file_sys_path) { + gpo_ptr->file_sys_path = talloc_strdup(gpo_ptr, file_sys_path); + } + + return 0; +} + +static PyObject *py_gpo_new(PyTypeObject *type, PyObject *args, PyObject *kwargs) +{ + return pytalloc_new(struct GROUP_POLICY_OBJECT, type); +} + +static PyTypeObject GPOType = { + PyVarObject_HEAD_INIT(NULL, 0) + .tp_name = "gpo.GROUP_POLICY_OBJECT", + .tp_doc = "GROUP_POLICY_OBJECT", + .tp_getset = GPO_setters, + .tp_methods = GPO_methods, + .tp_flags = Py_TPFLAGS_DEFAULT | Py_TPFLAGS_BASETYPE, + .tp_new = py_gpo_new, + .tp_init = (initproc)py_gpo_init, +}; + +typedef struct { + PyObject_HEAD + ADS_STRUCT *ads_ptr; + PyObject *py_creds; + struct cli_credentials *cli_creds; +} ADS; + +static void py_ads_dealloc(ADS* self) +{ + TALLOC_FREE(self->ads_ptr); + Py_CLEAR(self->py_creds); + Py_TYPE(self)->tp_free((PyObject*)self); +} + +static PyObject* py_ads_connect(ADS *self, PyObject *Py_UNUSED(ignored)); +static int py_ads_init(ADS *self, PyObject *args, PyObject *kwds) +{ + const char *realm = NULL; + const char *workgroup = NULL; + const char *ldap_server = NULL; + PyObject *lp_obj = NULL; + PyObject *py_creds = NULL; + struct loadparm_context *lp_ctx = NULL; + bool ok = false; + + static const char *kwlist[] = { + "ldap_server", "loadparm_context", "credentials", NULL + }; + if (!PyArg_ParseTupleAndKeywords(args, kwds, "sO|O", + discard_const_p(char *, kwlist), + &ldap_server, &lp_obj, &py_creds)) { + return -1; + } + /* keep reference to the credentials. Clear any earlier ones */ + Py_CLEAR(self->py_creds); + self->cli_creds = NULL; + self->py_creds = py_creds; + Py_XINCREF(self->py_creds); + + if (self->py_creds) { + ok = py_check_dcerpc_type(self->py_creds, "samba.credentials", + "Credentials"); + if (!ok) { + return -1; + } + self->cli_creds + = PyCredentials_AsCliCredentials(self->py_creds); + } + + ok = py_check_dcerpc_type(lp_obj, "samba.param", "LoadParm"); + if (!ok) { + return -1; + } + lp_ctx = pytalloc_get_type(lp_obj, struct loadparm_context); + if (lp_ctx == NULL) { + return -1; + } + ok = lp_load_initial_only(lp_ctx->szConfigFile); + if (!ok) { + PyErr_Format(PyExc_RuntimeError, "Could not load config file '%s'", + lp_ctx->szConfigFile); + return -1; + } + + if (self->cli_creds) { + realm = cli_credentials_get_realm(self->cli_creds); + workgroup = cli_credentials_get_domain(self->cli_creds); + } else { + realm = lp_realm(); + workgroup = lp_workgroup(); + } + + /* in case __init__ is called more than once */ + if (self->ads_ptr) { + TALLOC_FREE(self->ads_ptr); + } + /* always succeeds or crashes */ + self->ads_ptr = ads_init(pytalloc_get_mem_ctx(args), + realm, + workgroup, + ldap_server, + ADS_SASL_PLAIN); + + return 0; +} + +/* connect. Failure to connect results in an Exception */ +static PyObject* py_ads_connect(ADS *self, + PyObject *Py_UNUSED(ignored)) +{ + ADS_STATUS status; + TALLOC_CTX *frame = talloc_stackframe(); + if (!self->ads_ptr) { + PyErr_SetString(PyExc_RuntimeError, "Uninitialized"); + return NULL; + } + ADS_TALLOC_CONST_FREE(self->ads_ptr->auth.user_name); + ADS_TALLOC_CONST_FREE(self->ads_ptr->auth.password); + ADS_TALLOC_CONST_FREE(self->ads_ptr->auth.realm); + if (self->cli_creds) { + self->ads_ptr->auth.user_name = talloc_strdup(self->ads_ptr, + cli_credentials_get_username(self->cli_creds)); + if (self->ads_ptr->auth.user_name == NULL) { + PyErr_NoMemory(); + goto err; + } + self->ads_ptr->auth.password = talloc_strdup(self->ads_ptr, + cli_credentials_get_password(self->cli_creds)); + if (self->ads_ptr->auth.password == NULL) { + PyErr_NoMemory(); + goto err; + } + self->ads_ptr->auth.realm = talloc_strdup(self->ads_ptr, + cli_credentials_get_realm(self->cli_creds)); + if (self->ads_ptr->auth.realm == NULL) { + PyErr_NoMemory(); + goto err; + } + self->ads_ptr->auth.flags |= ADS_AUTH_USER_CREDS; + status = ads_connect_user_creds(self->ads_ptr); + } else { + char *passwd = NULL; + + if (!secrets_init()) { + PyErr_SetString(PyExc_RuntimeError, + "secrets_init() failed"); + goto err; + } + + self->ads_ptr->auth.user_name = talloc_asprintf(self->ads_ptr, + "%s$", + lp_netbios_name()); + if (self->ads_ptr->auth.user_name == NULL) { + PyErr_NoMemory(); + goto err; + } + + passwd = secrets_fetch_machine_password( + self->ads_ptr->server.workgroup, NULL, NULL); + if (passwd == NULL) { + PyErr_SetString(PyExc_RuntimeError, + "Failed to fetch the machine account " + "password"); + goto err; + } + + self->ads_ptr->auth.password = talloc_strdup(self->ads_ptr, + passwd); + SAFE_FREE(passwd); + if (self->ads_ptr->auth.password == NULL) { + PyErr_NoMemory(); + goto err; + } + self->ads_ptr->auth.realm = talloc_asprintf_strupper_m( + self->ads_ptr, "%s", self->ads_ptr->server.realm); + if (self->ads_ptr->auth.realm == NULL) { + PyErr_NoMemory(); + goto err; + } + self->ads_ptr->auth.flags |= ADS_AUTH_USER_CREDS; + status = ads_connect(self->ads_ptr); + } + if (!ADS_ERR_OK(status)) { + PyErr_Format(PyExc_RuntimeError, + "ads_connect() failed: %s", + ads_errstr(status)); + goto err; + } + + TALLOC_FREE(frame); + Py_RETURN_TRUE; + +err: + TALLOC_FREE(frame); + return NULL; +} + +/* Parameter mapping and functions for the GP_EXT struct */ +void initgpo(void); + +/* Global methods aka do not need a special pyobject type */ +static PyObject *py_gpo_get_sysvol_gpt_version(PyObject * self, + PyObject * args) +{ + TALLOC_CTX *tmp_ctx = NULL; + char *unix_path; + char *display_name = NULL; + uint32_t sysvol_version = 0; + PyObject *result; + NTSTATUS status; + + if (!PyArg_ParseTuple(args, "s", &unix_path)) { + return NULL; + } + tmp_ctx = talloc_new(NULL); + if (!tmp_ctx) { + return PyErr_NoMemory(); + } + status = gpo_get_sysvol_gpt_version(tmp_ctx, unix_path, + &sysvol_version, + &display_name); + if (!NT_STATUS_IS_OK(status)) { + PyErr_SetNTSTATUS(status); + TALLOC_FREE(tmp_ctx); + return NULL; + } + + result = Py_BuildValue("[s,i]", display_name, sysvol_version); + talloc_free(tmp_ctx); + return result; +} + +#ifdef HAVE_ADS +static ADS_STATUS find_samaccount(ADS_STRUCT *ads, TALLOC_CTX *mem_ctx, + const char *samaccountname, + uint32_t *uac_ret, const char **dn_ret) +{ + ADS_STATUS status; + const char *attrs[] = { "userAccountControl", NULL }; + const char *filter; + LDAPMessage *res = NULL; + char *dn = NULL; + uint32_t uac = 0; + + filter = talloc_asprintf(mem_ctx, "(sAMAccountName=%s)", + samaccountname); + if (filter == NULL) { + status = ADS_ERROR_NT(NT_STATUS_NO_MEMORY); + goto out; + } + + status = ads_do_search_all(ads, ads->config.bind_path, + LDAP_SCOPE_SUBTREE, filter, attrs, &res); + + if (!ADS_ERR_OK(status)) { + goto out; + } + + if (ads_count_replies(ads, res) != 1) { + status = ADS_ERROR(LDAP_NO_RESULTS_RETURNED); + goto out; + } + + dn = ads_get_dn(ads, talloc_tos(), res); + if (dn == NULL) { + status = ADS_ERROR(LDAP_NO_MEMORY); + goto out; + } + + if (!ads_pull_uint32(ads, res, "userAccountControl", &uac)) { + status = ADS_ERROR(LDAP_NO_SUCH_ATTRIBUTE); + goto out; + } + + if (uac_ret) { + *uac_ret = uac; + } + + if (dn_ret) { + *dn_ret = talloc_strdup(mem_ctx, dn); + if (*dn_ret == NULL) { + status = ADS_ERROR(LDAP_NO_MEMORY); + goto out; + } + } +out: + TALLOC_FREE(dn); + ads_msgfree(ads, res); + + return status; +} + +static PyObject *py_ads_get_gpo_list(ADS *self, PyObject *args, PyObject *kwds) +{ + TALLOC_CTX *frame = NULL; + struct GROUP_POLICY_OBJECT *gpo = NULL, *gpo_list = NULL; + ADS_STATUS status; + const char *samaccountname = NULL; + const char *dn = NULL; + uint32_t uac = 0; + uint32_t flags = 0; + struct security_token *token = NULL; + PyObject *ret = NULL; + TALLOC_CTX *gpo_ctx = NULL; + size_t list_size; + size_t i; + + static const char *kwlist[] = {"samaccountname", NULL}; + + PyErr_WarnEx(PyExc_DeprecationWarning, "The get_gpo_list function" + " is deprecated as of Samba 4.19. Please use " + "the samba.gp module instead.", 2); + + if (!PyArg_ParseTupleAndKeywords(args, kwds, "s", + discard_const_p(char *, kwlist), + &samaccountname)) { + return NULL; + } + if (!self->ads_ptr) { + PyErr_SetString(PyExc_RuntimeError, "Uninitialized"); + return NULL; + } + + frame = talloc_stackframe(); + + status = find_samaccount(self->ads_ptr, frame, + samaccountname, &uac, &dn); + if (!ADS_ERR_OK(status)) { + PyErr_Format(PyExc_RuntimeError, + "Failed to find samAccountName '%s': %s", + samaccountname, ads_errstr(status)); + goto out; + } + + if (uac & UF_WORKSTATION_TRUST_ACCOUNT || + uac & UF_SERVER_TRUST_ACCOUNT) { + flags |= GPO_LIST_FLAG_MACHINE; + status = gp_get_machine_token(self->ads_ptr, frame, dn, + &token); + if (!ADS_ERR_OK(status)) { + PyErr_Format(PyExc_RuntimeError, + "Failed to get machine token for '%s'(%s): %s", + samaccountname, dn, ads_errstr(status)); + goto out; + } + } else { + status = ads_get_sid_token(self->ads_ptr, frame, dn, &token); + if (!ADS_ERR_OK(status)) { + PyErr_Format(PyExc_RuntimeError, + "Failed to get sid token for '%s'(%s): %s", + samaccountname, dn, ads_errstr(status)); + goto out; + } + } + + gpo_ctx = talloc_new(frame); + if (!gpo_ctx) { + PyErr_NoMemory(); + goto out; + } + status = ads_get_gpo_list(self->ads_ptr, gpo_ctx, dn, flags, token, + &gpo_list); + if (!ADS_ERR_OK(status)) { + PyErr_Format(PyExc_RuntimeError, + "Failed to fetch GPO list: %s", + ads_errstr(status)); + goto out; + } + + /* Convert the C linked list into a python list */ + list_size = 0; + for (gpo = gpo_list; gpo != NULL; gpo = gpo->next) { + list_size++; + } + + i = 0; + ret = PyList_New(list_size); + if (ret == NULL) { + goto out; + } + + for (gpo = gpo_list; gpo != NULL; gpo = gpo->next) { + PyObject *obj = pytalloc_reference_ex(&GPOType, + gpo_ctx, gpo); + if (obj == NULL) { + Py_CLEAR(ret); + goto out; + } + + PyList_SetItem(ret, i, obj); + i++; + } + +out: + TALLOC_FREE(frame); + return ret; +} + +#endif + +static PyMethodDef ADS_methods[] = { + { "connect", (PyCFunction)py_ads_connect, METH_NOARGS, + "Connect to the LDAP server" }, +#ifdef HAVE_ADS + { "get_gpo_list", PY_DISCARD_FUNC_SIG(PyCFunction, py_ads_get_gpo_list), + METH_VARARGS | METH_KEYWORDS, + NULL }, +#endif + {0} +}; + +static PyTypeObject ads_ADSType = { + .tp_name = "gpo.ADS_STRUCT", + .tp_basicsize = sizeof(ADS), + .tp_new = PyType_GenericNew, + .tp_dealloc = (destructor)py_ads_dealloc, + .tp_flags = Py_TPFLAGS_DEFAULT, + .tp_doc = "ADS struct", + .tp_methods = ADS_methods, + .tp_init = (initproc)py_ads_init, +}; + +static PyMethodDef py_gpo_methods[] = { + {"gpo_get_sysvol_gpt_version", + (PyCFunction)py_gpo_get_sysvol_gpt_version, + METH_VARARGS, NULL}, + {0} +}; + +static struct PyModuleDef moduledef = { + PyModuleDef_HEAD_INIT, + .m_name = "gpo", + .m_doc = "libgpo python bindings", + .m_size = -1, + .m_methods = py_gpo_methods, +}; + +/* Will be called by python when loading this module */ +void initgpo(void); + +MODULE_INIT_FUNC(gpo) +{ + PyObject *m; + + debug_setup_talloc_log(); + + /* Instantiate the types */ + m = PyModule_Create(&moduledef); + if (m == NULL) { + goto err; + } + + if (PyModule_AddObject(m, "version", + PyUnicode_FromString(SAMBA_VERSION_STRING)) ) { + goto err; + } + + if (pytalloc_BaseObject_PyType_Ready(&ads_ADSType) < 0) { + goto err; + } + + Py_INCREF(&ads_ADSType); + if (PyModule_AddObject(m, "ADS_STRUCT", (PyObject *)&ads_ADSType)) { + goto err; + } + + if (pytalloc_BaseObject_PyType_Ready(&GPOType) < 0) { + goto err; + } + + Py_INCREF((PyObject *)(void *)&GPOType); + if (PyModule_AddObject(m, "GROUP_POLICY_OBJECT", + (PyObject *)&GPOType)) { + goto err; + } + +#define ADD_FLAGS(val) PyModule_AddObject(m, #val, PyLong_FromLong(val)) + + ADD_FLAGS(GP_LINK_UNKOWN); + ADD_FLAGS(GP_LINK_MACHINE); + ADD_FLAGS(GP_LINK_SITE); + ADD_FLAGS(GP_LINK_DOMAIN); + ADD_FLAGS(GP_LINK_OU); + ADD_FLAGS(GP_LINK_LOCAL); + + return m; + +err: + Py_CLEAR(m); + return NULL; +} diff --git a/libgpo/wscript_build b/libgpo/wscript_build new file mode 100644 index 0000000..cb0a40a --- /dev/null +++ b/libgpo/wscript_build @@ -0,0 +1,24 @@ +#!/usr/bin/env python + +LIBGPO_SRC = '''gpo_ldap.c gpo_ini.c gpo_util.c gpo_fetch.c gpo_filesync.c + gpo_sec.c gpo_reg.c gpext/gpext.c''' + +bld.SAMBA3_LIBRARY('gpo', + source='${LIBGPO_SRC}', + deps='talloc ads TOKEN_UTIL auth', + vars=locals(), + private_library=True) + +bld.SAMBA3_LIBRARY('gpext', + source='''gpext/gpext.c''', + deps='talloc ads TOKEN_UTIL auth gpo', + private_library=True) + +pyparam_util = bld.pyembed_libname('pyparam_util') +pyrpc_util = bld.pyembed_libname('pyrpc_util') +bld.SAMBA3_PYTHON('python_samba_libgpo', 'pygpo.c', + deps='%s gpext talloc ads TOKEN_UTIL auth %s' % (pyparam_util, pyrpc_util), + realname='samba/gpo.so') + +if bld.AD_DC_BUILD_IS_ENABLED(): + bld.RECURSE('admx') |