docs-xml/smbdotconf/protocol/profileacls.xml

   1 <samba:parameter name="profile acls"
   2                  context="S"
   3                  type="boolean"
   4                  deprecated="1"
   5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   6 <description>
   7         <para>
   8         As most system support support posix acls and extended attributes
   9         today. The "acl_xattr" vfs module should be used instead of
  10         using <smbconfoption name="profile acls">yes</smbconfoption>.
  11         Using an vfs module that provides nfs4 acls may also work.
  12         </para>
  13
  14         <para>
  15         With modern clients (as of 2017) it's not possible to
  16         use <smbconfoption name="profile acls">yes</smbconfoption> anymore.
  17         </para>
  18
  19         <para>
  20         This boolean parameter was added to fix the problems that people have been
  21         having with storing user profiles on Samba shares from Windows 2000 or
  22         Windows XP clients. New versions of Windows 2000 or Windows XP service
  23         packs do security ACL checking on the owner and ability to write of the
  24         profile directory stored on a local workstation when copied from a Samba
  25         share.
  26         </para>
  27
  28         <para>
  29         When not in domain mode with winbindd then the security info copied
  30         onto the local workstation has no meaning to the logged in user (SID) on
  31         that workstation so the profile storing fails. Adding this parameter
  32         onto a share used for profile storage changes two things about the
  33         returned Windows ACL. Firstly it changes the owner and group owner
  34         of all reported files and directories to be BUILTIN\\Administrators,
  35         BUILTIN\\Users respectively (SIDs S-1-5-32-544, S-1-5-32-545). Secondly
  36         it adds an ACE entry of "Full Control" to the SID BUILTIN\\Users to
  37         every returned ACL. This will allow any Windows 2000 or XP workstation
  38         user to access the profile.
  39         </para>
  40
  41         <para>
  42         Note that if you have multiple users logging
  43         on to a workstation then in order to prevent them from being able to access
  44         each others profiles you must remove the "Bypass traverse checking" advanced
  45         user right. This will prevent access to other users profile directories as
  46         the top level profile directory (named after the user) is created by the
  47         workstation profile code and has an ACL restricting entry to the directory
  48         tree to the owning user.
  49         </para>
  50
  51         <para>
  52         Note that this parameter should be set to yes on dedicated profile shares only.
  53         On other shares, it might cause incorrect file ownerships.
  54         </para>
  55
  56         <para>
  57         This parameter is deprecated with Samba 4.7 and will be removed in future versions.
  58         </para>
  59 </description>
  60
  61 <value type="default">no</value>
  62 </samba:parameter>