samba ad-dc gpo create

Üdv!

Adva van egy friss telepítésű samba ad-dc, és ha Windows alól akarok egy GPO-t kreálni, akkor közli velem, hogy "Access denied" holott a legfőbb Adminnal vagyok belépve. A fellelhető beállításokat már átrágtam, minden acl ránézésre rendben van, bármit lehet csinálni, csak és kizárólag GPO-t nem lehet létrehozni, a meglévőt viszont lehet módosítani.

A samba-tool gpo create paranccsal se boldogulok, aszondja: "ERROR(runtime): uncaught exception - (3221225524, 'The object name is not found.')".

Szóval ötlet?

Hozzászólások

Szerkesztve: 2020. 08. 12., sze - 13:25

Sysvolreset volt már.?

A sysvol és a netlogon-mappára teljes joga van a domain adminoknak / a tulajdonukban van.?

God bless you, Captain Hindsight..

ADSI edit-tel (vagy random LDAP GUI-val) nézz rá, hogy LDAP-ban rendben vannak-e a dolgok, jogosultságok (CN=Policies,CN=System,<RootDSE>). Meg persze told fel a log level-t valami barátságos debug szintig, és próbáld meg úgy :)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Na most sikerült eljutnom odáig, hogy ránézzek. Loglevel a maxra tekerve.

set_nt_acl: chown */Policies/{63....87F}, 3000000, 3000000 failed. Error = NT_STATUS_ACCESS_DENIED.

Az egyetlen hibaüzenet. Viszont ezt nem tudom hogyan javítani. A fájlrendszert ha írhatja is minden user, akkor is ez van. 

LDAP-ba nézve a CN=Policies-en belül van 2 üres. és itt meg is állt a tudományom.

openSUSE Leap 15

Maga a mappa létezik?

acl és xattr csomagok fenn vannak (Debianon úgy rémlik alapból nem dependel rá...), engedélyezve van a user_xattr és/vagy az ACL azon a partíción, ahol a sysvol van?

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

ACL van, engedélyezve is van a sysvolra, a jogosultságok szépen be vannak vele állítva. Viszont xattr csomagom nincs is. 

Ja igen, a mappát, amire panaszkodik, azt nem is hozza létre. Kézzel feleslegesen hozom létre, mert mindig más-más néven akarja. 

openSUSE Leap 15

xattr-t tedd fel, kell neki (és ha ext4 van a sysvol alatt, akkor a mount opciók között a user_xattr-nek is szerepelnie kell). [abban tárolja az NTFS jogosultságokat, az ACL-eket már mappeli, de nem 100% a konverzió]

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Ja, a mount optionben benne van a "user_xattr". Megy az by default is. Azon is akadtam el, hogy amúgy csak azt az egyet nem hozza létre, de ugyanarra a sysvolra, a "StarterGPOs" mappába létrejött, amit tesztből csináltam.

De most annyit sikerült tekergetnem, hogy valahogy létrejön már üresen a mappa, de chown-ra továbbra is "NT_STATUS_ACCESS_DENIED" érkezik. 

openSUSE Leap 15

chown-ra hogy kapsz NT_STATUS_... akármit? Valahova SMB-n felmountolva próbálsz chown-t indítani?

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Szerkesztve: 2020. 08. 27., cs - 19:24

Szia!

Nem tudom már hányadik ilyen topik ahol a SAMBA-AD nem megy.
Kicsit off - de nem lenne egyszerűbb megvenni 1db Windows Server Standard-t és CAL-t és elfelejteni ezt?
(A kliens gépen lévő Windows és az Office ára mellett a CAL már szinte nem tétel)

Üzemeltetés szempontjából lesz egyszerűbb - nem kell reszelgetni/heggeszgetni/aláfalazni mindíg ha valami nem működik.
Sajnos be kell látni a Samba erre alkalmatlan - ez a tipikus nyitott szájjal a ..sz erdőbe kategória.

#worksforme

(egyébként kb. 10 percet kell rászánni és végigtolni a checklistet, akkor működik, ha meg mókolni és egyénieskedni akarsz [mert lehet... nagyon lehet... sokkal jobban lehet, mint MS földön], akkor nem árt, ha tudod, mi hatja, hogy működik... de a nagyon egyénieskedéssel Winen is lábon tudod lőni magad...)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Kösz, de üzemeltetés szempontból pont a windows a nagyobb szopás. Pláne, hogy a jelenlegi infra így elkotyog egy kávéfőzőn is, és csak diszkekkel kell etetni. Nem vágyom további Windowsszal szívásra. 

De amúgy ja, tátott szájjal esete, mivel most nem megy ugyanaz a konfig, amit már mittudomén hányszor összeraktam pár perc alatt.

openSUSE Leap 15