[megoldva] Samba4 AD DC + GPO + W10 nem működik

Üdv!
Feltettem egy LCX-be (f29) egy Samba4 AD DC-t. A Win10 kliens hozzáadva, beállítottam egy GPO-t, ahol az adott csoportba tartozó usereknek tiltom pl. a cmd.exe-t. Nem működik!
A "gpupdate /force" nem segít. A GPO érvényesítve van!

Otthon felteszem ugyanezt (f29) Samba4... stb. Win7 kliens esetén működik a beállított cmd.exe tiltás. A GPO itt is érvényesítve van!
Ez most bug v. feature?

A win serveren sokszor ugyanebbe futottam bele: hol végrehajtja, hol nem a beállításokat.
A gpresult nem is adja vissza a GPO-t, mintha nem is látná.

Hozzászólások

Egy dolog jutott eszembe, hogy az okozhatja a problémát, hogy a szerver és a kliens ideje lehet, hogy nem egyforma. (márpedig a kerberos-nál ez fontos)
Most nem érem el a kérdéses gépeket, de holnap megnézem.

Feltettem egy win7 klienst, azzal simán megy! (-> ezért ment otthon is a W7)
Tehát a Win10 nem kompatibilis vele..? Mivel 2008_R2 level a jelenlegi samba4 AD DC.

Vagy van akinek Win10-el is megy (valahogy)?

update:
https://wiki.samba.org/index.php/Raising_the_Functional_Levels
Functional Level -> Included in Samba Version
2012_R2 -> 4.4 and later*
2012 -> 4.4 and later*
2008_R2 -> 4.0 and later
2008 -> 4.0 and later
2003 -> 4.0 and later

Én samba 4.9-et próbáltam. Tehát a level feljebb vehető, csak alapból 2008_R2-t állított be a samba-tool.

Neked, h sikerült feljebb vinni?

Én is próbáltam, de nem megy:
~# samba-tool domain level raise --forest-level=2012_R2
ERROR: Forest function level can't be higher than the domain function level(s). Please raise it/them first!

of course enélkül nem megy a domain raise sem.

# samba --version
Version 4.5.16-Debian

Egyelőre nálam ez csak teszt rendszeren fut. Korábban 4.1 (ha jól emlékszem) verzióval dolgoztam és mintha ez ment volna.
Viszont ha ez nem megy, biztos, hogy nem fogom bevezetni... D10-et upgrade-elek és kipróbálom ott.

A functionality level elég fontos: https://docs.microsoft.com/hu-hu/windows-server/identity/ad-ds/active-d…

Csak ezek közül kérdés, hogy hány van tényleges implementálva és nem csak az séma bővítményeket hozzák-e át vele és ütik át az AD-ben a verziószámokat. Pl. a 2018 domain levelre írják a DFS fejlesztéseket (gyakorlatilag lecserélték a replikációs protokollt, úgyhogy Sambáéknak per pill két protokollt is kéne implementálniuk, ha 2003-ig visszakompatok akarnak maradni... egyelőre egy sincs, mert várnak Az Egységesített RPC Szerver Eljövetelére, aminek Az Írásmódjából lehet következtetni, hogy valamikor Az Összes Valaha Beígért Próféta (Újra)Eljövetele után várható :) ), de ugyanígy az összes Kerberos-t érintő változásnál a Heimdal _és_ az MIT (ami már _elvileg_ működik _majdnem_ teljesen :) ) implementációkba is be kéne tenni, amihez upstreamet kell módosítani, ...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Win7 kliens esetén működik a beállított cmd.exe tiltás

Hogy állítod be a tiltást?

ahol az adott csoportba tartozó usereknek

Arra figyelj, hogy valamikor Win 7 időszakban (mármint benne...) megváltozott a GP feldolgozás módja, az összes GPO-t a gép a saját fiókjával tölti le. Így ha van Security Filter a GPO-n (azzal oldod meg a csoportba tartozás figyelését), akkor vedd fel hozzá a Domain Computers-t is, hogy a gép le tudja tölteni.

Tehát a Win10 nem kompatibilis vele..? Mivel 2008_R2 level a jelenlegi samba4 AD DC.

A GPO feldolgozás többé-kevésbé független a domain/forest funkcionális szintjétől.

Szerk.: itt a mi változott és miért, ezek szerint 2016 júniusban: https://support.microsoft.com/en-us/help/3163622/ms16-072-security-upda…

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

ugyanarra az AD DC-re csatlakozott Win7 alatt működik a GPO (és w10 alatt nem).
Megpróbálnám azért egy 2012_R2 levellel. A domain-level/forest-level nem engedi emelni (raise):
~# samba-tool domain level raise --forest-level=2012_R2
ERROR: Forest function level can't be higher than the domain function level(s). Please raise it/them first!
~# samba-tool domain level raise --domain-level=2012_R2
ERROR: Domain function level can't be higher than the lowest function level of a DC!

Induláskor meg nem lehet ezt beállítani (ha jól olvastam a manualt).

Így állítom be:
* Csoport: GRP1
* Felhasználó: user1
* user1 tagja a GRP1-nek

* új GPO: Felhasználói beállítások/Felügyeleti Sablonok/Rendszer/Nem futtatható programok...
(engedélyez, majd beállít: cmd.exe v. amit akrunk)
* az új GPO-ban a Biztonsági Szűrés: "Authenticated Users" helyett csak a GRP1 csoportra állítom át.

* új GPO link létrehozás a mydomain.local alatt a GPO-ra és "érvénybe léptetve".

Na ez Win10 alatt nem hajtódik végre, ugyanezen a tartományon egy Win7-en viszont igen (ugyanazzal a userrel!).

update:
a "Biztonsági Szűrés"-ben hozzáadtam a "Domain Computers"-t, ahogy írtad, akkor jó lett. Köszi! :)
Bár érdekesen működik. A cmd és cmd.exe-t keresve W10-ben nem engedi futtatni, de ha beállítok egy calc.exe, akkor azt csak calc.exe-ként nem engedi futtatni. Ha calc-ra keresék és futtatni akarom, akkor elindítja... :) érdekes.

Szia!

Érdemes lenne a Windows 10 eseménynaptár bejegyzésekben is körbenézni.