[megoldva] Samba4 AD DC + GPO + W10 nem működik

 ( makgab | 2019. május 6., hétfő - 14:58 )

Üdv!
Feltettem egy LCX-be (f29) egy Samba4 AD DC-t. A Win10 kliens hozzáadva, beállítottam egy GPO-t, ahol az adott csoportba tartozó usereknek tiltom pl. a cmd.exe-t. Nem működik!
A "gpupdate /force" nem segít. A GPO érvényesítve van!

Otthon felteszem ugyanezt (f29) Samba4... stb. Win7 kliens esetén működik a beállított cmd.exe tiltás. A GPO itt is érvényesítve van!
Ez most bug v. feature?

A win serveren sokszor ugyanebbe futottam bele: hol végrehajtja, hol nem a beállításokat.
A gpresult nem is adja vissza a GPO-t, mintha nem is látná.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Egy dolog jutott eszembe, hogy az okozhatja a problémát, hogy a szerver és a kliens ideje lehet, hogy nem egyforma. (márpedig a kerberos-nál ez fontos)
Most nem érem el a kérdéses gépeket, de holnap megnézem.

Az idő egyezése nagyon fontos, már csak azért is, mert ha a kliens-eket belépteted AD-be, onnantól onnan veszik a pontos időt, nem az NTP szerverekről.
Ha nem stimmel az idő, nem fognak az AD szkriptek se lefutni.

Régen minden más volt... ma meg minden a régi.

Ennek ellenére ugyanaz... :( Mármint nem volt jó az idő, de beállítottam.
Telepítsem újra?

* W10 kivesz AD-ból
* Reinstall AD DC
* W10 hozzáad
* GPO beállít

ugyanaz...

Feltettem egy win7 klienst, azzal simán megy! (-> ezért ment otthon is a W7)
Tehát a Win10 nem kompatibilis vele..? Mivel 2008_R2 level a jelenlegi samba4 AD DC.

Vagy van akinek Win10-el is megy (valahogy)?

update:
https://wiki.samba.org/index.php/Raising_the_Functional_Levels
Functional Level -> Included in Samba Version
2012_R2 -> 4.4 and later*
2012 -> 4.4 and later*
2008_R2 -> 4.0 and later
2008 -> 4.0 and later
2003 -> 4.0 and later

Én samba 4.9-et próbáltam. Tehát a level feljebb vehető, csak alapból 2008_R2-t állított be a samba-tool.

Idézet:
Win7 kliens esetén működik a beállított cmd.exe tiltás

Hogy állítod be a tiltást?

Idézet:
ahol az adott csoportba tartozó usereknek

Arra figyelj, hogy valamikor Win 7 időszakban (mármint benne...) megváltozott a GP feldolgozás módja, az összes GPO-t a gép a saját fiókjával tölti le. Így ha van Security Filter a GPO-n (azzal oldod meg a csoportba tartozás figyelését), akkor vedd fel hozzá a Domain Computers-t is, hogy a gép le tudja tölteni.

Idézet:
Tehát a Win10 nem kompatibilis vele..? Mivel 2008_R2 level a jelenlegi samba4 AD DC.

A GPO feldolgozás többé-kevésbé független a domain/forest funkcionális szintjétől.

Szerk.: itt a mi változott és miért, ezek szerint 2016 júniusban: https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

ugyanarra az AD DC-re csatlakozott Win7 alatt működik a GPO (és w10 alatt nem).
Megpróbálnám azért egy 2012_R2 levellel. A domain-level/forest-level nem engedi emelni (raise):
~# samba-tool domain level raise --forest-level=2012_R2
ERROR: Forest function level can't be higher than the domain function level(s). Please raise it/them first!
~# samba-tool domain level raise --domain-level=2012_R2
ERROR: Domain function level can't be higher than the lowest function level of a DC!

Induláskor meg nem lehet ezt beállítani (ha jól olvastam a manualt).

samba 4.5 alatt még lehet(ett):

# samba-tool domain provision --help

...
--function-level=FOR-FUN-LEVEL
                        The domain and forest function level (2000 | 2003 |
                        2008 | 2008_R2 - always native). Default is (Windows)
                        2008_R2 Native.
...

Így állítom be:
* Csoport: GRP1
* Felhasználó: user1
* user1 tagja a GRP1-nek

* új GPO: Felhasználói beállítások/Felügyeleti Sablonok/Rendszer/Nem futtatható programok...
(engedélyez, majd beállít: cmd.exe v. amit akrunk)
* az új GPO-ban a Biztonsági Szűrés: "Authenticated Users" helyett csak a GRP1 csoportra állítom át.

* új GPO link létrehozás a mydomain.local alatt a GPO-ra és "érvénybe léptetve".

Na ez Win10 alatt nem hajtódik végre, ugyanezen a tartományon egy Win7-en viszont igen (ugyanazzal a userrel!).

update:
a "Biztonsági Szűrés"-ben hozzáadtam a "Domain Computers"-t, ahogy írtad, akkor jó lett. Köszi! :)
Bár érdekesen működik. A cmd és cmd.exe-t keresve W10-ben nem engedi futtatni, de ha beállítok egy calc.exe, akkor azt csak calc.exe-ként nem engedi futtatni. Ha calc-ra keresék és futtatni akarom, akkor elindítja... :) érdekes.

Szia!

Érdemes lenne a Windows 10 eseménynaptár bejegyzésekben is körbenézni.