[megoldva] Samba4 AD DC + GPO + W10 nem működik

 ( makgab | 2019. május 6., hétfő - 14:58 )

Üdv!
Feltettem egy LCX-be (f29) egy Samba4 AD DC-t. A Win10 kliens hozzáadva, beállítottam egy GPO-t, ahol az adott csoportba tartozó usereknek tiltom pl. a cmd.exe-t. Nem működik!
A "gpupdate /force" nem segít. A GPO érvényesítve van!

Otthon felteszem ugyanezt (f29) Samba4... stb. Win7 kliens esetén működik a beállított cmd.exe tiltás. A GPO itt is érvényesítve van!
Ez most bug v. feature?

A win serveren sokszor ugyanebbe futottam bele: hol végrehajtja, hol nem a beállításokat.
A gpresult nem is adja vissza a GPO-t, mintha nem is látná.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Egy dolog jutott eszembe, hogy az okozhatja a problémát, hogy a szerver és a kliens ideje lehet, hogy nem egyforma. (márpedig a kerberos-nál ez fontos)
Most nem érem el a kérdéses gépeket, de holnap megnézem.

Az idő egyezése nagyon fontos, már csak azért is, mert ha a kliens-eket belépteted AD-be, onnantól onnan veszik a pontos időt, nem az NTP szerverekről.
Ha nem stimmel az idő, nem fognak az AD szkriptek se lefutni.

Régen minden más volt... ma meg minden a régi.

Ennek ellenére ugyanaz... :( Mármint nem volt jó az idő, de beállítottam.
Telepítsem újra?

* W10 kivesz AD-ból
* Reinstall AD DC
* W10 hozzáad
* GPO beállít

ugyanaz...

Feltettem egy win7 klienst, azzal simán megy! (-> ezért ment otthon is a W7)
Tehát a Win10 nem kompatibilis vele..? Mivel 2008_R2 level a jelenlegi samba4 AD DC.

Vagy van akinek Win10-el is megy (valahogy)?

update:
https://wiki.samba.org/index.php/Raising_the_Functional_Levels
Functional Level -> Included in Samba Version
2012_R2 -> 4.4 and later*
2012 -> 4.4 and later*
2008_R2 -> 4.0 and later
2008 -> 4.0 and later
2003 -> 4.0 and later

Én samba 4.9-et próbáltam. Tehát a level feljebb vehető, csak alapból 2008_R2-t állított be a samba-tool.

Neked, h sikerült feljebb vinni?

Én is próbáltam, de nem megy:
~# samba-tool domain level raise --forest-level=2012_R2
ERROR: Forest function level can't be higher than the domain function level(s). Please raise it/them first!

of course enélkül nem megy a domain raise sem.

# samba --version
Version 4.5.16-Debian

Nekem is ez volt a gondom. A funkcionalitás és a domain szint nem ugyanaz, de egyiket a másik nélkül nem engedi.
Hagytam az eredetit és azzal megy.

Egyelőre nálam ez csak teszt rendszeren fut. Korábban 4.1 (ha jól emlékszem) verzióval dolgoztam és mintha ez ment volna.
Viszont ha ez nem megy, biztos, hogy nem fogom bevezetni... D10-et upgrade-elek és kipróbálom ott.

A functionality level elég fontos: https://docs.microsoft.com/hu-hu/windows-server/identity/ad-ds/active-directory-functional-levels

Csak ezek közül kérdés, hogy hány van tényleges implementálva és nem csak az séma bővítményeket hozzák-e át vele és ütik át az AD-ben a verziószámokat. Pl. a 2018 domain levelre írják a DFS fejlesztéseket (gyakorlatilag lecserélték a replikációs protokollt, úgyhogy Sambáéknak per pill két protokollt is kéne implementálniuk, ha 2003-ig visszakompatok akarnak maradni... egyelőre egy sincs, mert várnak Az Egységesített RPC Szerver Eljövetelére, aminek Az Írásmódjából lehet következtetni, hogy valamikor Az Összes Valaha Beígért Próféta (Újra)Eljövetele után várható :) ), de ugyanígy az összes Kerberos-t érintő változásnál a Heimdal _és_ az MIT (ami már _elvileg_ működik _majdnem_ teljesen :) ) implementációkba is be kéne tenni, amihez upstreamet kell módosítani, ...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Egyetértek :)

Idézet:
Win7 kliens esetén működik a beállított cmd.exe tiltás

Hogy állítod be a tiltást?

Idézet:
ahol az adott csoportba tartozó usereknek

Arra figyelj, hogy valamikor Win 7 időszakban (mármint benne...) megváltozott a GP feldolgozás módja, az összes GPO-t a gép a saját fiókjával tölti le. Így ha van Security Filter a GPO-n (azzal oldod meg a csoportba tartozás figyelését), akkor vedd fel hozzá a Domain Computers-t is, hogy a gép le tudja tölteni.

Idézet:
Tehát a Win10 nem kompatibilis vele..? Mivel 2008_R2 level a jelenlegi samba4 AD DC.

A GPO feldolgozás többé-kevésbé független a domain/forest funkcionális szintjétől.

Szerk.: itt a mi változott és miért, ezek szerint 2016 júniusban: https://support.microsoft.com/en-us/help/3163622/ms16-072-security-update-for-group-policy-june-14-2016

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

ugyanarra az AD DC-re csatlakozott Win7 alatt működik a GPO (és w10 alatt nem).
Megpróbálnám azért egy 2012_R2 levellel. A domain-level/forest-level nem engedi emelni (raise):
~# samba-tool domain level raise --forest-level=2012_R2
ERROR: Forest function level can't be higher than the domain function level(s). Please raise it/them first!
~# samba-tool domain level raise --domain-level=2012_R2
ERROR: Domain function level can't be higher than the lowest function level of a DC!

Induláskor meg nem lehet ezt beállítani (ha jól olvastam a manualt).

samba 4.5 alatt még lehet(ett):

# samba-tool domain provision --help

...
--function-level=FOR-FUN-LEVEL
                        The domain and forest function level (2000 | 2003 |
                        2008 | 2008_R2 - always native). Default is (Windows)
                        2008_R2 Native.
...

Így állítom be:
* Csoport: GRP1
* Felhasználó: user1
* user1 tagja a GRP1-nek

* új GPO: Felhasználói beállítások/Felügyeleti Sablonok/Rendszer/Nem futtatható programok...
(engedélyez, majd beállít: cmd.exe v. amit akrunk)
* az új GPO-ban a Biztonsági Szűrés: "Authenticated Users" helyett csak a GRP1 csoportra állítom át.

* új GPO link létrehozás a mydomain.local alatt a GPO-ra és "érvénybe léptetve".

Na ez Win10 alatt nem hajtódik végre, ugyanezen a tartományon egy Win7-en viszont igen (ugyanazzal a userrel!).

update:
a "Biztonsági Szűrés"-ben hozzáadtam a "Domain Computers"-t, ahogy írtad, akkor jó lett. Köszi! :)
Bár érdekesen működik. A cmd és cmd.exe-t keresve W10-ben nem engedi futtatni, de ha beállítok egy calc.exe, akkor azt csak calc.exe-ként nem engedi futtatni. Ha calc-ra keresék és futtatni akarom, akkor elindítja... :) érdekes.

XD

Szia!

Érdemes lenne a Windows 10 eseménynaptár bejegyzésekben is körbenézni.