LINUX.ORG.RU
ФорумAdmin

Групповые политики Ubuntu+Samba

 ,


0

2

Добрый день!

Есть сервер на Ubuntu 22.04 + Samba. Возникли проблемы с групповыми политиками.

Никакие политики не применяются. Если все их убрать, в том числе и стандартную (предустановленную), то gpupdate /force успешно завершается. Если хотя бы одну политику добавить, то выдаётся ошибка: gpupdate /force Выполняется обновление политики…

Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла «\domain.lan\SysVol\domain.lan\Policies{F9CEF7CE-FD1D-419D-8AD2-852EBCDBCE3A}\gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена. b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена). c) Отключен клиент распределенной файловой системы (DFS). Обновление политики пользователя завершено успешно.

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.

В логах сервера в эти моменты появляется ошибка (tail -f /var/log/syslog): server smbd[426105]: chdir_current_service: vfs_ChDir(/var/lib/samba/sysvol) failed: Permission denied. Current token: uid=3000020, gid=3000016, 7 groups: 3000020 3000016 3000010 3000011 3000013 3000006 3000014

На всякий случай, права на этот путь такие: ~$ ls -ld /var/lib/samba/sysvol drwxrwx—+ 3 root 3000000 4096 июн 21 16:26 /var/lib/samba/sysvol

Нормального админа в компании нет. Подскажите, куда копать.



Последнее исправление: Tatasik (всего исправлений: 1)

побуду чуть чуть «капитаном очевидность».
Если с такой проблемой не справляетесь, и админа тоже нету - то тогда .... наверное лучше винда... и да простят меня местные. =)

P.S. В samba есть несколь вариантов хранения прав на файлы(в файловой системе с поддержкой ACL, внутренняя база с хранением прав к конкретным файлам/каталогам, и т.д.). так же можно смотреть а что именно в самой smb.conf в разделе для SYSVOL.
При примении политики идет доступ через учетки пользователя, но и специальные учетки(имя компа с долларом «$» на конце)

Atlant ★★★★★
()
Ответ на: комментарий от Atlant

Винда это слишком просто, а главное — не бесплатно. :)

smb.conf:

Global parameters

[global] netbios name = SERVER realm = DOMAIN.LAN server role = active directory domain controller server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_si> workgroup = DOMAIN idmap_ldb:use rfc2307 = yes

[sysvol] path = /var/lib/samba/sysvol read only = No

[netlogon] path = /var/lib/samba/sysvol/nc.lan/scripts read only = No

Вроде бы ничего криминального, когда в этом ничего не понимаешь…

Tatasik
() автор топика

Нормального админа в компании нет.

выкиньте из «компании» ещё и венду.

запилите терминальник, ldap, kerberos, nfsv4, automounter, какую-нибудь систему оркестрации и живите-нетужите.

mrjaggers
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.