Probleme mit GPOs / Linuxmuster-import-devices

1

Hallo Zusammen,

ich hab derzeit an einer Schule das Problem, dass sicher Drucker nicht per GPO verbinden lassen. Außerdem ist auch etwas mit dem linuxmuster-import-devices schief:

Linuxmuster-import-devices wirft an dieser Stelle fehler aus:

OK (0): smbcacls-NTACL on //server/default-school iso
DONE with 17) Line 32:  SMB::@@SCHOOL@@/iso/::root::root::0755::school-iso.ntacl:: ---
#### Repairing from file: repdir.school (end)                                 ####
#### Repairing from file: repdir.global (start)                               ####
------------------------------------------------------------
1) Line 6:  LINUX::$homedir_global/::root::root::0755::noacl:::
          chown root.root /srv/samba/global
DONE with 1) Line 6:  LINUX::$homedir_global/::root::root::0755::noacl:: ---
------------------------------------------------------------
2) Line 7:  SMB::$homedir_global/::root::root::0755::global.ntacl::ntaclonly:::
* NOT executed (ntaclonly): smbclient command
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global / 
      --set "REVISION:1,OWNER:LINUXMUSTER\global-admins,GROUP:S-1-22-2-0,ACL:LINUXMUSTER\global-admins:ALLOWED/OI|CI/FULL,ACL:LINUXMUSTER\global-students:ALLOWED/0x0/READ,ACL:LINUXMUSTER\global-teachers:ALLOWED/0x0/READ,ACL:LINUXMUSTER\SCHOOLS:ALLOWED/0x0/READ,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 2) Line 7:  SMB::$homedir_global/::root::root::0755::global.ntacl::ntaclonly:: ---
------------------------------------------------------------
3) Line 9:  SMB::$homedir_global/$directory_students/::root::root::0755::global-students.ntacl:::
ERROR: smb command
     COMMAND:
        /usr/bin/smbclient -U administrator%'******' //server/linuxmuster-global -c 'mkdir "/students"'
     RETURN VALUE: 256
     ERROR MESSAGE:
        tree connect failed: NT_STATUS_ACCESS_DENIED
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /students
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global /students 
      --set "REVISION:1,OWNER:LINUXMUSTER\Domain Admins,GROUP:LINUXMUSTER\Domain Users,ACL:LINUXMUSTER\global-students:ALLOWED/0x0/READ,ACL:LINUXMUSTER\global-admins:ALLOWED/OI|CI/FULL,ACL:LINUXMUSTER\global-teachers:ALLOWED/0x0/READ,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 3) Line 9:  SMB::$homedir_global/$directory_students/::root::root::0755::global-students.ntacl:: ---
------------------------------------------------------------
4) Line 11:  SMB::$homedir_global/$directory_teachers/::root::root::0755::global-teachers.ntacl:::
ERROR: smb command
     COMMAND:
        /usr/bin/smbclient -U administrator%'******' //server/linuxmuster-global -c 'mkdir "/teachers"'
     RETURN VALUE: 256
     ERROR MESSAGE:
        tree connect failed: NT_STATUS_ACCESS_DENIED
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /teachers
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global /teachers 
      --set "REVISION:1,OWNER:LINUXMUSTER\Domain Admins,GROUP:LINUXMUSTER\Domain Users,ACL:LINUXMUSTER\global-teachers:ALLOWED/0x0/READ,ACL:LINUXMUSTER\global-admins:ALLOWED/OI|CI/FULL,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 4) Line 11:  SMB::$homedir_global/$directory_teachers/::root::root::0755::global-teachers.ntacl:: ---
------------------------------------------------------------
5) Line 13:  SMB::$homedir_global/$directory_management/::root::root::0755::global-management.ntacl:::
ERROR: smb command
     COMMAND:
        /usr/bin/smbclient -U administrator%'******' //server/linuxmuster-global -c 'mkdir "/management"'
     RETURN VALUE: 256
     ERROR MESSAGE:
        tree connect failed: NT_STATUS_ACCESS_DENIED
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /management
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global /management 
      --set "REVISION:1,OWNER:LINUXMUSTER\Domain Admins,GROUP:LINUXMUSTER\Domain Users,ACL:LINUXMUSTER\global-admins:ALLOWED/0x0/FULL,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 5) Line 13:  SMB::$homedir_global/$directory_management/::root::root::0755::global-management.ntacl:: ---
------------------------------------------------------------
6) Line 15:  SMB::$homedir_global/$directory_share/::root::root::0755::global-share.ntacl:::
ERROR: smb command
     COMMAND:
        /usr/bin/smbclient -U administrator%'******' //server/linuxmuster-global -c 'mkdir "/share"'
     RETURN VALUE: 256
     ERROR MESSAGE:
        tree connect failed: NT_STATUS_ACCESS_DENIED
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /share
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global /share 
      --set "REVISION:1,OWNER:LINUXMUSTER\Domain Admins,GROUP:LINUXMUSTER\Domain Users,ACL:LINUXMUSTER\all-students:ALLOWED/OI|CI/READ,ACL:LINUXMUSTER\all-teachers:ALLOWED/OI|CI/READ,ACL:LINUXMUSTER\all-admins:ALLOWED/OI|CI/READ,ACL:LINUXMUSTER\global-admins:ALLOWED/OI|CI|I/FULL,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 6) Line 15:  SMB::$homedir_global/$directory_share/::root::root::0755::global-share.ntacl:: ---
------------------------------------------------------------
7) Line 16:  SMB::$homedir_global/$directory_share/projects::root::root::0755::global-share-projects.ntacl:::
ERROR: smb command
     COMMAND:
        /usr/bin/smbclient -U administrator%'******' //server/linuxmuster-global -c 'mkdir "/share/projects"'
     RETURN VALUE: 256
     ERROR MESSAGE:
        tree connect failed: NT_STATUS_ACCESS_DENIED
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /share/projects
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global /share/projects 
      --set "REVISION:1,OWNER:LINUXMUSTER\Domain Admins,GROUP:LINUXMUSTER\Domain Users,ACL:LINUXMUSTER\global-admins:ALLOWED/OI|CI/FULL,ACL:LINUXMUSTER\global-students:ALLOWED/0x0/READ,ACL:LINUXMUSTER\global-teachers:ALLOWED/0x0/READ,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 7) Line 16:  SMB::$homedir_global/$directory_share/projects::root::root::0755::global-share-projects.ntacl:: ---
------------------------------------------------------------
8) Line 17:  SMB::$homedir_global/$directory_share/global::root::root::0755::global-share-global.ntacl:::
ERROR: smb command
     COMMAND:
        /usr/bin/smbclient -U administrator%'******' //server/linuxmuster-global -c 'mkdir "/share/global"'
     RETURN VALUE: 256
     ERROR MESSAGE:
        tree connect failed: NT_STATUS_ACCESS_DENIED
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /share/global
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global /share/global 
      --set "REVISION:1,OWNER:LINUXMUSTER\Domain Admins,GROUP:LINUXMUSTER\Domain Users,ACL:LINUXMUSTER\all-students:ALLOWED/OI|CI/READ,ACL:LINUXMUSTER\all-teachers:ALLOWED/0x0/RWX,ACL:LINUXMUSTER\all-teachers:ALLOWED/OI|CI|IO/FULL,ACL:LINUXMUSTER\all-admins:ALLOWED/0x0/RWX,ACL:LINUXMUSTER\all-admins:ALLOWED/OI|CI|IO/FULL,ACL:LINUXMUSTER\global-admins:ALLOWED/OI|CI/FULL,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 8) Line 17:  SMB::$homedir_global/$directory_share/global::root::root::0755::global-share-global.ntacl:: ---
------------------------------------------------------------
9) Line 18:  SMB::$homedir_global/$directory_share/management::root::root::0755::global-share-management.ntacl:::
ERROR: smb command
     COMMAND:
        /usr/bin/smbclient -U administrator%'******' //server/linuxmuster-global -c 'mkdir "/share/management"'
     RETURN VALUE: 256
     ERROR MESSAGE:
        tree connect failed: NT_STATUS_ACCESS_DENIED
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /share/management
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global /share/management 
      --set "REVISION:1,OWNER:LINUXMUSTER\Domain Admins,GROUP:LINUXMUSTER\Domain Users,ACL:LINUXMUSTER\global-admins:ALLOWED/OI|CI/FULL,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 9) Line 18:  SMB::$homedir_global/$directory_share/management::root::root::0755::global-share-management.ntacl:: ---
------------------------------------------------------------
10) Line 20:  SMB::$homedir_global/$directory_program/::root::root::0755::global-program.ntacl:::
ERROR: smb command
     COMMAND:
        /usr/bin/smbclient -U administrator%'******' //server/linuxmuster-global -c 'mkdir "/program"'
     RETURN VALUE: 256
     ERROR MESSAGE:
        tree connect failed: NT_STATUS_ACCESS_DENIED
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /program
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global /program 
      --set "REVISION:1,OWNER:LINUXMUSTER\Domain Admins,GROUP:LINUXMUSTER\Domain Users,ACL:LINUXMUSTER\all-students:ALLOWED/0x0/READ,ACL:LINUXMUSTER\all-teachers:ALLOWED/0x0/READ,ACL:LINUXMUSTER\all-admins:ALLOWED/0x0/READ,ACL:LINUXMUSTER\global-admins:ALLOWED/OI|CI|I/FULL,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 10) Line 20:  SMB::$homedir_global/$directory_program/::root::root::0755::global-program.ntacl:: ---
------------------------------------------------------------
11) Line 22:  SMB::$homedir_global/iso/::root::root::0755::global-iso.ntacl:::
ERROR: smb command
     COMMAND:
        /usr/bin/smbclient -U administrator%'******' //server/linuxmuster-global -c 'mkdir "/iso"'
     RETURN VALUE: 256
     ERROR MESSAGE:
        tree connect failed: NT_STATUS_ACCESS_DENIED
cli_full_connection failed! (NT_STATUS_ACCESS_DENIED)
ERROR: smbcacls-NTACL on //server/linuxmuster-global /iso
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/linuxmuster-global /iso 
      --set "REVISION:1,OWNER:LINUXMUSTER\Domain Admins,GROUP:LINUXMUSTER\Domain Users,ACL:LINUXMUSTER\all-admins:ALLOWED/0x0/READ,ACL:LINUXMUSTER\all-students:ALLOWED/0x0/READ,ACL:LINUXMUSTER\all-teachers:ALLOWED/0x0/READ,ACL:LINUXMUSTER\global-admins:ALLOWED/OI|CI|I/FULL,ACL:LINUXMUSTER\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

Am Client sollen merhere Drucker per GPO zugeordnet werden. Einer der Drucker funktioniert, alle weiteren Antworten mit dieser Fehlermeldung:

Protokollname: Application
Quelle:        Group Policy Printers
Datum:         14.07.2023 11:22:19
Ereignis-ID:   4098
Aufgabenkategorie:(2)
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      SYSTEM
Computer:      a114-1.Linuxmuster
Beschreibung:
Das Benutzer "a118-drucker"-Einstellungselement im Gruppenrichtlinienobjekt "a118-drucker {28EE7FD1-75DF-402D-B087-40BF717BCD70}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x800706fd Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden." Dieser Fehler wurde unterdrückt..
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Group Policy Printers" />
    <EventID Qualifiers="34305">4098</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>2</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2023-07-14T09:22:19.8270717Z" />
    <EventRecordID>4424</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>Application</Channel>
    <Computer>a114-1.CDS-TT</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data>Benutzer</Data>
    <Data>a118-drucker</Data>
    <Data>a118-drucker {28EE7FD1-75DF-402D-B087-40BF717BCD70}</Data>
    <Data>0x800706fd Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.</Data>
  </EventData>
</Event>

Diese Fehlermeldung kenne ich eigentlich nur, wenn man sich nicht am Client anmelden kan. Das Funktioniert in der Tat aber komplett ohne Probleme.

Hat jemand eine Idee woran das liegen könnte?

2

Achso… Drucker lassen sich über die Serverfreigabe \server\druckername fehlerfrei verbinden. Das funktioniert als Admin sowie als Lehrer

3

Hat da keiner eine Idee, womit das zusammenhängen könnte :(?

4

Hallo Timo,

tut mir LEid: ich verbinde Drucker nicht per GPO… ist mir zu aufwändig.

Was hast du den da? lmn7.1 oder 7.2?

LG

Holger

5

Hi Holger, mein stetiger Retter in der Not! :_)

Wie machst du es dann?

Hier ist eine Linuxmuster.net 7.1 im Betrieb.

Zu den Fehlermeldung aus’m linuxmuster-import-devices sagt dir auch nix?

6

Hallo Timo,

Hi Holger, mein stetiger Retter in der Not! :_)

… noch ist nichts gerettet … aber wir sind ja dran :slight_smile:

Was hast du den da? lmn7.1 oder 7.2?

Wie machst du es dann?

… Old School: ich installiere alle Drucker in meinen Raumübergreifenden
Windows Images und einen zusätzlichen PDF Drucker: der wird überall
Default Drucker.
Wer Drucken will denkt nicht nach und erstellt ein PDF und wartet sich
die FÜße in den Bauch vor einem beliebigen Drucker … das passiert
einmal. Dann denkt er nach und merkt, dass es Drucker gibt, die so
heißen, wie die Räume in denen sie stehen: das blicken sogar die Fünfer.
Fertig.
Mache ich seit immer so (also seit bald 20 Jahren).

Ist nicht Fancy … tut aber immer.

Zu den Fehlermeldung aus’m linuxmuster-import-devices sagt dir auch nix?

nein, sagen mir nix.
Aber ich weiß folgendes:
GPOs sind ein sehr mächtiges Tool: die können fast alles … aber mit
großer Macht kommt … ihr kennt das :slight_smile:
Will sagen: sie sind sehr komplex und machst du was falsch, dann gehts
halt nicht mehr…
Das erste was ich also, nach einem arbeiten an den GPOs machen würde:
zurück auf die Default GPOs gehen und schauen, ob es dann wieder tut.
Danach nach und nach die GPOs wieder einsetzen und schauen, wann es
„bricht“: da stimmt dann wohl was mit der GPO nicht …

LG

Holger

7

Hi,

keine konkrete Idee, aber vielleicht etwas was in die richtige Richtung führt?

Prüfe mal ob deine /etc/samba/smb.conf korrekt ist. Vielleicht ist das Problem ja ähnlich wie Fehlerhafte Einträge in smb.conf

Vielleicht aber auch nicht.

Probiere außerdem mal auf dem Server
samba-tool ntacl sysvolcheck
und falls das Fehler gibt samba-tool ntacl sysvolreset

(Der Tipp wurde mir bei einem anderen für mich unerklärbaren GPO Problem gegeben und hat ‚Wunder‘ bewirkt)

LG,
Simon

8

Jo - das geht immer. Ist hier aber bisschen schwierig, die haben irgendwie 30 Drucker oder so. Außerdem wünscht die Schule sich, dass entsprechend die Drucker nur in den richtigen Räumen verfügbar wird.

Ich hab diese GPOs nun schon mehrfach quer geprüft. Auf anderen Linuxmuster.net-Systeme funktionieren die auf die gleiche Weise einwandfrei.
GPO-Mäßig bin ich mir eigentlich schon sicher, dass es so in Ordnung ist.

Das find ich halt richtig seltsam. Hab überhaupt keine Idee, woher das kommen könnte.

Hab meine smb.conf mit der von Github abgeglichen: linuxmuster-base7/share/templates/smb.conf at master · linuxmuster/linuxmuster-base7 · GitHub
Die sind leider identisch.

Auch schon probiert, leider auch ohne Erfolg :-(.


Gibt es generell ein Tool, mit dem man Samba/Filesystem rechte prüfen kann? Ich hab das Gefühl, dass eher hier etwas quer ist. Vielleicht, ist auf genau diese Einstellung Samba-Seitig kein Zugriff erlaubt - deswegen funktionieren die anderen Gpos (?). Auch find ich die smbcalcs meldung im linuxmuster-import-devices voll seltsam. Berechtigungen schauen aber gleich aus, wie auf anderen Servern.

9

Hallo,
ich hatte ein ähnliches Problem: GPO waren richtig konfiguriert, Drucker druckt nicht.
Deshalb noch eine Idee: Die Cups-Weboberfläche ist von dem Problemclient erreichbar?
Steht die IP des entsprechenden Clients in der Cupsd.conf unter Allow from beim entsprechenden Drucker?
Nach dem Ändern der cupsd.conf, Cups Service neu starten.
LG
Daniel

10

Hi Daniel,
jop - die Cups-Oberfläche ist von den Clients aus zu erreichen. Wenn ich einen doppelklcik auf das Druckerobjekt unter \server mache, wird der Drucker auch sofort eingehangen und ist funktionsfähig. Nur das einhängen per GPO geht nicht.

Bei mir sind aufm Server in der cupsd.conf die Drucker nicht vorhanden. Sollten Sie?
Geht hier um Windows-Clients.

Danke euch schon mal.

11

Ich prüfe derzeit, ob es möglicherweise hier ein gemeinsames Problem gibt:

12

Jop…

grafik
grafik852×104 13.6 KB

das Update deinstalliert,… und Drucker funktionieren…

Die Fehlermeldungen beim Import-devices bleiben allerdings