ein Ändern der Gruppenrichtline von default-school hat keine Auswirkung auf den Windowsclient. Ein gpudate /force hilft nicht. Es werden keine Fehler angezeigt. Es betrifft alle Pcs .
habe ich gemacht. Nur taucht bei gpresult diese neue GPO nicht auf. Es wird nur die lokale und nur linuxmuster-global angezeigt. Default-school und die neue fehlt.
Ich habe sie unter default-school in einem Raum angelegt in dem der PC ist.
Wie sieht deine Sicherheitsgruppenfilterung aus? Eventuell muss du dort „Domain Computers“ hinzufügen, damit die Rechner die Policy auch anwenden dürfen.
Aber ich kenn mich da ehrlich gesagt auch nich sooo gut aus, hab da auch ständig Probleme mit, die ich nicht verstehe…
wichtig ist die Systemzeit und die Serverzeit. Wenn die nicht einigermaßen zusammen passen klappt das nicht.
Ich mache in der Zwischenzeit auch Softwareverteilung über GPO, das klappt ganz gut. Nur mit der Zeitsynchronisierung hab ich noch Schwierigkeiten. Da muss ich leider immer wieder von Hand die Uhr stellen damit dann das ziehen der GPOs funktioniert.
die Zeitprobleme kommen von einer fehlerhaften Konfiguration des Samba in LMN 7(.1), die nicht behoben wird.
Die Ursache steht in Systemzeit unter Windows.
Eine dauerhafte Lösung ist:
sudo mkdir /var/lib/samba/ntp_signd
sudo chgrp ntp /var/lib/samba/ntp_signd
sudo sed -i s#/run/samba/ntp_signd/#/var/lib/samba/ntp_signd/# /etc/ntp.conf
sudo sed -i s#/run/samba/ntp_signd#/var/lib/samba/ntp_signd# /etc/samba/smb.conf
sudo sed -i s#run/samba/ntp_signd/socket#lib/samba/ntp_signd/socket# /etc/apparmor.d/usr.sbin.ntpd
Ich bin kein Linux Profi, also vorher ein Backup oder einen Wiederherstellungspunkt machen.
root@server:~# samba-tool ntacl sysvolcheck
Global parameter tls keyfile found in service section!
Global parameter tls certfile found in service section!
Global parameter tls cafile found in service section!
Global parameter tls keyfile found in service section!
Global parameter tls certfile found in service section!
Global parameter tls cafile found in service section!
ERROR(<class 'samba.provision.ProvisioningError'>): uncaught exception - ProvisioningError: DB ACL on GPO file /var/lib/samba/sysvol/linuxmuster.osolb.de/Policies/{E4179247-E3F5-4E97-87B4-E3D7FBF4B7F4}/Machine/Microsoft/Windows NT/SecEdit/GptTmpl.inf O:BAG:DUD:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;EA)(A;;0x001f01ff;;;BA)(A;;0x001f01ff;;;SY)(A;;0x001200a9;;;AU)(A;;0x001200a9;;;ED) does not match expected value O:DAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) from GPO object
File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
return self.run(*args, **kwargs)
File "/usr/lib/python2.7/dist-packages/samba/netcmd/ntacl.py", line 270, in run
lp)
File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1723, in checksysvolacl
direct_db_access)
File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1674, in check_gpos_acl
domainsid, direct_db_access)
File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1631, in check_dir_acl
raise ProvisioningError('%s ACL on GPO file %s %s does not match expected value %s from GPO object' % (acl_type(direct_db_access), os.path.join(root, name), fsacl_sddl, acl))
hier ggf mal
samba-tool ntacl sysvolreset
ausführen, dann müsste der Fehler verschwinden.
Ich glaube du hast hier das nicht mit administratoren-Rechten (CMD → Rechtsklick → als Admin ausführen) abgesetzt, daher zeigt es die Computerrichtlinien nicht an. (hab ich aber auch nicht geschireben sorry.) köntest du das nochmal nachholen?
samba-tool ntacl sysvolcheck
Global parameter tls keyfile found in service section!
Global parameter tls certfile found in service section!
Global parameter tls cafile found in service section!
Global parameter tls keyfile found in service section!
Global parameter tls certfile found in service section!
Global parameter tls cafile found in service section!
Also hier steht ja, dass die GPO auf dem PC (jetzt) angewandt wurde.
Funktioniert es nach einem Neustart nicht?
Sonst könntest du mal genauer prüfen, ob es funktioniert wenn du dort die Gruppe „201“ aufnimmst und dafür „authenticated users“ entfernst. Wenn GPResult /r die GPO anzeigt, sollten aber zumindest Sicherheits/OU Zuordnungen passen.
Administratoren haben die Möglichkeit, die Erzwingung einer Einstellung in Richtlinien zu veranlassen. Das heißt, auch wenn in untergeordneten OUs durch eine Richtlinie eine Einstellung wieder rückgängig gemacht wird, bleibt die Einstellung so gesetzt, wie in der erzwungenen Richtlinie konfiguriert.
Unterstützt das Samba? Ich würde das erzwingen an deiner Stelle mal deaktivieren und prüfen, ob es dann geht.
Sonst würde ich mal die Ereignisanzeige am Client prüfen. Vielleicht findest du dort Hinweise, warum die GPO nicht verarbeitet wird.