Hallo,
ein Ändern der Gruppenrichtline von default-school hat keine Auswirkung auf den Windowsclient. Ein gpudate /force hilft nicht. Es werden keine Fehler angezeigt. Es betrifft alle Pcs .
Hat jemand eine Idee wo ich suchen könnte.
Viele Grüße
Steffen
Hi Steffen,
Wenn du Äbderungen machen willst, erstelle am Besten eine extra GPO.
Zum troubleshooten ist das Tool gpresult sehr gut.
VG,
Dorian
Hallo Dorian,
habe ich gemacht. Nur taucht bei gpresult diese neue GPO nicht auf. Es wird nur die lokale und nur linuxmuster-global angezeigt. Default-school und die neue fehlt.
Ich habe sie unter default-school in einem Raum angelegt in dem der PC ist.
Viele Grüße
Steffen
Hallo Steffen,
Wie sieht deine Sicherheitsgruppenfilterung aus? Eventuell muss du dort „Domain Computers“ hinzufügen, damit die Rechner die Policy auch anwenden dürfen.
Aber ich kenn mich da ehrlich gesagt auch nich sooo gut aus, hab da auch ständig Probleme mit, die ich nicht verstehe…
VG,
Dorian
Hallo Steffen,
wichtig ist die Systemzeit und die Serverzeit. Wenn die nicht einigermaßen zusammen passen klappt das nicht.
Ich mache in der Zwischenzeit auch Softwareverteilung über GPO, das klappt ganz gut. Nur mit der Zeitsynchronisierung hab ich noch Schwierigkeiten. Da muss ich leider immer wieder von Hand die Uhr stellen damit dann das ziehen der GPOs funktioniert.
Gruß
Veit
Hallo Veit,
die Zeitprobleme kommen von einer fehlerhaften Konfiguration des Samba in LMN 7(.1), die nicht behoben wird.
Die Ursache steht in Systemzeit unter Windows.
Eine dauerhafte Lösung ist:
sudo mkdir /var/lib/samba/ntp_signd
sudo chgrp ntp /var/lib/samba/ntp_signd
sudo sed -i s#/run/samba/ntp_signd/#/var/lib/samba/ntp_signd/# /etc/ntp.conf
sudo sed -i s#/run/samba/ntp_signd#/var/lib/samba/ntp_signd# /etc/samba/smb.conf
sudo sed -i s#run/samba/ntp_signd/socket#lib/samba/ntp_signd/socket# /etc/apparmor.d/usr.sbin.ntpd
Ich bin kein Linux Profi, also vorher ein Backup oder einen Wiederherstellungspunkt machen.
Viele Grüße,
Christian
Hallo Steffen,
könntest du etwas genauer schreiben, was du gemacht hast?
Bilder wären auch gut.
Viele Grüße,
Christian
Hallo,
ich habe den Hinweis von Veit auspropobiert, hat aber leider auch nichts gebracht.
Eigentlich wollte ich die Drucker darüber installieren. Als erster Versuch wollte ich den letzten Benutzer ausblenden.
Richtlinien am Server:
und:
auf dem Client erhalte ich dann folgendes Ergebnis:
bericht local.pdf (255,8 KB)
Es scheint als ob der Pc die neuen Richtlinien nicht findet, aber er erkennt das die GPO erzwungen wurde .
Viele Grüße
Steffen
Hallo Steffen,
aktiviere mal die GPO “Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten”. Diese ist unter folgendem Pfad zu finden:
Computerkonfiguration\Administrative Vorlagen\System\Anmelden
Viel Spaß
Christian
Was zeigt gpresult /r als Admin auf dem Client?
Was gibt ein
samba-tool ntacl sysvolcheck
auf dem Server aus?
Hallo,
samba-tool gibt einen Fehler aus:
root@server:~# samba-tool ntacl sysvolcheck
Global parameter tls keyfile found in service section!
Global parameter tls certfile found in service section!
Global parameter tls cafile found in service section!
Global parameter tls keyfile found in service section!
Global parameter tls certfile found in service section!
Global parameter tls cafile found in service section!
ERROR(<class 'samba.provision.ProvisioningError'>): uncaught exception - ProvisioningError: DB ACL on GPO file /var/lib/samba/sysvol/linuxmuster.osolb.de/Policies/{E4179247-E3F5-4E97-87B4-E3D7FBF4B7F4}/Machine/Microsoft/Windows NT/SecEdit/GptTmpl.inf O:BAG:DUD:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;EA)(A;;0x001f01ff;;;BA)(A;;0x001f01ff;;;SY)(A;;0x001200a9;;;AU)(A;;0x001200a9;;;ED) does not match expected value O:DAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) from GPO object
File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
return self.run(*args, **kwargs)
File "/usr/lib/python2.7/dist-packages/samba/netcmd/ntacl.py", line 270, in run
lp)
File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1723, in checksysvolacl
direct_db_access)
File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1674, in check_gpos_acl
domainsid, direct_db_access)
File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1631, in check_dir_acl
raise ProvisioningError('%s ACL on GPO file %s %s does not match expected value %s from GPO object' % (acl_type(direct_db_access), os.path.join(root, name), fsacl_sddl, acl))
und gpresult /r
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
© Microsoft Corporation. Alle Rechte vorbehalten.
Am 06.09.2022 um 09:55:23 erstellt
RSOP-Daten für LINUXMUSTER\global-admin auf 201-pc1: Protokollmodus
--------------------------------------------------------------------
Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 10.0.19044
Standortname: Nicht zutreffend
Roamingprofil:Nicht zutreffend
Lokales Profil: C:\Users\global-admin
Langsame Verbindung? Nein
BENUTZEREINSTELLUNGEN
----------------------
CN=global-admin,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=osolb,DC=de
Letzte Gruppenrichtlinienanwendung: 06.09.2022, um 09:53:37
Gruppenrichtlinieanwendung von: server.linuxmuster.osolb.de
Schwellenwert für langsame Verbindung:500 kbps
Domänenname: LINUXMUSTER
Domänentyp: Windows 2008 oder höher
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Domain Users
Jeder
Benutzer
Administratoren
INTERAKTIV
KONSOLENANMELDUNG
Authentifizierte Benutzer
Diese Organisation
LOKAL
role-globaladministrator
global-admins
Domain Admins
Denied RODC Password Replication Group
admins
s_default-school
SCHOOLS
all-admins
all-internet
all-wifi
all-webfilter
all-intranet
all-printing
Hohe Verbindlichkeitsstufe
Viele Grüße
Steffen
hier ggf mal
samba-tool ntacl sysvolreset
ausführen, dann müsste der Fehler verschwinden.
Ich glaube du hast hier das nicht mit administratoren-Rechten (CMD → Rechtsklick → als Admin ausführen) abgesetzt, daher zeigt es die Computerrichtlinien nicht an. (hab ich aber auch nicht geschireben sorry.) köntest du das nochmal nachholen?
Samba-tool jetzt ohne Fehler:
samba-tool ntacl sysvolcheck
Global parameter tls keyfile found in service section!
Global parameter tls certfile found in service section!
Global parameter tls cafile found in service section!
Global parameter tls keyfile found in service section!
Global parameter tls certfile found in service section!
Global parameter tls cafile found in service section!
Nun die richtige gpresult:
`C:\Windows\system32>gpresult /r
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
© Microsoft Corporation. Alle Rechte vorbehalten.
Am 06.09.2022 um 10:53:21 erstellt
RSOP-Daten für LINUXMUSTER\global-admin auf 201-pc1: Protokollmodus
--------------------------------------------------------------------
Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion: 10.0.19044
Standortname: Default-First-Site-Name
Roamingprofil:Nicht zutreffend
Lokales Profil: C:\Users\global-admin
Langsame Verbindung? Nein
COMPUTEREINSTELLUNGEN
----------------------
CN=201-PC1,OU=201,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=osolb,DC=de
Letzte Gruppenrichtlinienanwendung: 06.09.2022, um 10:52:39
Gruppenrichtlinieanwendung von: server.linuxmuster.osolb.de
Schwellenwert für langsame Verbindung:500 kbps
Domänenname: LINUXMUSTER
Domänentyp: Windows 2008 oder höher
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
pc
sophomorix:school:default-school
Default Domain Policy
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Computer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Administratoren
Jeder
Benutzer
NETZWERK
Authentifizierte Benutzer
Diese Organisation
201-pc1$
201
ml-3051
d_dellspc
Systemverbindlichkeitsstufe
BENUTZEREINSTELLUNGEN
----------------------
CN=global-admin,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=osolb,DC=de
Letzte Gruppenrichtlinienanwendung: 06.09.2022, um 10:52:41
Gruppenrichtlinieanwendung von: server.linuxmuster.osolb.de
Schwellenwert für langsame Verbindung:500 kbps
Domänenname: LINUXMUSTER
Domänentyp: Windows 2008 oder höher
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Domain Users
Jeder
Benutzer
Administratoren
INTERAKTIV
KONSOLENANMELDUNG
Authentifizierte Benutzer
Diese Organisation
LOKAL
role-globaladministrator
global-admins
Domain Admins
Denied RODC Password Replication Group
admins
s_default-school
SCHOOLS
all-admins
all-internet
all-wifi
all-webfilter
all-intranet
all-printing
Hohe Verbindlichkeitsstufe
admins
s_default-school
SCHOOLS
all-admins
all-internet
all-wifi
all-webfilter
all-intranet
all-printing
Hohe Verbindlichkeitsstufe`
Viele Grüße
Steffen
Also hier steht ja, dass die GPO auf dem PC (jetzt) angewandt wurde.
Funktioniert es nach einem Neustart nicht?
Sonst könntest du mal genauer prüfen, ob es funktioniert wenn du dort die Gruppe „201“ aufnimmst und dafür „authenticated users“ entfernst. Wenn GPResult /r die GPO anzeigt, sollten aber zumindest Sicherheits/OU Zuordnungen passen.
…achso - und warum ist dort eigentlich ein Schloss an deiner GPO?
Leider funktioniert es immer noch nicht.
Wenn ich die Richtlinie auf erzwungen setze erscheint das Schloss. Mit der Gruppe werde ich morgen testen.
Viele Grüße
Steffen
Administratoren haben die Möglichkeit, die Erzwingung einer Einstellung in Richtlinien zu veranlassen. Das heißt, auch wenn in untergeordneten OUs durch eine Richtlinie eine Einstellung wieder rückgängig gemacht wird, bleibt die Einstellung so gesetzt, wie in der erzwungenen Richtlinie konfiguriert.
Unterstützt das Samba? Ich würde das erzwingen an deiner Stelle mal deaktivieren und prüfen, ob es dann geht.
Sonst würde ich mal die Ereignisanzeige am Client prüfen. Vielleicht findest du dort Hinweise, warum die GPO nicht verarbeitet wird.
Ich habe mal über den Gruppenrichtlinieneditor die Aktualisierung angestoßen.
|201-PC5.linuxmuster.osolb.de|0x8007071A|Der Remoteprozeduraufruf (RPC) wurde abgebrochen. |
|---|---|---|
|201-PC6.linuxmuster.osolb.de|0x80070005|Zugriff verweigert |
Beim PC 201-PC6 habe ich beim Windows Firewall alle eingehenden zugelassen.
Wo könnte ich noch suchen?
Viele Grüße
Steffen
Hast du einen Virenschutz im Einsatz?
Welche Windows-Version hast du im Einsatz? (winver.exe)
die PCs haben EDU Version 21H2 und als Virenscanner nur Windows Defender.