Summary: | Доменный администратор - недостаточно прав для создания ГП при работе с сервером Windows Server 2016 | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Product: | Sisyphus | Reporter: | Anton Shevtsov <shevtsov.anton> | ||||||||||||||||
Component: | admc | Assignee: | Evgeny Sinelnikov <sin> | ||||||||||||||||
Status: | NEW --- | QA Contact: | qa-sisyphus | ||||||||||||||||
Severity: | normal | ||||||||||||||||||
Priority: | P5 | CC: | alimektor, kevl, knyazevsr, shevtsov.anton | ||||||||||||||||
Version: | unstable | ||||||||||||||||||
Hardware: | x86_64 | ||||||||||||||||||
OS: | Linux | ||||||||||||||||||
Attachments: |
|
Created attachment 12526 [details]
windows2016 all is ok
Created attachment 12541 [details]
admc с журналом
Добрый день! Пожалуйста, подтвердите стенд для воспроизведения ошибки: 1. Server AD: Windows Server 2016 2. Client AD с ADMC: ALT Workstation 10.1 Далее создать доменного администратора da-01 с группами: - Администраторы домена - Владельцы-создатели групповой политики - Пользователи домена На клиенте с помощью ADMC данным пользователем попытаться создать групповую политику NewGP. (In reply to Evgeny Shesteperov from comment #3) > Добрый день! > > Пожалуйста, подтвердите стенд для воспроизведения ошибки: > > 1. Server AD: Windows Server 2016 > 2. Client AD с ADMC: ALT Workstation 10.1 > > Далее создать доменного администратора da-01 с группами: > > - Администраторы домена > - Владельцы-создатели групповой политики > - Пользователи домена > > На клиенте с помощью ADMC данным пользователем попытаться создать групповую > политику NewGP. Вм качестве клиента был alt server 10 10 обновленный до 10.1 Версия - admc-0.11.2-alt1 - gpui-0.2.17-alt18 Стенд 1. Server AD: Windows Server 2016 2. Client AD с ADMC: ALT Server 10.1, обновлённый до Sisyphus Шаги воспроизведения 1. Развернуть Windows AD на Windows Server 2012R2: AD Controller Hostname: addc.windowsad.testdomain Domain: windowsad.testdomain Administrator Domain User: Admin Administrator Domain User: da-01 с группами: - Администраторы домена - Владельцы-создатели групповой политики - Пользователи домена 2. Ввести машину Client в домен: # apt-get install -y task-auth-ad-sssd # DOMAINNAME="windowsad.testdomain" # SERVERIP=<IP сервера Windows AD> # hostnamectl set-hostname testcli # echo -e "name_servers=$SERVERIP\nsearch_domains=$DOMAINNAME" >> /etc/resolvconf.conf # reboot # DOMAINNAME="windowsad.testdomain" # DOMAINNAME="${DOMAINNAME^^}" # WORKGROUP=$(echo "${DOMAINNAME}" | cut -d "." -f 1) # system-auth write ad "${DOMAINNAME}" "$(hostname --short)" "${WORKGROUP}" Admin '<Пароль администратора домена>' # reboot 3. Установить ADMC и GPUI на Client: # apt-get install -y admc gpui 4. Открыть ADMC: $ kinit da-01 $ admc 5. Выбрать Объекты групповой политики → ПКМ по windowsad.testdomain → Создать политику и связать с этим подразделением. 6. Ввести имя политики, например TestGPO. 7. Нажать ОК Ожидаемый результат: созданная политика как на в RSAT или непосредственно на сервере. Фактический результат: ошибка Не удалось создать GPO. Ошибка: "Недостаточно прав." Дополнительно: воспроизводится и с администратором домена по умолчанию (имеется в виду Admin в шагах воспроизведения). Проверялось в P10 c Server 10.0 с обновлением до текущего P10 в качестве клиента, ошибка воспроизводится. > 1. Развернуть Windows AD на Windows Server 2012R2:
На 2016, конечно же.
(Ответ для Evgeny Shesteperov на комментарий #6) > Версия > > - admc-0.11.2-alt1 > - gpui-0.2.17-alt18 > > Стенд > > 1. Server AD: Windows Server 2016 > 2. Client AD с ADMC: ALT Server 10.1, обновлённый до Sisyphus > > Шаги воспроизведения > > 1. Развернуть Windows AD на Windows Server 2012R2: > > AD Controller Hostname: addc.windowsad.testdomain Domain: > windowsad.testdomain Administrator Domain User: Admin Administrator > Domain User: da-01 с группами: > > - Администраторы домена > - Владельцы-создатели групповой политики > - Пользователи домена > > 2. Ввести машину Client в домен: > > # apt-get install -y task-auth-ad-sssd > # DOMAINNAME="windowsad.testdomain" > # SERVERIP=<IP сервера Windows AD> > # hostnamectl set-hostname testcli > # echo -e "name_servers=$SERVERIP\nsearch_domains=$DOMAINNAME" >> > /etc/resolvconf.conf > # reboot > # DOMAINNAME="windowsad.testdomain" > # DOMAINNAME="${DOMAINNAME^^}" > # WORKGROUP=$(echo "${DOMAINNAME}" | cut -d "." -f 1) > # system-auth write ad "${DOMAINNAME}" "$(hostname --short)" > "${WORKGROUP}" Admin '<Пароль администратора домена>' > # reboot > > 3. Установить ADMC и GPUI на Client: > > # apt-get install -y admc gpui > > 4. Открыть ADMC: > > $ kinit da-01 > $ admc > > 5. Выбрать Объекты групповой политики → ПКМ по windowsad.testdomain → > Создать политику и связать с этим подразделением. > > 6. Ввести имя политики, например TestGPO. > > 7. Нажать ОК > > Ожидаемый результат: созданная политика как на в RSAT или непосредственно на > сервере. > > Фактический результат: ошибка > > Не удалось создать GPO. Ошибка: "Недостаточно прав." > > Дополнительно: воспроизводится и с администратором домена по умолчанию > (имеется в виду Admin в шагах воспроизведения). > > Проверялось в P10 c Server 10.0 с обновлением до текущего P10 в качестве > клиента, ошибка воспроизводится. Данная проблема в разработке. В admc попробуйте переименовать группу "Администраторы домена" в Domain Admins Обновил admc до актуальной на сегодня версии в p10. Полтора года стенд работал исправно. Все демонстрации проходили под использованием учетной записи da-01 - учетка в OU=Users, член DomainUsers, DomainAdmins, первичная группа DomainAdmins (см. скриншоты). Все политики создавались, полное редактирование всего наполнения домена. И сейчас в версии 0.13.0 - запускаю ADMC, пытаюсь создать политику - "недостаточно прав" (см. скриншоты) Created attachment 14109 [details]
da-01 - членство
Created attachment 14110 [details]
недостаточно прав
Уточнение - сервер наша самба, актуальная на сегодняшний день - samba-4.16.11-alt2.x86_64 (Ответ для Anton Shevtsov на комментарий #10) > Создано вложение 14109 [details] [подробности] > da-01 - членство В качестве временного решения попробуйте переименовать группу админов домена (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или нет, пж. (Ответ для Samael на комментарий #13) > (Ответ для Anton Shevtsov на комментарий #10) > > Создано вложение 14109 [details] [подробности] > > da-01 - членство > > В качестве временного решения попробуйте переименовать группу админов домена > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или > нет, пж. https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая и есть! Я же говорю, до последнего обновления все работало. (Ответ для Anton Shevtsov на комментарий #14) > (Ответ для Samael на комментарий #13) > > (Ответ для Anton Shevtsov на комментарий #10) > > > Создано вложение 14109 [details] [подробности] > > > da-01 - членство > > > > В качестве временного решения попробуйте переименовать группу админов домена > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или > > нет, пж. > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая > и есть! Я же говорю, до последнего обновления все работало. Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг "Без значения" в фильтрах) Created attachment 14120 [details]
аттрибуты
(Ответ для Samael на комментарий #15) > (Ответ для Anton Shevtsov на комментарий #14) > > (Ответ для Samael на комментарий #13) > > > (Ответ для Anton Shevtsov на комментарий #10) > > > > Создано вложение 14109 [details] [подробности] > > > > da-01 - членство > > > > > > В качестве временного решения попробуйте переименовать группу админов домена > > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или > > > нет, пж. > > > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая > > и есть! Я же говорю, до последнего обновления все работало. > > Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг > "Без значения" в фильтрах) https://bugzilla.altlinux.org/attachment.cgi?id=14120 (Ответ для Anton Shevtsov на комментарий #17) > (Ответ для Samael на комментарий #15) > > (Ответ для Anton Shevtsov на комментарий #14) > > > (Ответ для Samael на комментарий #13) > > > > (Ответ для Anton Shevtsov на комментарий #10) > > > > > Создано вложение 14109 [details] [подробности] > > > > > da-01 - членство > > > > > > > > В качестве временного решения попробуйте переименовать группу админов домена > > > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или > > > > нет, пж. > > > > > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая > > > и есть! Я же говорю, до последнего обновления все работало. > > > > Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг > > "Без значения" в фильтрах) > > https://bugzilla.altlinux.org/attachment.cgi?id=14120 Группы, не пользователя Created attachment 14121 [details]
аттрибуты группы
(Ответ для Samael на комментарий #18) > (Ответ для Anton Shevtsov на комментарий #17) > > (Ответ для Samael на комментарий #15) > > > (Ответ для Anton Shevtsov на комментарий #14) > > > > (Ответ для Samael на комментарий #13) > > > > > (Ответ для Anton Shevtsov на комментарий #10) > > > > > > Создано вложение 14109 [details] [подробности] > > > > > > da-01 - членство > > > > > > > > > > В качестве временного решения попробуйте переименовать группу админов домена > > > > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или > > > > > нет, пж. > > > > > > > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая > > > > и есть! Я же говорю, до последнего обновления все работало. > > > > > > Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг > > > "Без значения" в фильтрах) > > > > https://bugzilla.altlinux.org/attachment.cgi?id=14120 > > Группы, не пользователя https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14121 (Ответ для Anton Shevtsov на комментарий #20) > (Ответ для Samael на комментарий #18) > > (Ответ для Anton Shevtsov на комментарий #17) > > > (Ответ для Samael на комментарий #15) > > > > (Ответ для Anton Shevtsov на комментарий #14) > > > > > (Ответ для Samael на комментарий #13) > > > > > > (Ответ для Anton Shevtsov на комментарий #10) > > > > > > > Создано вложение 14109 [details] [подробности] > > > > > > > da-01 - членство > > > > > > > > > > > > В качестве временного решения попробуйте переименовать группу админов домена > > > > > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или > > > > > > нет, пж. > > > > > > > > > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая > > > > > и есть! Я же говорю, до последнего обновления все работало. > > > > > > > > Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг > > > > "Без значения" в фильтрах) > > > > > > https://bugzilla.altlinux.org/attachment.cgi?id=14120 > > > > Группы, не пользователя > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14121 Проверьте находится ли da-1(Ответ для Anton Shevtsov на комментарий #20) > (Ответ для Samael на комментарий #18) > > (Ответ для Anton Shevtsov на комментарий #17) > > > (Ответ для Samael на комментарий #15) > > > > (Ответ для Anton Shevtsov на комментарий #14) > > > > > (Ответ для Samael на комментарий #13) > > > > > > (Ответ для Anton Shevtsov на комментарий #10) > > > > > > > Создано вложение 14109 [details] [подробности] > > > > > > > da-01 - членство > > > > > > > > > > > > В качестве временного решения попробуйте переименовать группу админов домена > > > > > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или > > > > > > нет, пж. > > > > > > > > > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая > > > > > и есть! Я же говорю, до последнего обновления все работало. > > > > > > > > Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг > > > > "Без значения" в фильтрах) > > > > > > https://bugzilla.altlinux.org/attachment.cgi?id=14120 > > > > Группы, не пользователя > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14121 Посмотрите есть ли в атрибуте member юзер da-01. К тому же, исходя из содержания атрибута memberOf в атрибутах юзера, группы Domain Admins там нет. Попробуйте через рабочего админа удалить и добавить юзера в админов домена.
>
> Посмотрите есть ли в атрибуте member юзер da-01. К тому же, исходя из
> содержания атрибута memberOf в атрибутах юзера, группы Domain Admins там
> нет. Попробуйте через рабочего админа удалить и добавить юзера в админов
> домена.
перешел в RSAT для наглядности
во вкладке - член групп - указано Domain Users, Domain Admins.
во вкладке Аттрибуты - поле memberOf указывает только на Domain Users.
Удалил из группы Domain Admins, добавил снова - memberOf не изменился.
Однако, когда сменил у пользователя первичную группу с Domain Admins на Domain Users - права на создание ГП и вообще работы с УЗ появились и admc более не ругается.
(Ответ для Anton Shevtsov на комментарий #22) > > > > Посмотрите есть ли в атрибуте member юзер da-01. К тому же, исходя из > > содержания атрибута memberOf в атрибутах юзера, группы Domain Admins там > > нет. Попробуйте через рабочего админа удалить и добавить юзера в админов > > домена. > > перешел в RSAT для наглядности > во вкладке - член групп - указано Domain Users, Domain Admins. > во вкладке Аттрибуты - поле memberOf указывает только на Domain Users. > > Удалил из группы Domain Admins, добавил снова - memberOf не изменился. > > Однако, когда сменил у пользователя первичную группу с Domain Admins на > Domain Users - права на создание ГП и вообще работы с УЗ появились и admc > более не ругается. У меня не удалось воспроизвести, так как если основная группа у юзера совпадает с той, из которой его хотят удалить, то ни RSAT ни ADMC этого сделать не дают. |
Created attachment 12523 [details] da-01, членство в группах и ошибка Ситуация судя по всему возникающая только когда работаем с MS AD на Windows 2016 Доменный администратор, в дополнении к этому еще в группе "владельцы-создатели групповых политик". Может создавать УЗ, OU, но при попытке создать ГП - gpui пишет недостаточно прав. На стороне Windows этот же пользователь успешно создает ГП.