Bug 45291

Summary: Доменный администратор - недостаточно прав для создания ГП при работе с сервером Windows Server 2016
Product: Sisyphus Reporter: Anton Shevtsov <shevtsov.anton>
Component: admcAssignee: Evgeny Sinelnikov <sin>
Status: NEW --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: alimektor, kevl, knyazevsr, shevtsov.anton
Version: unstable   
Hardware: x86_64   
OS: Linux   
Attachments:
Description Flags
da-01, членство в группах и ошибка
none
windows2016 all is ok
none
admc с журналом
none
da-01 - членство
none
недостаточно прав
none
аттрибуты
none
аттрибуты группы none

Description Anton Shevtsov 2023-02-16 14:58:35 MSK
Created attachment 12523 [details]
da-01, членство в группах и ошибка

Ситуация судя по всему возникающая только когда работаем с MS AD на Windows 2016

Доменный администратор, в дополнении к этому еще в группе "владельцы-создатели групповых политик". 

Может создавать УЗ, OU, но при попытке создать ГП - gpui пишет недостаточно прав. На стороне Windows этот же пользователь успешно создает ГП.
Comment 1 Anton Shevtsov 2023-02-16 15:29:19 MSK
Created attachment 12526 [details]
windows2016 all is ok
Comment 2 Anton Shevtsov 2023-02-17 07:30:35 MSK
Created attachment 12541 [details]
admc с журналом
Comment 3 Evgeny Shesteperov 2023-02-17 11:29:45 MSK
Добрый день!

Пожалуйста, подтвердите стенд для воспроизведения ошибки:

1. Server AD: Windows Server 2016
2. Client AD с ADMC: ALT Workstation 10.1

Далее создать доменного администратора da-01 с группами:

- Администраторы домена
- Владельцы-создатели групповой политики
- Пользователи домена

На клиенте с помощью ADMC данным пользователем попытаться создать групповую политику NewGP.
Comment 4 Anton Shevtsov 2023-02-17 11:40:49 MSK
(In reply to Evgeny Shesteperov from comment #3)
> Добрый день!
> 
> Пожалуйста, подтвердите стенд для воспроизведения ошибки:
> 
> 1. Server AD: Windows Server 2016
> 2. Client AD с ADMC: ALT Workstation 10.1
> 
> Далее создать доменного администратора da-01 с группами:
> 
> - Администраторы домена
> - Владельцы-создатели групповой политики
> - Пользователи домена
> 
> На клиенте с помощью ADMC данным пользователем попытаться создать групповую
> политику NewGP.

Вм качестве клиента был alt server 10
Comment 5 Anton Shevtsov 2023-02-17 11:41:24 MSK
10 обновленный до 10.1
Comment 6 Evgeny Shesteperov 2023-03-01 11:26:18 MSK
Версия

-   admc-0.11.2-alt1
-   gpui-0.2.17-alt18

Стенд

1.  Server AD: Windows Server 2016
2.  Client AD с ADMC: ALT Server 10.1, обновлённый до Sisyphus

Шаги воспроизведения

1.  Развернуть Windows AD на Windows Server 2012R2:

AD Controller Hostname: addc.windowsad.testdomain Domain:
windowsad.testdomain Administrator Domain User: Admin Administrator
Domain User: da-01 с группами:

-   Администраторы домена
-   Владельцы-создатели групповой политики
-   Пользователи домена

2.  Ввести машину Client в домен:

         # apt-get install -y task-auth-ad-sssd
         # DOMAINNAME="windowsad.testdomain"
         # SERVERIP=<IP сервера Windows AD>
         # hostnamectl set-hostname testcli
         # echo -e "name_servers=$SERVERIP\nsearch_domains=$DOMAINNAME" >> /etc/resolvconf.conf
         # reboot
         # DOMAINNAME="windowsad.testdomain"
         # DOMAINNAME="${DOMAINNAME^^}"
         # WORKGROUP=$(echo "${DOMAINNAME}" | cut -d "." -f 1)
         # system-auth write ad "${DOMAINNAME}" "$(hostname --short)" "${WORKGROUP}" Admin '<Пароль администратора домена>'
         # reboot

3.  Установить ADMC и GPUI на Client:

         # apt-get install -y admc gpui

4.  Открыть ADMC:

         $ kinit da-01
         $ admc

5.  Выбрать Объекты групповой политики → ПКМ по windowsad.testdomain →
    Создать политику и связать с этим подразделением.

6.  Ввести имя политики, например TestGPO.

7.  Нажать ОК

Ожидаемый результат: созданная политика как на в RSAT или непосредственно на сервере.

Фактический результат: ошибка

        Не удалось создать GPO. Ошибка: "Недостаточно прав."

Дополнительно: воспроизводится и с администратором домена по умолчанию
(имеется в виду Admin в шагах воспроизведения).

Проверялось в P10 c Server 10.0 с обновлением до текущего P10 в качестве
клиента, ошибка воспроизводится.
Comment 7 Evgeny Shesteperov 2023-03-01 16:52:58 MSK
> 1.  Развернуть Windows AD на Windows Server 2012R2:

На 2016, конечно же.
Comment 8 Samael 2023-08-01 18:17:59 MSK
(Ответ для Evgeny Shesteperov на комментарий #6)
> Версия
> 
> -   admc-0.11.2-alt1
> -   gpui-0.2.17-alt18
> 
> Стенд
> 
> 1.  Server AD: Windows Server 2016
> 2.  Client AD с ADMC: ALT Server 10.1, обновлённый до Sisyphus
> 
> Шаги воспроизведения
> 
> 1.  Развернуть Windows AD на Windows Server 2012R2:
> 
> AD Controller Hostname: addc.windowsad.testdomain Domain:
> windowsad.testdomain Administrator Domain User: Admin Administrator
> Domain User: da-01 с группами:
> 
> -   Администраторы домена
> -   Владельцы-создатели групповой политики
> -   Пользователи домена
> 
> 2.  Ввести машину Client в домен:
> 
>          # apt-get install -y task-auth-ad-sssd
>          # DOMAINNAME="windowsad.testdomain"
>          # SERVERIP=<IP сервера Windows AD>
>          # hostnamectl set-hostname testcli
>          # echo -e "name_servers=$SERVERIP\nsearch_domains=$DOMAINNAME" >>
> /etc/resolvconf.conf
>          # reboot
>          # DOMAINNAME="windowsad.testdomain"
>          # DOMAINNAME="${DOMAINNAME^^}"
>          # WORKGROUP=$(echo "${DOMAINNAME}" | cut -d "." -f 1)
>          # system-auth write ad "${DOMAINNAME}" "$(hostname --short)"
> "${WORKGROUP}" Admin '<Пароль администратора домена>'
>          # reboot
> 
> 3.  Установить ADMC и GPUI на Client:
> 
>          # apt-get install -y admc gpui
> 
> 4.  Открыть ADMC:
> 
>          $ kinit da-01
>          $ admc
> 
> 5.  Выбрать Объекты групповой политики → ПКМ по windowsad.testdomain →
>     Создать политику и связать с этим подразделением.
> 
> 6.  Ввести имя политики, например TestGPO.
> 
> 7.  Нажать ОК
> 
> Ожидаемый результат: созданная политика как на в RSAT или непосредственно на
> сервере.
> 
> Фактический результат: ошибка
> 
>         Не удалось создать GPO. Ошибка: "Недостаточно прав."
> 
> Дополнительно: воспроизводится и с администратором домена по умолчанию
> (имеется в виду Admin в шагах воспроизведения).
> 
> Проверялось в P10 c Server 10.0 с обновлением до текущего P10 в качестве
> клиента, ошибка воспроизводится.

Данная проблема в разработке. В admc попробуйте переименовать группу "Администраторы домена" в Domain Admins
Comment 9 Anton Shevtsov 2023-08-15 09:29:58 MSK
Обновил admc до актуальной на сегодня версии в p10.
Полтора года стенд работал исправно. Все демонстрации проходили под использованием учетной записи da-01 - учетка в OU=Users, член DomainUsers, DomainAdmins, первичная группа DomainAdmins (см. скриншоты). Все политики создавались, полное редактирование всего наполнения домена.
И сейчас в версии 0.13.0 - запускаю ADMC, пытаюсь создать политику - "недостаточно прав" (см. скриншоты)
Comment 10 Anton Shevtsov 2023-08-15 09:30:27 MSK
Created attachment 14109 [details]
da-01 - членство
Comment 11 Anton Shevtsov 2023-08-15 09:30:52 MSK
Created attachment 14110 [details]
недостаточно прав
Comment 12 Anton Shevtsov 2023-08-15 09:31:40 MSK
Уточнение - сервер наша самба, актуальная на сегодняшний день - samba-4.16.11-alt2.x86_64
Comment 13 Samael 2023-08-15 13:27:31 MSK
(Ответ для Anton Shevtsov на комментарий #10)
> Создано вложение 14109 [details] [подробности]
> da-01 - членство

В качестве временного решения попробуйте переименовать группу админов домена (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или нет, пж.
Comment 14 Anton Shevtsov 2023-08-15 13:38:35 MSK
(Ответ для Samael на комментарий #13)
> (Ответ для Anton Shevtsov на комментарий #10)
> > Создано вложение 14109 [details] [подробности]
> > da-01 - членство
> 
> В качестве временного решения попробуйте переименовать группу админов домена
> (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или
> нет, пж.

https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая и есть! Я же говорю, до последнего обновления все работало.
Comment 15 Samael 2023-08-15 14:50:20 MSK
(Ответ для Anton Shevtsov на комментарий #14)
> (Ответ для Samael на комментарий #13)
> > (Ответ для Anton Shevtsov на комментарий #10)
> > > Создано вложение 14109 [details] [подробности]
> > > da-01 - членство
> > 
> > В качестве временного решения попробуйте переименовать группу админов домена
> > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или
> > нет, пж.
> 
> https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая
> и есть! Я же говорю, до последнего обновления все работало.

Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг "Без значения" в фильтрах)
Comment 16 Anton Shevtsov 2023-08-15 15:04:56 MSK
Created attachment 14120 [details]
аттрибуты
Comment 17 Anton Shevtsov 2023-08-15 15:05:17 MSK
(Ответ для Samael на комментарий #15)
> (Ответ для Anton Shevtsov на комментарий #14)
> > (Ответ для Samael на комментарий #13)
> > > (Ответ для Anton Shevtsov на комментарий #10)
> > > > Создано вложение 14109 [details] [подробности]
> > > > da-01 - членство
> > > 
> > > В качестве временного решения попробуйте переименовать группу админов домена
> > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или
> > > нет, пж.
> > 
> > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая
> > и есть! Я же говорю, до последнего обновления все работало.
> 
> Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг
> "Без значения" в фильтрах)

https://bugzilla.altlinux.org/attachment.cgi?id=14120
Comment 18 Samael 2023-08-15 15:09:01 MSK
(Ответ для Anton Shevtsov на комментарий #17)
> (Ответ для Samael на комментарий #15)
> > (Ответ для Anton Shevtsov на комментарий #14)
> > > (Ответ для Samael на комментарий #13)
> > > > (Ответ для Anton Shevtsov на комментарий #10)
> > > > > Создано вложение 14109 [details] [подробности]
> > > > > da-01 - членство
> > > > 
> > > > В качестве временного решения попробуйте переименовать группу админов домена
> > > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или
> > > > нет, пж.
> > > 
> > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая
> > > и есть! Я же говорю, до последнего обновления все работало.
> > 
> > Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг
> > "Без значения" в фильтрах)
> 
> https://bugzilla.altlinux.org/attachment.cgi?id=14120

Группы, не пользователя
Comment 19 Anton Shevtsov 2023-08-15 16:13:27 MSK
Created attachment 14121 [details]
аттрибуты группы
Comment 20 Anton Shevtsov 2023-08-15 16:13:45 MSK
(Ответ для Samael на комментарий #18)
> (Ответ для Anton Shevtsov на комментарий #17)
> > (Ответ для Samael на комментарий #15)
> > > (Ответ для Anton Shevtsov на комментарий #14)
> > > > (Ответ для Samael на комментарий #13)
> > > > > (Ответ для Anton Shevtsov на комментарий #10)
> > > > > > Создано вложение 14109 [details] [подробности]
> > > > > > da-01 - членство
> > > > > 
> > > > > В качестве временного решения попробуйте переименовать группу админов домена
> > > > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или
> > > > > нет, пж.
> > > > 
> > > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая
> > > > и есть! Я же говорю, до последнего обновления все работало.
> > > 
> > > Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг
> > > "Без значения" в фильтрах)
> > 
> > https://bugzilla.altlinux.org/attachment.cgi?id=14120
> 
> Группы, не пользователя

https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14121
Comment 21 Samael 2023-08-16 13:37:47 MSK
(Ответ для Anton Shevtsov на комментарий #20)
> (Ответ для Samael на комментарий #18)
> > (Ответ для Anton Shevtsov на комментарий #17)
> > > (Ответ для Samael на комментарий #15)
> > > > (Ответ для Anton Shevtsov на комментарий #14)
> > > > > (Ответ для Samael на комментарий #13)
> > > > > > (Ответ для Anton Shevtsov на комментарий #10)
> > > > > > > Создано вложение 14109 [details] [подробности]
> > > > > > > da-01 - членство
> > > > > > 
> > > > > > В качестве временного решения попробуйте переименовать группу админов домена
> > > > > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или
> > > > > > нет, пж.
> > > > > 
> > > > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая
> > > > > и есть! Я же говорю, до последнего обновления все работало.
> > > > 
> > > > Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг
> > > > "Без значения" в фильтрах)
> > > 
> > > https://bugzilla.altlinux.org/attachment.cgi?id=14120
> > 
> > Группы, не пользователя
> 
> https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14121

Проверьте находится ли da-1(Ответ для Anton Shevtsov на комментарий #20)
> (Ответ для Samael на комментарий #18)
> > (Ответ для Anton Shevtsov на комментарий #17)
> > > (Ответ для Samael на комментарий #15)
> > > > (Ответ для Anton Shevtsov на комментарий #14)
> > > > > (Ответ для Samael на комментарий #13)
> > > > > > (Ответ для Anton Shevtsov на комментарий #10)
> > > > > > > Создано вложение 14109 [details] [подробности]
> > > > > > > da-01 - членство
> > > > > > 
> > > > > > В качестве временного решения попробуйте переименовать группу админов домена
> > > > > > (sid заканчивается на -512) на "Domain Admins". Дайте знать заработает или
> > > > > > нет, пж.
> > > > > 
> > > > > https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14109 она такая
> > > > > и есть! Я же говорю, до последнего обновления все работало.
> > > > 
> > > > Сорри, не заметил. Покажите пж атрибуты группы Domain Admins (уберите флаг
> > > > "Без значения" в фильтрах)
> > > 
> > > https://bugzilla.altlinux.org/attachment.cgi?id=14120
> > 
> > Группы, не пользователя
> 
> https://attachments.bugzilla.altlinux.org/attachment.cgi?id=14121

Посмотрите есть ли в атрибуте member юзер da-01. К тому же, исходя из содержания атрибута memberOf в атрибутах юзера, группы Domain Admins там нет. Попробуйте через рабочего админа удалить и добавить юзера в админов домена.
Comment 22 Anton Shevtsov 2023-08-16 15:02:19 MSK
> 
> Посмотрите есть ли в атрибуте member юзер da-01. К тому же, исходя из
> содержания атрибута memberOf в атрибутах юзера, группы Domain Admins там
> нет. Попробуйте через рабочего админа удалить и добавить юзера в админов
> домена.

перешел в RSAT для наглядности
во вкладке - член групп - указано Domain Users, Domain Admins.
во вкладке Аттрибуты - поле memberOf указывает только на Domain Users.

Удалил из группы Domain Admins, добавил снова - memberOf не изменился.

Однако, когда сменил у пользователя первичную группу с Domain Admins на Domain Users - права на создание ГП и вообще работы с УЗ появились и admc более не ругается.
Comment 23 Samael 2024-03-26 23:52:33 MSK
(Ответ для Anton Shevtsov на комментарий #22)
> > 
> > Посмотрите есть ли в атрибуте member юзер da-01. К тому же, исходя из
> > содержания атрибута memberOf в атрибутах юзера, группы Domain Admins там
> > нет. Попробуйте через рабочего админа удалить и добавить юзера в админов
> > домена.
> 
> перешел в RSAT для наглядности
> во вкладке - член групп - указано Domain Users, Domain Admins.
> во вкладке Аттрибуты - поле memberOf указывает только на Domain Users.
> 
> Удалил из группы Domain Admins, добавил снова - memberOf не изменился.
> 
> Однако, когда сменил у пользователя первичную группу с Domain Admins на
> Domain Users - права на создание ГП и вообще работы с УЗ появились и admc
> более не ругается.

У меня не удалось воспроизвести, так как если основная группа у юзера совпадает с той, из которой его хотят удалить, то ни RSAT ни ADMC этого сделать не дают.