Bug 52121

Summary:

Пользователю с делегированными правами невозможно создать УЗ компьютера

Product:

Branch p10

Reporter:

Anton Shevtsov <shevtsov.anton>

Component:

admc

Assignee:

qa-team <qa-team>

Status:

UNCONFIRMED ---

QA Contact:

qa-p10 <qa-p10>

Severity:

normal

Priority:

CC:

shevtsov.anton, zurabishvilinn

Version:

не указана

Hardware:

x86_64

OS:

Linux

Attachments:

Description	Flags
Сообщение об ошибке	none

Description Anton Shevtsov 2024-11-20 14:28:56 MSK

Created attachment 17227 [details]
Сообщение об ошибке

Пользователю с делегированными правами невозможно создать УЗ компьютера в рамках свои привилегий. В RSAT этот же пользователь может создавать УЗ компьютеров.

$ rpm -q admc libsasl2-3 gpupdate samba 
admc-0.17.1-alt1.x86_64
libsasl2-3-2.1.28-alt2.x86_64
gpupdate-0.11.3-alt1.noarch
samba-4.19.9-alt1.x86_64

$ cat /etc/os-release

NAME="ALT Workstation"
VERSION="10.4"
ID=altlinux
VERSION_ID=10.4
PRETTY_NAME="ALT Workstation 10.4 (Autolycus)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:workstation:10.4"
BUILD_ID="ALT Workstation 10.1"
HOME_URL="https://basealt.ru/"
BUG_REPORT_URL="https://bugs.altlinux.org/"
[la-vpv@dio-pav-1 ~]$ uname -r
5.10.209-std-def-alt2
[la-vpv@dio-pav-1 ~]$

Comment 1 Nikolai Zurabishvili 2024-11-22 18:39:28 MSK

Не удалось воспроизвести на сизифе и в p10

Стенды:
Workstation 10.2 x86-64
Server 10.2 office x86-64
Windows server 2012 R2

p10:
# rpm -q admc libsasl2-3 gpupdate samba
admc-0.17.0-alt1.x86_64
libsasl2-3-2.1.28-alt2.x86_64
gpupdate-0.10.6-alt1.noarch
samba-4.19.9-alt1.x86_64

sisyphus:
# rpm -q admc libsasl2-3 gpupdate samba
admc-0.17.1-alt1.x86_64
libsasl2-3-2.1.28-alt2.x86_64
gpupdate-0.11.4-alt1.noarch
samba-4.20.5-alt1.x86_64

Предусловия: Развернуть samba домен на сервере и ввести клиентов (workstation и windows server 2012)

Шаги:
1) На клиенте с Windows, войти в систему администратором домена, настроить RSAT -> Запустить программу «Active Directory — пользователи и компьютеры» -> Выбрать домен -> нажать ПКМ -> Делегирование управления...
-> Выбрать пользователя и делегировать задачи:
Создать особую задачу для делегирования: только следующими объектами в этой папке - Компьютер объектов
Разрешения: Полный доступ -> Готово
2) На втором клиенте с системой ALT, войти под доменным пользователем с делегированием, получить билет пользователя через Kerberos, открыть admc и проверить, что пользователь может создать объект компьютера

Объект компьютера создается корректно. Уточните пожалуйста, как делегировали права пользователю.