Контроллер домена Samba4, сбой обработки групповой политики, сбой gpupdate

Question

Контроллер домена Samba4, сбой обработки групповой политики, сбой gpupdate

Я использую контроллер домена Samba4, и на машинах, подключенных к домену, я вижу это сообщение:

The processing of Group Policy failed. Windows attempted to read the file \\mydomain.org\sysvol\mydomain.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following: 
a) Name Resolution/Network Connectivity to the current domain controller. 
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller). 
c) The Distributed File System (DFS) client has been disabled.

Запуск gpupdate выдает мне ту же ошибку. Если я открою окно запуска и введите notepad \\mydomain.org\sysvol\mydomain.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.iniЯ открываю Блокнот с файлом в нем. Содержание это:

[General]
Version=14

Очевидно, что файл существует и доступен (в любом случае, администратором домена). Имя mydomain.org восстанавливается до IP-адреса моего контроллера домена. Если я бегу GPRESULT /H GPReport.htmlПолученный файл говорит:

Group Policy Infrastructure failed due to the error listed below.

Access is denied. 

Note: Due to the GP Core failure, none of the other Group Policy components processed their policy. Consequently, status information for the other components is not available.

Я проверил ACL через smbcacls в папке домена под общей папкой sysvol и получил следующий вывод:

pi@dc-rpi1 ~ $ smbcacls //mydomain.org/sysvol mydomain.org -U administrator@mydomain.org
Enter administrator@mydomain.org's password:
REVISION:1
CONTROL:SR|PD|DP
OWNER:MYDOMAIN\Administrator
GROUP:BUILTIN\Administrators
ACL:BUILTIN\Administrators:ALLOWED/OI|CI/FULL
ACL:BUILTIN\Server Operators:ALLOWED/OI|CI/READ
ACL:NT AUTHORITY\SYSTEM:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/OI|CI/READ

Если я пытаюсь получить ACL для самого файла gpt.ini, я получаю это:

pi@dc-rpi1 ~ $ smbcacls //mydomain.org/sysvol mydomain.org/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/gpt.ini -U administrator@mydomain.org
Enter administrator@mydomain.org's password:
REVISION:1
CONTROL:SR|PD|DP
OWNER:MYDOMAIN\Domain Admins
GROUP:MYDOMAIN\Domain Admins
ACL:MYDOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:MYDOMAIN\Enterprise Admins:ALLOWED/OI|CI/FULL
ACL:CREATOR OWNER:ALLOWED/OI|CI|IO/FULL
ACL:MYDOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\SYSTEM:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/OI|CI/READ
ACL:NT AUTHORITY\ServerLogon:ALLOWED/OI|CI/READ

Почему не работает обработка групповой политики? ACL не работают, потому что мой DC не работает с правильной файловой системой или какая-то другая проблема с настройкой?

2

group-policy domain samba4

Источник

Mark 06 сен '14 в 21:37

2 ответа

Другие вопросы по тегам group-policy domain samba4

Mark 06 сен '14 в 22:19 2014-09-06 22:19 · Answer 1 · 2014-09-06 22:19

Я побежал samba-tool ntacl sysvolreset, что заняло несколько секунд, а затем повторно запустил smbcacls команда. Вывод не изменился, но gpupdate больше не дает сбой. Да.

3

Источник

Mark 06 сен '14 в 22:19

jboulet 10 окт '15 в 05:21 2015-10-10 05:21 · Answer 2 · 2015-10-10 05:21

Я испытывал это раньше на моем гибридном домене с Samab4 и Windows. По крайней мере, в моем случае проблема заключалась в том, что общий ресурс sysvol был не синхронизирован между контроллерами домена. В моем случае мой сценарий синхронизации перестал работать, и у одного контроллера домена был объект групповой политики, а у другого - нет. Я исправил проблему с синхронизацией, и все вернулось на круги своя.

Надеюсь, это кому-нибудь поможет.