Недостаточный доступ при попытке установить атрибуты ОС компьютера при присоединении сервера Linux к Active Directory
Я пытаюсь присоединить сервер Linux к Active Directory. Я хочу установить имя ОС и атрибуты версии ОС после присоединения к домену с помощью этой команды:
/ usr / bin / net ads join -k -S adserver.example.local osName = CentOS osVer = 6,5
Я делегировал разрешения учетной записи привязки, чтобы она могла читать и записывать свойства ОС и версии ОС для объектов компьютеров. Когда я пытаюсь присоединиться к домену, я сталкиваюсь с этой ошибкой:
Не удалось присоединиться к домену: не удалось установить атрибуты ОС компьютера: недостаточный доступ
У меня нет проблем с присоединением к домену при выключении osName и osVer. Чтобы убедиться, что эта учетная запись имеет необходимые разрешения, я вручную установил эти два свойства на объектах компьютера с помощью ADSI.
2 ответа
Из анализа пакетов выяснилось, что у учетной записи, используемой для присоединения к домену, отсутствуют разрешения на чтение / запись в пакет обновления для операционной системы. Этот атрибут автоматически устанавливался на версию samba, которая была установлена.
Обычно проще предварительно подготовить учетную запись компьютера и назначить разрешения / владельца учетной записи, которая будет присоединять ее к домену.
У меня была точно такая же проблема, и оказалось, что для присоединения к системе Linux требуется больше разрешений, чем для системы Windows к домену.
Я добавил дополнительные разрешения к своей учетной записи для присоединения к домену, следуя этому руководству: https://www.computertechblog.com/active-directory-permissions-required-to-join-linux-and-windows-computers-to-a-domain/
По ссылке выше:
Стандартные разрешения, необходимые для присоединения систем к AD (Linux и Windows)
- Сброс пароля
- Ограничения на чтение и запись аккаунта
- Подтвержденная запись на имя хоста DNS
- Подтвержденная запись в имя участника службы
- Чтение и запись атрибутов имени хоста DNS
Дополнительные разрешения, необходимые машинам Linux для присоединения к AD (Linux)
- Читать dNSHostName
- Напишите dNSHostName
- Прочтите msDS-AddtionalSamAccountName
- Напишите msDS-AddtionalSamAccountName
- Прочитать msDS-SupportedEncryptionTypes
- Написать msDS-SupportedEncryptionTypes
- Читать операционную систему
- Запись операционной системы
- Прочитать версию операционной системы
- Написать версию операционной системы
- Прочитать OperatingSystemServicePack
- Написать OperatingSystemServicePack
- Прочитать servicePrincipalName
- Написать servicePrincipalName
- Читать userAccountControl
- Написать userAccountControl
- Прочитать имя пользователя
- Напишите имя пользователя
ПРИМЕЧАНИЕ. Чтобы увидеть эти дополнительные разрешения, необходимо показать разрешения "для конкретного ресурса".
Связанный:
- Невозможно присоединить Ubuntu/Linux к Active Directory в качестве пользователя домена. Работает с Windows-клиентами
- Невозможно присоединиться к домену с помощью samba tool net или realm/sssd
- Учетная запись для чтения AD, присоединения компьютера к домену, удаления учетных записей компьютеров и перемещения компьютеров в подразделения.