El 27/06/16 a las 10:18, Rommel Rodriguez Toirac escribió:
> El viernes, 24 de junio de 2016 3:45:01 P. M. CDT Arian Molina Aguilera
> escribió:
>> El 23/06/16 a las 09:26, Rommel Rodriguez Toirac escribió:
>>> Mis saludos;
>>>
>>> Tengo samba4.3.1 instalado en un contenedor CentOS7 en Proxmox 4.1
>>>
>>> Las cuestiones relacionadas con las políticas de grupo y dominio no me
>>> están>
>>> trabajando. Las creé haciendo uso de un RSA (como me sugirieron), pero ni
>>> las PC, ni los usuarios las están asumiendo.
>>>
>>> Revisando con samba-tool encuentro cual es el GPO para las cosas que yo
>>>
>>> implementé (ejemplo: inicio clásico de windows, desactivar actualizaciones
>>> automáticas, desactivar reproducción automática, etc). El path es este:
>>>
>>> \\gtm.onat.gob.cu\SysVol\gtm.onat.gob.cu\Policies\
>>> {B1103729-61D4-4129-90D8-231C3CFA13E3}
>>>
>>> Cuando voy a chequear ese path, me encuentro que a partir de SysVol los
>>>
>>> permisos son 770 pero con dueño root y grupo 3000000; luego dentro del GPO
>>> como tal tiene permiso 770 y dueño 3000008 y grupo 3000008.
>>>
>>> ¿Eso es correto?
>>>
>>> ¿Cual pudiera ser la causa de que las políticas de grupo no se me
>>> desplieguen>
>>> por la red?
>>
>> Comprueba si desde una pc cliente, puedes acceder a ese path, que es un
>> recurso compartido, fijate si tienes acceso de lectura, con usuario del
>> dominio, si tienes cachareados los permisos tendrás que repararlos: lo
>> comprueba con:
>> samba-tool ntacl sysvolcheck
>> samba-tool ntacl sysvolreset
>
> Hasta esa localización solo puedo llegar como administrador del dominio,
> como
> usuario simple no.
>
> El comando "samba-tool ntacl sysvolcheck" ¿como se usaría? He probado de
> varias manera y no me devuelve nada.
>
> Probé con el comando "samba-tool gpo aclcheck" y me devolvió lo siguiente:
>
> ERROR: Invalid GPO ACL O:DAG:DAD:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;DA)
> (A;;;;;WD)(A;OICIIO;0x001f01ff;;;CO)(A;OICIIO;0x001200a9;;;CG)(A;OICIIO;
> 0x001200a9;;;WD) on path (gtm.onat.gob.cu\Policies
> \{31B2F340-016D-11D2-945F-00C04FB984F9}), should be O:DAG:DAD:P(A;OICI;
> 0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;
> 0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;
> 0x001200a9;;;ED)
>
> Pero en esa política yo no tengo nada implementado, pues esa es la política
> por defecto del dominio y mirando dentro de los directorios Machine y User
> están vacio.
>
> ¿Algún ejemplo de como usar el comando samba-tool ntacl sysvolcheck?
>
>
>
pues en ese directorio tiene que haber permisos de lectura para domain
users para que todos puedan leer las políticas y el comando se usa así
exactamente como te lo puse solo ejecutarlo, y te debe reparar los
permisos de sysvol y funcionarte las políticas, a mi me funcionan
perfectamente, incluyendo windows 10, windows 8.1, windows 7 y windows
XP. Salu2.
--
Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Linux Usuario Registrado #392892
Telfs: +53(7)696-7510 ext 236
jabber: linuxc...@openmailbox.org
Brascuba Cigarrillos S.A. La Habana. Cuba.
“Nunca consideres el estudio como una obligación,
sino como una oportunidad para penetrar en el bello
y maravilloso mundo del saber. Albert Einstein”
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
