El martes, 28 de junio de 2016 1:59:17 P. M. CDT Arian Molina Aguilera
escribió:
> El 27/06/16 a las 10:18, Rommel Rodriguez Toirac escribió:
> > El viernes, 24 de junio de 2016 3:45:01 P. M. CDT Arian Molina Aguilera
> >
> > escribió:
> >> El 23/06/16 a las 09:26, Rommel Rodriguez Toirac escribió:
> >>> Mis saludos;
> >>>
> >>> Tengo samba4.3.1 instalado en un contenedor CentOS7 en Proxmox 4.1
> >>>
> >>> Las cuestiones relacionadas con las políticas de grupo y dominio no me
> >>> están>
> >>>
> >>> trabajando. Las creé haciendo uso de un RSA (como me sugirieron), pero
> >>> ni
> >>> las PC, ni los usuarios las están asumiendo.
> >>>
> >>> Revisando con samba-tool encuentro cual es el GPO para las cosas que yo
> >>>
> >>> implementé (ejemplo: inicio clásico de windows, desactivar
> >>> actualizaciones
> >>> automáticas, desactivar reproducción automática, etc). El path es este:
> >>>
> >>> \\gtm.onat.gob.cu\SysVol\gtm.onat.gob.cu\Policies\
> >>> {B1103729-61D4-4129-90D8-231C3CFA13E3}
> >>>
> >>> Cuando voy a chequear ese path, me encuentro que a partir de SysVol los
> >>>
> >>> permisos son 770 pero con dueño root y grupo 3000000; luego dentro del
> >>> GPO
> >>> como tal tiene permiso 770 y dueño 3000008 y grupo 3000008.
> >>>
> >>> ¿Eso es correto?
> >>>
> >>> ¿Cual pudiera ser la causa de que las políticas de grupo no se me
> >>> desplieguen>
> >>>
> >>> por la red?
> >>
> >> Comprueba si desde una pc cliente, puedes acceder a ese path, que es un
> >> recurso compartido, fijate si tienes acceso de lectura, con usuario del
> >> dominio, si tienes cachareados los permisos tendrás que repararlos: lo
> >> comprueba con:
> >> samba-tool ntacl sysvolcheck
> >> samba-tool ntacl sysvolreset
> >>
> > Hasta esa localización solo puedo llegar como administrador del dominio,
> > como>
> > usuario simple no.
> >
> > El comando "samba-tool ntacl sysvolcheck" ¿como se usaría? He probado de
> >
> > varias manera y no me devuelve nada.
> >
> > Probé con el comando "samba-tool gpo aclcheck" y me devolvió lo siguiente:
> >
> > ERROR: Invalid GPO ACL O:DAG:DAD:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;DA)
> > (A;;;;;WD)(A;OICIIO;0x001f01ff;;;CO)(A;OICIIO;0x001200a9;;;CG)(A;OICIIO;
> > 0x001200a9;;;WD) on path (gtm.onat.gob.cu\Policies
> > \{31B2F340-016D-11D2-945F-00C04FB984F9}), should be O:DAG:DAD:P(A;OICI;
> > 0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;
> > 0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;
> > 0x001200a9;;;ED)
> >
> > Pero en esa política yo no tengo nada implementado, pues esa es la
> > política
> >
> > por defecto del dominio y mirando dentro de los directorios Machine y User
> > están vacio.
> >
> > ¿Algún ejemplo de como usar el comando samba-tool ntacl sysvolcheck?
>
> pues en ese directorio tiene que haber permisos de lectura para domain
> users para que todos puedan leer las políticas y el comando se usa así
> exactamente como te lo puse solo ejecutarlo, y te debe reparar los
> permisos de sysvol y funcionarte las políticas, a mi me funcionan
> perfectamente, incluyendo windows 10, windows 8.1, windows 7 y windows
> XP. Salu2.
Haciendo lo que me recomendaron:
al correr 'samba-tool ntacl sysvolcheck' me devolvió un error raro y largo
(lo siento, no lo copié), luego corrí el 'samba-tool ntacl sysvolreset' y no
me devolvió nada, así que creo que habrá hecho algo. Luego corrí otra vez el
'samba-tool ntacl sysvolcheck' y no me devolvió nada; así que sí hizo algo.
Pero cuando fuí con el mc a ver los permisos en /var/lib/samba/sysvol/
gtm.onat.gob.cu/Policies tiene como dueño a root y grupo 3000000 con permisos
770.
Averiguando un poco y jugando con el comando wbinfo me encuentro que 3000000
es el uid de administrator y el 3000008 es el uid de domain admins:
[root@gtmad /]# wbinfo --uid-info 3000000
BUILTIN\administrators:*:3000000:3000000::/home/BUILTIN/administrators:/bin/
false
[root@gtmad /]# wbinfo --uid-info 3000008
ATGTM00\domain admins:*:3000008:3000008::/home/ATGTM00/domain admins:/bin/
false
Averiguando un poco mas encuentro que el uid de domian users es el 100
[root@gtmad /]# wbinfo --group-info 'domain users'
ATGTM00\domain users:x:100:
¿Que puedo hacer?
- Adiciono permiso a /var/lib/samba/sysvol/gtm.onat.gob.cu/Policies como 775
permitiendoles a otros leer en ese directorio.
- Cambio en grupo de 30000008 a 100 (aqui tengo en cuenta que ese es el grupo
user del sistema Linux [/etc/group])
- Otra cosa que hacer ¿?
--
Rommel Rodriguez Toirac
ONAT Guantánamo
Administrador de redes
Tel: (01)21327444 ext 120
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
