El 29/06/16 a las 14:51, Rommel Rodriguez Toirac escribió:
> El martes, 28 de junio de 2016 1:59:17 P. M. CDT Arian Molina Aguilera
> escribió:
>> El 27/06/16 a las 10:18, Rommel Rodriguez Toirac escribió:
>>> El viernes, 24 de junio de 2016 3:45:01 P. M. CDT Arian Molina Aguilera
>>>
>>> escribió:
>>>> El 23/06/16 a las 09:26, Rommel Rodriguez Toirac escribió:
>>>>> Mis saludos;
>>>>>
>>>>> Tengo samba4.3.1 instalado en un contenedor CentOS7 en Proxmox 4.1
>>>>>
>>>>> Las cuestiones relacionadas con las políticas de grupo y dominio no me
>>>>> están>
>>>>>
>>>>> trabajando. Las creé haciendo uso de un RSA (como me sugirieron), pero
>>>>> ni
>>>>> las PC, ni los usuarios las están asumiendo.
>>>>>
>>>>> Revisando con samba-tool encuentro cual es el GPO para las cosas que yo
>>>>>
>>>>> implementé (ejemplo: inicio clásico de windows, desactivar
>>>>> actualizaciones
>>>>> automáticas, desactivar reproducción automática, etc). El path es este:
>>>>>
>>>>> \\gtm.onat.gob.cu\SysVol\gtm.onat.gob.cu\Policies\
>>>>> {B1103729-61D4-4129-90D8-231C3CFA13E3}
>>>>>
>>>>> Cuando voy a chequear ese path, me encuentro que a partir de SysVol los
>>>>>
>>>>> permisos son 770 pero con dueño root y grupo 3000000; luego dentro del
>>>>> GPO
>>>>> como tal tiene permiso 770 y dueño 3000008 y grupo 3000008.
>>>>>
>>>>> ¿Eso es correto?
>>>>>
>>>>> ¿Cual pudiera ser la causa de que las políticas de grupo no se me
>>>>> desplieguen>
>>>>>
>>>>> por la red?
>>>>
>>>> Comprueba si desde una pc cliente, puedes acceder a ese path, que es un
>>>> recurso compartido, fijate si tienes acceso de lectura, con usuario del
>>>> dominio, si tienes cachareados los permisos tendrás que repararlos: lo
>>>> comprueba con:
>>>> samba-tool ntacl sysvolcheck
>>>> samba-tool ntacl sysvolreset
>>>>
>>> Hasta esa localización solo puedo llegar como administrador del dominio,
>>> como>
>>> usuario simple no.
>>>
>>> El comando "samba-tool ntacl sysvolcheck" ¿como se usaría? He probado de
>>>
>>> varias manera y no me devuelve nada.
>>>
>>> Probé con el comando "samba-tool gpo aclcheck" y me devolvió lo siguiente:
>>>
>>> ERROR: Invalid GPO ACL O:DAG:DAD:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;DA)
>>> (A;;;;;WD)(A;OICIIO;0x001f01ff;;;CO)(A;OICIIO;0x001200a9;;;CG)(A;OICIIO;
>>> 0x001200a9;;;WD) on path (gtm.onat.gob.cu\Policies
>>> \{31B2F340-016D-11D2-945F-00C04FB984F9}), should be O:DAG:DAD:P(A;OICI;
>>> 0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;
>>> 0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;
>>> 0x001200a9;;;ED)
>>>
>>> Pero en esa política yo no tengo nada implementado, pues esa es la
>>> política
>>>
>>> por defecto del dominio y mirando dentro de los directorios Machine y User
>>> están vacio.
>>>
>>> ¿Algún ejemplo de como usar el comando samba-tool ntacl sysvolcheck?
>>
>> pues en ese directorio tiene que haber permisos de lectura para domain
>> users para que todos puedan leer las políticas y el comando se usa así
>> exactamente como te lo puse solo ejecutarlo, y te debe reparar los
>> permisos de sysvol y funcionarte las políticas, a mi me funcionan
>> perfectamente, incluyendo windows 10, windows 8.1, windows 7 y windows
>> XP. Salu2.
>
> Haciendo lo que me recomendaron:
> al correr 'samba-tool ntacl sysvolcheck' me devolvió un error raro y largo
> (lo siento, no lo copié), luego corrí el 'samba-tool ntacl sysvolreset' y no
> me devolvió nada, así que creo que habrá hecho algo. Luego corrí otra vez el
> 'samba-tool ntacl sysvolcheck' y no me devolvió nada; así que sí hizo algo.
> Pero cuando fuí con el mc a ver los permisos en /var/lib/samba/sysvol/
> gtm.onat.gob.cu/Policies tiene como dueño a root y grupo 3000000 con permisos
> 770.
> Averiguando un poco y jugando con el comando wbinfo me encuentro que 3000000
> es el uid de administrator y el 3000008 es el uid de domain admins:
>
> [root@gtmad /]# wbinfo --uid-info 3000000
> BUILTIN\administrators:*:3000000:3000000::/home/BUILTIN/administrators:/bin/
> false
>
> [root@gtmad /]# wbinfo --uid-info 3000008
> ATGTM00\domain admins:*:3000008:3000008::/home/ATGTM00/domain admins:/bin/
> false
>
> Averiguando un poco mas encuentro que el uid de domian users es el 100
>
> [root@gtmad /]# wbinfo --group-info 'domain users'
> ATGTM00\domain users:x:100:
>
> ¿Que puedo hacer?
> - Adiciono permiso a /var/lib/samba/sysvol/gtm.onat.gob.cu/Policies como 775
> permitiendoles a otros leer en ese directorio.
> - Cambio en grupo de 30000008 a 100 (aqui tengo en cuenta que ese es el grupo
> user del sistema Linux [/etc/group])
> - Otra cosa que hacer ¿?
>
Mirando y comparando mi dominio, tengo lo siguiente.
root@pdc_ad:~# ls -ld /var/lib/samba/sysvol/
drwxrwx---+ 3 root 10000 4096 Jun 17 13:20 /var/lib/samba/sysvol/
root@pdc_ad:~# ls -ld /var/lib/samba/sysvol/brascuba.cu/
drwxrwx---+ 5 root 10000 4096 Jun 2 14:56
/var/lib/samba/sysvol/brascuba.cu/
root@pdc_ad:~# ls -ld /var/lib/samba/sysvol/brascuba.cu/
Policies/ scripts/ StarterGPOs/
root@pdc_ad:~# ls -ld /var/lib/samba/sysvol/brascuba.cu/Policies/
drwxrwx---+ 7 root 10000 4096 Jun 22 18:57
/var/lib/samba/sysvol/brascuba.cu/Policies/
root@pdc_ad:~# ls -ld /var/lib/samba/sysvol/brascuba.cu/Policies/\{
{31B2F340-016D-11D2-945F-00C04FB984F9}/
{A3564359-CD1B-480C-B730-3765C8CE8EC3}/
{FDB554EA-528A-46D1-B8EE-CC4A5F6DF5E2}/
{6AC1786C-016F-11D2-945F-00C04FB984F9}/
{A87E5E3A-8523-4C35-88E6-E8541A29AF91}/
root@pdc_ad:~# ls -ld
/var/lib/samba/sysvol/brascuba.cu/Policies/\{31B2F340-016D-11D2-945F-00C04FB984F9\}/
drwxrwx---+ 5 root 512 4096 Jun 2 16:58
/var/lib/samba/sysvol/brascuba.cu/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/
Por lo que pienso que eso debe verse con permisos extendidos attr
attr -l /var/lib/samba/sysvol/brascuba.cu/Policies/
Attribute "NTACL" has a 356 byte value for
/var/lib/samba/sysvol/brascuba.cu/Policies/
A mi funcionan las políticas sin problema alguno, ahora comprueba si ya
te funcionan, pon algo basico como el fondo de pantalla para todo el
dominio, has una actualización de políticas en el cliente con gpupdate
/forse, todo esto después que hiciste el reset de los permisos, debe
funcionarte y no debes hacer más nada.
--
Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Linux Usuario Registrado #392892
Telfs: +53(7)696-7510 ext 236
jabber: linuxc...@openmailbox.org
Brascuba Cigarrillos S.A. La Habana. Cuba.
“Nunca consideres el estudio como una obligación,
sino como una oportunidad para penetrar en el bello
y maravilloso mundo del saber. Albert Einstein”
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
