Scénario #31970

Impossible de sauvegarder 'eole_script' depuis RSAT

Ajouté par Gilles Grandgérard il y a environ 3 ans. Mis à jour il y a presque 3 ans.

Statut:

Nouveau

Priorité:

Normal

Assigné à:

Catégorie:

Version cible:

Début:

Echéance:

% réalisé:

Points de scénarios:

Estimation basée sur la vélocité:

Description

Signalement ouvert chez Samba https://bugzilla.samba.org/show_bug.cgi?id=14712

Sur un ScribeAD 2.7.2 ou Seth 2.7.2, dans la console RSAT il est impossible de sauvegarder 'eole_script', alors que les autres GPO peuvent être sauvegardée.

Vérifier ;
- Pb d'accès à des répertoires (ACL, existances ?)
- Différences d'ACL dans les Objets GPO ?
- Sur les Versions EOLE 2.8.0 et 2.8.1 ?

Comment reproduire ;
- instancier aca.scribe 2.7.2 avec import
- instancier aca.pc
- jonction au domaine
- aller dans RSAT (GPMC.msc)
- Aller sur la GPO (pas le lien) > cliquer bouton droit --> sauvegarder -> saisir un répertoire d'export ('c:\eole' ) --> OK > Echec !

Remarques:
- La GPO fonctionne, car le minion est installé et Veyon aussi.
- Le montage des unités réseaux avec ps.ps1 (sysvol\scripts) ne semble plus fonctionnel.

ps : a voir https://social.technet.microsoft.com/Forums/fr-FR/801c0b6a-9fd6-4da9-b526-64d7d3485df8/propagation-acl-de-gpo-ad-vers-acl-du-sysvol?forum=1300

Erreur sauvegarde GPO eole_script (solution).eml (1,06 Mo) Gilles Grandgérard, 29/03/2021 10:37

Révisions associées

Révision 6b22987d (diff)
Ajouté par Gilles Grandgérard il y a environ 3 ans

Correction WaitNetwork : est une GPO machine !

REF #31970

Révision bfa9c6bb (diff)
Ajouté par Gilles Grandgérard il y a environ 3 ans

Correction WaitNetwork : est une GPO machine !

REF #31970

Révision 9ae50c3a (diff)
Ajouté par Gilles Grandgérard il y a environ 3 ans

gpo-tool-test.sh : en 2.7.2 et 2.8.0 SyncForegroundPolicy est corrigé.
Donc les ACL sont différentes

REF #31970

Historique

#1 Mis à jour par Gilles Grandgérard il y a environ 3 ans

Description mis à jour (diff)

#2 Mis à jour par Gilles Grandgérard il y a environ 3 ans

Description mis à jour (diff)

#3 Mis à jour par Gilles Grandgérard il y a environ 3 ans

Description mis à jour (diff)

#4 Mis à jour par Gilles Grandgérard il y a environ 3 ans

Fichier Erreur sauvegarde GPO eole_script (solution).eml ajouté

Voir l'analyse dans le mail ci joint

#5 Mis à jour par Gilles Grandgérard il y a environ 3 ans

discutions sur le mode Synchrone/asynchrone des GPO

https://docs.microsoft.com/fr-fr/archive/blogs/askds/a-treatise-on-group-policy-troubleshootingnow-with-gpsvc-log-analysis

#6 Mis à jour par Gilles Grandgérard il y a environ 3 ans

Version cible changé de sprint 2021 11-13 Equipe MENSR à sprint 2021 14-16 Equipe MENSR

#7 Mis à jour par Gilles Grandgérard il y a environ 3 ans

SyncForegroundPolicy corrigée en 2.7.2, 2.8.0, 2.8.1

#8 Mis à jour par Klaas TJEBBES il y a environ 3 ans

Version cible changé de sprint 2021 14-16 Equipe MENSR à sprint 2021 11-13 Equipe MENSR

Windows 10 :

eole_script : dans les RSAT "Copier"/"Coller" la GPO dans "Objets de stratégie de groupe", "Sauvegarder..." ou "Importer des paramètres..." NE fonctionnent PAS

Création d'une GPO nommée "test" dans les RSAT, Copier/Coller, Sauvegarder, Importer des paramètres, fonctionnent tous bien.

"samba-tool gpo backup => samba-tool gpo restore" sous "titi" de la GPO "test" précédemment créée dans les RSAT : Copier/Coller, Sauvegarder, Importer des paramètres NE fonctionnent PAS.
=> Pas tout le temps
- plus tard j'ai créé une autre GPO avec le MÊME paramètres (masquer l'horloge dans la barre des tâches), l'ai backupé et restoré avec samba-tool et sous Win10 je peux Copier/Coller cette nouvelle GPO ! Les ACLs sont identiques entre la GPO restorée qui se copie et celle qui ne se copie pas, l'arborescence également.
- "Importer des paramètres dans "titi" a fonctionné alors que la Copie et la Sauvegarde non.

Une solution semble être :

aller dans le dossier \\domseth.ac-test.fr\sysvol\domseth.ac-test.fr\Policies\{A9F0BDC1-3343-4C78-9D97-83C5083A02B7}\
Sélectionner tout > Couper
Coller le tout dans "Documents" (en local sur le poste Windows)
re-Sélectionner tout (je désélectionne et re-sélectionne) > Couper
Coller le tout dans \\domseth.ac-test.fr\sysvol\domseth.ac-test.fr\Policies\{A9F0BDC1-3343-4C78-9D97-83C5083A02B7}\
et là la Copie et la Sauvegarde fonctionne dans les RSAT Win10, y compris pour la GPO "eole_script".

getfacl -R . > test.acls
getfacl -R . > titi.acls
root@dc1:/home/sysvol/domseth.ac-test.fr/Policies# diff test.acls titi.acls 
62a63,80
> # file: titi.acls
> # owner: root
> # group: root
> user::rw-
> user:NT\040AUTHORITY/system:rwx       #effective:rw-
> user:NT\040AUTHORITY/authenticated\040users:r-x       #effective:r--
> user:DOMSETH/domain\040admins:rwx     #effective:rw-
> user:DOMSETH/enterprise\040admins:rwx #effective:rw-
> user:NT\040AUTHORITY/enterprise\040domain\040controllers:r-x  #effective:r--
> group::---
> group:NT\040AUTHORITY/system:rwx      #effective:rw-
> group:NT\040AUTHORITY/authenticated\040users:r-x      #effective:r--
> group:DOMSETH/domain\040admins:rwx    #effective:rw-
> group:DOMSETH/enterprise\040admins:rwx        #effective:rw-
> group:NT\040AUTHORITY/enterprise\040domain\040controllers:r-x #effective:r--
> mask::rw-
> other::---
> 
143,160d160
< other::---
< 
< # file: test.acls
< # owner: root
< # group: root
< user::rw-
< user:NT\040AUTHORITY/system:rwx       #effective:rw-
< user:NT\040AUTHORITY/authenticated\040users:r-x       #effective:r--
< user:DOMSETH/domain\040admins:rwx     #effective:rw-
< user:DOMSETH/enterprise\040admins:rwx #effective:rw-
< user:NT\040AUTHORITY/enterprise\040domain\040controllers:r-x  #effective:r--
< group::---
< group:NT\040AUTHORITY/system:rwx      #effective:rw-
< group:NT\040AUTHORITY/authenticated\040users:r-x      #effective:r--
< group:DOMSETH/domain\040admins:rwx    #effective:rw-
< group:DOMSETH/enterprise\040admins:rwx        #effective:rw-
< group:NT\040AUTHORITY/enterprise\040domain\040controllers:r-x #effective:r--
< mask::rw-

find . > test.tree
find . > titi.tree

root@dc1:/home/sysvol/domseth.ac-test.fr/Policies# diff test.tree titi.tree 
3c3
< ./test.tree
---
> ./titi.tree

Création dans les RSAT d'une GPO avec les mêmes paramètres que la GPO eole_script. Copier/Coller, Sauvegarder, Importer des paramètres, fonctionnent tous bien.

#9 Mis à jour par Klaas TJEBBES il y a environ 3 ans

Windows 7 :

GPO "eole_script" : dans les RSAT "Copier"/"Coller" la GPO dans "Objets de stratégie de groupe", ou (clic droit sur la GPO "eole_script") "Sauvegarder..." ou "Importer des paramètres..." NE fonctionnent PAS.

GPO "test" : Copier/Coller, Sauvegarder, Importer des paramètres, fonctionnent tous bien.

GPO "titi" : Copier/Coller, Sauvegarder, Importer des paramètres, fonctionnent tous bien.

#10 Mis à jour par Joël Cuissinat il y a environ 3 ans

Version cible changé de sprint 2021 11-13 Equipe MENSR à sprint 2021 14-16 Equipe MENSR

#11 Mis à jour par Klaas TJEBBES il y a presque 3 ans

ATTRIBUTS DOS.¶

Dans les RSAT Copie et Sauvegarde impossible de la GPO "eole_script".

Création d'une GPO "test" avec les mêmes paramètres que "eole_script".

Sur le serveur :

cd /home/sysvol/domscribe.ac-test.fr/Policies/{ID_TEST}/
getfattr -dR . > ../test.attrs
cd ../{ID_EOLE_SCRIPT}/
setfattr --restore=../test.attrs

Ensuite dans les RSAT, la Copie et Sauvegarde de "eole_script" fonctionnent.

Le fichier "test.attrs" contient les attributs DOS "user.DOSATTRIB" et les attributs Samba "user.SAMBA_PAI".

En enlevant les attributs "user.SAMBA_PAI" du fichier "test.attrs" et en faisant la même manipulation, le problème de Copie/Sauvegarde est également résolu.

Pour enlever les lignes contenant "user.SAMBA_PAI" dans VIM, en mode commande :

:%s/user.SAMBA_PAI=.\+\n//g

Samba-tool gpo backup/restore¶

samba-tool gpo backup {ID_TEST}
Using temporary directory /tmp/tmpusbrzj07 (use --tmpdir to change)

samba-tool gpo restore titi /tmp/tmpusbrzj07/ -U Administrator --password=Eole12345!
samba-tool gpo restore tutu /tmp/tmpusbrzj07/ -U Administrator --password=Eole12345!
samba-tool gpo restore tyty /tmp/tmpusbrzj07/ -U Administrator --password=Eole12345!
samba-tool gpo restore tyty /tmp/tmpusbrzj07/ -U Administrator --password=Eole12345!

Dans RSAT la GPO "tutu" se Copie et Sauvegarde bien, les GPO "tata", "titi" et "tyty" non.