Tâche #35813
Scénario #35770: EOLE 2.10 : eole-gpo-script n'est pas fonctionnel
Lancer la commande de restauration avec un utilisateur ayant les droits
100%
Demandes liées
Révisions associées
Les membres du groupe GpoAdmins ne semble pas hériter des droits.
Ref #35813
Revert "Les membres du groupe GpoAdmins ne semble pas hériter des droits."
This reverts commit 8a90c6b3fed2f7b945b4356b73292d645da675cf.
Exécuter la commande de restauration avec l’administrateur.
Ref #35813
Historique
#1 Mis à jour par Benjamin Bohard il y a 4 mois
- Statut changé de Nouveau à En cours
#2 Mis à jour par Benjamin Bohard il y a 4 mois
Il n’est pas vraiment clair si le problème rencontré est un problème de transitivité des droits. L’utilisateur est bien membre du groupe GpoAdmins et le groupe GpoAdmins est bien membre du groupe Domain Admins. Seule la commande samba-tool gpo restore semble impactée au reconfigure.
#3 Mis à jour par Benjamin Bohard il y a 4 mois
- Statut changé de En cours à À valider
#4 Mis à jour par Gilles Grandgérard il y a 3 mois
J'ai un doute sur 'demote_gpo_account'.
Si je comprends bien le code, on supprime les droits Admin pour les comptes de services des Gpo (gpo-XXXX). Si c'est le cas, c'est une erreur.
#5 Mis à jour par Ludwig Seys il y a environ 2 mois
- Statut changé de À valider à Résolu
#6 Mis à jour par Joël Cuissinat il y a environ 2 mois
- Statut changé de Résolu à En cours
Pour moi ce n'est pas résolu ;)
1. Gilles a posé une question
2. L'erreur est toujours là (cf. https://dev-eole.ac-dijon.fr/jenkins/job/2.10.0/job/test-instance-acadc1-2.10.0-amd64/69/parsed_console/)
Traceback (most recent call last):
File "/usr/lib/python3/dist-packages/samba/netcmd/gpo.py", line 1674, in run
copy_directory_local_to_remote(self.conn, self.gpodir,
File "/usr/lib/python3/dist-packages/samba/netcmd/gpo.py", line 382, in copy_directory_local_to_remote
conn.savefile(r_name, data)
samba.NTSTATUSError: (3221225506, '{Access Denied} A process has requested access to an object but has not been granted those access rights.')
Après, on peut discuter.
Ça ressemble étrangement à ça par exemple : https://bugzilla.samba.org/show_bug.cgi?id=15471
#7 Mis à jour par Benjamin Bohard il y a environ 2 mois
Le palliatif proposé devait répondre à un problème de transitivité des droits. L’appartenance au group GpoAdmins ne semble pas suffisant pour la procédure samba-tool gpo restore. L’utilisateur gpo-* est donc ajouté momentanément au groupe Domain Admins. Il en est retiré après la procédure problématique mais reste membre du groupe GpoAdmins.
#8 Mis à jour par Benjamin Bohard il y a environ 2 mois
Les observations du bug cité précédemment sont bien concordantes avec ce qui se passe au reconfigure.
Dans l’immédiat, il semble nécessaire de recourir à l’utilisateur Administrator pour effectuer l’opération de restauration des GPO.
#9 Mis à jour par Benjamin Bohard il y a environ un mois
- Statut changé de En cours à À valider
#10 Mis à jour par Laurent Gourvenec il y a 26 jours
- Statut changé de À valider à Résolu
#11 Mis à jour par Laurent Gourvenec il y a 26 jours
- % réalisé changé de 0 à 100
#12 Mis à jour par Joël Cuissinat il y a 24 jours
- Statut changé de Résolu à Fermé
- Restant à faire (heures) mis à 0.0
La solution retenue résout le problème.
Une nouvelle demande va être créée pour suivre l'évolution du problème mentionné.
#13 Mis à jour par Joël Cuissinat il y a 24 jours
- Lié à Demande #35971: L'utilisateur gpo-<adhostname> devrait être utilisé pour restaurer les GPO ajouté