Demande #36686: Impossible de modifier des GPO après avoir exécuté "samba-tool ntacl sysvolreset" - Scribe - Ensemble Ouvert Libre Évolutif

Demande #36686

Impossible de modifier des GPO après avoir exécuté "samba-tool ntacl sysvolreset"

Ajouté par Klaas TJEBBES il y a 12 mois. Mis à jour il y a 12 mois.

Statut:

Nouveau

Priorité:

Normal

Assigné à:

Catégorie:

Version cible:

Début:

07/04/2025

Echéance:

% réalisé:

Description

Que les GPO soient importées côté serveur Samba ou que les GPO soient crées depuis les RSAT sur un poste Windows, après avoir exécuté :

samba-tool ntacl sysvolreset

toute tentative de modification se solde par un "ACCESS DENIED" :

Objet de stratégie de groupe :bb...Échec

L’erreur générale était : Accès refusé.
Voir les détails ci-dessous.

[Erreur] La tâche ne peut pas être terminée. Une erreur s’est produite avec l’extension [Registre]. Impossible d’accéder au fichier [\\addc.domscribe.ac-test.fr\sysvol\domscribe.ac-test.fr\Policies\{846F43A0-9299-4791-A16A-7E4AFDE257DF}\MachineStaging\registry.pol]. 
L’erreur suivante s’est produite :
Accès refusé.

Côté Samba, dans les logs :

[2025/04/07 17:33:33.086864,  3] source3/smbd/open.c:1484(open_file)
  Error opening file domscribe.ac-test.fr/Policies/{7EDEA0CC-3A50-4B99-A3D9-C271E76A2BDA}/MachineStaging/registry.pol (NT_STATUS_ACCESS_DENIED) (local_flags=2626) (flags=2626)

Pour résoudre le problème :

file=/home/sysvol/domscribe.ac-test.fr/Policies/
chown -R DOMSCRIBE/domain\ admins ${file}
chown -R DOMSCRIBE/domain\ admins ${file}
setfacl -Rbk ${file}
setfacl -Rm user::rwx ${file}
setfacl -Rm user:NT\ Authority/system:rwx ${file}
setfacl -Rm user:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rm user:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rm user:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rm group::rwx ${file}
setfacl -Rm group:NT\ Authority/system:rwx ${file}
setfacl -Rm group:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rm group:DOMSCRIBE/domain\ admins:rwx ${file}
setfacl -Rm group:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rm group:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rm mask::rwx ${file}
setfacl -Rm other::--- ${file}
setfacl -Rdm user::rwx ${file}
setfacl -Rdm user:NT\ Authority/system:rwx ${file}
setfacl -Rdm user:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rdm user:DOMSCRIBE/domain\ admins:rwx ${file}
setfacl -Rdm user:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rdm user:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rdm group::--- ${file}
setfacl -Rdm group:NT\ Authority/system:rwx ${file}
setfacl -Rdm group:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rdm group:DOMSCRIBE/domain\ admins:rwx ${file}
setfacl -Rdm group:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rdm group:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rdm mask::rwx ${file}
setfacl -Rdm other::--- ${file}

err_samba.txt Voir (25,1 ko) Klaas TJEBBES, 07/04/2025 17:44

Historique

#1 Mis à jour par Klaas TJEBBES il y a 12 mois

Description mis à jour (diff)

Formats disponibles : Atom PDF

Projet

Général

Profil

Distribution EOLE » Modules » Scribe

Demandes

Rapports personnalisés

Demande #36686

Impossible de modifier des GPO après avoir exécuté "samba-tool ntacl sysvolreset"

Historique

#1 Mis à jour par Klaas TJEBBES il y a 12 mois