Demande #36686
Mis à jour par Klaas TJEBBES il y a 12 mois
Que les GPO soient importées côté serveur Samba ou que les GPO soient crées depuis les RSAT sur un poste Windows, après avoir exécuté :
<pre>
samba-tool ntacl sysvolreset
</pre>
toute tentative de modification se solde par un "ACCESS DENIED" :
<pre>
Objet de stratégie de groupe :bb...Échec
L’erreur générale était : Accès refusé.
Voir les détails ci-dessous.
[Erreur] La tâche ne peut pas être terminée. Une erreur s’est produite avec l’extension [Registre]. Impossible d’accéder au fichier [\\addc.domscribe.ac-test.fr\sysvol\domscribe.ac-test.fr\Policies\{846F43A0-9299-4791-A16A-7E4AFDE257DF}\MachineStaging\registry.pol].
L’erreur suivante s’est produite :
Accès refusé.
</pre>
Côté Samba, dans les logs :
<pre>
[2025/04/07 17:33:33.086864, 3] source3/smbd/open.c:1484(open_file)
Error opening file domscribe.ac-test.fr/Policies/{7EDEA0CC-3A50-4B99-A3D9-C271E76A2BDA}/MachineStaging/registry.pol (NT_STATUS_ACCESS_DENIED) (local_flags=2626) (flags=2626)
</pre>
Pour résoudre le problème :
<pre>
file=/home/sysvol/domscribe.ac-test.fr/Policies/
chown -R DOMSCRIBE/domain\ admins ${file}
chown -R DOMSCRIBE/domain\ admins ${file}
setfacl -Rbk ${file}
setfacl -Rm user::rwx ${file}
setfacl -Rm user:NT\ Authority/system:rwx ${file}
setfacl -Rm user:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rm user:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rm user:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rm group::rwx ${file}
setfacl -Rm group:NT\ Authority/system:rwx ${file}
setfacl -Rm group:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rm group:DOMSCRIBE/domain\ admins:rwx ${file}
setfacl -Rm group:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rm group:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rm mask::rwx ${file}
setfacl -Rm other::--- ${file}
setfacl -Rdm user::rwx ${file}
setfacl -Rdm user:NT\ Authority/system:rwx ${file}
setfacl -Rdm user:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rdm user:DOMSCRIBE/domain\ admins:rwx ${file}
setfacl -Rdm user:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rdm user:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rdm group::--- ${file}
setfacl -Rdm group:NT\ Authority/system:rwx ${file}
setfacl -Rdm group:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rdm group:DOMSCRIBE/domain\ admins:rwx ${file}
setfacl -Rdm group:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rdm group:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rdm mask::rwx ${file}
setfacl -Rdm other::--- ${file}
</pre>
<pre>
samba-tool ntacl sysvolreset
</pre>
toute tentative de modification se solde par un "ACCESS DENIED" :
<pre>
Objet de stratégie de groupe :bb...Échec
L’erreur générale était : Accès refusé.
Voir les détails ci-dessous.
[Erreur] La tâche ne peut pas être terminée. Une erreur s’est produite avec l’extension [Registre]. Impossible d’accéder au fichier [\\addc.domscribe.ac-test.fr\sysvol\domscribe.ac-test.fr\Policies\{846F43A0-9299-4791-A16A-7E4AFDE257DF}\MachineStaging\registry.pol].
L’erreur suivante s’est produite :
Accès refusé.
</pre>
Côté Samba, dans les logs :
<pre>
[2025/04/07 17:33:33.086864, 3] source3/smbd/open.c:1484(open_file)
Error opening file domscribe.ac-test.fr/Policies/{7EDEA0CC-3A50-4B99-A3D9-C271E76A2BDA}/MachineStaging/registry.pol (NT_STATUS_ACCESS_DENIED) (local_flags=2626) (flags=2626)
</pre>
Pour résoudre le problème :
<pre>
file=/home/sysvol/domscribe.ac-test.fr/Policies/
chown -R DOMSCRIBE/domain\ admins ${file}
chown -R DOMSCRIBE/domain\ admins ${file}
setfacl -Rbk ${file}
setfacl -Rm user::rwx ${file}
setfacl -Rm user:NT\ Authority/system:rwx ${file}
setfacl -Rm user:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rm user:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rm user:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rm group::rwx ${file}
setfacl -Rm group:NT\ Authority/system:rwx ${file}
setfacl -Rm group:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rm group:DOMSCRIBE/domain\ admins:rwx ${file}
setfacl -Rm group:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rm group:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rm mask::rwx ${file}
setfacl -Rm other::--- ${file}
setfacl -Rdm user::rwx ${file}
setfacl -Rdm user:NT\ Authority/system:rwx ${file}
setfacl -Rdm user:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rdm user:DOMSCRIBE/domain\ admins:rwx ${file}
setfacl -Rdm user:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rdm user:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rdm group::--- ${file}
setfacl -Rdm group:NT\ Authority/system:rwx ${file}
setfacl -Rdm group:NT\ Authority/authenticated\ users:r-x ${file}
setfacl -Rdm group:DOMSCRIBE/domain\ admins:rwx ${file}
setfacl -Rdm group:DOMSCRIBE/enterprise\ admins:rwx ${file}
setfacl -Rdm group:NT\ Authority/enterprise\ domain\ controllers:r-x ${file}
setfacl -Rdm mask::rwx ${file}
setfacl -Rdm other::--- ${file}
</pre>