Re: Samba 4 + RSAT + GPO
El Tue, 09 Aug 2016 12:34:52 -0300, Laotrasolucion escribió: > El 09/08/16 a las 11:58, Camaleón escribió: (...) >>> Lo que si me pareció raro y corrijanme si no es así, es que la carpeta >>> sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia >>> tener al menos los grupos de "domain admins" "domain users" >>> >>> >>> root@pdc:/var/lib/samba# getfacl sysvol/ >>> # file: sysvol/ >>> # owner: root # group: root user::rwx group::rwx other::r-x >>> >>> >>> Y cuando quiero crear un archivo en una unidad compartida, por ejemplo >>> sysvol, me deja crearlo pero no me deja modificarlo o guardarlo. >>> >>> desde ya muchas gracias. >> >> Pues sobre los permisos adecuados de ese recurso, ni idea :-? >> >> Lo que sí puedes hacer es apuntar los valores que tiene actualmente por >> si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si >> coinciden con los que tenías (comando extraído de la wiki¹ de Samba): >> >> *** >> Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will >> check the ACLs instead) >> # samba-tool ntacl sysvolreset *** >> >> ¹ >> https://wiki.samba.org/index.php/ Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs >> > > casualmente probé varias de las soluciones de samba, en el caso que > nombras @camaleon no me dio errores de ningún tipo. El comando no tiene que darte errores sino establecer los permisos predeterminados sobre el recurso sysvol, nada más. Si te hubiera dado algún error hubiera sido extraño. > Navegando por ahí encontré un pdc en jessie que se llama "turnkey domain > controller". Probé instalarlo y con RSAT puedo crear las GPO sin > problemas, leer/escribir/modificar archivos en la unidad compartida > sysvol. Interesa que trabajes con los mismos usuarios y el mismo archivo de GPO que tienes en samba, no vaya a ser que tenga algún problema. > Estoy investigando cual puede ser la causa de esto, por ahora vi que la > carpeta sysvol tiene definidos grupos por default con ACL y el grupo es > 300 que no tengo idea de donde lo obtiene. > > root@dc1 lib/samba# getfacl sysvol/ > # file: sysvol/ > # owner: root # group: 300 user::rwx user:root:rwx group::rwx > group:300:rwx group:301:r-x group:302:rwx group:303:r-x > mask::rwx other::--- > default:user::rwx default:user:root:rwx default:group::--- > default:group:300:rwx default:group:301:r-x > default:group:302:rwx default:group:303:r-x default:mask::rwx > default:other::--- Los permisos han cambiado, sí. Pues si te sigue dando el mismo error, comprueba que tengas bien configurada la utilidad RSAT: https://wiki.samba.org/index.php/Installing_RSAT Saludos, -- Camaleón
Re: Samba 4 + RSAT + GPO
El 09/08/16 a las 11:58, Camaleón escribió: > El Tue, 09 Aug 2016 10:58:35 -0300, Laotrasolucion escribió: > >> El 09/08/16 a las 10:17, Camaleón escribió: > > (...) > Entonces intente ir un poco mas lejos y crear un par de GPOs para mapear unidades, configurar proxy en los navegadores, etc. Pero me tope con el problema de que al intentar crear una GPO desde el cliente RSAT, me indica lo siguiente: "el sistema no puede encontrar el archivo especificado" Entonces intente crearlos con samba-tools samba-tool gpo create map_d_unit -Uadministrator Password for [TEST\administrator]: GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC} (No tengo idea como modificar desde la consola esa GPO) Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo algún cambio. >>> >>> ¿Algún error? >>> A mi parece todo apunta a un problema de permisos que no tengo en cuenta. Ustedes que opinan? >>> >>> (...) >>> >>> Si tienes un windows con un AD configurado donde probar el >>> funcionamiento de RSAT convendría que lo hicieras para ver si de esa >>> forma te permite guardar los cambios que hagas en las GPO. Quizá el >>> problema sea de RSAT y no de samba. >>> >> >> gracias por responder. Errores desde samba4 no tengo, si los tengo desde >> los clientes. >> >> Me parece que son problemas del aplicativo, tengo que probar instalar >> otro pdc y verificar. >> >> RSAT "El programa lanzó un comando pero la longitud del comando es >> incorrecta" >> >> "Error (0x80072) al guardar el archivo de configuración. El sistema >> no puede encontrar el archivo especificado" > > Parecen errores genéricos de Windows más bien, pero sí, es importante que > descartes problemas bien con la instalación de Windows bien con RSAT. > >> Lo que si me pareció raro y corrijanme si no es así, es que la carpeta >> sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia >> tener al menos los grupos de "domain admins" "domain users" >> >> >> root@pdc:/var/lib/samba# getfacl sysvol/ >> # file: sysvol/ >> # owner: root # group: root user::rwx group::rwx other::r-x >> >> >> Y cuando quiero crear un archivo en una unidad compartida, por ejemplo >> sysvol, me deja crearlo pero no me deja modificarlo o guardarlo. >> >> desde ya muchas gracias. > > Pues sobre los permisos adecuados de ese recurso, ni idea :-? > > Lo que sí puedes hacer es apuntar los valores que tiene actualmente por > si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si > coinciden con los que tenías (comando extraído de la wiki¹ de Samba): > > *** > Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will > check the ACLs instead) > # samba-tool ntacl sysvolreset > *** > > ¹ > https://wiki.samba.org/index.php/Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs > > Saludos, > Hola, casualmente probé varias de las soluciones de samba, en el caso que nombras @camaleon no me dio errores de ningún tipo. Navegando por ahí encontré un pdc en jessie que se llama "turnkey domain controller". Probé instalarlo y con RSAT puedo crear las GPO sin problemas, leer/escribir/modificar archivos en la unidad compartida sysvol. Estoy investigando cual puede ser la causa de esto, por ahora vi que la carpeta sysvol tiene definidos grupos por default con ACL y el grupo es 300 que no tengo idea de donde lo obtiene. root@dc1 lib/samba# getfacl sysvol/ # file: sysvol/ # owner: root # group: 300 user::rwx user:root:rwx group::rwx group:300:rwx group:301:r-x group:302:rwx group:303:r-x mask::rwx other::--- default:user::rwx default:user:root:rwx default:group::--- default:group:300:rwx default:group:301:r-x default:group:302:rwx default:group:303:r-x default:mask::rwx default:other::--- ¹https://www.turnkeylinux.org/domain-controller signature.asc Description: OpenPGP digital signature
Re: Samba 4 + RSAT + GPO
El Tue, 09 Aug 2016 10:58:35 -0300, Laotrasolucion escribió: > El 09/08/16 a las 10:17, Camaleón escribió: (...) >>> Entonces intente ir un poco mas lejos y crear un par de GPOs para >>> mapear unidades, configurar proxy en los navegadores, etc. Pero me >>> tope con el problema de que al intentar crear una GPO desde el cliente >>> RSAT, me indica lo siguiente: >>> >>> "el sistema no puede encontrar el archivo especificado" >>> >>> Entonces intente crearlos con samba-tools >>> >>> samba-tool gpo create map_d_unit -Uadministrator Password for >>> [TEST\administrator]: >>> GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC} >>> >>> (No tengo idea como modificar desde la consola esa GPO) >>> >>> Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo >>> algún cambio. >> >> ¿Algún error? >> >>> A mi parece todo apunta a un problema de permisos que no tengo en >>> cuenta. Ustedes que opinan? >> >> (...) >> >> Si tienes un windows con un AD configurado donde probar el >> funcionamiento de RSAT convendría que lo hicieras para ver si de esa >> forma te permite guardar los cambios que hagas en las GPO. Quizá el >> problema sea de RSAT y no de samba. >> > > gracias por responder. Errores desde samba4 no tengo, si los tengo desde > los clientes. > > Me parece que son problemas del aplicativo, tengo que probar instalar > otro pdc y verificar. > > RSAT "El programa lanzó un comando pero la longitud del comando es > incorrecta" > > "Error (0x80072) al guardar el archivo de configuración. El sistema > no puede encontrar el archivo especificado" Parecen errores genéricos de Windows más bien, pero sí, es importante que descartes problemas bien con la instalación de Windows bien con RSAT. > Lo que si me pareció raro y corrijanme si no es así, es que la carpeta > sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia > tener al menos los grupos de "domain admins" "domain users" > > > root@pdc:/var/lib/samba# getfacl sysvol/ > # file: sysvol/ > # owner: root # group: root user::rwx group::rwx other::r-x > > > Y cuando quiero crear un archivo en una unidad compartida, por ejemplo > sysvol, me deja crearlo pero no me deja modificarlo o guardarlo. > > desde ya muchas gracias. Pues sobre los permisos adecuados de ese recurso, ni idea :-? Lo que sí puedes hacer es apuntar los valores que tiene actualmente por si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si coinciden con los que tenías (comando extraído de la wiki¹ de Samba): *** Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will check the ACLs instead) # samba-tool ntacl sysvolreset *** ¹ https://wiki.samba.org/index.php/Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs Saludos, -- Camaleón
Re: Samba 4 + RSAT + GPO
El 09/08/16 a las 10:17, Camaleón escribió: > El Mon, 08 Aug 2016 22:04:40 -0300, Laotrasolucion escribió: > >> Estoy en el intento de crear un dominio con samba 4 y clientes >> windows/linux. Instale samba4 desde los repositorios, hice el provisión >> de la siguiente manera. > > (...) > >> Entonces intente ir un poco mas lejos y crear un par de GPOs para mapear >> unidades, configurar proxy en los navegadores, etc. Pero me tope con el >> problema de que al intentar crear una GPO desde el cliente RSAT, me >> indica lo siguiente: >> >> "el sistema no puede encontrar el archivo especificado" >> >> Entonces intente crearlos con samba-tools >> >> samba-tool gpo create map_d_unit -Uadministrator Password for >> [TEST\administrator]: >> GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC} >> >> (No tengo idea como modificar desde la consola esa GPO) >> >> Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo >> algún cambio. > > ¿Algún error? > >> A mi parece todo apunta a un problema de permisos que no tengo en >> cuenta. Ustedes que opinan? > > (...) > > Si tienes un windows con un AD configurado donde probar el funcionamiento > de RSAT convendría que lo hicieras para ver si de esa forma te permite > guardar los cambios que hagas en las GPO. Quizá el problema sea de RSAT y > no de samba. > > Saludos, > Hola, gracias por responder. Errores desde samba4 no tengo, si los tengo desde los clientes. Me parece que son problemas del aplicativo, tengo que probar instalar otro pdc y verificar. RSAT "El programa lanzó un comando pero la longitud del comando es incorrecta" "Error (0x80072) al guardar el archivo de configuración. El sistema no puede encontrar el archivo especificado" Lo que si me pareció raro y corrijanme si no es así, es que la carpeta sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia tener al menos los grupos de "domain admins" "domain users" root@pdc:/var/lib/samba# getfacl sysvol/ # file: sysvol/ # owner: root # group: root user::rwx group::rwx other::r-x Y cuando quiero crear un archivo en una unidad compartida, por ejemplo sysvol, me deja crearlo pero no me deja modificarlo o guardarlo. desde ya muchas gracias. signature.asc Description: OpenPGP digital signature
Re: Samba 4 + RSAT + GPO
El Mon, 08 Aug 2016 22:04:40 -0300, Laotrasolucion escribió: > Estoy en el intento de crear un dominio con samba 4 y clientes > windows/linux. Instale samba4 desde los repositorios, hice el provisión > de la siguiente manera. (...) > Entonces intente ir un poco mas lejos y crear un par de GPOs para mapear > unidades, configurar proxy en los navegadores, etc. Pero me tope con el > problema de que al intentar crear una GPO desde el cliente RSAT, me > indica lo siguiente: > > "el sistema no puede encontrar el archivo especificado" > > Entonces intente crearlos con samba-tools > > samba-tool gpo create map_d_unit -Uadministrator Password for > [TEST\administrator]: > GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC} > > (No tengo idea como modificar desde la consola esa GPO) > > Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo > algún cambio. ¿Algún error? > A mi parece todo apunta a un problema de permisos que no tengo en > cuenta. Ustedes que opinan? (...) Si tienes un windows con un AD configurado donde probar el funcionamiento de RSAT convendría que lo hicieras para ver si de esa forma te permite guardar los cambios que hagas en las GPO. Quizá el problema sea de RSAT y no de samba. Saludos, -- Camaleón