Re: Samba 4 + RSAT + GPO
El Tue, 09 Aug 2016 12:34:52 -0300, Laotrasolucion escribió: > El 09/08/16 a las 11:58, Camaleón escribió: (...) >>> Lo que si me pareció raro y corrijanme si no es así, es que la carpeta >>> sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia >>> tener al menos los grupos de "domain admins" "domain users" >>> >>> >>> root@pdc:/var/lib/samba# getfacl sysvol/ >>> # file: sysvol/ >>> # owner: root # group: root user::rwx group::rwx other::r-x >>> >>> >>> Y cuando quiero crear un archivo en una unidad compartida, por ejemplo >>> sysvol, me deja crearlo pero no me deja modificarlo o guardarlo. >>> >>> desde ya muchas gracias. >> >> Pues sobre los permisos adecuados de ese recurso, ni idea :-? >> >> Lo que sí puedes hacer es apuntar los valores que tiene actualmente por >> si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si >> coinciden con los que tenías (comando extraído de la wiki¹ de Samba): >> >> *** >> Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will >> check the ACLs instead) >> # samba-tool ntacl sysvolreset *** >> >> ¹ >> https://wiki.samba.org/index.php/ Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs >> > > casualmente probé varias de las soluciones de samba, en el caso que > nombras @camaleon no me dio errores de ningún tipo. El comando no tiene que darte errores sino establecer los permisos predeterminados sobre el recurso sysvol, nada más. Si te hubiera dado algún error hubiera sido extraño. > Navegando por ahí encontré un pdc en jessie que se llama "turnkey domain > controller". Probé instalarlo y con RSAT puedo crear las GPO sin > problemas, leer/escribir/modificar archivos en la unidad compartida > sysvol. Interesa que trabajes con los mismos usuarios y el mismo archivo de GPO que tienes en samba, no vaya a ser que tenga algún problema. > Estoy investigando cual puede ser la causa de esto, por ahora vi que la > carpeta sysvol tiene definidos grupos por default con ACL y el grupo es > 300 que no tengo idea de donde lo obtiene. > > root@dc1 lib/samba# getfacl sysvol/ > # file: sysvol/ > # owner: root # group: 300 user::rwx user:root:rwx group::rwx > group:300:rwx group:301:r-x group:302:rwx group:303:r-x > mask::rwx other::--- > default:user::rwx default:user:root:rwx default:group::--- > default:group:300:rwx default:group:301:r-x > default:group:302:rwx default:group:303:r-x default:mask::rwx > default:other::--- Los permisos han cambiado, sí. Pues si te sigue dando el mismo error, comprueba que tengas bien configurada la utilidad RSAT: https://wiki.samba.org/index.php/Installing_RSAT Saludos, -- Camaleón
Re: Samba 4 + RSAT + GPO
El 09/08/16 a las 11:58, Camaleón escribió:
> El Tue, 09 Aug 2016 10:58:35 -0300, Laotrasolucion escribió:
>
>> El 09/08/16 a las 10:17, Camaleón escribió:
>
> (...)
>
Entonces intente ir un poco mas lejos y crear un par de GPOs para
mapear unidades, configurar proxy en los navegadores, etc. Pero me
tope con el problema de que al intentar crear una GPO desde el cliente
RSAT, me indica lo siguiente:
"el sistema no puede encontrar el archivo especificado"
Entonces intente crearlos con samba-tools
samba-tool gpo create map_d_unit -Uadministrator Password for
[TEST\administrator]:
GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC}
(No tengo idea como modificar desde la consola esa GPO)
Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo
algún cambio.
>>>
>>> ¿Algún error?
>>>
A mi parece todo apunta a un problema de permisos que no tengo en
cuenta. Ustedes que opinan?
>>>
>>> (...)
>>>
>>> Si tienes un windows con un AD configurado donde probar el
>>> funcionamiento de RSAT convendría que lo hicieras para ver si de esa
>>> forma te permite guardar los cambios que hagas en las GPO. Quizá el
>>> problema sea de RSAT y no de samba.
>>>
>>
>> gracias por responder. Errores desde samba4 no tengo, si los tengo desde
>> los clientes.
>>
>> Me parece que son problemas del aplicativo, tengo que probar instalar
>> otro pdc y verificar.
>>
>> RSAT "El programa lanzó un comando pero la longitud del comando es
>> incorrecta"
>>
>> "Error (0x80072) al guardar el archivo de configuración. El sistema
>> no puede encontrar el archivo especificado"
>
> Parecen errores genéricos de Windows más bien, pero sí, es importante que
> descartes problemas bien con la instalación de Windows bien con RSAT.
>
>> Lo que si me pareció raro y corrijanme si no es así, es que la carpeta
>> sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia
>> tener al menos los grupos de "domain admins" "domain users"
>>
>>
>> root@pdc:/var/lib/samba# getfacl sysvol/
>> # file: sysvol/
>> # owner: root # group: root user::rwx group::rwx other::r-x
>>
>>
>> Y cuando quiero crear un archivo en una unidad compartida, por ejemplo
>> sysvol, me deja crearlo pero no me deja modificarlo o guardarlo.
>>
>> desde ya muchas gracias.
>
> Pues sobre los permisos adecuados de ese recurso, ni idea :-?
>
> Lo que sí puedes hacer es apuntar los valores que tiene actualmente por
> si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si
> coinciden con los que tenías (comando extraído de la wiki¹ de Samba):
>
> ***
> Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will
> check the ACLs instead)
> # samba-tool ntacl sysvolreset
> ***
>
> ¹
> https://wiki.samba.org/index.php/Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs
>
> Saludos,
>
Hola,
casualmente probé varias de las soluciones de samba, en el caso que
nombras @camaleon no me dio errores de ningún tipo.
Navegando por ahí encontré un pdc en jessie que se llama "turnkey domain
controller". Probé instalarlo y con RSAT puedo crear las GPO sin
problemas, leer/escribir/modificar archivos en la unidad compartida sysvol.
Estoy investigando cual puede ser la causa de esto, por ahora vi que la
carpeta sysvol tiene definidos grupos por default con ACL y el grupo es
300 que no tengo idea de donde lo obtiene.
root@dc1 lib/samba# getfacl sysvol/
# file: sysvol/
# owner: root
# group: 300
user::rwx
user:root:rwx
group::rwx
group:300:rwx
group:301:r-x
group:302:rwx
group:303:r-x
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:group::---
default:group:300:rwx
default:group:301:r-x
default:group:302:rwx
default:group:303:r-x
default:mask::rwx
default:other::---
¹https://www.turnkeylinux.org/domain-controller
signature.asc
Description: OpenPGP digital signature
Re: Samba 4 + RSAT + GPO
El Tue, 09 Aug 2016 10:58:35 -0300, Laotrasolucion escribió:
> El 09/08/16 a las 10:17, Camaleón escribió:
(...)
>>> Entonces intente ir un poco mas lejos y crear un par de GPOs para
>>> mapear unidades, configurar proxy en los navegadores, etc. Pero me
>>> tope con el problema de que al intentar crear una GPO desde el cliente
>>> RSAT, me indica lo siguiente:
>>>
>>> "el sistema no puede encontrar el archivo especificado"
>>>
>>> Entonces intente crearlos con samba-tools
>>>
>>> samba-tool gpo create map_d_unit -Uadministrator Password for
>>> [TEST\administrator]:
>>> GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC}
>>>
>>> (No tengo idea como modificar desde la consola esa GPO)
>>>
>>> Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo
>>> algún cambio.
>>
>> ¿Algún error?
>>
>>> A mi parece todo apunta a un problema de permisos que no tengo en
>>> cuenta. Ustedes que opinan?
>>
>> (...)
>>
>> Si tienes un windows con un AD configurado donde probar el
>> funcionamiento de RSAT convendría que lo hicieras para ver si de esa
>> forma te permite guardar los cambios que hagas en las GPO. Quizá el
>> problema sea de RSAT y no de samba.
>>
>
> gracias por responder. Errores desde samba4 no tengo, si los tengo desde
> los clientes.
>
> Me parece que son problemas del aplicativo, tengo que probar instalar
> otro pdc y verificar.
>
> RSAT "El programa lanzó un comando pero la longitud del comando es
> incorrecta"
>
> "Error (0x80072) al guardar el archivo de configuración. El sistema
> no puede encontrar el archivo especificado"
Parecen errores genéricos de Windows más bien, pero sí, es importante que
descartes problemas bien con la instalación de Windows bien con RSAT.
> Lo que si me pareció raro y corrijanme si no es así, es que la carpeta
> sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia
> tener al menos los grupos de "domain admins" "domain users"
>
>
> root@pdc:/var/lib/samba# getfacl sysvol/
> # file: sysvol/
> # owner: root # group: root user::rwx group::rwx other::r-x
>
>
> Y cuando quiero crear un archivo en una unidad compartida, por ejemplo
> sysvol, me deja crearlo pero no me deja modificarlo o guardarlo.
>
> desde ya muchas gracias.
Pues sobre los permisos adecuados de ese recurso, ni idea :-?
Lo que sí puedes hacer es apuntar los valores que tiene actualmente por
si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si
coinciden con los que tenías (comando extraído de la wiki¹ de Samba):
***
Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will
check the ACLs instead)
# samba-tool ntacl sysvolreset
***
¹
https://wiki.samba.org/index.php/Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs
Saludos,
--
Camaleón
Re: Samba 4 + RSAT + GPO
El 09/08/16 a las 10:17, Camaleón escribió:
> El Mon, 08 Aug 2016 22:04:40 -0300, Laotrasolucion escribió:
>
>> Estoy en el intento de crear un dominio con samba 4 y clientes
>> windows/linux. Instale samba4 desde los repositorios, hice el provisión
>> de la siguiente manera.
>
> (...)
>
>> Entonces intente ir un poco mas lejos y crear un par de GPOs para mapear
>> unidades, configurar proxy en los navegadores, etc. Pero me tope con el
>> problema de que al intentar crear una GPO desde el cliente RSAT, me
>> indica lo siguiente:
>>
>> "el sistema no puede encontrar el archivo especificado"
>>
>> Entonces intente crearlos con samba-tools
>>
>> samba-tool gpo create map_d_unit -Uadministrator Password for
>> [TEST\administrator]:
>> GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC}
>>
>> (No tengo idea como modificar desde la consola esa GPO)
>>
>> Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo
>> algún cambio.
>
> ¿Algún error?
>
>> A mi parece todo apunta a un problema de permisos que no tengo en
>> cuenta. Ustedes que opinan?
>
> (...)
>
> Si tienes un windows con un AD configurado donde probar el funcionamiento
> de RSAT convendría que lo hicieras para ver si de esa forma te permite
> guardar los cambios que hagas en las GPO. Quizá el problema sea de RSAT y
> no de samba.
>
> Saludos,
>
Hola,
gracias por responder. Errores desde samba4 no tengo, si los tengo desde
los clientes.
Me parece que son problemas del aplicativo, tengo que probar instalar
otro pdc y verificar.
RSAT
"El programa lanzó un comando pero la longitud del comando es incorrecta"
"Error (0x80072) al guardar el archivo de configuración. El sistema
no puede encontrar el archivo especificado"
Lo que si me pareció raro y corrijanme si no es así, es que la carpeta
sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia
tener al menos los grupos de "domain admins" "domain users"
root@pdc:/var/lib/samba# getfacl sysvol/
# file: sysvol/
# owner: root
# group: root
user::rwx
group::rwx
other::r-x
Y cuando quiero crear un archivo en una unidad compartida, por ejemplo
sysvol, me deja crearlo pero no me deja modificarlo o guardarlo.
desde ya muchas gracias.
signature.asc
Description: OpenPGP digital signature
Re: Samba 4 + RSAT + GPO
El Mon, 08 Aug 2016 22:04:40 -0300, Laotrasolucion escribió:
> Estoy en el intento de crear un dominio con samba 4 y clientes
> windows/linux. Instale samba4 desde los repositorios, hice el provisión
> de la siguiente manera.
(...)
> Entonces intente ir un poco mas lejos y crear un par de GPOs para mapear
> unidades, configurar proxy en los navegadores, etc. Pero me tope con el
> problema de que al intentar crear una GPO desde el cliente RSAT, me
> indica lo siguiente:
>
> "el sistema no puede encontrar el archivo especificado"
>
> Entonces intente crearlos con samba-tools
>
> samba-tool gpo create map_d_unit -Uadministrator Password for
> [TEST\administrator]:
> GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC}
>
> (No tengo idea como modificar desde la consola esa GPO)
>
> Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo
> algún cambio.
¿Algún error?
> A mi parece todo apunta a un problema de permisos que no tengo en
> cuenta. Ustedes que opinan?
(...)
Si tienes un windows con un AD configurado donde probar el funcionamiento
de RSAT convendría que lo hicieras para ver si de esa forma te permite
guardar los cambios que hagas en las GPO. Quizá el problema sea de RSAT y
no de samba.
Saludos,
--
Camaleón
