Bei mir siehts so aus:

# file: sysvol
# owner: Administrator
# group: Administrators
user::rwx
user:Administrator:rwx
group::rwx
group:Authenticated\040Users:r-x
group:System:rwx
group:Administrators:rwx
group:System\040Operators:r-x
mask::rwx
other::---
default:user::rwx
default:user:Administrator:rwx
default:group::---
default:group:Authenticated\040Users:r-x
default:group:System:rwx
default:group:Administrators:rwx
default:group:System\040Operators:r-x
default:mask::rwx
default:other::---

Ich schätze mal das Problem ist, daß es beim Testsystem keinen Eintrag für die Gruppe Administrators gibt. Stattdessen gibt es ja die Einträge mit 3000*. Ist die Gruppe Administrators auf dem Testsystem vorhanden?

Hallo,

wenn ich per “chown -R :Administrators sysvol” die Gruppe ändere, scheint es zunächst zu funktionieren (so vorsichtig, da ich das noch nicht ausführlich getestet habe).

Ich hatte nun noch ein paar Testsysteme aufgesetzt - auf einem sieht es so aus:

[code]root@dc:/var/lib/samba# ls -al sysvol
insgesamt 20
drwxrwx—+ 3 Administrator Administrators 4096 Jun 15 14:38 .
drwxr-xr-x 11 root root 4096 Jun 17 10:44 …
drwxrwx—+ 4 Administrator Administrators 4096 Jun 15 14:38 test.intranet
root@dc:/var/lib/samba# getfacl sysvol

file: sysvol

owner: Administrator

group: Administrators

user::rwx
user:Administrator:rwx
user:5010:r-x
user:5035:rwx
user:3000001:r-x
group::rwx
group:Authenticated\040Users:r-x
group:System:rwx
group:Administrators:rwx
group:3000001:r-x
mask::rwx
other::—
default:user::rwx
default:user:Administrator:rwx
default:user:5010:r-x
default:user:5035:rwx
default:user:3000001:r-x
default:group::—
default:group:Authenticated\040Users:r-x
default:group:System:rwx
default:group:Administrators:rwx
default:group:3000001:r-x
default:mask::rwx
default:other::—[/code]

Auf einem anderen erhalte ich per RSAT diese Fehlermeldung:

Vielelicht könnte Univention einmal mitteilen, welche Rechte per Default verteilt sein sollten?

Danke und Gruß
Andreas

Das macht Samba intern selbst - die ACL’s von Sirtux sehen z.B. normal aus.
Es gibt Situationen in denen die Posix ID’s während der initialen Einrichtung von Samba noch nicht vollständig auflösbar sind - erfolgt dann die ACL-Vergabe sieht man die ID’s in getfacl (vergleiche auch: [bug]29712[/bug]).

Ein nachträglicher Sysvolreset wird die default ACL’s wiederherstellen:

samba-tool ntacl sysvolreset

Viele Grüße,
Tim Petersen

Klasse, danke, damit dürfte mir geholfen sein!

Hallo zusammen,

danke für den Hinweis mit den samba-tools. Der hat mir heute auch geholfen (Zusätzlichen Administrator anlegen).

Gibt es für den o.g. Fehler (Advanced_EnableSSL3Fallback) auch eine Lösung?

[code][Window Title]
Administrative Vorlagen

[Main Instruction]
Bei der Analyse ist ein Fehler ist aufgetreten.

[Content]
Die in der Eigenschaft “$(string.Advanced_EnableSSL3Fallback)” aufgeführte Ressource displayName konnte nicht gefunden werden.

Datei C:\Windows\PolicyDefinitions\inetres.admx, Zeile 795, Spalte 308

[OK][/code]

Danke
Ulf

[quote=“ulf.kosack”]Hallo zusammen,

danke für den Hinweis mit den samba-tools. Der hat mir heute auch geholfen (Zusätzlichen Administrator anlegen).

Gibt es für den o.g. Fehler (Advanced_EnableSSL3Fallback) auch eine Lösung?

[code][Window Title]
Administrative Vorlagen

[Main Instruction]
Bei der Analyse ist ein Fehler ist aufgetreten.

[Content]
Die in der Eigenschaft “$(string.Advanced_EnableSSL3Fallback)” aufgeführte Ressource displayName konnte nicht gefunden werden.

Datei C:\Windows\PolicyDefinitions\inetres.admx, Zeile 795, Spalte 308

[OK][/code]

Danke
Ulf[/quote]

Hallo,
das schaut für mich zunächst einmal nach einem tatsächlichen Fehler in der besagten ADMX aus. Wurde eine Aktualisierung aus “X:\Windows\PolicyDefinitions” vorgenommen? Manchmal gibt es Probleme mit den zugehörigen ADML, ist auch bei den Chrome ADMX nicht selten.

Eventuell mal die “inetres.admx” in notepad++ anschauen, ob “displayName” tatsächlich korrekt ausgewertet werden kann.

MBG,
TP

Hallo TP,

ich weiß nicht, ob ich wirklich verstanden habe, was Du mir versuchst zu erklären. Aber danke für den Versuch.

Hier mal der Auszug aus der admx-Datei, der angemeckert wird (Zeile 795):

<policy name="Advanced_EnableSSL3Fallback" class="Machine" displayName="$(string.Advanced_EnableSSL3Fallback)" explainText="$(string.Advanced_ExplainEnableSSL3Fallback)" presentation="$(presentation.Advanced_EnableSSL3Fallback)" key="Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings"> <parentCategory ref="SecurityFeatures" /> <supportedOn ref="SUPPORTED_IE7" /> <elements> <!-- This item is a bitmask of protection modes where bits 1-2 are (respectively): Non protected, Protected--> <enum id="Advanced_EnableSSL3FallbackOptions" valueName="EnableSSL3Fallback" required="false"> <item displayName="$(string.Advanced_FallbackNone)"> <value> <decimal value="0" /> </value> </item> <item displayName="$(string.Advanced_FallbackNonProtected)"> <value> <decimal value="1" /> </value> </item> <item displayName="$(string.Advanced_FallbackAll)"> <value> <decimal value="3" /> </value> </item> </enum> </elements> </policy>

Ich habe den in der ersten Zeile des Ausschnitts genannten Registry-Zweig (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings) überprüft und dort gibt es keine Einträge (siehe Screenshot im Anhang). Wenn da keine Einträge sind, kann das ADMX-Template die Werte auch nicht auslesen, richtig?

Ich bekomme diese Meldung auf zwei Win7Pro-VM’s, die in die UCS-Domäne gejoined sind. Der W2k12R2-Server, der ebenfalls UCS-Domänenmitglied ist hat diese Einträge auch nicht und dort gibt es keine Fehlermeldung.

Muss ich diese Einträge jetzt von Hand anlegen? Aber wer will schon noch SSLv3 verwenden?
Was meinst Du mit

Sollte ich die ADMX-Datei aus der Windows-Installations-CD noch einmal kopieren?

Danke
Ulf

Hallo,

beim Parsen der ADMX-Dateien moniert gpmc.msc des Öfteren irgendwelche Fehler. Meist passiert das, wenn man aktualisierte ADMX in sysvol ablegt, dabei alte überschreibt, und alte Verknüpfungen, auch in den dazugehörigen ADML-Sprachdateien nicht aufgelöst werden können.
Es passiert ja relativ häufig, dass man sich aktualisierte Gruppenrichtliniendateien erst vom Client aus z.B. “C:\Windows\PolicyDefinitions” holen muss, da der Server ältere hat, als der Client, oder für bestimmte Zwecke eben gar keine, wie bei Office, Chrome usw.

Das ADMX-Template liest eigentlich nichts aus, sondern schreibt nur in die Registry rein - von wo aus wird denn gpmc.msc gestartet?

Oder hab’ ich das falsch verstanden und der Fehler passiert nicht beim Bearbeiten, sondern beim Anwenden?
Was sagt denn gpresult oder rsop auf den betroffenen Clients?

Manchmal sind Einstellungen aus älteren oder neueren ADMX auch nicht anwendbar und müssen komplett neu aufgebaut werden, da der entsprechende Eintrag fehlt.

MBG
TP

Hallo TP,

der Fehler passiert nachdem RSOP auf dem Win7 Client durchgelaufen ist und den lokalen Ergebnis-Richtlinien-Satz anzeigt. Beim Bearbeiten habe ich keine Fehler.

Danke
Ulf

Aha! Bearbeitet werden sie aber auf dem 2012R2 Server?

Ja. UCS ist Domain Master, W2k12R2 Std. ist Domain Member, Bearbeitung der GPO erfolgt per Gruppenrichtlinien-Verwaltung auf dem W2k12R2-Server.

Der Fehler tritt auf den Win7-Member-Workstations auf, wenn ich z.B. per RSOP einen Ergebnissatz mir erstellen lasse, um zu kontrollieren, ob alle Einstellungen korrekt ankommen. Ich hatte anfänglich Probleme mit englischen Gruppennamen auf dem UCS und deutschen Gruppennamen auf den Member-Rechnern.

Hallo,

sorry - ich habe keine Benachrichtigung über neue Posts mehr bekommen.
Ich kenne dieses Verhalten, wenn die ADMX aus verschiedenen Betriebssystemversionen im Central Store liegen. Manchmal werden dort Verweise verwendet, welche entweder inzwischen nicht mehr (veraltete ADMX) oder noch nicht (zu neue ADMX) verwendet werden.
Behoben habe ich dieses Problem immer durch das komplette Löschen der betroffenen Gruppenrichtlinie, das Einspielen der jeweils passenden ADMX sowie Neuerstellen der obigen Gruppenrichtlinie. Dabei bemerkt man oft auch, dass vormals ausgewählte Optionen entweder nicht mehr, oder in anderer Form vorkommen.

MBG,
TP

Das Verhalten der RSAT von Windows 7 ist normal und tritt auch in reinen Microsoft Umgebungen auf. Sobald einmal mit Server 2012 oder RSAT Windows 8 eine Richtlinie bearbeitet wurde und oder die neuen Vorlagen eingespielt wurden meckert RSAT von Windows 7 oder der Konsole von Server 2008R2 und älter.
Das liegt daran, das ab Server 2012 wieder mal die Richtlinien größer sein dürfen als bei den Vorgängerversionen

[quote=“garfield2008”]Das Verhalten der RSAT von Windows 7 ist normal und tritt auch in reinen Microsoft Umgebungen auf. Sobald einmal mit Server 2012 oder RSAT Windows 8 eine Richtlinie bearbeitet wurde und oder die neuen Vorlagen eingespielt wurden meckert RSAT von Windows 7 oder der Konsole von Server 2008R2 und älter.
Das liegt daran, das ab Server 2012 wieder mal die Richtlinien größer sein dürfen als bei den Vorgängerversionen[/quote]

Danke für die Erhellung - ich hatte es immer auf unterschiedliche Verweise und nicht auf die Größe der Richtlinien zurückgeführt. Tatsächlich hat ja auch z.B. Google mit seinen Vorlagen hier eine recht unrühmliche Bilanz vorzuweisen!

Kleine Konkretisierung. Mit Größe ist die Größe einzelner Felder in der XML der Vorlage gemeint, nicht die Dateigröße. Sobald einmal ein Gruppenrichtlinieneditor mit so einer Vorlage am AD dran war gibt es unter den “alten” Betriebssystemen den Fehler. Aber nicht alle neuen Vorlagen machen von den neuen Feldgrößen Gebrauch.

Hallo,

“samba-tool ntacl sysvolreset” hat hier gerade auf einem anderen System die (dort wieder) vorhandenen Probleme behoben.

Was nicht passt wollte ich mir eigentlich vorab mit “samba-tool ntacl sysvolcheck” anzeigen lassen. Der Befehl wirft eine Exception:

ERROR(<class 'samba.provision.ProvisioningError'>): uncaught exception - ProvisioningError: DB ACL on GPO directory /var/lib/samba/sysvol/praxis.lan/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}
...
  File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1631, in check_dir_acl
    raise ProvisioningError('%s ACL on GPO directory %s %s does not match expected value %s from GPO object' % (acl_type(direct_db_access), path, fsacl_sddl, acl))

Gibt es dazu auch eine (Lösungs-)Idee?

Danke und Gruß
Andreas

Hallo,
die oben genannte Exception tritt bei uns auch auf.
VG,
TP

Moin,

dann führen Sie doch bitte »samba-tool ntacl sysvolreset« zur Korrektur der ACLs aus.

Gruß,
mosu

Vielen Dank, Herr Bunkus,
ich wollte nur auf die Exception hinweisen, die Reparatur hatte ich schon durchgeführt und diese hat auch funktioniert.
Generell scheint die Reparatur nach Upgrades von früheren UCS-Versionen sehr sinnvoll zu sein, da einige mysteriöse GPO-Probleme auch bei anderen Installationen daraufhin verschwunden sind!
MBG,
TP

Bei der Ausnahme kann es sich durchaus um einen Bug handeln, da eine Prüfung ja für mein Verständnis solche Fehler genau finden und sinnvoll auflisten sollte. Man kann sich andererseits auch auf den Standpunkt stellen, dass das Tool durchaus seine Arbeit leistet und bei der Prüfung einen Fehler findet – den dann nur nicht sonderlich hübsch berichtet.

Wenn Sie der Meinung sind, dass das verbessert werden sollte, so wäre ein Eintrag im Univention-Bugtracker sinnvoll.