Zusätzlichen Administrator anlegen

UCS - Univention Corporate Server
#1

Hallo,

ich würde gern zusätzlich zu dem Standarduser Administrator einen weiteren User anlegen der ebenfalls erweiterte Berechtigungen hat. Allerdings bin ich hierbei auf einige Probleme gestoßen. Ich habe dem User Admin1 in die selben Gruppen wie Administrator aufgenommen und trotzdem habe ich folgende Probleme die mit dem Standard-Administrator nicht auftreten:
[] Domänenbeitritte klappen aber das Computerkonto wird im DNS nicht eingetragen
[] Gruppenrichtlinienobjekte lassen sich anpassen aber keine neuen anlegen (Zugriff verweigert)

Wie kann das sein? Beide User sind in exakt den selben Gruppen?

Vielen Dank schonmal
Robert

"Kein Zugriff" beim anlegen von GPOs
"Kein Zugriff" beim anlegen von GPOs
#2

Moin,

wenn ich /etc/ldap/slapd.conf richtig lese, so hat generell erst einmal nur der User Administrator vollen Schreibzugriff auf das komplette LDAP-Verzeichnis. Die Mitglieder der Gruppe »Domain Admins« haben zwar auch gewisse erweiterte Schreibrechte, aber eben nicht auf alles. Daher wundert mich nicht, dass das Joinen als einer der anderen User nicht vollständig klappt.

Sie können selber ACLs anlegen und darüber Schreib-Zugriff auf das LDAP bzw. Teilbäume gewähren. Wie das geht, steht in Abschnitt 3.4.5 des Admin-Handbuchs. Die /etc/ldap/slapd.conf enthält bereits Beispiele für die Syntax, die für »alle Mitglieder der Gruppe Domain Admins« zu verwenden ist.

Ähnliches gilt für Gruppenrichtlinien, wobei mich das hier wundert, denn die Dateisystem-ACLs sagen, dass Mitglieder der Gruppe »Administrators« (nicht Domain Admins!) sowie der Gruppe »Group Policy Creator Owners« sehr wohl neue Dateien hier anlegen dürfen. Der User »adminstrator« ist ebenfalls noch mal als einzelner User mit Schreibberechtigungen hier eingetragen. Die Verzeichnisse sind /var/lib/samba/sysvol//Policies.

Prüfen Sie doch bitte mal, in welchen Gruppen sich der neue User befindet (»groups neuer-user«) und posten das bitte hier.

Wie ich oben schon angedeutet habe, gibt es überall in Univention besondere Berechtigungen für das Userobjekt »administrator«. Seine Gruppenmitgliedschaften sind daher nicht so ausschlaggebend, wie Sie vielleicht denken.

#3

Hallo Moritz und Robert,

ich hänge mich hier mal an, weil ich just in diesem Moment vor dem selben Problem stehe: Ein zusätzlich angelegter Administrator kann keine GPO’s anlegen/bearbeiten. Es kommt fast immer die folgende Meldung:

[code]---------------------------
Gruppenrichtlinienverwaltung

Verarbeitungsfehler beim Sammeln von Daten mit diesem Basisdomänencontroller. Ändern Sie den Basisdomänencontroller, und wiederholen Sie den Vorgang.

OK

[/code]

Das “fast” schreibe ich deshalb, weil ich beim ersten Versuch mit dem eigenen Admin eine GPO anlegen und Einstellungen importieren konnte ??? Zu diesem Zeitpunkt hatte der Benutzer “firmenadmin” die Gruppen “Domain Users” und “Domain Admins”. “Domain Users” war die Primäre Gruppe. Auch das Umstellen auf primäre Gruppe “Domain Admins” brachte keinen Erfolg.

Inzwischen habe ich alle Gruppen, die der Benutzer “Administrator” hat auch dem “firmenadmin” zugewiesen. -> Immer noch die gleiche Fehlermeldung.
Dann habe ich die Gruppe “Administrators” dem “firmenadmin” als primäre Gruppe eingestellt: -> immer noch die gleiche Fehlermeldung.

Die Fehlermeldung an sich ist auch berechtigt, da ich als “firmenadmin”, entgegen meinen Erwartungen, keinen Schreibzugriff auf das SYSVOL-Verzeichnis habe. Entgegen meinen Erwartungen deshalb, weil die Gruppe “DOMAIN\Administrators” Vollzugriff auf der Sicherheitsebene hat.

Die Erweiterung der ACL’s ist bestimmt ein gangbarer Weg, wird aber bestimmt von den meisten Windows-Admins (denen man das neue System ja vermitteln muss) nicht so erwartet, oder?

Wer kann jetzt noch helfen?

Danke
Viele Grüße
Ulf

#4

Moin,

beachten Sie, dass Gruppenänderungen sich unter Linux nicht auf bereits laufende Prozesse auswirken. Wenn Sie also gerade eine aktive Verbindung zu Samba offen haben, so läuft unter Linux in dem Moment ein SMB-Prozess für diesen User. Eine gleichzeitige Gruppenänderung wirkt sich nicht auf diesen bereits laufenden Prozess aus.

#5

Moin moin,

Da sich Gruppenänderungen in Windows sowieso nur auswirken, wenn sich der Benutzer das nächste Mal neu anmeldet, habe ich den “firmenadmin” vom Windows-Server (Domänen-Mitglied) ab- und danach wieder angemeldet. Damit müsste doch auch die aktive Verbindung zu Samba neugestartet worden sein, oder?

Das Einzige, was ich noch nicht neu gestartet habe ist der UCS.

#6

Durch eine andere Suche bin ich auf den Thread “Kein Zugriff” beim anlegen von GPOs gestoßen, wo genau das gleiche Problem geschildert ist.

Der Ansatz per samba-tool die ACL’s neu zu setzen hat bei mir Erfolg gebracht. Da, wie im Folgenden zu sehen ist, die Gruppe “Administrators” nicht korrekt gesetzt war, ist das wohl auch die Lösung, warum nur der Benutzer “Administrator” GPO’s anlegen/ändern konnte.

[code]root@ucstesv002:/var/lib/samba# ll
insgesamt 2684
-rw------- 1 root root 421888 Aug 5 07:49 account_policy.tdb
drwsrwsr-x 10 root Printer-Admins 4096 Aug 5 07:55 drivers
-rw------- 1 root root 696 Aug 5 07:49 group_mapping.tdb
drwxr-xr-x 3 root root 4096 Aug 5 07:48 netlogon
drwxr-x— 2 root ntp 4096 Aug 11 15:17 ntp_signd
drwxr-xr-x 10 root root 4096 Aug 5 07:49 printers
drwxr-xr-x 6 root root 4096 Aug 11 15:18 private
-rw------- 1 root root 528384 Aug 5 07:49 registry.tdb
-rw------- 1 root root 421888 Aug 5 07:49 share_info.tdb
drwxrwx—+ 3 Administrator 3000000 4096 Aug 5 07:56 sysvol
drwxr-xr-x 2 root adm 4096 Aug 5 07:49 sysvol_backup
drwxrwx–T 2 root sambashare 4096 Aug 5 07:49 usershares
-rw------- 1 root root 32768 Aug 11 15:17 winbindd_cache.tdb
drwxr-x— 2 root root 4096 Aug 11 15:17 winbindd_privileged
-rw-r–r-- 1 root root 289 Aug 11 15:14 wins.dat
-rw------- 1 root root 1286144 Aug 5 07:55 wins.ldb
-rw------- 1 root root 8192 Aug 11 15:17 wins.tdb

root@ucstesv002:/var/lib/samba# samba-tool ntacl sysvolreset
WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.
WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.
WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.
WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.

root@ucstesv002:/var/lib/samba# ll
insgesamt 2684
-rw------- 1 root root 421888 Aug 5 07:49 account_policy.tdb
drwsrwsr-x 10 root Printer-Admins 4096 Aug 5 07:55 drivers
-rw------- 1 root root 696 Aug 5 07:49 group_mapping.tdb
drwxr-xr-x 3 root root 4096 Aug 5 07:48 netlogon
drwxr-x— 2 root ntp 4096 Aug 11 15:17 ntp_signd
drwxr-xr-x 10 root root 4096 Aug 5 07:49 printers
drwxr-xr-x 6 root root 4096 Aug 11 15:19 private
-rw------- 1 root root 528384 Aug 5 07:49 registry.tdb
-rw------- 1 root root 421888 Aug 5 07:49 share_info.tdb
drwxrwx—+ 3 Administrator Administrators 4096 Aug 11 15:19 sysvol
drwxr-xr-x 2 root adm 4096 Aug 5 07:49 sysvol_backup
drwxrwx–T 2 root sambashare 4096 Aug 5 07:49 usershares
-rw------- 1 root root 32768 Aug 11 15:17 winbindd_cache.tdb
drwxr-x— 2 root root 4096 Aug 11 15:17 winbindd_privileged
-rw-r–r-- 1 root root 289 Aug 11 15:19 wins.dat
-rw------- 1 root root 1286144 Aug 5 07:55 wins.ldb
-rw------- 1 root root 8192 Aug 11 15:17 wins.tdb
[/code]

Da ich aber die Nachwirkungen nicht abschätzen kann, habe ich mir vorher einen Snapshot angelegt ;-).

Für mich scheint es gelöst zu sein.

Viele Grüße
Ulf

Mastodon