ACLs von GPOs

german

#1

Hallo,

wir wollen in einer UCS@School-Umgebung Drucker mit Hilfe von Gruppenrichtlinien verteilen. Vereinzelt funktioniert das ausgezeichnet, aber an den meisten Schulen besteht das Problem, dass die ACLs auf die Gruppenrichtlinienobjekte automatisch auf falsche Werte gesetzt werden.

Unmittelbar nach dem letzten Bearbeiten eines GPO sehen die ACLs so aus:

file: var/lib/samba/sysvol//Policies/{B65B9578-39A1-4C68-AC44-36C0E1F7C751}/GPT.INI

owner: erb

group: Authenticated\040Users

user::rwx
user:erb:rwx
user:ffbl-204-001$:r-x
user:ffbl-204-002$:r-x
user:ffbl-204-003$:r-x
user:ffbl-204-004$:r-x
user:ffbl-204-005$:r-x
user:ffbl-204-006$:r-x
user:ffbl-204-007$:r-x
user:ffbl-204-008$:r-x
user:ffbl-204-009$:r-x
user:ffbl-204-010$:r-x
user:ffbl-204-011$:r-x
user:ffbl-204-012$:r-x
user:ffbl-204-leh$:r-x
group::—
group:Domain\040Admins:rwx
group:Enterprise\040Admins:rwx
group:Authenticated\040Users:—
group:Enterprise\040Domain\040Controllers:r-x
group:3000002:rwx
mask::rwx
other::—

Kurze Zeit später werden folgende ACLs gesetzt:

file: var/lib/samba/sysvol//Policies/{B65B9578-39A1-4C68-AC44-36C0E1F7C751}/GPT.INI

owner: erb

group: Authenticated\040Users

user::rwx
user:erb:rwx
user:ffbl-204-leh$:r-x
group::—
group:Domain\040Admins:rwx
group:Enterprise\040Admins:rwx
group:Authenticated\040Users:—
group:Enterprise\040Domain\040Controllers:r-x
group:3000002:rwx
mask::rwx
other::—

In der Konsequenz wird die Gruppenrichtlinie auf den fehlenden PCs nicht verarbeitet. Durch Entfernen und anschließendes Hinzufügen eines PC-Objektes in der Sicherheitsfilterung der GPMC lässt sich reproduzierbar der korrekte Zustand herstellen, der dann nach kurzer Zeit wieder geändert wird - ebenfalls reproduzierbar. Die Zeit, innerhalb der wieder die falsche ACL gesetzt wird, ist variabel. Bis jetzt war sie immer zwischen 30 Sekunden und 5 Minuten.

Ich weiß, dass es dieses Problem auch an mindestens einer anderen Einrichtung gab oder noch gibt. Auch dort wurden fehlerhafte ACLs vorgefunden und korrigiert. (Ob das Problem dort dadurch nachhaltig gelöst wurde oder ob es wie bei uns wieder auftrat, weiß ich noch nicht.)


#2

Hallo,

in einer UCS@school Multiserver Umgebung werden die ACL’s der Richtlinien im sysvol-Verzeichnis noch nicht vollständig synchronisiert. Abhilfe schafft hier die Deaktivierung des sysvol-Synchronisation und die Bearbeitung der Richtlinien auf dem Schul-Slave (nicht auf der Zentrale).

Die sysvol-Synchronisation auf einem Schul-Slave kann wie folgt deaktivieren.

-> ucr unset samba4/sysvol/sync/cron
-> /etc/init.d/cron reload

Um bereits Konfigurierte ACL’s an Richtlinien auf einem Schul-Slave wiederherzustellen, kann folgendes Kommando verwendet werden.

-> samba-tool ntacl sysvolreset

Anschließend sollten die ACL’s im Filesystem wieder denen über die GPMC gesetzten entsprechen.