Kein Zugriff auf SYSVOL

visionsbox · November 4, 2018, 2:40pm

Hey,
ich hab hier ein kleines Problem von dem ich nicht genau weiß wie man es am besten behebt.

Zur Zeit werden keine Gruppenrichtlinien mehr umgesetzt. Der Befehl

gpupdate /force /target:user

gibt zurück, dass die Benutzerrichtlinien nicht umgesetzt werden konnten. Damit misstrauisch geworden habe ich direkt über den Explorer versucht Zugang zu \meine.domäne.tld\ zu erhalten - Ergebnis: ein Loginfenster taucht auf und verlangt von mir (Administrativer Account) das ich mich authentifiziere. Das gleiche nochmal mit dem “echten” Domänen-Administrator versucht und auch sofort Zugang erhalten.

Daraufhin hab ich mit

samba-tool ntacl sysvolcheck

die ACL gecheckt - was auch ein paar fiese Fehler ausgeworfen hat:

ProvisioningError: DB NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{701C01F7-428E-48B3-ACF1-8F71E3450E3A} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: DB NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{F2F55720-132E-49B5-9C30-369B7605E5E3} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: DB NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{6D920691-CD7D-46CF-88F0-F870E854A4FD} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: DB NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{CD3936DC-6395-429E-AAEE-8DB0BC5977D5}/Machine/Scripts/Startup O:S-1-5-21-2195465880-876702396-179802310-1117G:S-1-5-21-2195465880-876702396-179802310-1114D:(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;;0x001f01ff;;;S-1-5-21-2195465880-876702396-179802310-1117)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:PAR(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: DB NTACL of GPO file /var/lib/samba/sysvol/meine.domäne.tld/Policies/{AEC9A060-FB77-420E-9BE4-387647214636}/User/Documents & Settings/fdeploy.ini O:LAG:DAD:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;EA)(A;;0x001f01ff;;;LA)(A;;0x001f01ff;;;SY)(A;;0x001200a9;;;AU)(A;;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: DB NTACL of GPO file /var/lib/samba/sysvol/meine.domäne.tld/Policies/{B65B2A5B-861C-4DB4-8CB8-F922A9647EFB}/User/Registry.pol O:S-1-5-21-2195465880-876702396-179802310-1117G:S-1-5-21-2195465880-876702396-179802310-1114D:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;EA)(A;;0x001f01ff;;;S-1-5-21-2195465880-876702396-179802310-1117)(A;;0x001f01ff;;;SY)(A;;0x001200a9;;;AU)(A;;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: DB NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{905C25CD-4C9B-4B82-81EC-485F930FCD84} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: DB NTACL of GPO file /var/lib/samba/sysvol/meine.domäne.tld/Policies/{4C70DE6F-1A7C-4FDB-B685-FF99565DF9B2}/Machine/Preferences/Groups/Groups.xml O:S-1-5-21-2195465880-876702396-179802310-1117G:S-1-5-21-2195465880-876702396-179802310-1114D:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;EA)(A;;0x001f01ff;;;S-1-5-21-2195465880-876702396-179802310-1117)(A;;0x001f01ff;;;SY)(A;;0x001200a9;;;AU)(A;;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{701C01F7-428E-48B3-ACF1-8F71E3450E3A} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{F2F55720-132E-49B5-9C30-369B7605E5E3} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{6D920691-CD7D-46CF-88F0-F870E854A4FD} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{CD3936DC-6395-429E-AAEE-8DB0BC5977D5}/Machine/Scripts/Startup O:S-1-5-21-2195465880-876702396-179802310-1117G:S-1-5-21-2195465880-876702396-179802310-1114D:(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;;0x001f01ff;;;S-1-5-21-2195465880-876702396-179802310-1117)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:PAR(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO file /var/lib/samba/sysvol/meine.domäne.tld/Policies/{AEC9A060-FB77-420E-9BE4-387647214636}/User/Documents & Settings/fdeploy.ini O:LAG:DAD:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;EA)(A;;0x001f01ff;;;LA)(A;;0x001f01ff;;;SY)(A;;0x001200a9;;;AU)(A;;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO file /var/lib/samba/sysvol/meine.domäne.tld/Policies/{B65B2A5B-861C-4DB4-8CB8-F922A9647EFB}/User/Registry.pol O:S-1-5-21-2195465880-876702396-179802310-1117G:S-1-5-21-2195465880-876702396-179802310-1114D:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;EA)(A;;0x001f01ff;;;S-1-5-21-2195465880-876702396-179802310-1117)(A;;0x001f01ff;;;SY)(A;;0x001200a9;;;AU)(A;;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO directory /var/lib/samba/sysvol/meine.domäne.tld/Policies/{905C25CD-4C9B-4B82-81EC-485F930FCD84} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO file /var/lib/samba/sysvol/meine.domäne.tld/Policies/{4C70DE6F-1A7C-4FDB-B685-FF99565DF9B2}/Machine/Preferences/Groups/Groups.xml O:S-1-5-21-2195465880-876702396-179802310-1117G:S-1-5-21-2195465880-876702396-179802310-1114D:(A;;0x001f01ff;;;DA)(A;;0x001f01ff;;;EA)(A;;0x001f01ff;;;S-1-5-21-2195465880-876702396-179802310-1117)(A;;0x001f01ff;;;SY)(A;;0x001200a9;;;AU)(A;;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object

Lange Rede - kurzer Sinn: mit

samba-tool ntacl sysvolreset

habe ich alles wieder zurückgesetzt und der Check zeigt auch keine Fehler.

Allerdings habe ich (oder meine Benutzer) immer noch keinen Zugang zu \meine.domäne.tld\ und somit werden jetzt auch meine Gruppenrichtlinien nicht umgesetzt.

Die Ausgabe von getfacl vom entsprechenden Verzeichnis ist hier:

root@dc1:~# getfacl /var/lib/samba/sysvol/
getfacl: Removing leading '/' from absolute path names
# file: var/lib/samba/sysvol/
# owner: Administrator
# group: Administrators
user::rwx
user:Administrator:rwx
user:5010:r-x
user:5035:rwx
group::rwx
group:Authenticated\040Users:r-x
group:System:rwx
group:Administrators:rwx
group:Server\040Operators:r-x
mask::rwx
other::---
default:user::rwx
default:user:Administrator:rwx
default:user:5010:r-x
default:user:5035:rwx
default:group::---
default:group:Authenticated\040Users:r-x
default:group:System:rwx
default:group:Administrators:rwx
default:group:Server\040Operators:r-x
default:mask::rwx
default:other::---

Was ist nun der richtige Weg das zu korrigieren? Direkt mit setfacl eine Gruppe hinzufügen? Ist das persistent oder macht mir da ein Mechanismus von Univention ein Strich durch? Ein “mach-die-sysvol-heile”-Button den ich nicht kenne?

Bin für jede Hilfe dankbar…
Schöne Grüße,
Simon

visionsbox · November 4, 2018, 7:34pm

Hmm… ich vermute mal ich hab Lärm gemacht als nötig. Mea culpa!

In einem Anfall von wahnsinnigem Klicken hab ich wohl den Usersettings mit dem HomeShare ein Verzeichnis eingerichtet von dem ich ausging da würde dann automatisch der “Windows Home Path” (oder sambaHomePath) gesetzt werden. Weiß nicht mehr so genau warum ich gestern Nacht auf die komische Idee kam - aber ich komme gerne mit dem Unix-Home und dem Windows-Home durcheinander.

Also, Fazit: beim Benutzer “home share” wieder wie im Standard leer gemacht und alles ist wieder gut.

Aber nur um daraus auch wirklich zu lernen: was hat der UNIX Home-Share mit dem SYSVOL zu tun? Wenn jemand aufklärende Worte für mich hat… ich bin dankbar

Schönen Abend noch