Sysvol neu erstellen lassen

roland.gsell · September 29, 2022, 1:39pm

Hallo,

ich habe bei einem Kunden das Problem, dass nach einer Domänenmigration die GPOs beim Import aus dem Backup Probleme gemacht haben und ich jetzt teilweise Verknüpfungen in der Gruppenrichtlinienverwaltung sehe, die ich nicht wieder löschen kann.

Zum einen habe ich gesehen, dass es den Befehl “samba-tool ntacl sysvolreset” gibt, welcher wohl Berechtigungprobleme auflösen kann.

Am liebsten würde ich den Ordner aber komplett frisch erstellen lassen.
Wenn ich das Paket univention-samba4 wieder entferne und es (nach dem Setzen der UCR-Variablen, die dafür sorgen, dass aus dem LDAP provisioniert wird) wieder installiere, sollte ich genau diesen Effekt erzielen, oder?

Oder gibt es einen einfacheren Weg für ein sauberes, neues Sysvol, welches nur die beiden Default Domain Policies enthält?

LG,
Roland.

roland.gsell · October 5, 2022, 11:39am

Ich beantworte mal meine eigene Frage teilweise mit meinen bisherigen Erkenntnissen:

Dieses ntacl sysvolreset korrigiert wie erwartet “nur” die Berechtigungen, was aber schonmal sehr praktisch ist. Das läuft dann schonmal ein paar Minuten auch wenn man nur ganz wenige GPOs hat.
Im Samba-Wiki habe ich eine Warnung gefunden, dass man das nicht ausführen sollte, wenn man custom GPOs hat und die Domain Admins eine gidNumber haben. Bei mir war das der Fall und ich konnte keine Probleme damit feststellen.

Es gibt auch den sysvolcheck, den man vorher ausführen kann, um zu schauen ob es überhaupt Probleme gibt, die samba-tool beheben würde.

Das Paket univention-samba4 (mit LDAP-Provisioning) neu zu installieren, erzeugt gar kein “sauberes” Sysvol, da die GPOs ja auch im LDAP vorhanden sind. Da muss man sie zuerst löschen, wenn man das wirklich so machen will, aber rückblickend denke ich, dass das gar nicht soviel gebracht hat.

EDIT: Nachtrag dazu: Samba zu deinstallieren, entsprechende Policies im LDAP löschen und dann wieder installieren bringt gar nichts, weil die Samba-Datenbank am System verbleibt und diese wiederverwendet wird, wenn die bei der Installation gefunden und für funktional befunden wird. Statt das Ganze mit univention-app remove zu machen müsste man die Pakete wohl mit apt purge entfernen, aber das war mir dann zu mühsam zu testen.