Bug 50553

Summary: Перестали применяться пользовательские групповые политики
Product: Branch p10 Reporter: Андрей Викторович <andrey>
Component: gpupdateAssignee: qa-team <qa-team>
Status: REOPENED --- QA Contact: qa-p10 <qa-p10>
Severity: critical    
Priority: P5 CC: alimektor, amakeenk, felix_9393, greh, max.gordeef, skachedubovda, sokurov-mz
Version: не указана   
Hardware: x86_64   
OS: Linux   

Description Андрей Викторович 2024-06-06 09:37:45 MSK
После dist-upgrade (gpupdate 0ю10) перестали применяться пользовательские политики (не отрабатывет loopback processing).
Dconf сообщает об ошибках при зачитывании политик 
Не удалось обновить базу данных dconf|{'error': '/etc/dconf/db/policy10001.d: policy10001.ini: [Software/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/ZoneMapKey]: http://*.zakupki.gov.ru: invalid path: dconf key must not contain two consecutive slashes
Контроллер домена - Windows server 

Но и это пол-беды. При запуске gpupdate  в gользовательском сеансе mate
исчезает кнопка "пуск" ... все профиль можно удалять. 
Log: mate-menu[8093]: segfault at 11 ip 00007f2bec976466 sp 00007ffc6f371070 error 4 in libglib-2.0.so.0.6800.4
Comment 1 Андрей Викторович 2024-06-06 12:07:46 MSK
журнал gpoa  gpupdate-0.9.13.7 :
Настройка режима обработки замыкания пользовательской групповой политики|{'mode': 'Merge', 'sid': 'S-1-5.......'}

журнал gpoa  gpupdate-0.10.0 :
 Настройка режима обработки замыкания пользовательской групповой политики|{'mode': 'Not configured', 'sid': 'S-1-5......'}

KDC WIndows Server. OU компьютеров и УЗ пользователей разнесены.
Политика в конейнере компьютеров
Comment 2 Valery Sinelnikov 2024-06-06 15:00:25 MSK
Мы работаем над исправлением этой проблемы и в ближайшее время выпустим обновление с решением.
Comment 3 Андрей Викторович 2024-06-06 19:15:28 MSK
Остается вопрос по Group Policy loopback processing mode:
Пользуемся на WIndows KDC нативными или experimental Alt ?
Comment 4 Danila Skachedubov 2024-06-07 10:50:08 MSK
Добрый день, если вы имеете ввиду какие admx-шаблоны использовать для настройки политики замыкания, то разницы нет, так как обе эти политики меняют один ключ реестра.
Comment 5 Evgeny Shesteperov 2024-06-16 21:46:00 MSK
В P10 всё ещё воспроизводится (gpupdate-0.10.0-alt1). Проверил в
Sisyphus, ошибка исправлена.

Шаги:

1.  Ввести ALT Workstation 10.2 в домен Windows AD (например, Windows
    Server 2012R2)
2.  Войти на ALT Workstation 10.2 доменным пользователем
3.  Изменить политику
    https://www.altlinux.org/Групповые_политики/Политика_замыкания на
    Слияние.
4.  Выполнить на клиенте:

    $ gpupdate

Ожидаемый результат: отсутствуют ошибки падения Advanced Mate Menu.

Фактический результат: присутствуют ошибки падения Advanced Mate Menu.
Comment 6 Андрей Викторович 2024-06-17 13:29:02 MSK
Alt Linux 10.2 
AD - Windows Server 2019 Standard

# rpm -q gpupdate
gpupdate-0.10.2-alt1.noarch

Подтверждаю "политика замыкания" начала применяться. Но ошибки DCONF остались:

2024-06-17 16:23:08.379|[E00004]| Error occurred while running frontend manager|{'message': AttributeError("'Script' object has no attribute 'number'"), 'file': '/usr/sbin/gpoa', 'line': 169, 'name': 'start_frontend', 'type': 'AttributeE
rror'}
2024-06-17 16:23:08.448|[E00071]| Failed to update dconf database|{'error': '/etc/dconf/db/policy10003.d: policy10003.ini: [Software/Policies/Microsoft/Windows/CurrentVersion/Internet Settings/ZoneMapKey]: *://*.zakupki.gov.ru: invalid
path: dconf key must not contain two consecutive slashes\nerror: failed to update at least one of the databases\n'}
Comment 7 Repository Robot 2024-06-19 14:01:27 MSK
gpupdate-0.10.3-alt1 -> sisyphus:

 Wed Jun 19 2024 Valery Sinelnikov <greh@altlinux> 0.10.3-alt1
 - Added autocompletion for gpoa, gpupdate, gpupdate-setup
 - Added correct work with json data in keys for the Firefox browser
 - Polkit_appliers changed to non-experimental
 - Fixed bug of not clearing kde applier settings (closes: 50336)
 - Fixed registry key reading (closes: 50553)
 - Added waiting for data generation for scripts (closes: 50667)
Comment 8 Андрей Викторович 2024-06-25 22:22:01 MSK
Мужики... Но вот реально... Вы бы меня спросили.. Я бы кинул Вам gpoa лог
Ну не работает даже этот пакет 
gpupdate-0.10.3-alt1

Пока откат делаю политиками на машину скриптами

rpm -Uvh --oldpackage /tmp/gpupdate-0.9.13.7-alt1.noarch.rpm

p.s. как Вы представляете в mirror добавить тестовый пакет?
Comment 9 Андрей Викторович 2024-06-25 22:36:49 MSK
Далее... Даже обновления для windows систем я всегда проверял на тестовых серверах, рабочих станциях. (WSUS) Вы знаете о чем я говорю. Выходит обновление для win и крашит систему... Я так не хочу.
Comment 10 Danila Skachedubov 2024-06-26 09:45:22 MSK
Добрый день, не могли бы Вы уточнить, что именно у Вас не работает в данной версии, а также предоставить логи gpoa и описать шаги воспроизведения.
Comment 11 Андрей Викторович 2024-06-27 16:50:54 MSK
Во вторник или позже  предоставлю gpoa лог
я сейчас в отпуске. Мне надо поднять тестовую станцию.
Предыдущая на обновлении до тестовой ветки полекгла..
Comment 12 Андрей Викторович 2024-06-27 16:53:59 MSK
Давайте проясним механизм
Я ставлю станцию 10.2
Делаю dist-upgrade
и высылаю логи?

Или я после dist-upgrade ставлю gpupdate из тестовой ветки  высылаю логи?
Comment 13 Андрей Викторович 2024-06-27 17:13:05 MSK
Я и хочу от вас услышать механизм - план тестирования.
Comment 14 Murat 2024-07-11 18:30:29 MSK
Примерно аналогичная проблема с закладками для пользователей с использованием ADMX шаблонов яндекса

Apply group policies for computer. 
2024-07-11 18:19:44.708|[E00049]| Error update configuration dconf|{} 2024-07-11 18:19:49.878|[E00071]| Failed to update dconf database|{'error': '/etc/dconf/db/policy1450003219.d: policy1450003219.ini: [Software/Policies/YandexBrowser]: ManagedBookmarks: invalid value: "[{"toplevel_name":"Корпоративные закладки"},{"name":"site_1","url":"http:// x.x.x.x/"},{"name":"site_2","url":"http:// x.x.x.x/"},{"name":"Контакты","url":"http:// x.x.x.x/struktura-predpriyatiya/"},{"name":"СЭДО","url":"http:// x.x.x.x/"}]": 4:expected end of input\nerror: failed to update at least one of the databases\n'} 

Apply group policies for altuser.
2024-07-11 18:19:57.250|[E00071]| Failed to update dconf database|{'error': '/etc/dconf/db/policy1450003219.d: policy1450003219.ini: [Software/Policies/YandexBrowser]: ManagedBookmarks: invalid value: "[{"toplevel_name":"Корпоративные закладки"},{"name":"site_1","url":"http:// x.x.x.x/"},{"name":" site_2","url":"http:// x.x.x.x/"},{"name":"Контакты","url":"http:// x.x.x.x/struktura-predpriyatiya/"},{"name":"СЭДО","url":"http:// x.x.x.x/"}]": 4:expected end of input\nerror: failed to update at least one of the databases\n'}
Установлены все обновления текущую дату, также были обновлены шаблоны ADMX 
 и ADML яндекса, скачивал по ссылке https://yandex.ru/support2/browser-corporate/ru/deployment/deployment. Если политику назначить на машину, закладки появляются, но ошибка сохраняется. С хостами Windows в этом же домене, проблем нет.
Comment 15 Evgeny Shesteperov 2024-07-11 18:42:54 MSK
(Ответ для Murat на комментарий #14)
> Установлены все обновления текущую дату, также были обновлены шаблоны ADMX 
>  и ADML яндекса, скачивал по ссылке
> https://yandex.ru/support2/browser-corporate/ru/deployment/deployment. Если
> политику назначить на машину, закладки появляются, но ошибка сохраняется. С
> хостами Windows в этом же домене, проблем нет.

Уточните:

- Windows Server, версия, какие обновления стоят?
- Дистрибутив ALT.
Comment 16 Murat 2024-07-12 08:18:49 MSK
(Ответ для Evgeny Shesteperov на комментарий #15)
> (Ответ для Murat на комментарий #14)
> > Установлены все обновления текущую дату, также были обновлены шаблоны ADMX 
> >  и ADML яндекса, скачивал по ссылке
> > https://yandex.ru/support2/browser-corporate/ru/deployment/deployment. Если
> > политику назначить на машину, закладки появляются, но ошибка сохраняется. С
> > хостами Windows в этом же домене, проблем нет.
> 
> Уточните:
> 
> - Windows Server, версия, какие обновления стоят?

AD на Windows server 2019 с Administrative Templates (.admx) for Windows 10 October 2022 Update (22H2) и admx-basealt-master 0.1.13.6-alt1, по обновлениям мы сильно ограничены, можем ставить только проверенные ФСТЭК, установлены до 14.12.2022.
Интересует именно какое-то обновление?

> - Дистрибутив ALT.

Alt Workstation K 10.3, версия ядра 6.1.90
Comment 17 Андрей Викторович 2024-07-15 20:10:34 MSK
Вопрос к Синельникову
На текущий момент работает опция блокировать наследованные политики?
Да крыжик ставится.
Comment 18 Андрей Викторович 2024-07-15 20:16:32 MSK
У меня тестовый домен (вышел из отпуска)... Ну не работает вплоть до версии .10.6
gpupdate
НАследуются политики
Comment 19 Андрей Викторович 2024-07-15 20:32:15 MSK
Мужики я занимался тестированием wsus для windows систем . А на данный момент я боюсь поставить Alt под обновления. Вы же понимаете, что Linux это конструктор.. М не всегда в отличие от Windows сделать-удалить обновление... Такая портянка потянится пакетов... Я отключился sync репозиториев.. Я Боююсь, что еще что-то стрельнет
gpupdate не работает

gpu_ver=`rpm -q gpupdate|cut -d "-" -f 2`
if [ ${gpu_ver} != "0.9.13.7" ]; then
    echo ${gpu_ver}
    /usr/bin/wget --no-proxy http://${srvdst}/gpupdate/gpupdate-0.9.13.7-alt1.noarch.rpm -O /tmp/gpupdate-0.9.13.7-alt1.noarch.rpm
    rpm -Uvh --oldpackage /tmp/gpupdate-0.9.13.7-alt1.noarch.rpm
fi

этим пока спасаюсь
Comment 20 Alexander Makeenkov 2024-07-16 09:15:27 MSK
(Ответ для Андрей Викторович на комментарий #18)
> не работает вплоть до версии .10.6

gpupdate версии 0.10.6-alt1 для p10 собран в задании https://packages.altlinux.org/ru/tasks/352406 и будет пропущен в репозиторий после успешного прохождения тестирования, которое уже идёт.
Comment 21 Valery Sinelnikov 2024-07-16 09:33:35 MSK
(Ответ для Андрей Викторович на комментарий #17)
> Вопрос к Синельникову
> На текущий момент работает опция блокировать наследованные политики?
> Да крыжик ставится.

На текущий момент в 0.10.6-alt1 проблем не увидел.
Проблемы с закладками для пользователей или других политик браузеров для пользователей проблем тоже нет. Они у нас не поддерживаются.
Comment 22 Murat 2024-07-16 09:47:37 MSK
> Проблемы с закладками для пользователей или других политик браузеров для
> пользователей проблем тоже нет. Они у нас не поддерживаются.

Странно конечно, но при назначении политики на хосты закладки появляются и они причем рабочие. 
Сам Яндекс тоже приводит в инструкции развертывания поддержку ALT правда не с использованием ADMX https://yandex.ru/support2/browser-corporate/ru/deployment/deployment. 
Посмотрите пожалуйста, может совместно с Яндекс получится совместно реализовать поддержку.
Comment 23 Murat 2024-07-16 14:17:20 MSK
(Ответ для Murat на комментарий #22)
> > Проблемы с закладками для пользователей или других политик браузеров для
> > пользователей проблем тоже нет. Они у нас не поддерживаются.
> 
> Странно конечно, но при назначении политики на хосты закладки появляются и
> они причем рабочие. 
> Сам Яндекс тоже приводит в инструкции развертывания поддержку ALT правда не
> с использованием ADMX
> https://yandex.ru/support2/browser-corporate/ru/deployment/deployment. 
> Посмотрите пожалуйста, может совместно с Яндекс получится совместно
> реализовать поддержку.

Хотел дополнить, что включение закладок блокирует частично применение групповых политик для вновь вводимых в домен хостов, пришлось отключить пока обратно.
Comment 24 Murat 2024-07-29 08:47:11 MSK
Как я заметил с 26.07.2024 если выполнить полное обновление и после ввести домен, то уже политика работает нормально без ошибок для машины, что уже радует, но пользователя пока на линуксе не применяется.
Comment 25 VladSal 2024-09-26 21:28:35 MSK
Всех приветствую! Обновил машину которая была уже в домене, но ошибка mate advanced menu при gpupdate так же осталась. Или надо вывести машину, обновить и обратно ввести?