ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Сохраняет администраторские права при монтировании шары с помощью машинной политики | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Evgeny Shesteperov <alimektor> |
| Component: | gpupdate | Assignee: | Evgeny Sinelnikov <sin> |
| Status: | NEW --- | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P5 | CC: | greh, kostevichae, nfsmobile, nir, sin |
| Version: | unstable | ||
| Hardware: | x86_64 | ||
| OS: | Linux | ||
В p10 с заданием 377157 ошибку воспроизвести не удалось. Версии пакетов: gpupdate-0.13.2-alt1 autofs-5.1.8-alt4 Опция cifsacl включена cat /etc/auto.master.gpupdate.d/S-1-5-21-1604496143-826943209-2064588331-1105.conf | grep cifsacl "cshare" -fstype=cifs,cruid=$USER,sec=krb5,noperm,multiuser,cifsacl ://addc/share Права в Windows на C:/share/: - Для всех на пользователей на чтение - Для Admin на чтение и запись Права в Windows на C:/share/ou1: - Для Admin на чтение и запись - Для group_ou1 на чтение и запись Права в Windows на C:/share/ou2: - Для Admin на чтение и запись - Для group_ou2 на чтение и запись На клиентах от пользователя Admin $ l /media/gpupdate/drives.system/cshare/ drwx-----T 2 root пользователи домена 0 июн 16 14:24 ou2/ drwx-----T 2 root пользователи домена 0 июн 16 14:24 ou1/ От пользователя user_ou2 $ l /media/gpupdate/drives.system/cshare/ drwx-----T 2 root пользователи домена 0 июн 16 14:24 ou2/ |
Стенд - ALT Workstation 11 (Sisyphus) - Windows Server 2019 Версия - gpupdate-0.11.4-alt1 - autofs-5.1.9-alt3 Шаги воспроизведения TLDR: связано с опцией cifsacl 1. Создать пару подразделений (OU1, OU2). 2. Создать по группе для данных подразделений соответственно (group_ou1, group_ou2) 3. Создать по пользователю для данных подразделений соответственно (user_ou1, user_ou2). 4. Добавить данных пользователей в только что созданные группы соответственно (user_ou1 в group_ou1, user_ou2 в group_ou2). 5. Создать сетевую шару на сервере (C:/share) с правами чтения для всех. 6. Создать подпапки для с доступом Чтение и запись только для созданных групп. 1. C:/share/ou1 для group_ou1 2. C:/share/ou2 для group_ou2 7. Согласно документации 10.5.7. Подключение сетевых дисков (https://docs.altlinux.org/ru-RU/domain/10.4/html/group-policy/drives.html) настроить сетевой диск для C:/share (машинная политика как cshare). 8. Применить групповые политики: # gpupdate && gpoa и $ gpupdate. 9. Войти пользователем Admin (Администратор домена) на тестовой машине в графической сессии, проверить наличие шары: $ ls -l /media/gpupdate/drives.system/cshare/. Обратите внимание, что присутствуют все папки, так как у администратора есть доступ к ним. drwx-----T 2 root пользователи домена 4096 дек 10 15:37 ou1 drwx-----T 2 root пользователи домена 0 дек 10 13:07 ou2 10. Войти пользователем user_ou2 на тестовой машине в графической сессии, проверить наличие шары: $ ls -l /media/gpupdate/drives.system/cshare/. Ожидаемый результат доступ только к папке группы drwx-----T 2 root пользователи домена 0 дек 10 17:35 ou2 Фактический результат доступ как у администратора, заходившего ранее на станцию. drwx-----T 2 root пользователи домена 4096 дек 10 17:35 ou1 drwx-----T 2 root пользователи домена 0 дек 10 17:35 ou2 Воспроизводится в P10