Bug 53696

Summary: Не применяются групповые политики LAPS
Product: Sisyphus Reporter: Vladislav Glinkin <glinkinvd>
Component: gpupdateAssignee: Valery Sinelnikov <greh>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: greh, nir, sin
Version: unstable   
Hardware: x86_64   
OS: Linux   
See Also: https://bugzilla.altlinux.org/show_bug.cgi?id=53703
Attachments:
Description Flags
# gpoa --loglevel 0 none

Description Vladislav Glinkin 2025-04-02 12:19:39 MSK 
Created attachment 18127 [details]
# gpoa --loglevel 0

Конфигурация:
- Домен Windows AD (Windows Server 2019)
- Клиент Alt Workstation K (использовалась в качестве управляющей машины с ADMC и клиента)

Версии пакетов:
- admc-0.20.0-alt1
- gpupdate-0.13.1-alt1
- gpui-0.2.55-alt1

Шаги воспроизведения:
1. Установить параметр «Active Directory» в политике «Настройка каталога резервного копирования паролей (Каталог резервного копирования паролей)» 
2. Установить состояние «Включено» в политике Включить шифрование паролей (Шифрование паролей).
3. В ADMC включить механизм GPUpdate «Настройка LAPS»
4. В политике «Имя учетной записи администратора для управления (Имя учетной записи администратора)» указать в параметре root
5. На клиенте выполнить gpupdate

Фактический результат:
Apply group policies for computer.
2025-04-02 11:25:47.303|[E00024]| Error occured while running machine applier|{'applier_name': 'cifs', 'msg': "[Errno 2] No such file or directory: '/etc/auto.master.gpupdate.d'"}
2025-04-02 11:25:47.404|[E00075]| Failed to update LDAP with new password data|{'computer_dn': Dn('CN=KWORKSISYPHUS,OU=jkl,DC=LAPS,DC=TEST'), 'exc': LdbError(16, 'LDAP error 16 LDAP_NO_SUCH_ATTRIBUTE -  <00000057: LdapErr: DSID-0C09123D, comment: Error in attribute conversion operation, data 0, v4563> <>')}

Ожидаемый результат:
Корректная работа в соответствии с нашим вики - https://www.altlinux.org/%D0%93%D1%80%D1%83%D0%BF%D0%BF%D0%BE%D0%B2%D1%8B%D0%B5_%D0%BF%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B8/LAPS

Дополнительная информация:
Настройка LAPS через ADMC и RSAT дают одинаковый результат.
Comment 1 Valery Sinelnikov 2025-04-02 12:56:19 MSK 
Добрый день.
Судя по логам, возможные проблемы могут быть связаны с настройкой LAPS
на стороне сервера. Прежде чем применять политики на клиенте, необходимо
предварительно настроить LAPS в домене Active Directory в соответствии с
инструкцией: https://learn.microsoft.com/ru-ru/windows-server/identity/laps/laps-scenarios-windows-server-active-directory

Пожалуйста, уточните:
1. Выполнена ли настройка LAPS на сервере AD?
2. Созданы ли соответствующие атрибуты в каталоге AD
3. Применялись ли политики LAPS через RSAT, и был ли результат отличным от ADMC
Comment 2 Vladislav Glinkin 2025-04-02 14:00:08 MSK 
(Ответ для Valery Sinelnikov на комментарий #1)
> Добрый день.
> Судя по логам, возможные проблемы могут быть связаны с настройкой LAPS
> на стороне сервера. Прежде чем применять политики на клиенте, необходимо
> предварительно настроить LAPS в домене Active Directory в соответствии с
> инструкцией:
> https://learn.microsoft.com/ru-ru/windows-server/identity/laps/laps-
> scenarios-windows-server-active-directory
> 
> Пожалуйста, уточните:
> 1. Выполнена ли настройка LAPS на сервере AD?
> 2. Созданы ли соответствующие атрибуты в каталоге AD
> 3. Применялись ли политики LAPS через RSAT, и был ли результат отличным от
> ADMC

Как оказалось, вы правы.
Установки обновления, в котором была добавлена поддержка LAPS, на Windows Server оказалось мало.
Дополнительно потребовалось выполнить Update-LapsADSchema и Set-LapsADComputerSelfPermission.
Теперь ошибка вида 2025-04-02 11:25:47.404|[E00075]| Failed to update LDAP with new password data|{'computer_dn': Dn('CN=KWORKSISYPHUS,OU=jkl,DC=LAPS,DC=TEST'), 'exc': LdbError(16, 'LDAP error 16 LDAP_NO_SUCH_ATTRIBUTE -  <00000057: LdapErr: DSID-0C09123D, comment: Error in attribute conversion operation, data 0, v4563> <>')} не воспроизводится, а политики работают.

Единственное, что при выполнении $ gpupdate -t Computer осталась:
2025-04-02 13:38:55.245|[E00024]| Error occured while running machine applier|{'applier_name': 'cifs', 'msg': "[Errno 2] No such file or directory: '/etc/auto.master.gpupdate.d'"}

Она пропадает:
1. Если создать директорию вручную
2. Если два раз подряд выполнить $ gpupdate (создаётся после первого запуска) без каких-либо опций.
Comment 3 Valery Sinelnikov 2025-04-02 14:40:44 MSK 
> 2. Если два раз подряд выполнить $ gpupdate (создаётся после первого
> запуска) без каких-либо опций.
Пожалуйста, уточните:
Выполнялась ли перезагрузка компьютера после ввода его в домен?
Comment 4 Vladislav Glinkin 2025-04-02 15:02:18 MSK 
(Ответ для Valery Sinelnikov на комментарий #3)
> > 2. Если два раз подряд выполнить $ gpupdate (создаётся после первого
> > запуска) без каких-либо опций.
> Пожалуйста, уточните:
> Выполнялась ли перезагрузка компьютера после ввода его в домен?

Да, после ввода в домен перезагрузка выполнялась.
Comment 5 Valery Sinelnikov 2025-04-02 15:35:14 MSK 
(In reply to Vladislav Glinkin from comment #4)
> (Ответ для Valery Sinelnikov на комментарий #3)
> > > 2. Если два раз подряд выполнить $ gpupdate (создаётся после первого
> > > запуска) без каких-либо опций.
> > Пожалуйста, уточните:
> > Выполнялась ли перезагрузка компьютера после ввода его в домен?
> 
> Да, после ввода в домен перезагрузка выполнялась.

В таком случае, думаю, необходимо открыть баг именно по этой проблеме, так как она не связана с LAPS.
Comment 6 Vladislav Glinkin 2025-04-02 16:39:08 MSK 
(Ответ для Valery Sinelnikov на комментарий #5)
> В таком случае, думаю, необходимо открыть баг именно по этой проблеме, так
> как она не связана с LAPS.

Да, вы правы. Открыл отдельный баг - https://bugzilla.altlinux.org/53703

Текущий закрываю, т.к. основной проблемой было получение групповых политик.
Причиной был не до конца настроенный Windows AD