ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Не меняется версия групповых политик на контроллере домена Samba DC | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Vladislav Glinkin <glinkinvd> |
| Component: | gpui | Assignee: | august <august> |
| Status: | NEW --- | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P5 | CC: | sin |
| Version: | unstable | ||
| Hardware: | x86_64 | ||
| OS: | Linux | ||
| See Also: | https://bugzilla.altlinux.org/show_bug.cgi?id=53798 | ||
Схема стенда: * Альт Сервер - контроллер домена * Альт Рабочая Станция K - управляющая машина * Альт Рабочая Станция K - клиентская машина Версия пакетов: samba-dc-4.20.8-alt1.x86_64 krb5-kinit-1.21.3-alt2.x86_64 admc-0.20.0-alt1.x86_64 gpui-0.2.55-alt1.x86_64 gpupdate-0.13.2-alt1.noarch Периодически замечаю, что на клиентскую машину не применяются групповые политики. Только если сделать $ gpupdate -f и перезаписать их, не проверяя версию политики. Посмотрел их состояние на контроллере домена и обнаружил, что версия в выводе # samba-tool gpo listall не меняется при изменении политик на управляющей машине. Однако, новые/изменённые ключи прилетают на контроллер домена. Это видно по выводу # samba-tool gpo show <GPO> Данное поведение проявляется не предсказуемо, к примеру, спустя 2 часа после создания групповой политики и работы с ней, проверки изменений на клиенте. Однако, я нашёл способ воспроизвести данное поведение, может быть и причину. Шаги для воспроизведения проблемы: 1) На управляющей машине получить билет администратора домена, после чего создать и настроить объект групповой политики через ADMC. 2) Просмотреть версию объекта групповой политики и ключи на контроллере домена (# samba-tool gpo listall и # samba-tool gpo show <GPO>) 3) На контроллере домена выполнить # systemctl restart samba.service 4) На управляющей машине отредактировать ранее созданный объект групповой политики (настроить какие-то новые политики, или изменить значения в старых. GPUI, открытый через ADMC, остаётся открытым) 5) Просмотреть версию объекта групповой политики и ключи на контроллере домена (# samba-tool gpo listall и # samba-tool gpo show <GPO>) Фактический результат: Версия политики в выводе # samba-tool gpo listall не меняется, при этом в выводе # samba-tool gpo show <GPO> видно, что новые ключи прилетели. В /var/lib/samba/sysvol/samba.testdomain/Policies/\{EC2A6519-AE97-415D-8DD2-3F39D71CC55B\}/GPT.INI - версия меняется. Полагаю, что из-за того, что версия не меняется в выводе # samba-tool gpo listall - на клиенте запуск gpupdate в сервисах не оказывает никакого влияния на систему, так как он думает изменений не произошло, т.к. версия одинаковая. Ожидаемый результат: Версия объекта групповой политики в выводе # samba-tool gpo listall меняется, как и его ключи в # samba-tool gpo show <GPO> Дополнительно: Если на управляющей машине переоткрыть GPUI через ADMC и после этого внести изменения в объект групповой политики, то версия объекта групповой политики на контроллере домена поменяется согласно ожидаемому результату, вследствие чего клиент получит изменения.