ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | В случайный момент перестают применяться Групповые политики | ||||||
|---|---|---|---|---|---|---|---|
| Product: | Branch p11 | Reporter: | Kirill Sen <senkd> | ||||
| Component: | gpui | Assignee: | august <august> | ||||
| Status: | NEW --- | QA Contact: | qa-p11 <qa-p11> | ||||
| Severity: | normal | ||||||
| Priority: | P5 | ||||||
| Version: | unspecified | ||||||
| Hardware: | x86_64 | ||||||
| OS: | Linux | ||||||
| Attachments: |
|
||||||
Created attachment 20045 [details] Архив с логами трёх машин. Конфигурация стенда: Server 11 Платформы - Контроллер домена Workstation 11 Платформы - Управляющая машина(в домене), используется для редактирования ГП через gpui. Workstation 11 Платформы - Клиент (в домене), перезагружается для проверки применения ГП. Версии пакетов: gpui-0.2.55-alt1 admx-msi-setup-0.1.1-alt1.noarch admx-basealt-0.6.0-alt1.noarch admx-yandex-browser-132.0-alt1.noarch admx-firefox-7.0-alt1.noarch admx-chromium-138.0-alt1.noarch admx-samba-4.21.7-alt4.noarch gpupdate-0.13.4-alt1.noarch oddjob-gpupdate-0.2.3-alt1.x86_64 alterator-gpupdate-1.3-alt1.x86_64 samba-dc-client-4.21.7-alt4.x86_64 samba-dc-libs-4.21.7-alt4.x86_64 samba-usershares-4.21.7-alt4.x86_64 task-samba-dc-4.21.7-alt4.noarch samba-libs-4.21.7-alt4.x86_64 samba-winbind-common-4.21.7-alt4.x86_64 samba-common-tools-4.21.7-alt4.x86_64 samba-dc-common-4.21.7-alt4.noarch samba-common-libs-4.21.7-alt4.x86_64 samba-dc-4.21.7-alt4.x86_64 samba-winbind-4.21.7-alt4.x86_64 samba-doc-4.21.7-alt4.noarch samba-pidl-4.21.7-alt4.noarch samba-client-4.21.7-alt4.x86_64 python3-module-samba-4.21.7-alt4.x86_64 samba-winbind-clients-4.21.7-alt4.x86_64 samba-dcerpc-4.21.7-alt4.x86_64 samba-common-client-4.21.7-alt4.noarch samba-4.21.7-alt4.x86_64 admx-samba-4.21.7-alt4.noarch samba-common-4.21.7-alt4.noarch i586-samba-common-libs-4.21.7-alt4.i586 Шаги воспроизведения: На клиенте установить пакеты: # apt-get install gpupdate gpui admc На сервере установлены пакеты: # apt-get install admx-samba admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup Выполнить команду: # admx-msi-setup Скопировать установленные политики в sysvol: # cp -r /usr/share/PolicyDefinitions /var/lib/samba/sysvol/<domain.name>/Policies/ На клиенте активировать групповые политики: # gpupdate-setup enable Примечание. Т.к. в настоящее время GPUI не умеет читать файлы ADMX с контроллера домена, на рабочей станции также необходимо установить административные шаблоны (пакеты admx): # apt-get install admx-basealt admx-samba admx-chromium admx-firefox admx-yandex-browser admx-msi-setup Установка файлов ADMX от Microsoft: # admx-msi-setup Для корректного применения групповых политик объект групповой политики (GPO) нужно связать с OU, в который входят машины или учетные записи пользователей На клиенте (управляющей машине) выполнить: $ kinit administrator $ admc ПКМ по Имя домена - создать Подразделение - ввести имя OU1 - ок Переместить пользователя и компьютер в созданный OU1: Имя домена - Computers - ПКМ по имени компьютера - выбрать созданный OU1 - ок Аналогично поступить с созданным доменным пользователем в папке Users Развернуть Объекты групповой политики - Имя домена - ПКМ по OU1 - Связать существующую политику - выбрать TestGPO1 1. На сервере получить UUID объекта групповой политики: # samba-tool gpo listall | grep -B1 'TestGPO1' | head -1 2. На управляющей машине получить ключ Kerberos для администратора домена: $ kinit administrator 3. Запустить приложение gpui-main с указанием объекта ГП: $ gpui-main -p 'smb://dc.<domain.name>/sysvol/<domain.name>/Policies/{UUID}' 4. Включить какую-либо ГП, применить и перезагрузить клиента2, для проверки применения. Проблема: В неопределённый момент Групповые политики просто перестают применятся, как после ребута, так и при помощи команды: # gpupdate && gpoa --loglevel 0 Обнаруженный обходной путь(единственный обнаруженный): Если на управляющей машине перезапустить gpui, то групповые политики снова начинают применяться(При этом в gpui установленные ранее значения сохраняются) Предположение(после анализа логов): gpui блокирует доступ к каталогам /var/lib/gpupdate/ или /etc/admx/, что приводит к зависанию gpupdate при попытке обновить политики. После завершения gpui блокировка снимается. Доп.Информация: При выборе значения ГП и применении содержание Registry.pol - КОРРЕКТНО МЕНЯЕТСЯ, но так и не применятся(в момент воспроизведения ошибки). Воспроизводится не только на Server и Workstation. Воспроизводится со всеми ГП. Прикладываю архив с логами(со всех трёх машин), на всех трёх машинах в течении дня проверялись групповые политики и за весь день ошибка воспроизвелась около 10 раз. В такие моменты изменял какую-либо ГП безопасности, перезагружал клиента, и если значение не менялось(т.е. ГП не применилась) - то пезапускал gpui и продолжал проверку дальше.