ИНФОРМАЦИЯ О ДОМЕНЕ И О СОЗДАНИИ ГРУППОВОЙ ПОЛИТИКИ Logon Общая информация о домене: домен test.alt развернут на ALT Server 10.2 Имя КД: dc1.test.alt Уровень домена и леса: 2008 R2 Версия samba: samba-4.19.6-alt2 [root@dc1 ~]# samba-tool domain level show Domain and forest function level for domain 'DC=test,DC=alt' Forest function level: (Windows) 2008 R2 Domain function level: (Windows) 2008 R2 Lowest function level of a DC: (Windows) 2008 R2 Информация о подразделениях,групповых политиках и клиентских узлах: [root@dc1 Logon]# samba-tool computer list ALTWKS1$ DC1$ [root@dc1 ~]# samba-tool ou list OU=OUTest1 OU=OUTest2 OU=OUTest3_computers OU=Domain Controllers [root@dc1 ~]# samba-tool ou listobjects 'OU=OUTest1' CN=sambauser1,OU=OUTest1 CN=sambauser2,OU=OUTest1 CN=sambauser3,OU=OUTest1 CN=sambauser4,OU=OUTest1 [root@dc1 ~]# samba-tool gpo listall GPO : {6AC1786C-016F-11D2-945F-00C04FB984F9} display name : Default Domain Controllers Policy path : \\\\test.alt\\sysvol\\test.alt\\Policies\\{6AC1786C-016F-11D2-945F-00C04FB984F9} dn : CN={6AC1786C-016F-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=test,DC=alt version : 0 flags : NONE GPO : {31B2F340-016D-11D2-945F-00C04FB984F9} display name : Default Domain Policy path : \\\\test.alt\\sysvol\\test.alt\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9} dn : CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=test,DC=alt version : 65537 flags : NONE GPO : {C338FC89-1366-411B-B0D9-C879916912E8} display name : pol_1_logon path : \\\\test.alt\\sysvol\\test.alt\\Policies\\{C338FC89-1366-411B-B0D9-C879916912E8} dn : CN={C338FC89-1366-411B-B0D9-C879916912E8},CN=Policies,CN=System,DC=test,DC=alt version : 65537 flags : NONE [root@dc1 ~]# [root@dc1 ~]# cd /var/lib/samba/sysvol/test.alt/Policies/\\{C338FC89-1366-411B-B0D9-C879916912E8\\}/User/Scripts/Logon/ [root@dc1 Logon]# ls -l итого 8 -rw-rw----+ 1 root root 51 июн 14 16:44 date.sh [root@dc1 Logon]# cat date.sh #!/usr/bin/env bash # date >> $HOME/file_date.txt [root@dc1 ~]# Была создана групповая политика pol_1_logon, которую привязала к подразделению OUTest1. Добавила logon-скрипт date.sh в «Пользователь» -> «Настройки системы» -> «Скрипты» -> «Вход в систему». Дополнительно включила “Экспериментальные групповые политики” и включила механизм групповых политик управления logon-скриптами через «Модуль выполнения сценариев для компьютеров» и «Модуль выполнения сценариев для пользователей». ИНФОРМАЦИЯ О КЛИЕНТЕ И ПРИМЕНЕНИИ ПОЛЬЗОВАТЕЛЬСКОЙ ПОЛИТИКИ Клиент: altwks1.test.alt ОС: ALT Workstation 10.2 Пакеты gpupdate-*: oddjob-gpupdate-0.2.2-alt1.x86_64; gpupdate-0.10.0-alt1.noarch; alterator-gpupdate-1.3-alt1.x86_64 Включено применение групповых политик через команду gpupdate-setup enable и перезагружен клиентский узел. [root@altwks1 ~]# gpupdate-setup enable workstation Created symlink /etc/systemd/system/multi-user.target.wants/gpupdate-scripts-run.service → /lib/systemd/system/gpupdate-scripts-run.service. Created symlink /etc/systemd/user/default.target.wants/gpupdate-scripts-run-user.service → /usr/lib/systemd/user/gpupdate-scripts-run-user.service. Created symlink /etc/systemd/system/timers.target.wants/gpupdate.timer → /lib/systemd/system/gpupdate.timer. Created symlink /etc/systemd/user/timers.target.wants/gpupdate-user.timer → /usr/lib/systemd/user/gpupdate-user.timer. [root@altwks1 ~]# reboot Выполним вход под доменным пользователем sambauser1. Из нижеуказанного вывода видно, что каталог со скриптом создается позже чем запускается служба gpupdate-scripts-run-user.service, в связи с чем скрипт date.sh не запускается и политика Logon в целом не отрабатывает. [sambauser1@altwks1 ~]$ systemctl --user status gpupdate-scripts-run-user.service ● gpupdate-scripts-run-user.service - Run Group Policy scripts for a user Loaded: loaded (/usr/lib/systemd/user/gpupdate-scripts-run-user.service; enabled; vendor preset: enabled) Active: active (exited) since Mon 2024-06-17 02:48:29 MSK; 25s ago Process: 3393 ExecStart=/usr/libexec/gpupdate/scripts_runner --mode USER --action LOGON --user sambauser1 (code=exited, status=0/SUCCESS) Main PID: 3393 (code=exited, status=0/SUCCESS) CPU: 24ms июн 17 02:48:28 altwks1.test.alt systemd[3384]: Starting Run Group Policy scripts for a user... июн 17 02:48:29 altwks1.test.alt scripts_runner[3393]: [Errno 2] No such file or directory: '/var/cache/gpupdate_scripts_cache/users/sambauser1' июн 17 02:48:29 altwks1.test.alt systemd[3384]: Finished Run Group Policy scripts for a user. [sambauser1@altwks1 ~]$ ls -l --full-time /var/cache/gpupdate_scripts_cache/users/sambauser1 итого 8 drwxr-xr-x 2 root root 4096 2024-06-17 02:48:30.165798462 +0300 LOGOFF drwxr-xr-x 2 root root 4096 2024-06-17 02:48:30.165798462 +0300 LOGON [sambauser1@altwks1 ~]$ ls -l /var/cache/gpupdate_scripts_cache/users/sambauser1/LOGON/00000_DATE.SH -rwxr-xr-x 1 root root 51 июн 17 02:48 /var/cache/gpupdate_scripts_cache/users/sambauser1/LOGON/00000_DATE.SH [sambauser1@altwks1 ~]$ cat /var/cache/gpupdate_scripts_cache/users/sambauser1/LOGON/00000_DATE.SH #!/usr/bin/env bash # date >> $HOME/file_date.txt Перезойдем повторно под пользователем sambauser1. При повторной аутентификации политика применилась, так как уже был создан ранее каталог со скриптом, который смогла найти служба gpupdate-scripts-run-user.service, после чего данный каталог /var/cache/gpupdate_scripts_cache/users/sambauser1 вновь был пересоздан. [sambauser1@altwks1 ~]$ systemctl --user status gpupdate-scripts-run-user.service ● gpupdate-scripts-run-user.service - Run Group Policy scripts for a user Loaded: loaded (/usr/lib/systemd/user/gpupdate-scripts-run-user.service; enabled; vendor preset: enabled) Active: active (exited) since Mon 2024-06-17 02:54:13 MSK; 1min 29s ago Process: 4069 ExecStart=/usr/libexec/gpupdate/scripts_runner --mode USER --action LOGON --user sambauser1 (code=exited, status=0/SUCCESS) Main PID: 4069 (code=exited, status=0/SUCCESS) Tasks: 0 (limit: 1125) Memory: 0B CPU: 30ms CGroup: /user.slice/user-821801104.slice/user@821801104.service/app.slice/gpupdate-scripts-run-user.service июн 17 02:54:13 altwks1.test.alt systemd[4061]: Starting Run Group Policy scripts for a user... июн 17 02:54:13 altwks1.test.alt scripts_runner[4069]: Script run: ['/var/cache/gpupdate_scripts_cache/users/sambauser1/LOGON/00000_DATE.SH'] июн 17 02:54:13 altwks1.test.alt systemd[4061]: Finished Run Group Policy scripts for a user. [sambauser1@altwks1 ~]$ ls -l --full-time /var/cache/gpupdate_scripts_cache/users/ итого 4 drwxr-xr-x 4 root root 4096 2024-06-17 02:54:14.107534575 +0300 sambauser1 [sambauser1@altwks1 ~]$ ls -l итого 36 -rw-r--r-- 1 sambauser1 domain users 33 июн 17 02:54 file_date.txt drwxr-xr-x 2 sambauser1 domain users 4096 июн 17 02:48 Видео drwxr-xr-x 2 sambauser1 domain users 4096 июн 17 02:48 Документы drwxr-xr-x 2 sambauser1 domain users 4096 июн 17 02:48 Загрузки drwxr-xr-x 2 sambauser1 domain users 4096 июн 17 02:48 Изображения drwxr-xr-x 2 sambauser1 domain users 4096 июн 17 02:48 Музыка drwxr-xr-x 2 sambauser1 domain users 4096 июн 17 02:48 Общедоступные drwxr-xr-x 2 sambauser1 domain users 4096 июн 17 02:48 'Рабочий стол' drwxr-xr-x 2 sambauser1 domain users 4096 июн 17 02:48 Шаблоны [sambauser1@altwks1 ~]$ Проведя повторное тестирование, было выявлено, что данная ситуация наблюдается и на других доменных УЗ. Ожидаемый результат: политика Logon применилась и запустился скрипт date.sh при первой аутентификации доменного пользователя в системе. Реальный результат: каталог /var/cache/gpupdate_scripts_cache/users/sambauser1 создается позже чем запускается служба gpupdate-scripts-run-user.service, в связи с чем она не может найти необходимый каталог, в котором хранится пользовательский скрипт, и запустить его. И по итогу скрипт отрабатывает только при повторной аутентификации.
Created attachment 16278 [details] Предполагаемое решение проблемы - редактирование службы gpupdate-scripts-run-user.service
Резюмирую проблему. gpupdate-scripts-run-user.service запускается до gpupdate-user.service, который запускается только по таймеру. В результате на момент запуска сеанса в каталоге скрипты не в актуальном состоянии. Нужно исправить gpupdate-scripts-run-user.service, как предлагает рапортер бага: --- gpupdate-scripts-run-user.service.orig +++ gpupdate-scripts-run-user.service @@ -1,5 +1,7 @@ [Unit] Description=Run Group Policy scripts for a user +After=gpupdate-user.service +Requires=gpupdate-user.service [Service] Type=oneshot
gpupdate-0.10.3-alt1 -> sisyphus: Wed Jun 19 2024 Valery Sinelnikov <greh@altlinux> 0.10.3-alt1 - Added autocompletion for gpoa, gpupdate, gpupdate-setup - Added correct work with json data in keys for the Firefox browser - Polkit_appliers changed to non-experimental - Fixed bug of not clearing kde applier settings (closes: 50336) - Fixed registry key reading (closes: 50553) - Added waiting for data generation for scripts (closes: 50667)
(Ответ для Repository Robot на комментарий #3) > gpupdate-0.10.3-alt1 -> sisyphus: > > Wed Jun 19 2024 Valery Sinelnikov <greh@altlinux> 0.10.3-alt1 > - Added autocompletion for gpoa, gpupdate, gpupdate-setup > - Added correct work with json data in keys for the Firefox browser > - Polkit_appliers changed to non-experimental > - Fixed bug of not clearing kde applier settings (closes: 50336) > - Fixed registry key reading (closes: 50553) > - Added waiting for data generation for scripts (closes: 50667) Бага на p10, поэтому переоткрываю и ждём таска для p10.
Вижу задание для p10 https://git.altlinux.org/tasks/351174/
Добрый день. Подскажите, пожалуйста, когда обновление в p10 появится? Спасибо.
(Ответ для Сергей Сысоев на комментарий #6) > Добрый день. > > Подскажите, пожалуйста, когда обновление в p10 появится? > > Спасибо. Вы можете обновиться из задания командой: apt-repo upgrade 351174
gpupdate-0.10.3-alt1 -> p11: Wed Jun 19 2024 Valery Sinelnikov <greh@altlinux> 0.10.3-alt1 - Added autocompletion for gpoa, gpupdate, gpupdate-setup - Added correct work with json data in keys for the Firefox browser - Polkit_appliers changed to non-experimental - Fixed bug of not clearing kde applier settings (closes: 50336) - Fixed registry key reading (closes: 50553) - Added waiting for data generation for scripts (closes: 50667) Fri Jun 07 2024 Valery Sinelnikov <greh@altlinux> 0.10.2-alt1 - Added some fixes to dconf_registry and scripts - Fixed windows registry key reading for loopback
(Ответ для Антон Мидюков на комментарий #5) > Вижу задание для p10 > https://git.altlinux.org/tasks/351174/ Ждём прохождение таска в p10.
gpupdate-0.10.6-alt1 -> p10: Mon Jul 08 2024 Valery Sinelnikov <greh@altlinux> 0.10.6-alt1 - Fixed firefox_applier errors Fri Jun 28 2024 Valery Sinelnikov <greh@altlinux> 0.10.5-alt1 - Correction of missing entries with a upper case - Fixed string processing in date (closes: 50782) - Fixed getting correct data for the user for pkcon_runner Thu Jun 27 2024 Valery Sinelnikov <greh@altlinux> 0.10.4-alt1 - Fixed the definition of the module activation check (closes: 50755) - Fixed sorting of scripts (closes: 50756) - Fixed reading key values from dconf - Changed the method for getting the list of packages for pkcon_runner Wed Jun 19 2024 Valery Sinelnikov <greh@altlinux> 0.10.3-alt1 - Added autocompletion for gpoa, gpupdate, gpupdate-setup - Added correct work with json data in keys for the Firefox browser - Polkit_appliers changed to non-experimental - Fixed bug of not clearing kde applier settings (closes: 50336) - Fixed registry key reading (closes: 50553) - Added waiting for data generation for scripts (closes: 50667) Fri Jun 07 2024 Valery Sinelnikov <greh@altlinux> 0.10.2-alt1 - Added some fixes to dconf_registry and scripts - Fixed windows registry key reading for loopback Tue Jun 04 2024 Valery Sinelnikov <greh@altlinux> 0.10.1-alt1 - Added handling of unexpected data types when writing to dconf