Created attachment 18127 [details] # gpoa --loglevel 0 Конфигурация: - Домен Windows AD (Windows Server 2019) - Клиент Alt Workstation K (использовалась в качестве управляющей машины с ADMC и клиента) Версии пакетов: - admc-0.20.0-alt1 - gpupdate-0.13.1-alt1 - gpui-0.2.55-alt1 Шаги воспроизведения: 1. Установить параметр «Active Directory» в политике «Настройка каталога резервного копирования паролей (Каталог резервного копирования паролей)» 2. Установить состояние «Включено» в политике Включить шифрование паролей (Шифрование паролей). 3. В ADMC включить механизм GPUpdate «Настройка LAPS» 4. В политике «Имя учетной записи администратора для управления (Имя учетной записи администратора)» указать в параметре root 5. На клиенте выполнить gpupdate Фактический результат: Apply group policies for computer. 2025-04-02 11:25:47.303|[E00024]| Error occured while running machine applier|{'applier_name': 'cifs', 'msg': "[Errno 2] No such file or directory: '/etc/auto.master.gpupdate.d'"} 2025-04-02 11:25:47.404|[E00075]| Failed to update LDAP with new password data|{'computer_dn': Dn('CN=KWORKSISYPHUS,OU=jkl,DC=LAPS,DC=TEST'), 'exc': LdbError(16, 'LDAP error 16 LDAP_NO_SUCH_ATTRIBUTE - <00000057: LdapErr: DSID-0C09123D, comment: Error in attribute conversion operation, data 0, v4563> <>')} Ожидаемый результат: Корректная работа в соответствии с нашим вики - https://www.altlinux.org/%D0%93%D1%80%D1%83%D0%BF%D0%BF%D0%BE%D0%B2%D1%8B%D0%B5_%D0%BF%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B8/LAPS Дополнительная информация: Настройка LAPS через ADMC и RSAT дают одинаковый результат.
Добрый день. Судя по логам, возможные проблемы могут быть связаны с настройкой LAPS на стороне сервера. Прежде чем применять политики на клиенте, необходимо предварительно настроить LAPS в домене Active Directory в соответствии с инструкцией: https://learn.microsoft.com/ru-ru/windows-server/identity/laps/laps-scenarios-windows-server-active-directory Пожалуйста, уточните: 1. Выполнена ли настройка LAPS на сервере AD? 2. Созданы ли соответствующие атрибуты в каталоге AD 3. Применялись ли политики LAPS через RSAT, и был ли результат отличным от ADMC
(Ответ для Valery Sinelnikov на комментарий #1) > Добрый день. > Судя по логам, возможные проблемы могут быть связаны с настройкой LAPS > на стороне сервера. Прежде чем применять политики на клиенте, необходимо > предварительно настроить LAPS в домене Active Directory в соответствии с > инструкцией: > https://learn.microsoft.com/ru-ru/windows-server/identity/laps/laps- > scenarios-windows-server-active-directory > > Пожалуйста, уточните: > 1. Выполнена ли настройка LAPS на сервере AD? > 2. Созданы ли соответствующие атрибуты в каталоге AD > 3. Применялись ли политики LAPS через RSAT, и был ли результат отличным от > ADMC Как оказалось, вы правы. Установки обновления, в котором была добавлена поддержка LAPS, на Windows Server оказалось мало. Дополнительно потребовалось выполнить Update-LapsADSchema и Set-LapsADComputerSelfPermission. Теперь ошибка вида 2025-04-02 11:25:47.404|[E00075]| Failed to update LDAP with new password data|{'computer_dn': Dn('CN=KWORKSISYPHUS,OU=jkl,DC=LAPS,DC=TEST'), 'exc': LdbError(16, 'LDAP error 16 LDAP_NO_SUCH_ATTRIBUTE - <00000057: LdapErr: DSID-0C09123D, comment: Error in attribute conversion operation, data 0, v4563> <>')} не воспроизводится, а политики работают. Единственное, что при выполнении $ gpupdate -t Computer осталась: 2025-04-02 13:38:55.245|[E00024]| Error occured while running machine applier|{'applier_name': 'cifs', 'msg': "[Errno 2] No such file or directory: '/etc/auto.master.gpupdate.d'"} Она пропадает: 1. Если создать директорию вручную 2. Если два раз подряд выполнить $ gpupdate (создаётся после первого запуска) без каких-либо опций.
> 2. Если два раз подряд выполнить $ gpupdate (создаётся после первого > запуска) без каких-либо опций. Пожалуйста, уточните: Выполнялась ли перезагрузка компьютера после ввода его в домен?
(Ответ для Valery Sinelnikov на комментарий #3) > > 2. Если два раз подряд выполнить $ gpupdate (создаётся после первого > > запуска) без каких-либо опций. > Пожалуйста, уточните: > Выполнялась ли перезагрузка компьютера после ввода его в домен? Да, после ввода в домен перезагрузка выполнялась.
(In reply to Vladislav Glinkin from comment #4) > (Ответ для Valery Sinelnikov на комментарий #3) > > > 2. Если два раз подряд выполнить $ gpupdate (создаётся после первого > > > запуска) без каких-либо опций. > > Пожалуйста, уточните: > > Выполнялась ли перезагрузка компьютера после ввода его в домен? > > Да, после ввода в домен перезагрузка выполнялась. В таком случае, думаю, необходимо открыть баг именно по этой проблеме, так как она не связана с LAPS.
(Ответ для Valery Sinelnikov на комментарий #5) > В таком случае, думаю, необходимо открыть баг именно по этой проблеме, так > как она не связана с LAPS. Да, вы правы. Открыл отдельный баг - https://bugzilla.altlinux.org/53703 Текущий закрываю, т.к. основной проблемой было получение групповых политик. Причиной был не до конца настроенный Windows AD
