#53815 – Не меняется версия групповых политик на контроллере домена Samba DC

Bug 53815 - Не меняется версия групповых политик на контроллере домена Samba DC

Summary: Не меняется версия групповых политик на контроллере домена Samba DC

Status:	NEW

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	gpui (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	august@altlinux.org
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2025-04-11 12:04 MSK by Vladislav Glinkin
Modified:	2025-04-11 12:09 MSK (History)
CC List:	1 user (show)

See Also:	53798

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Vladislav Glinkin 2025-04-11 12:04:05 MSK

Схема стенда:
* Альт Сервер - контроллер домена
* Альт Рабочая Станция K - управляющая машина
* Альт Рабочая Станция K - клиентская машина

Версия пакетов:
samba-dc-4.20.8-alt1.x86_64
krb5-kinit-1.21.3-alt2.x86_64
admc-0.20.0-alt1.x86_64
gpui-0.2.55-alt1.x86_64
gpupdate-0.13.2-alt1.noarch

Периодически замечаю, что на клиентскую машину не применяются групповые политики. Только если сделать $ gpupdate -f и перезаписать их, не проверяя версию политики.
Посмотрел их состояние на контроллере домена и обнаружил, что версия в выводе # samba-tool gpo listall не меняется при изменении политик на управляющей машине.
Однако, новые/изменённые ключи прилетают на контроллер домена. Это видно по выводу # samba-tool gpo show <GPO>
Данное поведение проявляется не предсказуемо, к примеру, спустя 2 часа после создания групповой политики и работы с ней, проверки изменений на клиенте.

Однако, я нашёл способ воспроизвести данное поведение, может быть и причину.

Шаги для воспроизведения проблемы:
1) На управляющей машине получить билет администратора домена, после чего создать и настроить объект групповой политики через ADMC.
2) Просмотреть версию объекта групповой политики и ключи на контроллере домена (# samba-tool gpo listall и # samba-tool gpo show <GPO>)
3) На контроллере домена выполнить # systemctl restart samba.service
4) На управляющей машине отредактировать ранее созданный объект групповой политики (настроить какие-то новые политики, или изменить значения в старых. GPUI, открытый через ADMC, остаётся открытым)
5) Просмотреть версию объекта групповой политики и ключи на контроллере домена (# samba-tool gpo listall и # samba-tool gpo show <GPO>)

Фактический результат:
Версия политики в выводе # samba-tool gpo listall не меняется, при этом в выводе # samba-tool gpo show <GPO> видно, что новые ключи прилетели.
В /var/lib/samba/sysvol/samba.testdomain/Policies/\{EC2A6519-AE97-415D-8DD2-3F39D71CC55B\}/GPT.INI - версия меняется.
Полагаю, что из-за того, что версия не меняется в выводе # samba-tool gpo listall - на клиенте запуск gpupdate в сервисах не оказывает никакого влияния на систему, так как он думает изменений не произошло, т.к. версия одинаковая.

Ожидаемый результат:
Версия объекта групповой политики в выводе # samba-tool gpo listall меняется, как и его ключи в # samba-tool gpo show <GPO>

Дополнительно:
Если на управляющей машине переоткрыть GPUI через ADMC и после этого внести изменения в объект групповой политики, то версия объекта групповой политики на контроллере домена поменяется согласно ожидаемому результату, вследствие чего клиент получит изменения.