Bug 56811 - В случайный момент перестают применяться Групповые политики
Summary: В случайный момент перестают применяться Групповые политики
Status: NEW
Alias: None
Product: Branch p11
Classification: Unclassified
Component: gpui (show other bugs)
Version: unspecified
Hardware: x86_64 Linux
: P5 normal
Assignee: august@altlinux.org
QA Contact: qa-p11@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2025-11-11 15:57 MSK by Kirill Sen
Modified: 2025-11-11 15:57 MSK (History)
0 users

See Also:

Attachments
Архив с логами трёх машин. (1.02 MB, application/gzip)
2025-11-11 15:57 MSK, Kirill Sen 		no flags Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Kirill Sen 2025-11-11 15:57:57 MSK 
Created attachment 20045 [details]
Архив с логами трёх машин.

Конфигурация стенда:
Server 11 Платформы - Контроллер домена 
Workstation 11 Платформы - Управляющая машина(в домене), используется для редактирования ГП через gpui.
Workstation 11 Платформы - Клиент (в домене), перезагружается для проверки применения ГП.

Версии пакетов:
gpui-0.2.55-alt1
admx-msi-setup-0.1.1-alt1.noarch
admx-basealt-0.6.0-alt1.noarch
admx-yandex-browser-132.0-alt1.noarch
admx-firefox-7.0-alt1.noarch
admx-chromium-138.0-alt1.noarch
admx-samba-4.21.7-alt4.noarch
gpupdate-0.13.4-alt1.noarch
oddjob-gpupdate-0.2.3-alt1.x86_64
alterator-gpupdate-1.3-alt1.x86_64
samba-dc-client-4.21.7-alt4.x86_64
samba-dc-libs-4.21.7-alt4.x86_64
samba-usershares-4.21.7-alt4.x86_64
task-samba-dc-4.21.7-alt4.noarch
samba-libs-4.21.7-alt4.x86_64
samba-winbind-common-4.21.7-alt4.x86_64
samba-common-tools-4.21.7-alt4.x86_64
samba-dc-common-4.21.7-alt4.noarch
samba-common-libs-4.21.7-alt4.x86_64
samba-dc-4.21.7-alt4.x86_64
samba-winbind-4.21.7-alt4.x86_64
samba-doc-4.21.7-alt4.noarch
samba-pidl-4.21.7-alt4.noarch
samba-client-4.21.7-alt4.x86_64
python3-module-samba-4.21.7-alt4.x86_64
samba-winbind-clients-4.21.7-alt4.x86_64
samba-dcerpc-4.21.7-alt4.x86_64
samba-common-client-4.21.7-alt4.noarch
samba-4.21.7-alt4.x86_64
admx-samba-4.21.7-alt4.noarch
samba-common-4.21.7-alt4.noarch
i586-samba-common-libs-4.21.7-alt4.i586

Шаги воспроизведения:
На клиенте установить пакеты:
# apt-get install gpupdate gpui admc

На сервере установлены пакеты:
# apt-get install admx-samba admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup

Выполнить команду:
# admx-msi-setup

Скопировать установленные политики в sysvol:
# cp -r /usr/share/PolicyDefinitions /var/lib/samba/sysvol/<domain.name>/Policies/

На клиенте активировать групповые политики:
# gpupdate-setup enable

Примечание. Т.к. в настоящее время GPUI не умеет читать файлы ADMX с контроллера домена, на рабочей станции также необходимо установить административные шаблоны (пакеты admx):
# apt-get install admx-basealt admx-samba admx-chromium admx-firefox admx-yandex-browser admx-msi-setup

Установка файлов ADMX от Microsoft:
# admx-msi-setup

Для корректного применения групповых политик объект групповой политики (GPO) нужно связать с OU, в который входят машины или учетные записи пользователей

На клиенте (управляющей машине) выполнить:
$ kinit administrator
$ admc

ПКМ по Имя домена - создать Подразделение - ввести имя OU1 - ок
Переместить пользователя и компьютер в созданный OU1:
Имя домена - Computers - ПКМ по имени компьютера - выбрать созданный OU1 - ок
Аналогично поступить с созданным доменным пользователем в папке Users
Развернуть Объекты групповой политики - Имя домена - ПКМ по OU1 - Связать существующую политику - выбрать TestGPO1

1. На сервере получить UUID объекта групповой политики:
# samba-tool gpo listall | grep -B1 'TestGPO1' | head -1

2. На управляющей машине получить ключ Kerberos для администратора домена:
$ kinit administrator

3. Запустить приложение gpui-main с указанием объекта ГП:
$ gpui-main -p 'smb://dc.<domain.name>/sysvol/<domain.name>/Policies/{UUID}'

4. Включить какую-либо ГП, применить и перезагрузить клиента2, для проверки применения.

Проблема:
В неопределённый момент Групповые политики просто перестают применятся, как после ребута, так и при помощи команды:
# gpupdate && gpoa --loglevel 0

Обнаруженный обходной путь(единственный обнаруженный):
Если на управляющей машине перезапустить gpui, то групповые политики снова начинают применяться(При этом в gpui установленные ранее значения сохраняются)

Предположение(после анализа логов):
gpui блокирует доступ к каталогам /var/lib/gpupdate/ или /etc/admx/,
что приводит к зависанию gpupdate при попытке обновить политики.
После завершения gpui блокировка снимается.

Доп.Информация:
При выборе значения ГП и применении содержание Registry.pol - КОРРЕКТНО МЕНЯЕТСЯ, но так и не применятся(в момент воспроизведения ошибки).
Воспроизводится не только на Server и Workstation.
Воспроизводится со всеми ГП.
Прикладываю архив с логами(со всех трёх машин), на всех трёх машинах в течении дня проверялись групповые политики и за весь день ошибка воспроизвелась около 10 раз.
В такие моменты изменял какую-либо ГП безопасности, перезагружал клиента, и если значение не менялось(т.е. ГП не применилась) - то пезапускал gpui и продолжал проверку дальше.