Bug 57723 - Не работает политика Система ALT > LAPS > Расшифрование паролей
Summary: Не работает политика Система ALT > LAPS > Расшифрование паролей
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: gpupdate (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Valery Sinelnikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2026-01-30 16:37 MSK by Белая Алёна
Modified: 2026-01-30 16:37 MSK (History)
3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Белая Алёна 2026-01-30 16:37:50 MSK 
gpupdate-0.14.0-alt1
gpui-0.2.55-alt1

Стенд: 
DC: Сервер Windows Server 2019 (контроллер домена AD) с накопительным обновлением KB5025229

Клиенты: 
Клиенты :
Alt Education KDE 11.0 x86_64
Alt Education XFCE 11.0 x86_64
Alt Workstation K 11.2 x86_64
Alt Workstation 11.1 x86_64
обновленные до Sisyphus

Настроено подразделение и политика для LAPS через ADMC: 

    $ kinit Admin && admc
    windowsad.testdomain > Создать > Подразделение > Имя: LAPSOU > ОК
    Переместить все компьютеры в созданное подразделение:
    Компьютер > Переместить > windowsad > LAPSOU > ОК
    Создать объект групповой политики и связать с созданым подразделением:
    Объекты групповой политики > LAPSOU > Создать политику и связать с этим подразделением > Имя: LAPSPolicy > ОК
	windowsad.testdomain > Создать > Группа > Имя: LapsPasswordReadersGroup 
	windowsad.testdomain > Создать > Пользователь > Имя: testuser
	Пользователя testuser добавить в группу LapsPasswordReadersGroup: ПКМ по testuser -> Добавить в группу -> в поиске найти группу LapsPasswordReadersGroup и нажать ОК

Расширить схему DC для использования LAPS следующими командами: 
	PS C:\> Update-LapsADSchema
	PS C:\> Set-LapsADComputerSelfPermission -Identity "OU=LAPSOU,DC=windowsad,DC=testdomain"
	PS C:\> Set-LapsADReadPasswordPermission -Identity "OU=LAPSOU,DC=windowsad,DC=testdomain" -AllowedPrincipals "WINDOWSAD\LapsPasswordReadersGroup"

Шаги воспроизведения: 
1. На клиенте зайти в GPUI и включить политики для LAPS:
Компьютер > Административные шаблоны > Система ALT > LAPS
    Политика: Каталог резервного копирования паролей
    Состояние политики: Включено
    Резервное копирование: Active Directory

    Политика: Шифрование паролей
    Состояние политики: Включено

    Политика: Имя учетной записи администратора
    Состояние политики: Включено
    Имя локальной учетной записи: root
	
	Политика: Расшифрование паролей
    Состояние политики: Включено
    Идентификатор или имя группы/пользователя: LapsPasswordReadersGroup
	
2. Выйти из gpui и admc, обновить групповые политики на всех клиентах 
$ gpupdate

3. Получить билет пользователя testuser и проверить отображение пароля LAPS:
$ kinit testuser && admc
Отметить чекбокс Настройки > Дополнительные возможности
Перейти в windowsad.testdomain > LAPSOU
Открыть компьютер клиента в подразделении > LAPS

Результат: при выполнении команды gpupdate появляется предупреждение: 
<unknown>:1: SyntaxWarning: invalid escape sequence '\L'
В ADMC имея билет пользователя testuser можно увидеть вкладку LAPS, посмотреть срок действия пароля, но "Имя учетной записи локального администратора LAPS" и "Пароль учетной записи локального адмнистратора LAPS" недоступны для просмотра. 

Ожидаемый результат: при обновлении политик нет ошибок и предупреждений. В ADMC имея билет пользователя testuser можно увидеть в том числе имя и пароль локального администратора.