GPO - Problema con el filtrado de seguridad
Publicado: 13 de noviembre de 2023 - 11:27 a. m.
Hola a todos,
desde hace algún tiempo, y por alguna razón desconocida, con RSAT ya no tenemos la opción de agregar ningún usuario o grupo al filtrado de seguridad de una GPO excepto el usuario actual, siempre que sea un administrador de dominio. La ventana se abre correctamente, el botón "Comprobar nombres" busca correctamente al usuario o grupo, pero una vez que se hace clic en "Aceptar", no sucede nada.
Sospechábamos que había un problema de permisos con la carpeta sysvol y su contenido. El comando "samba-tool ntacl sysvolcheck" devolvió errores, incluido uno relacionado con el propietario de las carpetas que contienen las GPO.
Para evitar errores de ACL en las GPO, parece que el grupo "Administrador de dominio" debe ser el propietario de las carpetas. Sin embargo, durante la sincronización entre nuestras dos instancias de Active Directory, el script "tis-sysvlosync" revierte al administrador como propietario en el segundo Active Directory. ¿Podría ser esta la causa del problema? Supongo que no, ya que este script siempre ha funcionado sin problemas con el filtrado de seguridad.
Nuestra infraestructura consta de dos dominios de Active Directory con Samba 4.9.5 en Debian 10. El problema se presenta tanto con objetos de directiva de grupo (GPO) antiguos como nuevos. ¿
Se ha encontrado alguna vez con un problema similar? ¿Qué solución encontró?
Gracias por su ayuda.
desde hace algún tiempo, y por alguna razón desconocida, con RSAT ya no tenemos la opción de agregar ningún usuario o grupo al filtrado de seguridad de una GPO excepto el usuario actual, siempre que sea un administrador de dominio. La ventana se abre correctamente, el botón "Comprobar nombres" busca correctamente al usuario o grupo, pero una vez que se hace clic en "Aceptar", no sucede nada.
Sospechábamos que había un problema de permisos con la carpeta sysvol y su contenido. El comando "samba-tool ntacl sysvolcheck" devolvió errores, incluido uno relacionado con el propietario de las carpetas que contienen las GPO.
Para evitar errores de ACL en las GPO, parece que el grupo "Administrador de dominio" debe ser el propietario de las carpetas. Sin embargo, durante la sincronización entre nuestras dos instancias de Active Directory, el script "tis-sysvlosync" revierte al administrador como propietario en el segundo Active Directory. ¿Podría ser esta la causa del problema? Supongo que no, ya que este script siempre ha funcionado sin problemas con el filtrado de seguridad.
Nuestra infraestructura consta de dos dominios de Active Directory con Samba 4.9.5 en Debian 10. El problema se presenta tanto con objetos de directiva de grupo (GPO) antiguos como nuevos. ¿
Se ha encontrado alguna vez con un problema similar? ¿Qué solución encontró?
Gracias por su ayuda.