GPO - Problema con il filtraggio di sicurezza
Pubblicato: 13 novembre 2023 - 11:27
Ciao a tutti,
da qualche tempo, e per qualche motivo sconosciuto, con RSAT non abbiamo più la possibilità di aggiungere utenti o gruppi al filtro di sicurezza di un GPO, ad eccezione dell'utente corrente, a condizione che sia un amministratore di dominio. La finestra si apre correttamente, il pulsante "Verifica nomi" cerca correttamente l'utente o il gruppo, ma una volta cliccato su "OK", non succede nulla.
Sospettavamo un problema di autorizzazioni con la cartella sysvol e il suo contenuto. Il comando "samba-tool ntacl sysvolcheck" ha restituito degli errori, incluso uno relativo al proprietario delle cartelle contenenti i GPO.
Per evitare errori ACL sui GPO, sembra che il gruppo "Amministratori di dominio" debba essere il proprietario delle cartelle. Tuttavia, durante la sincronizzazione tra le nostre due istanze di Active Directory, lo script "tis-sysvlosync" ripristina l'amministratore al ruolo di proprietario nella seconda istanza di Active Directory. Potrebbe essere questa la causa del problema? Suppongo di no, dato che questo script ha sempre funzionato senza problemi con il filtro di sicurezza.
La nostra infrastruttura è composta da due domini Active Directory con Samba 4.9.5 su Debian 10. Il problema si verifica sia con i vecchi che con i nuovi oggetti Criteri di gruppo (GPO).
Avete mai riscontrato un problema di questo tipo? Quale soluzione avete trovato?
Grazie per l'aiuto.
da qualche tempo, e per qualche motivo sconosciuto, con RSAT non abbiamo più la possibilità di aggiungere utenti o gruppi al filtro di sicurezza di un GPO, ad eccezione dell'utente corrente, a condizione che sia un amministratore di dominio. La finestra si apre correttamente, il pulsante "Verifica nomi" cerca correttamente l'utente o il gruppo, ma una volta cliccato su "OK", non succede nulla.
Sospettavamo un problema di autorizzazioni con la cartella sysvol e il suo contenuto. Il comando "samba-tool ntacl sysvolcheck" ha restituito degli errori, incluso uno relativo al proprietario delle cartelle contenenti i GPO.
Per evitare errori ACL sui GPO, sembra che il gruppo "Amministratori di dominio" debba essere il proprietario delle cartelle. Tuttavia, durante la sincronizzazione tra le nostre due istanze di Active Directory, lo script "tis-sysvlosync" ripristina l'amministratore al ruolo di proprietario nella seconda istanza di Active Directory. Potrebbe essere questa la causa del problema? Suppongo di no, dato che questo script ha sempre funzionato senza problemi con il filtro di sicurezza.
La nostra infrastruttura è composta da due domini Active Directory con Samba 4.9.5 su Debian 10. Il problema si verifica sia con i vecchi che con i nuovi oggetti Criteri di gruppo (GPO).
Avete mai riscontrato un problema di questo tipo? Quale soluzione avete trovato?
Grazie per l'aiuto.