Depuis un certain temps et pour une raison inconnue, avec les RSAT, nous n'avons plus la possibilité d'ajouter d'utilisateur ou de groupe au filtrage de sécurité d'une GPO sauf l'utilisateur de la session pour autant qu'il soit admin du domaine. La fenêtre s'ouvre bien, le bouton "Vérifier les noms" va bien rechercher l'utilisateur ou le groupe mais une fois "Ok" pressé, rien ne se passe.
Nous avons pensé à un problème de droits sur le dossier sysvol et son contenu. La commande "samba-tool ntacl sysvolcheck" renvoyait bien des erreurs entre autre sur le propriétaire des dossiers contenant les GPO.
Pour ne plus avoir d'erreur acl sur les GPO, il semble que ce soit le groupe "Domain Admin" qui doit être owner des dossiers. Cependant, lors de la synchronisation entre nos 2 AD, le script "tis-sysvlosync" remet l'administrateur comme owner sur le second AD. Est-ce cela la cause du problème ? Je suppose que non puisque ce script a toujours fonctionné sans soucis avec les filtrages de sécurité.
Notre infra est composée de 2 AD avec Samba 4.9.5 sur Debian 10. Le problème se pose sur une ancienne comme sur une nouvelle GPO.
Avez-vous déjà eu ce genre de problème ? Quelle solution y apporter ?
Merci pour votre aide
