Corri samba-tool ntacl sysvolreset
, o que levou vários segundos e, em seguida, executei novamente o comando smbcacls
. A saída não mudou, mas o gpupdate não falha mais. Huh.
Estou usando um controlador de domínio Samba4 e, nas máquinas associadas ao domínio, estou vendo esta mensagem:
The processing of Group Policy failed. Windows attempted to read the file \mydomain.org\sysvol\mydomain.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.
A execução do gpupdate me dá o mesmo erro. Se eu abrir a caixa de execução e digitar notepad \mydomain.org\sysvol\mydomain.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini
, recebo o Bloco de notas aberto com o arquivo. Os conteúdos são estes:
[General]
Version=14
É evidente que o arquivo existe e está acessível (pelo administrador do domínio, de qualquer forma). O nome mydomain.org é resovado para o endereço IP do meu controlador de domínio. Se eu executar GPRESULT /H GPReport.html
, o arquivo resultante diz:
Group Policy Infrastructure failed due to the error listed below.
Access is denied.
Note: Due to the GP Core failure, none of the other Group Policy components processed their policy. Consequently, status information for the other components is not available.
Eu verifiquei a ACL via smbcacls na pasta do domínio sob o compartilhamento sysvol e obtive esta saída:
pi@dc-rpi1 ~ $ smbcacls //mydomain.org/sysvol mydomain.org -U [email protected]
Enter [email protected]'s password:
REVISION:1
CONTROL:SR|PD|DP
OWNER:MYDOMAIN\Administrator
GROUP:BUILTIN\Administrators
ACL:BUILTIN\Administrators:ALLOWED/OI|CI/FULL
ACL:BUILTIN\Server Operators:ALLOWED/OI|CI/READ
ACL:NT AUTHORITY\SYSTEM:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/OI|CI/READ
Se eu tentar obter as ACLs no próprio arquivo gpt.ini, recebo o seguinte:
pi@dc-rpi1 ~ $ smbcacls //mydomain.org/sysvol mydomain.org/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/gpt.ini -U [email protected]
Enter [email protected]'s password:
REVISION:1
CONTROL:SR|PD|DP
OWNER:MYDOMAIN\Domain Admins
GROUP:MYDOMAIN\Domain Admins
ACL:MYDOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:MYDOMAIN\Enterprise Admins:ALLOWED/OI|CI/FULL
ACL:CREATOR OWNER:ALLOWED/OI|CI|IO/FULL
ACL:MYDOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\SYSTEM:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/OI|CI/READ
ACL:NT AUTHORITY\ServerLogon:ALLOWED/OI|CI/READ
Por que o trabalho de processamento de políticas não é agrupado? As ACLs não estão funcionando porque meu controlador de domínio não está executando o sistema de arquivos correto ou algum outro problema de configuração obscuro?
Corri samba-tool ntacl sysvolreset
, o que levou vários segundos e, em seguida, executei novamente o comando smbcacls
. A saída não mudou, mas o gpupdate não falha mais. Huh.
Eu já experimentei isso antes no meu domínio híbrido com o Samab4 e o Windows. O problema acabou sendo, pelo menos no meu caso, o compartilhamento sysvol estava fora de sincronia entre os controladores de domínio. No meu caso, meu script de sincronização parou de funcionar e um controlador de domínio tinha o GPO e o outro não. Corrigi o problema de sincronização e tudo voltou ao normal.
Espero que isso ajude alguém.
Tags samba4 domain group-policy