white-rabbit2
Goto Top

Samba 4 als AD: GPOs werden nicht ausgeführt

Hallo.
Ich weiß -- diese Frage lief schon x-fach ... trotzdem komme ich nicht weiter und hoffe, dass hier jemand einen guten Tipp hat.

Ich habe zu Testzwecken eine neue GPO erstellt: 7zip als automatische MSI-Installation -- die GPO ist vorhanden und verknüpft.
Sie wird auch richtig angezeigt, wenn ich auf dem Server
 samba-tool gpo list <laptop-name>
ausführe.

Allerdings wird die Installation auf dem Win10-Client nicht ausgeführt. Ich habe bereits
 gpupdate /force  
(als Admin!)
laufen lassen und auch
gpresult /H results.html  /f
-- dort wird die Richtlinie aber nicht bei den
Gruppenrichtlinienobjekte --> Angewendete Gruppenrichtlinienobjekte
aufgeführt.

Installiert ist ein Ubuntu 18.04 LTS Server mit Samba 4.7.6 (aus der Paketverwaltung)

Zudem wundere ich mich darüber, dass ich auf dem Server bei Verwendung des Befehls:
 samba-tool gpo aclcheck -k yes
Diese Fehlermeldung bekomme:
ERROR(<type 'exceptions.KeyError'>): uncaught exception - 'No such element'  
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run  
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/gpo.py", line 1150, in run  
    ds_sd_ndr = m['nTSecurityDescriptor']  
Die Suche nach dem Fehler liefert zwar viele Treffer -- aber nirgendwo eine Lösung.

Der Befehl
 samba-tool ntacl sysvolcheck 
läuft hingegen fehlerfrei durch


Ich sollte noch dazu sagen: eine andere GPO, die z.B. Netzwerk-Shares mit Laufwerksbuchstaben
verknüpft, wird bei jeder Anmeldung fehlerfrei ausgeführt! Das funktioniert also.

Ach ja -- und diesen ewig langen aber ziemlich alten Thread habe ich natürlich gefunden und den dort vorgeschlagenenen Workaround vom 20.11. auch schon ausprobiert -- hier hat das aber leider auch nichts gebracht. Die automatische Softwareinstallation will einfach nicht anlaufen...

Hat jemand eine gute Idee, wonach ich da schauen kann?
Danke!

Content-Key: 634064

Url: https://administrator.de/contentid/634064

Printed on: March 1, 2024 at 18:03 o'clock

Member: GrueneSosseMitSpeck
GrueneSosseMitSpeck Dec 20, 2020 updated at 12:10:56 (UTC)
Goto Top
mal mit GPRESULT /h gpresult.html checken warum die GPO nicht ausgeführt wurde. Damit man die Maschinen-GPOs angezeigt kriegt, muß man gpresult in einem CMD unter dem Adminkonto ausführen. An einem echten DC bzw. Server mit den GPO-Editor als Feature kann man auch eine GPO simulieren.

Ist oft nur eine falsche Platzierung, gibt ja grundsätzlch benutzerbaisete GPOs und Maschinenbasierte GPOs und eine für Domänencontroller.
Höchstwahrscheinlich trifft irgendeine Filterbedingung für deinen Windows 10 Client nicht zu.
Member: White-Rabbit2
White-Rabbit2 Dec 20, 2020 at 12:55:02 (UTC)
Goto Top
Hallo.
Ja, ich habe die cmd immer als Admin geöffnet ...
Was die GPOs angeht: Ich habe schon beides versucht: ein start/stop-Skript bei Anmeldung (Benutzerbasierte GPO) wie auch eine MSI-Installation (Maschinenbasierte GPO). Leider werden die Fehler auf dem Server nun nur noch schlimmer:

Wenn ich jetzt den Befehl:
samba-tool gpo list yoga-12-23
ausführe, erhalte ich:
ERROR(runtime): uncaught exception - Badly formed gPLink ' '  
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run  
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/gpo.py", line 386, in run  
    glist = parse_gplink(msg['gPLink'])  
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/gpo.py", line 95, in parse_gplink  
    raise RuntimeError("Badly formed gPLink '%s'" % g)  
Ich habe die GPO natürlich bereits auch wieder gelöscht und anschließend auch schon ein
samba-tool ntacl sysvolreset
ausprobiert, welches zwar fehlerfrei durchläuft, doch den Fehler weiterhin zeigt. Offenbar ist da was faul ... nur was?
Member: White-Rabbit2
White-Rabbit2 Dec 20, 2020 updated at 14:05:32 (UTC)
Goto Top
Ok, das letzte Problem lässt sich lösen, wenn man in der OU erneut eine GPO anlegt -- das ist offenbar ein Samba-Bug, der mit 4.11 behoben wurde. https://bugzilla.samba.org/show_bug.cgi?id=13564 Aber die Probleme darüber bleiben bestehen...

Ich habe es nun auch mit
gpresult /Scope Computer /v
versucht -- da stehen die GPOs und die Scripte -- aber bei der Installation steht immer:
"wurde noch nicht ausgeführt".
Neustart, /force ... alles hilft nichts ... die Installation der MSI-Datei läuft nicht an ...
Member: c0d3.r3d
c0d3.r3d Dec 20, 2020 at 14:36:51 (UTC)
Goto Top
Moin,

wie wurde denn die GPO angelegt bzw. konfiguriert? Konsolenbasiert oder mithilfe der GUI?
Member: White-Rabbit2
White-Rabbit2 Dec 20, 2020 at 16:21:15 (UTC)
Goto Top
Hi.
Ich war unter Win10 als Admin angemeldet und habe sie dort mit dem Gruppenrichlinieneditor aus den RSAT-Tools konfiguriert --- also alles per GUI. Meinst du, dass es pre samba-tool erfolgsversprechender wäre? Das würde ja für ein Rechteproblem sprechen, oder?
Member: c0d3.r3d
c0d3.r3d Dec 20, 2020 at 17:24:28 (UTC)
Goto Top
Mit den RSAT-Tools ist es tatsächlich die einfachere Variante. Mit der Konsolenbasierte über das Samba-Tool hatte ich bisher nur Probleme.
Member: emeriks
emeriks Dec 21, 2020 updated at 11:43:36 (UTC)
Goto Top
Hi,
  1. MSI-Installationen über GPO werden ausschließlich beim Computerstart angewendet und ggf. ausgeführt.
  2. Win10 mit seinem standardmäßigem "Hetz-Boot" "überspringt" einiges:
  • das Netzwerk ist zu spät verfügbar
  • wenn man Win10 "herunterfährt", dann wird es nicht vollständig heruntergefahren. Dem zur Folge startet es beim Wiedereinschalten auch "nicht vollständig" --> keine Ausführung von MSI-Software-Installation
  • wenn man Win10 "neustartet", dann wird es vollständig heruntergefahren und startet anschließend auch vollständig --> MSI-Software-Installation wird ausgeführt, wenn Netzwerk verfügbar ist.

Ergo
  1. am Win10 Richtlinie aktivieren, dass bei Start und Anmeldung immer auf das Netzwerk gewartet werden soll
  2. am Win10 den Schnellstart deaktivieren (irgendwo bei den Energieoptionen)

E.
Member: White-Rabbit2
White-Rabbit2 Dec 21, 2020 at 12:08:38 (UTC)
Goto Top
Hi!
Zitat von @emeriks:
Ergo
  1. am Win10 Richtlinie aktivieren, dass bei Start und Anmeldung immer auf das Netzwerk gewartet werden soll
  2. am Win10 den Schnellstart deaktivieren (irgendwo bei den Energieoptionen)

Das ist "interessant" (bzw eigentlich großer Quatsch, warum M$ es dann überhaupt so einbaut, wenn das eine das andere torpediert?!) ... die erste Richtlinie habe ich gefunden und lokal eingetragen, die zweite Option suche ich noch. Weißt du noch genauer, wo man da schauen muss?

Übrigens teste ich hier die ganze Zeit auf einer VM ... treffen die Energiesparoptionen hier dann auch so zu wie du schreibst?
Member: c0d3.r3d
c0d3.r3d Dec 21, 2020 at 12:41:23 (UTC)
Goto Top
Hi, die zweite Einstellung ist ein Registry Eintrag. Einfach Mal kurz googlen nach Disable Hibernate Boot.
Member: emeriks
emeriks Dec 21, 2020 at 13:03:36 (UTC)
Goto Top
Siehe hier:
2020-12-21 14_02_56-window
Member: Jannik2018
Jannik2018 Jan 12, 2022 at 21:16:42 (UTC)
Goto Top
Hallo zusammen,

ich hätte einmal die Frage und zwar hatte ich ein ADMX Template hinzugefügt allerdings kann ich diese GPO im Editor nicht finden kann jemand helfen

Samba 4
OS: Debian 10