Univention Bugzilla – Bug 29529
Windows Grupenrichtlinienverwaltung: Warnmeldung zu inkonsistenen Berechtigungen
Last modified: 2012-12-12 21:08:46 CET
Mit UCS 3.1 Samba4 RC2 bekommt man in der Gruppenrichtlinienverwaltung am Windows-Client bei jedem Klick auf ein Grupenrichtlinienobjekt die Warnmeldung 'Die Berechtigungen für dieses Gruppenrichtlinienobjekt im Ordner "SYSVOL" sind nicht mit denen von Active Directory konsistent. Für diese Berechtigung wird Konsistenz empfohlen. Klicken Sie auf "OK", um die Berechtigungen von "SYSVOL" an die von Active Directory anzupassen.' Das Problem könnte in eine Kombination aus Upstream Bugs (https://bugzilla.samba.org/show_bug.cgi?id=9342, https://bugzilla.samba.org/show_bug.cgi?id=9406) und meinem Patch für Bug 28737 begründet liegen. Note: Die Meldung scheint auf den ersten Blick nichts mit den fACLs zu tun zu haben, Ein erneuter Test nach entfernen der fACLs per rm -rf /var/cache/univention-samba4/sysvol-sync/*; \ setfacl -R -k -P /var/lib/samba/sysvol; \ samba-tool ntacl sysvolreset; \ samba-tool ntacl sysvolcheck brachte keine Veränderung im Verhalten. Gruppenrichtlinen-Bearbeitung und -Auswertung scheint trotzdem zu funktionieren.
Der Bug ist mit rc6 behoben, nachdem einmalig "samba-tool ntacl sysvolreset" aufgerufen wird. Wir sollten die relevanten Patches übernehmen.
Samba 4 RC6 ist jetzt für UCS 3.1 gebaut. Damit das Problem behoben.
Folgende Bereiche wurden getestet: - AD Takeover war erfolgreich, 734d14b54834a4d03e67bcaece4f4e3cf1d10925 war dafür noch notwendig - DNS Updates haben funktioniert - S4 Connector Tests waren erfolgreich - Einfache GPO Auswertung - Installation + Join Master, Backup, Slave, Member - Basis-Replikation - Joinen von WinXP, win7, Win8, Win2k3, Win2k8, Win2k8r2 und Win2k12 war erfolgreich + Anmeldung als Benutzer Offen sind noch die Tests der Patches (setgid), Fileserver Zugriff und GPO Auswertung. Zusätzlich tauchte die Meldung bzgl. den sysvol-Berechtigungen gerade in einer neu installierten Domäne nochmal auf. Nach einem "samba-tool ntacl sysvolreset" war die Meldung weg. Unklar ist, ob das durch den sysvol-Sync passiert oder der Reset nach der Installation fehlt.
(In reply to comment #3) > Offen sind noch die Tests der Patches (setgid), Fileserver Zugriff und GPO > Auswertung. Die Tests waren soweit auch erfolgreich. Der Rest erfolgt über die Produkttests. > Zusätzlich tauchte die Meldung bzgl. den sysvol-Berechtigungen gerade in einer > neu installierten Domäne nochmal auf. Nach einem "samba-tool ntacl sysvolreset" > war die Meldung weg. Unklar ist, ob das durch den sysvol-Sync passiert oder der > Reset nach der Installation fehlt. Nach dem Provision wird im zweiten S4 Joinskript nun noch einmal "samba-tool ntacl sysvolreset" ausgeführt.
Verified: * GPO-Bearbeitung funktioniert jetzt ohne Fehlermeldung * GPO-Auswertung funktioniert weiterhin * Bug-ID ist im Changelog
UCS 3.1-0 has been released: http://forum.univention.de/viewtopic.php?f=54&t=2125 If this error occurs again, please use "Clone This Bug".