Невозможно создать новых пользователей в Active Directory (используя Samba4 в качестве DC и AD)

1

Я установил Samba версии 4.1.17-Ubuntu в качестве контроллера домена и активного каталога , и все, казалось, прошло гладко, но когда я пытаюсь использовать учетную запись администратора на одном члене домена Windows 10 для создания нового пользователя в AD с помощью активного каталога Windows инструмент управления пользователями и компьютерами , я получаю эту ошибку:

Произошла ошибка, обратитесь к системному администратору

(Я получаю ту же проблему при попытке скопировать пользователя).

Но когда я использую samba-tool для создания пользователя, он прекрасно работает.

Вот мой файл smb.conf:

[global]
        workgroup = EXAMPLE
        realm = EXAMPLE.LOCAL
        netbios name = LINUXSERVER
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/example.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No [Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

[Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

Другая связанная проблема: я собираюсь упомянуть и эту проблему, потому что она может помочь найти причины предыдущей проблемы. Когда я пытаюсь изменить пароль любого пользователя, используя те же инструменты Windows, я получаю сообщение об ошибке, что мой компьютер и мой пользователь должны иметь права делегирования.

И может быть что-то еще не работает, но по крайней мере до сих пор это именно то, что я нашел.

Так что я хочу, чтобы этот инструмент Windows работал как-то правильно.

Что я пробовал:

  • Я пытался удалить профиль учетной записи администратора.
  • Я попытался создать новую тестовую учетную запись с правами администратора с помощью samba-tool и безуспешно пытался создать пользователей из этой учетной записи.
  • Я попытался дать пользователю-администратору права делегирования, щелкнув правой кнопкой мыши на имени домена, а затем делегировать контроллер, но безуспешно для обеих ошибок.
  • Я пробовал с последним блоком [Users] и без него (на самом деле я не понимаю, что именно он делает).
  • Уход и возвращение в домен.

И все это безуспешно, я ценю любую помощь от вас.

Мухаммед Нурельдин
источник

Ответы:

0

Обновление до Samba 4.3.

Проблема связана с ошибкой и / или неполной реализацией подпротокола «Резервный ключ», который есть в более старых версиях Samba. Вы, вероятно, заметите, что Диспетчер учетных данных также был непригоден по той же причине.

В качестве альтернативы, используйте более старую ОС для управления каталогом - например, Server 2003 может создавать учетные записи пользователей без каких-либо проблем, поскольку он еще ни для чего не использует протокол «Ключ резервного копирования». (Я не уверен насчет Server 2008.)

К сожалению, 4.3 еще не упакован для Ubuntu - все еще ожидает "нестабильности" в Debian - однако на самом деле Samba легко собрать из исходного кода.


Что касается [Users]блока, он просто определяет общую папку.

В smb.conf каждый раздел, за исключением, [global]соответствует определению общего ресурса - «netlogon» и «sysvol» являются специальными общими ресурсами AD, а «Users», вероятно, пользовательским.

grawity
источник
Я строю это прямо сейчас, спасибо за ваш совет, я расскажу вам, что произойдет, когда я закончу установку.
Мохаммед Нурельдин
Это сделал это !! Оно работало завораживающе! Чем тебя много! (извините, у меня все еще не хватает репутации, чтобы оценить ее). Еще раз спасибо.
Мухаммед Нурельдин,
Извините, но не могли бы вы сказать мне, где я могу найти эту папку «Пользователи»? я должен добавить это вручную, или это должно появиться где-нибудь?
Мохаммед Нурельдин
Я попытался добавить эту папку «Пользователи», но у меня нет прав доступа к ней, у вас есть какие-либо идеи об этой папке? поскольку это, кажется, не пользовательская папка
Мохаммед Нурельдин
@MohammedNoureldin: я не уверен. Это определенно пользовательская конфигурация, может быть, кто-то пытался настроить персональное хранилище файлов для пользователей, но забыл на самом деле mkdirэто; или, может быть, это что-то специфичное для Ubuntu. (Вы можете получить к нему доступ через \\linuxserver\UsersWindows.) В любом случае, эта папка не требуется для AD DC - требуются только два общих ресурса: «netlogon» и «sysvol» (главным образом потому, что в них хранятся параметры групповой политики).
Гравитация
0

Обходной путь с Samba 4.1.17 для клиентов Windows 10 - изменить раздел реестра :

Добавьте 32-битный DWORD с именем ProtectionPolicyсо значением 1в:

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

Не требуется перезагрузка или выход из системы / вход в систему. С нами это решило проблему с очень медленным вводом в поле имени компьютера окна подключения к удаленному рабочему столу и сбросом паролей в ADUC.

JarichK
источник