Я установил Samba версии 4.1.17-Ubuntu в качестве контроллера домена и активного каталога , и все, казалось, прошло гладко, но когда я пытаюсь использовать учетную запись администратора на одном члене домена Windows 10 для создания нового пользователя в AD с помощью активного каталога Windows инструмент управления пользователями и компьютерами , я получаю эту ошибку:
Произошла ошибка, обратитесь к системному администратору
(Я получаю ту же проблему при попытке скопировать пользователя).
Но когда я использую samba-tool для создания пользователя, он прекрасно работает.
Вот мой файл smb.conf:
[global]
workgroup = EXAMPLE
realm = EXAMPLE.LOCAL
netbios name = LINUXSERVER
server role = active directory domain controller
dns forwarder = 8.8.8.8
idmap_ldb:use rfc2307 = yes
[netlogon]
path = /var/lib/samba/sysvol/example.local/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No [Users]
directory_mode: parameter = 0700
read only = no
path = /Users
csc policy = documents
[Users]
directory_mode: parameter = 0700
read only = no
path = /Users
csc policy = documents
Другая связанная проблема: я собираюсь упомянуть и эту проблему, потому что она может помочь найти причины предыдущей проблемы. Когда я пытаюсь изменить пароль любого пользователя, используя те же инструменты Windows, я получаю сообщение об ошибке, что мой компьютер и мой пользователь должны иметь права делегирования.
И может быть что-то еще не работает, но по крайней мере до сих пор это именно то, что я нашел.
Так что я хочу, чтобы этот инструмент Windows работал как-то правильно.
Что я пробовал:
- Я пытался удалить профиль учетной записи администратора.
- Я попытался создать новую тестовую учетную запись с правами администратора с помощью samba-tool и безуспешно пытался создать пользователей из этой учетной записи.
- Я попытался дать пользователю-администратору права делегирования, щелкнув правой кнопкой мыши на имени домена, а затем делегировать контроллер, но безуспешно для обеих ошибок.
- Я пробовал с последним блоком [Users] и без него (на самом деле я не понимаю, что именно он делает).
- Уход и возвращение в домен.
И все это безуспешно, я ценю любую помощь от вас.
mkdir
это; или, может быть, это что-то специфичное для Ubuntu. (Вы можете получить к нему доступ через\\linuxserver\Users
Windows.) В любом случае, эта папка не требуется для AD DC - требуются только два общих ресурса: «netlogon» и «sysvol» (главным образом потому, что в них хранятся параметры групповой политики).Обходной путь с Samba 4.1.17 для клиентов Windows 10 - изменить раздел реестра :
Добавьте 32-битный DWORD с именем
ProtectionPolicy
со значением1
в:Не требуется перезагрузка или выход из системы / вход в систему. С нами это решило проблему с очень медленным вводом в поле имени компьютера окна подключения к удаленному рабочему столу и сбросом паролей в ADUC.
источник