search

bashclub / zamba-lxc-toolbox

Zamba LXC Toolbox a script collection to setup LXC containers on Proxmox + ZFS. Zamba is the fusion of ZFS and Samba (standalone, active directory dc or active directory member), preconfigured to access ZFS snapshots by "Previous Versions" to easily recover encrypted by ransomware files, accidently deleted files or just to revert changes.
https://aow.de/
GNU General Public License v3.0
289 stars 62 forks source link

zmb-ad: Zugriff verweigert beim Anlegen eines Registry-Schlüssels über GPO #109

Closed WinterHarald closed 3 months ago

WinterHarald commented 4 months ago

Hi,

ich bin mir nicht wirklich sicher, ob es ein Bug ist, oder ob ich irgendwelche Einstellungen falsch (oder noch nicht) gesetzt habe. Ich habe eure zamba-lxc-toolbox ein bisschen ausprobiert und bin begeistert wie einfach damit ein AD mit Samba aufgesetzt werden kann. Wie in eurer Beschreibung habe ich einen Administrator-Account angelegt bekommen, mit dem ich die AD verwalten kann. Mein Ansatz wäre jetzt gewesen einen (anderen) Benutzer in die Gruppe der Domain-Admins hinzuzufügen und mit diesem die Verwaltung der AD durchzuführen. Dieser kann sich an einem lokalen Windows-Rechner anmelden. Den Rechner habe ich dann mit diesem Benutzer in die Domain aufgenommen und auf dem Rechner die RSAT-Tools installiert. Jetzt habe ich zu Testzwecken erst einmal ein default-Domain-GPO angelegt und dort einen NTP-Server eingetragen. Soweit so gut. Die GPO wird ausgerollt und der NTP auf allen Windowsclients verteilt. Jetzt hatte ich noch den Wunsch auch gleich die Einstellung für die Sommer- und Winterzeit zu setzen. Dafür gibt es ja (meines Wissens nach) keine Administrative Vorlage was mich auf die Idee gebracht hat das ganze ebenfalls in der Gruppenrichtlinenverwaltung unter Computerkonfiguration > Einstellungen > Registrierung > Neu > Registrierungselement einzufügen. Das klappt jedoch nur bedingt, da ich dort einen Fehler "Beim Speichern der Einstellungsdatei" bekomme: "Zugriff verweigert" (0x80070005) wenn ich die Einstellung übernehmen möchte.

Wenn ich jedoch mit dem (von euch angelegten) "Administrator" die Gruppenrichtlinienverwaltung starte, dann kann ich den Eintrag ohne Probleme anlegen. Meine Frage wäre gibt es eine Einstellung, die ich vergessen habe, oder muss ich dem Verzeichnis sysvol noch andere Rechte geben? Oder könnte das euer Script vielleicht tun?

ein "samba-tool ntacl sysvolreset" hatte keine Auswirkung.

Vielleicht könnt Ihr mir und "eurer" Gemeinde einen Tipp geben was man tun könnte um das Problem zu lösen.

thorstenspille commented 3 months ago

Hi Harald,

in der Domain gibt es eine weitere Gruppe namens "Administrators" (CN=Administrators,CN=Builtin,DC=zmb,DC=rocks), die bekommt mit samba-tool Vollzugriff auf die sysvol Freigabe. Domain Admins ind Enterprise Admins sind zwar Mitglied dieser Gruppe, jedoch kann es sein, dass hier die Auflösung von Nexted Groups fehlschlägt. Versuche bitte als Workaround den administrativen Benutzer direkt der Gruppe Administrators hizuzufügen.

sysvolreset ist Vorgabe vom Samba Projekt, da können wir meines Wissens nichts anpassen.