Я использую контроллер домена Samba4, и на машинах, подключенных к домену, я вижу это сообщение:
The processing of Group Policy failed. Windows attempted to read the file \\mydomain.org\sysvol\mydomain.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.
Запуск gpupdate дает мне ту же ошибку. Если я открою окно запуска и наберу notepad \\mydomain.org\sysvol\mydomain.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini, Я открываю Блокнот с файлом в нем. Содержимое таково:
[General]
Version=14
Очевидно, что файл существует и доступен (во всяком случае, администратору домена). Имя mydomain.org заменяется на IP-адрес моего контроллера домена. Если я сбегу GPRESULT /H GPReport.html, получившийся файл говорит:
Group Policy Infrastructure failed due to the error listed below.
Access is denied.
Note: Due to the GP Core failure, none of the other Group Policy components processed their policy. Consequently, status information for the other components is not available.
Я проверил ACL через smbcacls в папке домена под общим ресурсом sysvol и получил следующий результат:
pi@dc-rpi1 ~ $ smbcacls //mydomain.org/sysvol mydomain.org -U administrator@mydomain.org
Enter administrator@mydomain.org's password:
REVISION:1
CONTROL:SR|PD|DP
OWNER:MYDOMAIN\Administrator
GROUP:BUILTIN\Administrators
ACL:BUILTIN\Administrators:ALLOWED/OI|CI/FULL
ACL:BUILTIN\Server Operators:ALLOWED/OI|CI/READ
ACL:NT AUTHORITY\SYSTEM:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/OI|CI/READ
Если я попытаюсь получить списки ACL для самого файла gpt.ini, я получу следующее:
pi@dc-rpi1 ~ $ smbcacls //mydomain.org/sysvol mydomain.org/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/gpt.ini -U administrator@mydomain.org
Enter administrator@mydomain.org's password:
REVISION:1
CONTROL:SR|PD|DP
OWNER:MYDOMAIN\Domain Admins
GROUP:MYDOMAIN\Domain Admins
ACL:MYDOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:MYDOMAIN\Enterprise Admins:ALLOWED/OI|CI/FULL
ACL:CREATOR OWNER:ALLOWED/OI|CI|IO/FULL
ACL:MYDOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\SYSTEM:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/OI|CI/READ
ACL:NT AUTHORITY\ServerLogon:ALLOWED/OI|CI/READ
Почему не работает обработка групповой политики? ACL не работают из-за того, что мой DC не работает с нужной файловой системой или из-за какой-то другой неясной проблемы конфигурации?
Я побежал samba-tool ntacl sysvolreset, что заняло несколько секунд, а затем повторно запустил smbcacls команда. Вывод не изменился, но gpupdate больше не дает сбоев. Ага.
Я уже сталкивался с этим раньше на своем гибридном домене с Samab4 и Windows. Проблема, по крайней мере, в моем случае, заключалась в том, что общий ресурс sysvol не синхронизировался между контроллерами домена. В моем случае мой сценарий синхронизации перестал работать, и на одном контроллере домена был объект групповой политики, а на другом - нет. Я исправил проблему с синхронизацией, и все вернулось в норму.
Надеюсь, это кому-то поможет.