Назад | Перейти на главную страницу

Невозможно создать новых пользователей в Active Directory (с использованием Samba4 как DC и AD)

Я настраиваю Самба версия 4.1.17-Ubuntu как контроллер домена и активный каталог, и вроде бы все прошло гладко, но когда я пытаюсь использовать администратор учетной записи на одном члене домена ПК с Windows 10 для создать нового пользователя в AD с помощью Средство управления пользователями и компьютерами Windows Active Directory, Я получаю эту ошибку:

Произошла ошибка, обратитесь к системному администратору

(У меня такая же проблема при попытке скопировать пользователя).

Но когда я использую самба-инструмент чтобы создать пользователя, он отлично работает.

Вот мой файл smb.conf:

[global]
        workgroup = EXAMPLE
        realm = EXAMPLE.LOCAL
        netbios name = LINUXSERVER
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/example.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No [Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

[Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

Другая связанная проблема: я собираюсь упомянуть и эту проблему, потому что она может помочь найти причины предыдущей проблемы. Когда я пытаюсь изменить пароль любого пользователя с помощью тех же инструментов Windows, я получаю сообщение об этом мой компьютер и мой пользователь должен иметь полномочия делегата.

И может быть что-то еще не работает, но, по крайней мере, до сих пор я нашел именно это.

Итак, я хочу, чтобы этот инструмент Windows работал как-то правильно.

Что пробовал:

Я пытался удалить профиль учетной записи администратора.
Я попытался создать новую тестовую учетную запись с правами администратора с помощью samba-tool и безуспешно пытался создать пользователей из этой учетной записи.
Я попытался предоставить пользователю-администратору права делегирования, щелкнув правой кнопкой мыши имя домена, а затем делегировать контроллер, но безуспешно для обеих ошибок.
Я пробовал с последним блоком [Пользователи] и без него (вообще-то не понимаю, что именно он делает).
Выход из домена и повторное присоединение.

И все это безуспешно, я ценю вашу помощь.

Хорошо, это была ошибка, проблема была решена, когда я установил samba 4.3.5 (я перестроил ее из исходного кода). И теперь все работает как шарм!

Большое спасибо Grawity за то, что помогли мне найти это решение.

Обновитесь до Samba 4.3.

Проблема связана с ошибкой и / или неполной реализацией подпротокола «Резервный ключ», который есть в более старых версиях Samba. Вы, вероятно, заметите, что Credential Manager также нельзя было использовать по той же причине.

В качестве альтернативы используйте более старую ОС для управления каталогом - например, Server 2003 может без проблем создавать учетные записи пользователей, поскольку еще ни для чего не использует протокол «Резервный ключ». (Я не уверен насчет Server 2008.)

К сожалению, версия 4.3 еще не упакована для Ubuntu - она все еще находится в «нестабильном» Debian - однако на самом деле легко собрать Samba из исходного кода.

Что касается блока [Пользователи], он просто определяет общую папку.

В smb.conf каждый раздел, кроме [global], соответствует определению общего ресурса - «netlogon» и «sysvol» - это специальные общие ресурсы AD, а «Users», вероятно, является настраиваемым.