Bug 47307

Summary: Член группы Group Policy Creator Owners не может создавать / редактировать политики
Product: Sisyphus Reporter: Anton Shevtsov <shevtsov.anton>
Component: sambaAssignee: Evgeny Sinelnikov <sin>
Status: NEW --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: alimektor, shevtsov.anton, sin
Version: unstable   
Hardware: x86_64   
OS: Linux   
Attachments:
Description Flags
RSAT
none
GPUI none

Description Anton Shevtsov 2023-08-21 08:35:20 MSK
Подразумевается, что члены группы "Group Policy Creator Owners" могут редактировать ранее созданные политики (Members in this group can modify group policy for the domain). Но это не так, членство в группе не дает этой возможности.

Шаги воспроизведения, создать обычного пользователя, добавить в группу, получит тикет, зайти в admc и попытаться изменить что-то в любой политике. Ошибок не будет, но и результата тоже 

samba-tool user add gpoadmin1 Qwerty1
samba-tool group addmembers 'Group Policy Creator Owners' gpoadmin1
kinit gpoadmin1
admc

rpm -q {samba,gpui,admc}
samba-4.16.11-alt2.x86_64
gpui-0.2.32-alt1.x86_64
admc-0.13.0-alt1.x86_64

Видео процесса
https://youtu.be/5iIopP2Wdy4
Comment 1 Evgeny Shesteperov 2023-08-21 20:41:14 MSK
А она должна работать? Через RSAT не выходит.
Comment 2 Anton Shevtsov 2023-08-22 06:56:34 MSK
(Ответ для Evgeny Shesteperov на комментарий #1)
> А она должна работать? Через RSAT не выходит.

по логике должна. 
может это баг более высокого уровня - самбы?
Comment 3 Evgeny Shesteperov 2023-08-22 12:16:07 MSK
Версия

-   samba-4.17.10-alt1

Шаги воспроизведения

1.  Убедиться, что у пользователя есть группа
    Group Policy Creator Owners

    # samba-tool user getgroups testuser
    Domain Users
    Group Policy Creator Owners

2.  Войти доменным пользователем, запустить ADMC, добавить групповую
    политику.

- или -

    Отредактировать существующую.

Ожидаемый результат: создание / редактирование групповой политики.

Фактический результат: ошибка Не удалось создать GPO. Ошибка:
“Недостаточно прав.”.

Примечание 1: данная группа позволяет создавать и изменять созданные
владельцем политики.

Примечание 2: в RSAT не отображается пункт меню Создать.

Примечание 3: через оснастку Powershell выдаёт исключение:

    PS> New-GPO -Name TestGPO -Comment "This is a test GPO."
    New-GPO : Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED))
    строка:1 знак:8
    + New-GPO <<<<  -Name TestGPO -Comment "This is a test GPO."
        + CategoryInfo          : NotSpecified: (:) [New-GPO], UnauthorizedAccessException
        + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.GroupPolicy.Commands.NewGpoCommand

Воспроизводится в P10
Comment 4 Evgeny Shesteperov 2023-08-22 12:16:58 MSK
Created attachment 14178 [details]
RSAT
Comment 5 Evgeny Shesteperov 2023-08-22 12:17:31 MSK
Created attachment 14179 [details]
GPUI