Bug 47307 - Член группы Group Policy Creator Owners не может создавать / редактировать политики
Summary: Член группы Group Policy Creator Owners не может создавать / редактировать по...
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: samba (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Evgeny Sinelnikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2023-08-21 08:35 MSK by Anton Shevtsov
Modified: 2023-08-22 12:17 MSK (History)
3 users (show)

See Also:


Attachments
RSAT (71.78 KB, image/png)
2023-08-22 12:16 MSK, Evgeny Shesteperov
no flags Details
GPUI (64.76 KB, image/png)
2023-08-22 12:17 MSK, Evgeny Shesteperov
no flags Details

Note You need to log in before you can comment on or make changes to this bug.
Description Anton Shevtsov 2023-08-21 08:35:20 MSK
Подразумевается, что члены группы "Group Policy Creator Owners" могут редактировать ранее созданные политики (Members in this group can modify group policy for the domain). Но это не так, членство в группе не дает этой возможности.

Шаги воспроизведения, создать обычного пользователя, добавить в группу, получит тикет, зайти в admc и попытаться изменить что-то в любой политике. Ошибок не будет, но и результата тоже 

samba-tool user add gpoadmin1 Qwerty1
samba-tool group addmembers 'Group Policy Creator Owners' gpoadmin1
kinit gpoadmin1
admc

rpm -q {samba,gpui,admc}
samba-4.16.11-alt2.x86_64
gpui-0.2.32-alt1.x86_64
admc-0.13.0-alt1.x86_64

Видео процесса
https://youtu.be/5iIopP2Wdy4
Comment 1 Evgeny Shesteperov 2023-08-21 20:41:14 MSK
А она должна работать? Через RSAT не выходит.
Comment 2 Anton Shevtsov 2023-08-22 06:56:34 MSK
(Ответ для Evgeny Shesteperov на комментарий #1)
> А она должна работать? Через RSAT не выходит.

по логике должна. 
может это баг более высокого уровня - самбы?
Comment 3 Evgeny Shesteperov 2023-08-22 12:16:07 MSK
Версия

-   samba-4.17.10-alt1

Шаги воспроизведения

1.  Убедиться, что у пользователя есть группа
    Group Policy Creator Owners

    # samba-tool user getgroups testuser
    Domain Users
    Group Policy Creator Owners

2.  Войти доменным пользователем, запустить ADMC, добавить групповую
    политику.

- или -

    Отредактировать существующую.

Ожидаемый результат: создание / редактирование групповой политики.

Фактический результат: ошибка Не удалось создать GPO. Ошибка:
“Недостаточно прав.”.

Примечание 1: данная группа позволяет создавать и изменять созданные
владельцем политики.

Примечание 2: в RSAT не отображается пункт меню Создать.

Примечание 3: через оснастку Powershell выдаёт исключение:

    PS> New-GPO -Name TestGPO -Comment "This is a test GPO."
    New-GPO : Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED))
    строка:1 знак:8
    + New-GPO <<<<  -Name TestGPO -Comment "This is a test GPO."
        + CategoryInfo          : NotSpecified: (:) [New-GPO], UnauthorizedAccessException
        + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.GroupPolicy.Commands.NewGpoCommand

Воспроизводится в P10
Comment 4 Evgeny Shesteperov 2023-08-22 12:16:58 MSK
Created attachment 14178 [details]
RSAT
Comment 5 Evgeny Shesteperov 2023-08-22 12:17:31 MSK
Created attachment 14179 [details]
GPUI