Bug 47307 - Член группы Group Policy Creator Owners не может создавать / редактировать политики
Summary: Член группы Group Policy Creator Owners не может создавать / редактировать по...
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: samba (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Evgeny Sinelnikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2023-08-21 08:35 MSK by Anton Shevtsov
Modified: 2023-08-22 12:17 MSK (History)
3 users (show)

See Also:

Attachments
RSAT (71.78 KB, image/png)
2023-08-22 12:16 MSK, Evgeny Shesteperov 		no flags Details
GPUI (64.76 KB, image/png)
2023-08-22 12:17 MSK, Evgeny Shesteperov 		no flags Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Anton Shevtsov 2023-08-21 08:35:20 MSK 
Подразумевается, что члены группы "Group Policy Creator Owners" могут редактировать ранее созданные политики (Members in this group can modify group policy for the domain). Но это не так, членство в группе не дает этой возможности.

Шаги воспроизведения, создать обычного пользователя, добавить в группу, получит тикет, зайти в admc и попытаться изменить что-то в любой политике. Ошибок не будет, но и результата тоже 

samba-tool user add gpoadmin1 Qwerty1
samba-tool group addmembers 'Group Policy Creator Owners' gpoadmin1
kinit gpoadmin1
admc

rpm -q {samba,gpui,admc}
samba-4.16.11-alt2.x86_64
gpui-0.2.32-alt1.x86_64
admc-0.13.0-alt1.x86_64

Видео процесса
https://youtu.be/5iIopP2Wdy4
Comment 1 Evgeny Shesteperov 2023-08-21 20:41:14 MSK 
А она должна работать? Через RSAT не выходит.
Comment 2 Anton Shevtsov 2023-08-22 06:56:34 MSK 
(Ответ для Evgeny Shesteperov на комментарий #1)
> А она должна работать? Через RSAT не выходит.

по логике должна. 
может это баг более высокого уровня - самбы?
Comment 3 Evgeny Shesteperov 2023-08-22 12:16:07 MSK 
Версия

-   samba-4.17.10-alt1

Шаги воспроизведения

1.  Убедиться, что у пользователя есть группа
    Group Policy Creator Owners

    # samba-tool user getgroups testuser
    Domain Users
    Group Policy Creator Owners

2.  Войти доменным пользователем, запустить ADMC, добавить групповую
    политику.

- или -

    Отредактировать существующую.

Ожидаемый результат: создание / редактирование групповой политики.

Фактический результат: ошибка Не удалось создать GPO. Ошибка:
“Недостаточно прав.”.

Примечание 1: данная группа позволяет создавать и изменять созданные
владельцем политики.

Примечание 2: в RSAT не отображается пункт меню Создать.

Примечание 3: через оснастку Powershell выдаёт исключение:

    PS> New-GPO -Name TestGPO -Comment "This is a test GPO."
    New-GPO : Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED))
    строка:1 знак:8
    + New-GPO <<<<  -Name TestGPO -Comment "This is a test GPO."
        + CategoryInfo          : NotSpecified: (:) [New-GPO], UnauthorizedAccessException
        + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.GroupPolicy.Commands.NewGpoCommand

Воспроизводится в P10
Comment 4 Evgeny Shesteperov 2023-08-22 12:16:58 MSK 
Created attachment 14178 [details]
RSAT
Comment 5 Evgeny Shesteperov 2023-08-22 12:17:31 MSK 
Created attachment 14179 [details]
GPUI