Подразумевается, что члены группы "Group Policy Creator Owners" могут редактировать ранее созданные политики (Members in this group can modify group policy for the domain). Но это не так, членство в группе не дает этой возможности. Шаги воспроизведения, создать обычного пользователя, добавить в группу, получит тикет, зайти в admc и попытаться изменить что-то в любой политике. Ошибок не будет, но и результата тоже samba-tool user add gpoadmin1 Qwerty1 samba-tool group addmembers 'Group Policy Creator Owners' gpoadmin1 kinit gpoadmin1 admc rpm -q {samba,gpui,admc} samba-4.16.11-alt2.x86_64 gpui-0.2.32-alt1.x86_64 admc-0.13.0-alt1.x86_64 Видео процесса https://youtu.be/5iIopP2Wdy4
А она должна работать? Через RSAT не выходит.
(Ответ для Evgeny Shesteperov на комментарий #1) > А она должна работать? Через RSAT не выходит. по логике должна. может это баг более высокого уровня - самбы?
Версия - samba-4.17.10-alt1 Шаги воспроизведения 1. Убедиться, что у пользователя есть группа Group Policy Creator Owners # samba-tool user getgroups testuser Domain Users Group Policy Creator Owners 2. Войти доменным пользователем, запустить ADMC, добавить групповую политику. - или - Отредактировать существующую. Ожидаемый результат: создание / редактирование групповой политики. Фактический результат: ошибка Не удалось создать GPO. Ошибка: “Недостаточно прав.”. Примечание 1: данная группа позволяет создавать и изменять созданные владельцем политики. Примечание 2: в RSAT не отображается пункт меню Создать. Примечание 3: через оснастку Powershell выдаёт исключение: PS> New-GPO -Name TestGPO -Comment "This is a test GPO." New-GPO : Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED)) строка:1 знак:8 + New-GPO <<<< -Name TestGPO -Comment "This is a test GPO." + CategoryInfo : NotSpecified: (:) [New-GPO], UnauthorizedAccessException + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.GroupPolicy.Commands.NewGpoCommand Воспроизводится в P10
Created attachment 14178 [details] RSAT
Created attachment 14179 [details] GPUI