Bug 52121

Summary: Пользователю с делегированными правами невозможно создать УЗ компьютера
Product: Branch p10 Reporter: Anton Shevtsov <shevtsov.anton>
Component: admcAssignee: qa-team <qa-team>
Status: UNCONFIRMED --- QA Contact: qa-p10 <qa-p10>
Severity: normal    
Priority: P5 CC: max.gordeef, shevtsov.anton, zurabishvilinn
Version: не указана   
Hardware: x86_64   
OS: Linux   
Attachments:
Description Flags
Сообщение об ошибке none

Description Anton Shevtsov 2024-11-20 14:28:56 MSK
Created attachment 17227 [details]
Сообщение об ошибке

Пользователю с делегированными правами невозможно создать УЗ компьютера в рамках свои привилегий. В RSAT этот же пользователь может создавать УЗ компьютеров.

$ rpm -q admc libsasl2-3 gpupdate samba 
admc-0.17.1-alt1.x86_64
libsasl2-3-2.1.28-alt2.x86_64
gpupdate-0.11.3-alt1.noarch
samba-4.19.9-alt1.x86_64

$ cat /etc/os-release

NAME="ALT Workstation"
VERSION="10.4"
ID=altlinux
VERSION_ID=10.4
PRETTY_NAME="ALT Workstation 10.4 (Autolycus)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:workstation:10.4"
BUILD_ID="ALT Workstation 10.1"
HOME_URL="https://basealt.ru/"
BUG_REPORT_URL="https://bugs.altlinux.org/"
[la-vpv@dio-pav-1 ~]$ uname -r
5.10.209-std-def-alt2
[la-vpv@dio-pav-1 ~]$
Comment 1 Nikolai Zurabishvili 2024-11-22 18:39:28 MSK
Не удалось воспроизвести на сизифе и в p10

Стенды:
Workstation 10.2 x86-64
Server 10.2 office x86-64
Windows server 2012 R2

p10:
# rpm -q admc libsasl2-3 gpupdate samba
admc-0.17.0-alt1.x86_64
libsasl2-3-2.1.28-alt2.x86_64
gpupdate-0.10.6-alt1.noarch
samba-4.19.9-alt1.x86_64

sisyphus:
# rpm -q admc libsasl2-3 gpupdate samba
admc-0.17.1-alt1.x86_64
libsasl2-3-2.1.28-alt2.x86_64
gpupdate-0.11.4-alt1.noarch
samba-4.20.5-alt1.x86_64

Предусловия: Развернуть samba домен на сервере и ввести клиентов (workstation и windows server 2012)

Шаги:
1) На клиенте с Windows, войти в систему администратором домена, настроить RSAT -> Запустить программу «Active Directory — пользователи и компьютеры» -> Выбрать домен -> нажать ПКМ -> Делегирование управления...
-> Выбрать пользователя и делегировать задачи:
Создать особую задачу для делегирования: только следующими объектами в этой папке - Компьютер объектов
Разрешения: Полный доступ -> Готово
2) На втором клиенте с системой ALT, войти под доменным пользователем с делегированием, получить билет пользователя через Kerberos, открыть admc и проверить, что пользователь может создать объект компьютера

Объект компьютера создается корректно. Уточните пожалуйста, как делегировали права пользователю.