Bug 52121 - Пользователю с делегированными правами невозможно создать УЗ компьютера
Summary: Пользователю с делегированными правами невозможно создать УЗ компьютера
Status: UNCONFIRMED
Alias: None
Product: Branch p10
Classification: Unclassified
Component: admc (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 normal
Assignee: qa-team@altlinux.org
QA Contact: qa-p10@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-11-20 14:28 MSK by Anton Shevtsov
Modified: 2024-11-24 03:00 MSK (History)
3 users (show)

See Also:


Attachments
Сообщение об ошибке (125.82 KB, image/jpeg)
2024-11-20 14:28 MSK, Anton Shevtsov
no flags Details

Note You need to log in before you can comment on or make changes to this bug.
Description Anton Shevtsov 2024-11-20 14:28:56 MSK
Created attachment 17227 [details]
Сообщение об ошибке

Пользователю с делегированными правами невозможно создать УЗ компьютера в рамках свои привилегий. В RSAT этот же пользователь может создавать УЗ компьютеров.

$ rpm -q admc libsasl2-3 gpupdate samba 
admc-0.17.1-alt1.x86_64
libsasl2-3-2.1.28-alt2.x86_64
gpupdate-0.11.3-alt1.noarch
samba-4.19.9-alt1.x86_64

$ cat /etc/os-release

NAME="ALT Workstation"
VERSION="10.4"
ID=altlinux
VERSION_ID=10.4
PRETTY_NAME="ALT Workstation 10.4 (Autolycus)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:workstation:10.4"
BUILD_ID="ALT Workstation 10.1"
HOME_URL="https://basealt.ru/"
BUG_REPORT_URL="https://bugs.altlinux.org/"
[la-vpv@dio-pav-1 ~]$ uname -r
5.10.209-std-def-alt2
[la-vpv@dio-pav-1 ~]$
Comment 1 Nikolai Zurabishvili 2024-11-22 18:39:28 MSK
Не удалось воспроизвести на сизифе и в p10

Стенды:
Workstation 10.2 x86-64
Server 10.2 office x86-64
Windows server 2012 R2

p10:
# rpm -q admc libsasl2-3 gpupdate samba
admc-0.17.0-alt1.x86_64
libsasl2-3-2.1.28-alt2.x86_64
gpupdate-0.10.6-alt1.noarch
samba-4.19.9-alt1.x86_64

sisyphus:
# rpm -q admc libsasl2-3 gpupdate samba
admc-0.17.1-alt1.x86_64
libsasl2-3-2.1.28-alt2.x86_64
gpupdate-0.11.4-alt1.noarch
samba-4.20.5-alt1.x86_64

Предусловия: Развернуть samba домен на сервере и ввести клиентов (workstation и windows server 2012)

Шаги:
1) На клиенте с Windows, войти в систему администратором домена, настроить RSAT -> Запустить программу «Active Directory — пользователи и компьютеры» -> Выбрать домен -> нажать ПКМ -> Делегирование управления...
-> Выбрать пользователя и делегировать задачи:
Создать особую задачу для делегирования: только следующими объектами в этой папке - Компьютер объектов
Разрешения: Полный доступ -> Готово
2) На втором клиенте с системой ALT, войти под доменным пользователем с делегированием, получить билет пользователя через Kerberos, открыть admc и проверить, что пользователь может создать объект компьютера

Объект компьютера создается корректно. Уточните пожалуйста, как делегировали права пользователю.