无法在Active Directory中创建新用户(将Samba4用作DC和AD)


1

我设置Samba版本4.1.17-Ubuntu作为域控制器和活动目录,一切似乎顺利,但当我尝试使用一个Windows 10 PC域成员上的管理员帐户在AD中使用Windows活动目录创建新用户用户和计算机管理工具,我收到此错误:

发生错误,请与系统管理员联系

(我在尝试复制用户时遇到同样的问题)。

但是当我使用samba-tool创建用户时,它可以完美地工作。

这是我的smb.conf文件:

[global]
        workgroup = EXAMPLE
        realm = EXAMPLE.LOCAL
        netbios name = LINUXSERVER
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/example.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No [Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

[Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

另一个相关的问题:我也会提到这个问题,因为它可能有助于找到上一个问题的原因。当我尝试使用相同的Windows工具更改任何用户的密码时,我收到有关我的计算机我的用户必须具有委派权限的错误。

并且可能有其他东西不起作用,但至少到现在为止,这正是我发现的。

所以我想要的是让Windows工具以某种方式正常工作。

我尝试了什么:

  • 我试图删除管理员帐户的配置文件。
  • 我尝试使用samba-tool创建一个具有管理员权限的新测试帐户,并尝试从该帐户创建用户但没有成功。
  • 我试图通过右键单击域名给管理员用户委派权限,然后委派控制器,但两个错误都没有成功。
  • 我尝试了没有最后一个块[用户],(我实际上不明白它究竟做了什么)。
  • 离开并重新加入域名。

所有这些都没有成功,我感谢你的任何帮助。

Answers:


0

升级到Samba 4.3。

该问题与旧版Samba版本具有的“备份密钥”子协议的错误和/或不完整实现有关。您可能会注意到Credential Manager也因为同样的原因而无法使用。

或者,使用较旧的操作系统来管理目录 - 例如,Server 2003可以毫无问题地创建用户帐户,因为它还没有使用“备份密钥”协议。(我不确定Server 2008.)

不幸的是,4.3还没有为Ubuntu打包 - 在Debian的“不稳定”中仍然存在 - 但是,从源代码构建Samba实际上很容易。


至于[Users]块,它只是定义一个共享文件夹。

在smb.conf中,除了[global]对应于共享定义的每个部分- “netlogon”和“sysvol”是特殊的AD共享,“Users”可能是自定义的。


我正在建立它,谢谢你的建议,我会告诉你,当我完成安装后会发生什么。
Mohammed Noureldin

那就做到了!! 它就像一个魅力!比你多了!(对不起,我仍然没有足够的声誉来评价它)。再次感谢。
Mohammed Noureldin

抱歉,您能告诉我在哪里可以找到Users文件夹吗?我应该手动添加它还是应该出现在某个地方?
Mohammed Noureldin

我尝试添加那个Users文件夹,但我没有权限访问它,你对该文件夹有什么想法吗?因为它似乎不是自定义文件夹
Mohammed Noureldin

@MohammedNoureldin:我不确定。它绝对是自定义配置,也许有人试图为用户设置个人文件存储,但实际上忘了它mkdir; 或者它可能是特定于Ubuntu的东西。(您可以通过\\linuxserver\UsersWindows 访问它。)无论哪种方式,AD DC都不需要该文件夹 - 只需要两个共享 “netlogon”和“sysvol”(主要是因为组策略设置存储在它们上)。
grawity 2016年

0

Samba 4.1.17与Windows 10客户端的解决方法是更改注册表项

添加一个名为ProtectionPolicyvalue 的32位DWORD 1

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

无需重启或注销/登录。与我们一起,这解决了远程桌面连接窗口的计算机名称字段中输入速度非常慢以及在ADUC中重置密码的问题。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.