无法在Active Directory中创建新用户（将Samba4用作DC和AD）

我设置Samba版本4.1.17-Ubuntu作为域控制器和活动目录，一切似乎顺利，但当我尝试使用一个Windows 10 PC域成员上的管理员帐户在AD中使用Windows活动目录创建新用户用户和计算机管理工具，我收到此错误：

发生错误，请与系统管理员联系

（我在尝试复制用户时遇到同样的问题）。

但是当我使用samba-tool创建用户时，它可以完美地工作。

这是我的smb.conf文件：

[global]
        workgroup = EXAMPLE
        realm = EXAMPLE.LOCAL
        netbios name = LINUXSERVER
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/example.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No [Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

[Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

另一个相关的问题：我也会提到这个问题，因为它可能有助于找到上一个问题的原因。当我尝试使用相同的Windows工具更改任何用户的密码时，我收到有关我的计算机和我的用户必须具有委派权限的错误。

并且可能有其他东西不起作用，但至少到现在为止，这正是我发现的。

所以我想要的是让Windows工具以某种方式正常工作。

我尝试了什么：

• 我试图删除管理员帐户的配置文件。
• 我尝试使用samba-tool创建一个具有管理员权限的新测试帐户，并尝试从该帐户创建用户但没有成功。
• 我试图通过右键单击域名给管理员用户委派权限，然后委派控制器，但两个错误都没有成功。
• 我尝试了没有最后一个块[用户]，（我实际上不明白它究竟做了什么）。
• 离开并重新加入域名。

所有这些都没有成功，我感谢你的任何帮助。

升级到Samba 4.3。

该问题与旧版Samba版本具有的“备份密钥”子协议的错误和/或不完整实现有关。您可能会注意到Credential Manager也因为同样的原因而无法使用。

或者，使用较旧的操作系统来管理目录 - 例如，Server 2003可以毫无问题地创建用户帐户，因为它还没有使用“备份密钥”协议。（我不确定Server 2008.）

不幸的是，4.3还没有为Ubuntu打包 - 在Debian的“不稳定”中仍然存在 - 但是，从源代码构建Samba实际上很容易。

至于[Users]块，它只是定义一个共享文件夹。

在smb.conf中，除了[global]对应于共享定义的每个部分- “netlogon”和“sysvol”是特殊的AD共享，“Users”可能是自定义的。

Samba 4.1.17与Windows 10客户端的解决方法是更改注册表项：

添加一个名为ProtectionPolicyvalue 的32位DWORD 1：

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

无需重启或注销/登录。与我们一起，这解决了远程桌面连接窗口的计算机名称字段中输入速度非常慢以及在ADUC中重置密码的问题。