И тъй братя и ТБС!
Ситуацията е следната:
Сървър под Gentoo, Samba Primary Domain Controller, седем работни станции под Windows XP, Sp1a.
Управление на потребителите с tdbsam и създаване, управление и връзка между Windows/Linux потребители - чрез командата net. Нямам нито нуждата (базата с данни за потребителите няма да бъде дистрибутирана между домейни - домейна е един и така ще си остане) нито желанието да пускам ldap или winbind.
Реших да използвам Nt4 вариант за Group Policy - чрез NTConfig.POL във /var/lib/samba/netlogon.
Резултатът беше безкрайно иненадващ. След създаване на NTConfig.POL и логването с потребител от определена група настройките са така както трябва да бъдат, но при второ влизане в системата на потребителя го връща сякаш е с настройки като тези на Default User.
Още по-странното е, че при създаване (или малка промяна на NTConfig.POL) Тази промяна се отразява на случаен принцип, действа веднъж, след продължителен период на рестартиране и мъки, но при следващо влизане - отново сме с правата и настройките на Default User.
Това което отхвърлих като вероятни причини:
1. NTConfig.POL е видим и изпълним
2. Лоши adm templates - използвам poledit.exe, common.adm, winnt.adm от sp61a на NT4.0 и custom.adm от
тук (препоръчан линк в Samba Official Howto)
3. Промяна от service pack-а - оказа се, че няма връзка - получава се същата ситуация при добавяне на машина към домейна на машина без sp1a
4. "Татуиране" на регистъра на уиндоуса - всички политики в NTConfig.POL не са оставени по подразбиране.
В крайна сметка се оказа проблем точно с регистрите на уиндоус, но от друг характер. Според
този документ на microsoft трябва да се промени този registry key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update
който може да има три стойности:
0 - не се използват политики - машината въвежда local policies.
1 - автоматично използване на политики - от домейна и услугата netlogon
2 - ръчно - чрез добавяне на стринг NetworkPath описващ пътя до NTConfig.POL.
Оказа се, че точно това е и големия проблем след вход и изход (logon/logoff) на който и да е потребител (независимо от домейна или от машината) тази променлива придобива стойност 0 при logoff на потребителя.
При следния подход:
Влизам като администратор променям я на 1 с regedit, излизам и логвам като домейн потребител - уиндоуса прилага политиката описана в NTConfig.POL, но отново променя стойността й на 0.
Откровенно нищо не разбирам от редактиране, зависимости и пр. на windows registry и не мога да си обясня подобно нелогично поведение. Няма опция която би могла да променя тази променлива и в adm templates - няма и никаква логика да има - все едно NTConfig.POL е за еднократна употреба.
Та братя и ТБС - двудневната ми битка с този проблем приближава своя край, но явно съм настъпил малко странна мотика, защото няма много информация за подобни проблеми, а тази която има е слабо използваема.
Бих се радвал на всякаква информация, мнение, линкче, насоки или просто едно рамо.