无法在 Active Directory 中创建新用户(使用 Samba4 作为 DC 和 AD)

无法在 Active Directory 中创建新用户(使用 Samba4 作为 DC 和 AD)

我设置桑巴版本 4.1.17-Ubuntu域控制器和活动目录,一切似乎都很顺利,但当我尝试使用行政人员一个 Windows 10 PC 域成员上的帐户创建新用户在广告中使用Windows 活动目录用户和计算机管理工具,我收到此错误:

发生错误,请联系系统管理员

(当我尝试复制用户时也遇到同样的问题)。

但是当我使用samba 工具创建用户,它运行完美。

这是我的 smb.conf 文件:

[global]
        workgroup = EXAMPLE
        realm = EXAMPLE.LOCAL
        netbios name = LINUXSERVER
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/example.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No [Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

[Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

另一个相关问题:我也会提到这个问题,因为它可能有助于找到上一个问题的原因。当我尝试使用相同的 Windows 工具更改任何用户的密码时,我收到一条错误信息我的电脑我的用户必须具有委托权限。

并且可能还有其他一些东西不起作用,但至少到目前为止这只是我发现的。

所以我想要的是让该 Windows 工具以某种方式正常工作。

我尝试过的:

  • 我尝试删除管理员账户的配置文件。
  • 我尝试使用 samba-tool 创建具有管理员权限的新测试帐户,并尝试从该帐户创建用户,但没有成功。
  • 我尝试通过右键单击域名然后委托控制器来授予管理员用户委托权限,但这两个错误都没有成功。
  • 我尝试了使用和不使用最后一个块 [用户],(我实际上不明白它到底起了什么作用)。
  • 离开并重新加入域。

但所有这些都没有成功,我感谢您的任何帮助。

答案1

升级到 Samba 4.3。

该问题与旧版 Samba 的“备份密钥”子协议存在错误和/或不完整实现有关。您可能会注意到,由于同样的原因,凭据管理器也无法使用。

或者,使用较旧的操作系统来管理目录 - 例如,Server 2003 可以毫无问题地创建用户帐户,因为它尚未使用“备份密钥”协议。(我不确定 Server 2008 是否适用。)

不幸的是,4.3 还没有为 Ubuntu 打包——在 Debian 的“不稳定”版本中也仍然待定——然而,从源代码构建 Samba 实际上很容易。


至于[Users]块,它只是定义一个共享文件夹。

在 smb.conf 中,除了[global]对应于共享定义之外的每个部分 - “netlogon”和“sysvol”是特殊的 AD 共享,“Users”可能是自定义的。

答案2

使用 Windows 10 客户端的 Samba 4.1.17 的一个解决方法是更改注册表项

在以下位置添加一个名为 32 位 DWORDProtectionPolicy的值1

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

无需重启或注销/登录。对于我们来说,这也解决了远程桌面连接窗口的计算机名称字段中输入速度非常慢的问题,以及 ADUC 中的密码重置问题。

相关内容