Sou novo nisso e não sei mais onde pesquisar no Google sobre esse problema. Criei um ambiente de laboratório usando VMs e criei meu próprio samba-dc 4.22 autocompilado e limpo de acordo com os manuais no samba-wiki. Tudo parece estar funcionando (ou seja, DNS, gerenciamento de usuários e computadores, compartilhamentos, criação de políticas), exceto para aplicar políticas no cliente Win10 (e Win11 no futuro, Linux ainda não testado).
Eu instalei com sucesso o admx-templates de acordo com o manual no samba-wiki para UNIX e depois para Windows 10 (22H2) no diretório sysvol/Policies.
Mas embora o gpuupdate tenha sido concluído com sucesso, ele não tem efeito. Ao executar o 'Resultant Set of Policy', posso ver a captura de tela fornecida, que de acordo com o ID se refere à captura de tela da Default Domain Policy em erro/aviso
Mas quando eu verifico o sysvol-dir, a estrutura de pastas aparentemente não está completa. Portanto, a mensagem de erro dentro da captura de tela é um pouco enganosa, pois o acesso é "negado" já que as respectivas pastas e GptTmpl.inf não estão presentes para nenhuma das políticas criadas.
tree -d
├── PolicyDefinitions
│ ├── [abreviado - somente idiomas/localidades]
├── {199F4DF0-8969-4E75-861D-F9AB6C73770B}
│ ├── Máquina
│ └── Usuário
├── {31B2F340-016D-11D2-945F-00C04FB984F9}
│ ├── MÁQUINA
│ │ └── Scripts
│ └── USUÁRIO
└── {6AC1786C-016F-11D2-945F-00C04FB984F9}
├── MÁQUINA
└── USUÁRIO\
Não sei se isso tem correlação, mas toda vez que crio ou modifico um GP, o sysvolcheck me dá um erro que não consigo entender, mas o sysvolreset parece consertar isso - pelo menos de certa forma, então não estou mais recebendo erros.
samba-tool ntacl sysvolcheck -U administrator
ERRO(<class 'samba.provision.ProvisioningError'>): exceção não detectada - ProvisioningError: DB ACL no diretório GPO /usr/local/samba/var/locks/sysvol/ad-test.home/Policies/{199F4DF0-8969-4E75-861D-F9AB6C73770B} O:DAG:PAI:PAI(A;OICI;FA;;;DA)(A;OICI;FA;;;EA)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;DA)( A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;AU)(A;OICI;0x1200a9;;;ED)(A;OICI;0x1200a9;;;DU) não corresponde ao valor esperado O:DAG:DAD:PAR(A;OICI;FA;;;DA)(A;OICI;FA;;;EA)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;DA)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;AU)(A;OICI;0x1200 a9;;;ED)(A;OICI;0x1200a9;;;DU)(OA;OICI;;edacfd8f-ffb3-11d1-b41d-00 a0c968f939;;AU)(OA;OICI;;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;DU) do
arquivo de objeto GPO "/usr/local/samba/lib64/python3.9/site-packages/samba/netcmd/ init .py", linha 356, em _run
return self.run(*args, **kwargs)
Arquivo "/usr/local/samba/lib64/python3.9/site-packages/samba/netcmd/ntacl.py", linha 484, em run
provision.checksysvolacl(samdb, netlogon, sysvol,
Arquivo "/usr/local/samba/lib64/python3.9/site-packages/samba/provision/ init .py", linha 1885, em checksysvolacl
check_gpos_acl(sysvol, dnsdomain, domainsid, domaindn, samdb, lp,
Arquivo "/usr/local/samba/lib64/python3.9/site-packages/samba/provision/ init .py", linha 1835, em check_gpos_acl
check_dir_acl(policy_path, dsacl2fsacl(acl, domainsid), lp,
Arquivo "/usr/local/samba/lib64/python3.9/site-packages/samba/provision/ init .py", linha 1778, em check_dir_acl
raise ProvisioningError('%s ACL no diretório GPO %s %s não corresponde ao valor esperado %s do objeto GPO' % (acl_type(direct_db_access), path, fsacl_sddl, acl))