3 votes

Python Novice avatar

Accès insuffisant lors de la définition des attributs du système d'exploitation de la machine lors de la connexion d'un serveur Linux à Active Directory.

Demandé el 9 de Août, 2015
Quand la question a-t-elle été
2032 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de joindre un serveur Linux à Active Directory. Je veux définir les attributs Nom du système d'exploitation et Version du système d'exploitation lors de l'adhésion au domaine en utilisant cette commande :

/usr/bin/net ads join -k -S adserver.example.local osName=CentOS osVer=6.5

J'ai délégué des autorisations à un compte lié afin qu'il puisse lire/écrire les propriétés Nom du système d'exploitation et Version du système d'exploitation pour les objets informatiques. Lorsque j'essaie de rejoindre le domaine, je suis frappé par cette erreur :

Failed to join domain: failed to set machine os attributes: Insufficient access

Je n'ai aucun problème à me joindre au domaine lorsque je laisse de côté osName et osVer. Afin de vérifier que ce compte dispose des bonnes autorisations, j'ai défini manuellement ces deux propriétés sur les objets informatiques à l'aide d'ADSI.

Demandé el 9 de Août, 2015 par Python Novice

Réponses

Trop de publicités?

1voto

Thecamelcoder avatar
Thecamelcoder Points 11

Il est généralement plus facile de pré-stager le compte de l'ordinateur, et d'attribuer des autorisations/un propriétaire au compte qui le joindra au domaine.

Répondu el 9 de Août, 2015 par Thecamelcoder (11 Points )

0 votes

Avatar de Python Novice

J'ai automatisé le processus du côté Linux et ce que vous décrivez semble beaucoup plus compliqué que ce qui fonctionne actuellement.

Commenté el 12 de Août, 2015 par Python Novice

0 votes

Avatar de Thecamelcoder

Du point de vue de la sécurité, il est plus sûr d'avoir un compte d'ordinateur distinct pour le processus de préstockage ou le service Web que d'utiliser un compte d'approvisionnement partagé avec des autorisations élevées dans le domaine ou la forêt, dont les informations d'identification sont probablement enregistrées dans un fichier de configuration.

Commenté el 12 de Août, 2015 par Thecamelcoder

1voto

Python Novice avatar
Python Novice Points 341

L'analyse des paquets a permis d'apprendre que le compte utilisé pour rejoindre le domaine n'avait pas les autorisations nécessaires pour lire/écrire dans le Service Pack du système d'exploitation. Cet attribut était automatiquement défini par la version de samba qui était installée.

Répondu el 12 de Août, 2015 par Python Novice (341 Points )

0voto

jgstew avatar
jgstew Points 86

J'ai eu exactement le même problème, et il s'est avéré qu'il y a plus de permissions requises pour joindre un système Linux qu'un système Windows au domaine.

J'ai ajouté des permissions supplémentaires à mon compte de jointure de domaine en suivant ce guide : https://www.computertechblog.com/active-directory-permissions-required-to-join-linux-and-Windows-computers-to-a-domain/

Du lien ci-dessus :

Autorisations standard requises pour joindre des systèmes à AD (Linux et Windows)

  • Réinitialiser le mot de passe
  • Restrictions sur les comptes de lecture et d'écriture
  • Écriture validée du nom d'hôte DNS
  • Écriture validée dans le nom du principal du service
  • Lire et écrire les attributs des noms d'hôtes DNS

Autorisations supplémentaires requises par les machines Linux pour rejoindre AD (Linux)

  • Lire dNSHostName
  • Écrire dNSHostName
  • Lire msDS-AddtionalSamAccountName
  • Écrire msDS-AddtionalSamAccountName
  • Lecture de msDS-SupportedEncryptionTypes
  • Ecrire msDS-SupportedEncryptionTypes
  • Lire le système d'exploitation
  • Écriture du système d'exploitation
  • Lire la version du système d'exploitation
  • Écrire la version du système d'exploitation
  • Lire OperatingSystemServicePack
  • Écrire OperatingSystemServicePack
  • Lire servicePrincipalName
  • Écrire servicePrincipalName
  • Lire userAccountControl
  • Écriture de userAccountControl
  • Read userPrincipal Name
  • Écrire le nom du principal de l'utilisateur

NOTE : Vous devez afficher les permissions "spécifiques aux propriétés" pour voir ces permissions supplémentaires.

En rapport :

Répondu el 9 de Septembre, 2020 par jgstew (86 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X