Как устранить проблему создания файлов в сетевой папке?

rPman, Что там ковырять? Достаточно в сетевую шару заглянуть, чтобы увидеть, что перенаправляемые папки в ней находились. trunas scale на дебиане. Версия на truenas sambы в данный момент 4.18.9. Я вывод прав с винды прикреплял. И даже указал на то, что если сменить ip в политике, то проблема исчезает на какое то время. А так же, с другой машины этот же пользователь имеет нужный доступ к этим файлам. Не нужно много ума, чтобы убедиться в расположении файлов.
На данный момент ip в политике перенаправляемых папок изменены на FQDN и на данный момент эта проблема на какое то время ушла (хотелось бы навсегда). Но потянула другую проблему за собой. Файлы из сетевой папки при входе пользователя перемещаются в ту же сетевую папку и первый вход с обновленной политикой очень замедляется на Folder Redirection.

Права шары из gui хорошо настраиваются.

Как устранить проблему создания файлов в сетевой папке?

Машины доменные. Пользователи доменные. TrueNas в домене но по традиции, в политиках указали шару по IP.

Как устранить проблему создания файлов в сетевой папке?

Например, если оно опять отвалится, но уже на другой станции. Как я писал ранее, уже не с первой рабочей станцией такое произошло. Правда, на предыдущей, отвал был у всех пользователей с небольшим интервалом.

Как устранить проблему создания файлов в сетевой папке?

Alexey Dmitriev, с любым изменением адреса шары с проблемной станции с проблемного пользователя входит и позволяет делать в нужной директории все, что угодно. Хоть другой IP, хоть netbios, хоть FQDN (в данном случае его и установили в политике, для временного решения проблемы).
Запретов нет, нужные права есть. К первому посту вывод прав (icacls ) прикреплен.
Effective Access пока не проверили, за станцией работают и адрес перемещаемой папки сейчас задан FQDN, поэтому на данный момент этот пользователь может работать со своей директорией. Вернуть ip адрес для проверки получится только после рабочего дня.

Как устранить проблему создания файлов в сетевой папке?

На счет понижения до NTLM не в курсе. Только сейчас заметил, что подключении rdp по IP а не имени, тоже проверка через kerberos не проходит. Исторически сложилась IP адресация.
Но вот вопрос. Как это может данную проблему вызвать, с учетом того, что пользователь в итоге доступ к своей сетевой директории получает, но не может только создать файл, а все остальные права отрабатывают? И то, что с другим IP такая же беда не вылезает? А пока, конечно же, сменили IP на netbios имя в политиках.

Как устранить проблему создания файлов в сетевой папке?

Если бы это было проще, давно перевели бы. У нас используются в работе видео ролики, которые терминальный сервер хорошо нагрузят, а так же ПО с интерактивными досками, которое с rdp никак не дружит. Я уж не говорю о каких то программах спускаемых сверху.
Образовательная организация. Роспотреб заставил бегать педагогов по кабинетам, а не детям ходить.
По поводу перемещения профилей, на гигабитных портах первый вход занимает 5 секунд. Последующие входы вообще не занимаются процедурой создания профилей. Пользователь даже не замечает.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Если создать через gpmc в политикой, конфигурация пользователя, оставив пользователя %LogonDomain%\%LogonUser% , то при старте скрипта, появляется запрос логина и пароля администратора (что является проблемой). Если поставить галочку "Выполнить с наивысшими правами", проблема та же. Если в скрипте указать тихий режим, то в планировщике появляется результат "Оператор или администратор отклонил запрос". Если делать в конфигурации компьютера, от пользователя NT AUTHORITY\SYSTEM, то тоже самое "Оператор или администратор отклонил запрос" Но появляется проблема в том, что некоторые задачи нужно отобразить на рабочем столе пользователя, но так, чтобы задача была запущена с админ правами.
А еще, почему то, если выбрать "Выполнять вне зависимости от регистрации пользователя", то задание вообще не появляется в планировщике, какой бы ни был пользователь выбран.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Alexey Dmitriev,

psexec \\DESKTOP-4H0CJMC -s -i C:/test/install.bat

PsExec v2.43 - Execute processes remotely
Copyright (C) 2001-2023 Mark Russinovich
Sysinternals - www.sysinternals.com



C:\Windows\system32>C:\test\setup.exe /configure

По крайней мере, так запускается. И судя по процессам на самой станции, установка от LOCAL SYSTEM идет.
А вот через планировщик, через групповые политики, хрен там. Там в событиях ошибка

Элемент предпочтения пользователь "app2" в объекте групповой политики "msiexec {8D1495D9-73D7-4719-A239-4227BB12691C}" не применен по причине ошибки с кодом '0x80070534 Сопоставление между именами пользователей и идентификаторами безопасности не было произведено.' Эта ошибка была отключена.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Самбу если подвязываешь к домену, то она даже при гостевом доступе запрашивает права. Самба умеет с пользователями винды и домена работать, т.е. на каталоги ntfs права назначать. Но только домена. Гостевой доступ она сразу убиает.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Alexey Dmitriev, еще бы знать, как от LOCAL SYSTEM запустить через psexec..

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Если бы все так просто было.
Если стартовать прямиком с рабочей станции, хоть локальным администратором, хоть админом домена, то все работает. Но дело то в том, что это плохой вариант, бегать по сотням рабочим станциям.
Если через групповую политику создавать задачу, при выборе запуска от обычного пользователя, скрипт запускается, но запрашивает логин и пароль админа. Если запускать от админа домена, то ничего не запускается и в событиях на рабочей станции, появляется варнинг на политике планировщика, с текстом "отказано в доступе" с кодом 5. Это при том, что администратор домена, находится в разных группах администраторов домена, а группа администраторов домена на локальном компьютере находится в группе локальных администраторов. Так же были попытки выставить запуск от SYSTEM, LOCAL SYSTEM и еще кучей разных. Если с администратора домена появляется хотя бы ошибка "отказано в доступе", то с другими вообще что то типа "Сопоставление между именами пользователей и идентификаторами безопасности не было произведено".
Все еще осложняется тем, что контролер домена samba. А рабочая станция на windows 11. Хотя, пишут, что это не должно никак влиять.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Роман Безруков, на батники, которые не требуют права админ, работают. А вот которые требуют, беда.. С них я начинал до планировщика. Перечитая кучу страниц гугл, выяснилось, что многие рекомендую планировщик, дабы не сталкиваться с проблемами логон скриптов. Не говоря уже о том, что в теории эти скрипты должны быть на сетевой шаре с samba и как к ней привязать администраторов винды..

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Роман Безруков, небольшая опечатка. Поправил. На суть проблемы не влияет. Планировщик все равно, даже не запускает bat файл.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Alexey Dmitriev, если запускаем от администратора домена, получаем

PsExec v2.43 - Execute processes remotely
Copyright (C) 2001-2023 Mark Russinovich
Sysinternals - www.sysinternals.com

„«п Їа®¤®«¦Ґ­Ёп ­ ¦¬ЁвҐ «оЎго Є« ўЁиг . . .
C:\uninstall2.bat exited on DESKTOP-4H0CJMC with error code 0.

Как правильно создать назначенное задание, чтобы работало с привилегиями?

Alexey Dmitriev, в бат файле ничего интересного, кроме заготовки для теста, которую повторно не сложно развернуть для теста. После срабатывания, там будет совсем другое..

@echo off
C:\Windows\System32\MsiExec.exe /I{90160000-008F-0000-1000-0000000FF1CE} /qn

Через политику с назначенным заданием, в конфигурации пользователя, задание с наивысшими правами от LOCAL SYSTEM, так же получаем "Сопоставление между именами пользователей и идентификаторами безопасности не было произведено".

Как правильно создать назначенное задание, чтобы работало с привилегиями?

bat файл на рабочей станции. Ошибка доступа появляется не на файл, а на само задание. С наивысшими правами от SYSTEM, только с другой ошибкой, которая гласит "Сопоставление между именами пользователей и идентификаторами безопасности не было произведено".

Как раздать интернет используя netns и iptables?

Это хорошая идея.

Как раздать интернет используя netns и iptables?

ValdikSS, netns используется потому, что через него заварачивается весь трафик в приложение, которое не умеет с разными ip выходить наружу. Запускается оно внутри netns и уже с определенными правилами заворачивается на него. На схеме это не указано. Естественно, правила forward отличаются от реальных. И в некоторых случаях, трафик должен от разных ip ходить разными сетями.

Как раздать интернет используя netns и iptables?

Руслан Федосеев, спасибо. Трафик побежал.
Только одна проблема появляется, после добавления правила (ip rule add from 192.168.1.0/24 table t1) и добавления маршрута, например ip route add default via 10.0.2.1 table t1, отваливается любое подключение из локальной сети к 192.168.1.1 в данном случае ssh и http.

Как раздать интернет используя netns и iptables?

А как маршруты с разных ip гнать на разные netns? Знаю как добавить мпаршрут через конкретный шлюз, но как для конкретного ip из локальной сети - не знаю.