Re: PDC Samba + Open LDAP. Los usuarios no pueden ejecutar aplicaciones

[Federico Alberto Sayd <fsayd@uncu.edu.ar>]

El 29/10/10 13:25, Yo mismo escribió:
> Federico Alberto Sayd wrote:
>    
> > El 29/10/10 13:12, Yo mismo escribió:
> >      
> > > Hola a todos!!!
> > >
> > > He configurado un PDC con Debian Lenny con Samba y Open LDAP. En
> > > principio
> > > el PDC funciona sin problemas. En la red hay 4 Windws XP Professional y
> > > un
> > > Vista Ultimate. El caso es que a pesar de que todas las carpetas
> > > compartidas
> > > se crean correctamente y los usuarios se logean sin problemas (no tengo
> > > el
> > > recurrente problema de que windows no encuentra el perfil móvil), cuando
> > > los
> > > usuarios se loguean en el dominio a través de Windows XP la única
> > > aplicación
> > > que per mite ejecutar es el explorer. En windows Vista no hay ningún
> > > problema.
> > >
> > > He hecho diferentes pruebas, he dado permisos de lectura y ejecución para
> > > el
> > > disco C en una máquina a los usuarios de dominio y control total a
> > > carpetas
> > > como la del Firefox para ver si así se solucionaba algo, pero recibo el
> > > mismo mensaje (el mismo en todos los equipos con XP) "Esta operación ha
> > > sido
> > > cancelada debido a las restricciones especificadas para este equipo". Las
> > > políticas están por defecto, al igual que la configuraciónde seguridad
> > > (no
> > > he hecho ninguna modificación a través de gpedit.msc ni de secpol.msc),
> > > ni
> > > los equipos han estado conectados antes a otro dominio. La verdad es que
> > > no
> > > sé qué más mirar y en internet no he encontrado ninguna solución válida.
> > >
> > > ¿Alguien se ha encontrado con un problema similar?
> > >
> > > Gracias por vuestra ayuda
> > >
> > >        
> > No tienes ningún archivo de políticas en tu recurso netlogon? XP hace
> > caso de las viejas políticas que no se manejaban por Active Directory.
> > Creería que vista no hace caso de dichas políticas. Por defecto, estas
> > viejas políticas se configuraban en un archivo llamado NTConfig.POL.
> >
> > Saludos
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> > listmaster@lists.debian.org
> > Archive: [🔎] 4CCAF565.6060304@uncu.edu.ar">http://lists.debian.org/[🔎] 4CCAF565.6060304@uncu.edu.ar
> >
> >
> >
> >      
> Sí, acabo de generar un ntconfig.pol, pero lo he dejado todo desmarcado y
> sigue haciendo lo mismo. También probé a hacerlo trabajar sin el
> ntconfig.pol, pero nada.
>
> Gracias por tu respuesta
>    
Tienes que tener cuidado porque el método de NTConfig.POL deja deja los 
cambios escritos en el registro de cada estación de trabajo. 
Generalmente para solucionarlo hay que generar otro archivo de 
configuración con las opción sin configurar.

De la documentación de samba¹:

"The *grayed out* state simply means that the Policy will be overlooked. 
For example, if the computer does not have the registry setting enabled, 
it still will not be enabled, and vice-versa.

The *checked* state means that the policy will be in effect on the computer

While the *cleared* state means that the registry setting will be 
cleared (if in fact it was enabled in the first place).

It might sound a little odd that there are 3 states for the policies, 
but once you throw in different groups you will quickly see why there 
are 3 states. A brief example of using a cleared state is to enable the 
policy of "Disable registry editing tools" to the Default User 
Container, but than clearing that policy for the Domain Administrators 
container, thus allowing anyone in the Domain Admin group access to 
registry editing tools, while other users that are not a Domain Admin 
will not be able to launch any registry editor."

Saludos

[1]http://wiki.samba.org/index.php/Implementing_System_Policies_with_Samba