Автор Тема: Не запускается скрипт, который распространяется через Групповые Политики.  (Прочитано 1222 раз)

Оффлайн kaw1994

  • Начинающий
  • *
  • Сообщений: 10
Не запускается скрипт, который распространяем через Групповые Политики на компьютер (Startup)
[root@apz-ust-uit-004 ~]# gpupdate-setup status
enabled


[root@apz-ust-uit-004 ~]# systemctl status gpupdate-scripts-run.service
● gpupdate-scripts-run.service - Running Group Policy Scripts
Loaded: loaded (/lib/systemd/system/gpupdate-scripts-run.service; enabled; vendor preset: disabled)
Active: active (exited) since Tue 2024-06-18 09:15:42 MSK; 6min ago
Process: 3298 ExecStart=/usr/libexec/gpupdate/scripts_runner --mode MACHINE --action STARTUP (code=exited, status=0/SUCCESS)
Main PID: 3298 (code=exited, status=0/SUCCESS)
CPU: 23ms
июн 18 09:15:42 apz-ust-uit-004.insite.oaoapz.com systemd1: Starting Running Group Policy Scripts...
июн 18 09:15:42 apz-ust-uit-004.insite.oaoapz.com systemd1: Finished Running Group Policy Scripts.


[root@apz-ust-uit-004 ~]# ls -Rl /var/cache/gpupdate_scripts_cache/
/var/cache/gpupdate_scripts_cache/:
итого 8
drwxr-xr-x 3 root root 4096 июн 18 09:17 machine
drwxr-xr-x 2 root root 4096 июн 17 14:34 users
/var/cache/gpupdate_scripts_cache/machine:
итого 4
drwxr-xr-x 2 root root 4096 июн 18 09:17 STARTUP
/var/cache/gpupdate_scripts_cache/machine/STARTUP:
итого 0
/var/cache/gpupdate_scripts_cache/users:
итого 0
[root@apz-ust-uit-004 ~]#

При этом видно что в папке STARTUP нет скриптов.



DEBUG:root:2024-06-18 09:24:32.061|[D00143]| Запускаем apt-get update|{'Найдено': ['http://192.168.100.166', 'p10/branch/noarch/classic']}
DEBUG:root:2024-06-18 09:24:32.061|[D00143]| Запускаем apt-get update|{'Найдено': ['http://192.168.100.166', 'p10/branch/noarch/classic']}
DEBUG:root:2024-06-18 09:24:32.061|[D00143]| Запускаем apt-get update|{'Чтение': ['списков']}
DEBUG:root:2024-06-18 09:24:32.061|[D00143]| Запускаем apt-get update|{'Построение': ['дерева']}
DEBUG:root:2024-06-18 09:24:32.061|[D00143]| Запускаем apt-get update|{'': []}
2024-06-18 09:24:32.069|[D00121]| Запуск применение настроек NTP для машины|{}
2024-06-18 09:24:32.069|[D00208]| Не найдено записей по указанному пути|{'path': 'Software\Policies\Microsoft\W32time\Parameters\Type'}
2024-06-18 09:24:32.070|[D00208]| Не найдено записей по указанному пути|{'path': 'Software\Policies\Microsoft\W32time\Parameters\NtpServer'}
2024-06-18 09:24:32.070|[D00208]| Не найдено записей по указанному пути|{'path': 'Software\Policies\Microsoft\W32time\TimeProviders\NtpServer\Enabled'}
2024-06-18 09:24:32.070|[D00208]| Не найдено записей по указанному пути|{'path': 'Software\Policies\Microsoft\W32time\TimeProviders\NtpClient\Enabled'}
2024-06-18 09:24:32.070|[D00134]| Запуск применение настроек Envvar для машины|{}
2024-06-18 09:24:32.070|[D00187]| Запуск применение настроек сетевых каталогов для машины|{}
2024-06-18 09:24:32.070|[D00160]| Очистка каталога машинных скриптов|{}
2024-06-18 09:24:32.071|[D00156]| Подготовка к применению машинных скриптов|{}
2024-06-18 09:24:32.071|[E00024]| Ошибка во время работы applier для машины|{'applier_name': 'scripts', 'msg': "'Script' object has no attribute 'number'"}
2024-06-18 09:24:32.071|[D00167]| Запуск применение настроек копирования файлов для машины|{}
2024-06-18 09:24:32.099|[D00192]| Обновление файла|{'File': PosixPath('/gpupdate/rsyslog_configs/00-siem.rules')}
2024-06-18 09:24:32.112|[D00192]| Обновление файла|{'File': PosixPath('/gpupdate/rsyslog_configs/100-siem.conf')}
2024-06-18 09:24:32.124|[D00192]| Обновление файла|{'File': PosixPath('/gpupdate/rsyslog_configs/auditd.conf')}
2024-06-18 09:24:32.138|[D00192]| Обновление файла|{'File': PosixPath('/gpupdate/rsyslog_configs/install_rsyslog.sh')}
2024-06-18 09:24:32.151|[D00192]| Обновление файла|{'File': PosixPath('/gpupdate/rsyslog_configs/journald.conf')}
2024-06-18 09:24:32.164|[D00192]| Обновление файла|{'File': PosixPath('/gpupdate/rsyslog_configs/rsyslog.conf')}
2024-06-18 09:24:32.178|[D00192]| Обновление файла|{'File': PosixPath('/gpupdate/rsyslog_configs/syslog.conf')}
2024-06-18 09:24:32.178|[D00171]| Запуск применение настроек ini файлов для машины|{}
2024-06-18 09:24:32.178|[D00198]| Запуск применения настроек KDE для машины|{}
2024-06-18 09:24:32.179|[W00024]| Не удалось получить uid|{'uid': None}
2024-06-18 09:24:32.183|[D00209]| Создание ini-файла с политиками для dconf|{'path': '/etc/dconf/db/policy.d/policy.ini'}
2024-06-18 09:24:32.230|[D00206]| База данных dconf успешно обновлена|{'outpupt': ''}

Все остальные политики работают.
2024-06-18 09:24:32.070|[D00160]| Очистка каталога машинных скриптов|{}
2024-06-18 09:24:32.071|[D00156]| Подготовка к применению машинных скриптов|{}
2024-06-18 09:24:32.071|[E00024]| Ошибка во время работы applier для машины|{'applier_name': 'scripts', 'msg': "'Script' object has no attribute 'number'"}


Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 438
Присоединяюсь, та же ошибка. Сегодня сам решил сделать монтирование сетевых дисков через gio mount ибо то что имеется средствами autofs баговано и глючно. В багзиллу писал что надо убрать параметр монтирования cifsacl, не убирают. Щас ещё выяснилось что если у юзера на КД логин user а он вошел в систему как User, то шиш ему а не сетевые диски. При этом как ему объяснить что логин не правильный, ведь в систему он вошел. Подумываю уже разместить на неком сервере каталоги со скриптами юзерными и машинными, которые будут подтягиваться по ssh при старте компа и логине пользователя а не вот это вот всё. В винде то эти политики никогда нормально не работали, так они их ещё в линукс притащили.
Разбаньте в телеге шакалы!!!

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 689
Присоединяюсь, та же ошибка. Сегодня сам решил сделать монтирование сетевых дисков через gio mount ибо то что имеется средствами autofs баговано и глючно. В багзиллу писал что надо убрать параметр монтирования cifsacl, не убирают. Щас ещё выяснилось что если у юзера на КД логин user а он вошел в систему как User, то шиш ему а не сетевые диски. При этом как ему объяснить что логин не правильный, ведь в систему он вошел. Подумываю уже разместить на неком сервере каталоги со скриптами юзерными и машинными, которые будут подтягиваться по ssh при старте компа и логине пользователя а не вот это вот всё. В винде то эти политики никогда нормально не работали, так они их ещё в линукс притащили.
Как я уже успел ознакомиться, то средство которое подключает сетевые диски базируется на auto fs. gio mount на K не используется. мне понравился pam_mount, но не нравиться его влияния из-за ssh(папка не в каталоге пользователя).
Логин в версии Lithgt dm обновлённый обратите внимание, также теперь там wi-fi. Также обычно при неправильном логине пк обычно не выключается. Также в sddm виновата мышь, которая реагирует на нажатие иконки аватара.
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 438
За сегодня я написал собственный механизм распространения собственных политик, и после догадался что логон-скрипт надо положить сюда:
/var/lib/samba/sysvol/domain.local/Policies/{ТутМногоВсякихБуковТаЦифер}/User/Scripts/Logon

Отработало без ошибок.
Разбаньте в телеге шакалы!!!

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 438
Как я уже успел ознакомиться, то средство которое подключает сетевые диски базируется на auto fs. gio mount на K не используется. мне понравился pam_mount, но не нравиться его влияния из-за ssh(папка не в каталоге пользователя).
Логин в версии Lithgt dm обновлённый обратите внимание, также теперь там wi-fi. Также обычно при неправильном логине пк обычно не выключается. Также в sddm виновата мышь, которая реагирует на нажатие иконки аватара.

Я дак вообще взял Альт рабочая станция, выпилил оттуда МАТЕ и прочее ненужное, накатил xfce4 и всё четко. Лицензии это не нарушает, а поддержка нам не нужна хоть и идёт в комплекте. У autofs по дефолку в альте стоит 60 сек через которые шара закрывается, не смотря на то что некоторые каталоги в ней открыты thunarom и thunar зависает намертво.  Я этот таймаут убрал в 0:

/usr/share/gpupdate/templates/autofs_auto.j2:
{{ home_dir }}/{{mntTarget}} {{ mount_file }} -t 0  --browse

Затем выпилил cifsacl из:

/usr/share/gpupdate/templates/autofs_mountpoints.j2:
{%- for drv in drives %}
{% if (drv.thisDrive != 'HIDE') %}
{% if drv.label %}
"{{ drv.label }}" -fstype=cifs,cruid=$USER,sec=krb5,noperm :{{ drv.path }}
{% else %}
"{{ drv.dir }}" -fstype=cifs,cruid=$USER,sec=krb5,noperm :{{ drv.path }}
{% endif %}
{% endif %}
{% endfor %}

Меньше глюков стало. Но thunar иногда да зависнет на сетевой шаре, надоело, gio mount работает идеально, и шара доступна пока действителен билет kerberos.

pam_mount сам раньше юзал, для работы одного пользователя в графике ещё норм, для терминального сервера не подходит. В Вашем случае может просто разрешить юзерам mount и уже логон-скриптом пусть они монтируют шары куда угодно в домашней директории
Разбаньте в телеге шакалы!!!

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 774
pam_mount сам раньше юзал, для работы одного пользователя в графике ещё норм, для терминального сервера не подходит.
Чем pam_mount не подходит для терминального сервера? Что не понравилось?
Можно же разложить под пользователями собственные ~/.pam_mount.conf.xml и в них указать, какие ресурсы нужно монтировать и в какие каталоги конкретно этого пользователя.

мне понравился pam_mount, но не нравиться его влияния из-за ssh(папка не в каталоге пользователя).
При чём здесь ssh?
Папки можно и в каталоге пользователя, и с правами пользователя.

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 438
Чем pam_mount не подходит для терминального сервера? Что не понравилось?
Можно же разложить под пользователями собственные ~/.pam_mount.conf.xml и в них указать, какие ресурсы нужно монтировать и в какие каталоги конкретно этого пользователя.
Вот этого не знал, надо попробовать, спасибо.
Разбаньте в телеге шакалы!!!

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 774
Вот этого не знал
В файле /etc/security/pam_mount.conf.xml нужна раскомментированная строка
<luserconf name=".pam_mount.conf.xml" />и, по вкусу, добавлены необходимые права.
<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec,vers" />
...
<mntoptions require="nosuid,nodev,vers" />

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 689
pam_mount сам раньше юзал, для работы одного пользователя в графике ещё норм, для терминального сервера не подходит.
Чем pam_mount не подходит для терминального сервера? Что не понравилось?
Можно же разложить под пользователями собственные ~/.pam_mount.conf.xml и в них указать, какие ресурсы нужно монтировать и в какие каталоги конкретно этого пользователя.

мне понравился pam_mount, но не нравиться его влияния из-за ssh(папка не в каталоге пользователя).
При чём здесь ssh?
Папки можно и в каталоге пользователя, и с правами пользователя.
При том чтобы сделать путь короче и не объяснять пользователям /home/domen/user/papka, это все  в коротком здравии /papka/papka/. И также в dolphin, это всё отражается короче.
А ssh на графику кладёт права другого usera.
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 689
Вот этого не знал
В файле /etc/security/pam_mount.conf.xml нужна раскомментированная строка
<luserconf name=".pam_mount.conf.xml" />и, по вкусу, добавлены необходимые права.
<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec,vers" />
...
<mntoptions require="nosuid,nodev,vers" />
может тут можно указать группу пользователей, которым необходимо пользоваться?
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 774
может тут можно указать группу пользователей, которым необходимо пользоваться?
Можно, но не группу, а список, или диапазон UID для конкретной шары, в файле /etc/security/pam_mount.conf.xml

При том чтобы сделать путь короче и не объяснять пользователям /home/domen/user/papka, это все  в коротком здравии /papka/papka/.
Какой путь укажете в /etc/security/pam_mount.conf.xml, или в ~/.pam_mount.conf.xml, такой и будет, только каталог /papka создайте, пользователей в группу users добавьте, а дальше chown root:users /papka && chmod 775 /papka

это все  в коротком здравии /papka/papka/. И также в dolphin, это всё отражается короче.
Смысл, если любой ФМ отравляет пользователя прямиком в его домашний каталог?
Сделайте под пользователем каталог ~/.cifs_mount и создайте симлинки с примонтированных подкаталогов на рабочий стол, можно и закладки в ФМ добавить.

А ssh на графику кладёт права другого usera.
Так и не понял, для чего ssh при монтировании ресурсов?
Вы же не через sshfs монтируете.

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 689
может тут можно указать группу пользователей, которым необходимо пользоваться?
Можно, но не группу, а список, или диапазон UID для конкретной шары, в файле /etc/security/pam_mount.conf.xml

При том чтобы сделать путь короче и не объяснять пользователям /home/domen/user/papka, это все  в коротком здравии /papka/papka/.
Какой путь укажете в /etc/security/pam_mount.conf.xml, или в ~/.pam_mount.conf.xml, такой и будет, только каталог /papka создайте, пользователей в группу users добавьте, а дальше chown root:users /papka && chmod 775 /papka

это все  в коротком здравии /papka/papka/. И также в dolphin, это всё отражается короче.
Смысл, если любой ФМ отравляет пользователя прямиком в его домашний каталог?
Сделайте под пользователем каталог ~/.cifs_mount и создайте симлинки с примонтированных подкаталогов на рабочий стол, можно и закладки в ФМ добавить.

А ssh на графику кладёт права другого usera.
Так и не понял, для чего ssh при монтировании ресурсов?
Вы же не через sshfs монтируете.

ssh сам монтирует правила pam_mount при входе пользователя, в том и дело что никто не монтирует.

мне бы не UID, а GID это было бы точнее.

Можно бы попробовать запретить группе пользование этой папки, но не совсем нравиться.

Не всегда симлинки работают на переадресацию, с подгрузки файла в браузер. Также обычный просмотр папки Рабочего стола приводит к артефактам - того что ярлыки убегают, виджеты исчезают. А переход на "Рабочий стол" показывает что ярлыков нет в папке Рабочий стол.
Да и также ярлыки и ссылки лишний раз вредны если требуется что изменить по сетевым дискам.
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 689
Так и не понял, для чего ssh при монтировании ресурсов?
Вы же не через sshfs монтируете.
Действительно по умолчанию существует такой пакет fuse-sshfs
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 689
может тут можно указать группу пользователей, которым необходимо пользоваться?
Можно, но не группу, а список, или диапазон UID для конкретной шары, в файле /etc/security/pam_mount.conf.xml

Можно группу и оно работает sgrp, проверял только на локальной
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.