Невозможно создать новых пользователей в Active Directory (используя Samba4 в качестве DC и AD)

Я установил Samba версии 4.1.17-Ubuntu в качестве контроллера домена и активного каталога , и все, казалось, прошло гладко, но когда я пытаюсь использовать учетную запись администратора на одном члене домена Windows 10 для создания нового пользователя в AD с помощью активного каталога Windows инструмент управления пользователями и компьютерами , я получаю эту ошибку:

Произошла ошибка, обратитесь к системному администратору

(Я получаю ту же проблему при попытке скопировать пользователя).

Но когда я использую samba-tool для создания пользователя, он прекрасно работает.

Вот мой файл smb.conf:

[global]
        workgroup = EXAMPLE
        realm = EXAMPLE.LOCAL
        netbios name = LINUXSERVER
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/example.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No [Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

[Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

Другая связанная проблема: я собираюсь упомянуть и эту проблему, потому что она может помочь найти причины предыдущей проблемы. Когда я пытаюсь изменить пароль любого пользователя, используя те же инструменты Windows, я получаю сообщение об ошибке, что мой компьютер и мой пользователь должны иметь права делегирования.

И может быть что-то еще не работает, но по крайней мере до сих пор это именно то, что я нашел.

Так что я хочу, чтобы этот инструмент Windows работал как-то правильно.

Что я пробовал:

• Я пытался удалить профиль учетной записи администратора.
• Я попытался создать новую тестовую учетную запись с правами администратора с помощью samba-tool и безуспешно пытался создать пользователей из этой учетной записи.
• Я попытался дать пользователю-администратору права делегирования, щелкнув правой кнопкой мыши на имени домена, а затем делегировать контроллер, но безуспешно для обеих ошибок.
• Я пробовал с последним блоком [Users] и без него (на самом деле я не понимаю, что именно он делает).
• Уход и возвращение в домен.

И все это безуспешно, я ценю любую помощь от вас.

Обновление до Samba 4.3.

Проблема связана с ошибкой и / или неполной реализацией подпротокола «Резервный ключ», который есть в более старых версиях Samba. Вы, вероятно, заметите, что Диспетчер учетных данных также был непригоден по той же причине.

В качестве альтернативы, используйте более старую ОС для управления каталогом - например, Server 2003 может создавать учетные записи пользователей без каких-либо проблем, поскольку он еще ни для чего не использует протокол «Ключ резервного копирования». (Я не уверен насчет Server 2008.)

К сожалению, 4.3 еще не упакован для Ubuntu - все еще ожидает "нестабильности" в Debian - однако на самом деле Samba легко собрать из исходного кода.

Что касается [Users]блока, он просто определяет общую папку.

В smb.conf каждый раздел, за исключением, [global]соответствует определению общего ресурса - «netlogon» и «sysvol» являются специальными общими ресурсами AD, а «Users», вероятно, пользовательским.

Обходной путь с Samba 4.1.17 для клиентов Windows 10 - изменить раздел реестра :

Добавьте 32-битный DWORD с именем ProtectionPolicyсо значением 1в:

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

Не требуется перезагрузка или выход из системы / вход в систему. С нами это решило проблему с очень медленным вводом в поле имени компьютера окна подключения к удаленному рабочему столу и сбросом паролей в ADUC.