Nie można uzyskać dostępu do udostępniania systemu Windows w grupie zabezpieczeń przypisanej do udostępniania

10

Jestem trochę zaskoczony tym.

W AD utworzyłem grupę zabezpieczeń o nazwie „użytkownicy danych specjalnych” i dodaję się do niej.

Następnie utworzyłem udział na serwerze i dałem tej grupie zabezpieczeń AD pełny dostęp do tego udziału.

Jeśli spróbuję uzyskać dostęp do udziału, nie mogę uzyskać błędu odmowy uprawnień.

Jeśli dodam moje konto użytkownika bezpośrednio do udziału lub dodam inną grupę zabezpieczeń, która istnieje od lat, że jestem jego członkiem, działa dobrze.

Będziemy wdzięczni za wszelkie wskazówki lub sugestie, na co zwrócić uwagę, dlaczego ta nowa grupa nie działa. Wyglądałem wysoko i nisko i nie mogę zrozumieć, dlaczego jakakolwiek nowa grupa zabezpieczeń nie działa ...

Dzięki!

Alan Barber
źródło

Odpowiedzi:

15

Czy po dodaniu się do grupy wylogowałeś się ze stacji roboczej i zaloguj ponownie? Członkostwo w grupie bezpieczeństwa jest składnikiem tokenu dostępu przyznanego Twojemu ID użytkownika podczas logowania, a zmiana członkostwa w grupie wymaga wylogowania i zalogowania, aby uzyskać nowy token dostępu odzwierciedlający nowe członkostwo.

joeqwerty
źródło
3
Tks człowieku! Nie wiedziałem o tym ... Po 1 godzinie przekopania znalazłem ten post i rozwiązałem problem!
Pascal
1

Upewnij się, że przypisałeś uprawnienia do odczytu temu „Specjalnemu użytkownikowi danych” zarówno na karcie Zabezpieczenia, jak i w Udostępnianiu -> Uprawnienia.

Musisz także ponownie się zalogować po dodaniu użytkownika do nowej grupy.

Regent
źródło
0

Nie jestem pewien, czy to będzie twój problem, ale w przeszłości byłem przez to spalony. Ile grup (w tym grup zagnieżdżonych) należy do twojego konta? Być może właśnie przekroczyłeś ograniczenie AD. Istnieje ograniczenie członkostwa w grupach ze względu na rozmiar biletu Kerberos w AD. Oto więcej informacji z Technet na temat niektórych ograniczeń AD. Sprawdź informacje w dziale Członkostwo w grupach dla dyrektorów ds. Bezpieczeństwa.

Aby sprawdzić, czy może tak być, utwórz nowe konto i dodaj je do nowej grupy i sprawdź, czy to konto może uzyskać dostęp do udziału.

squillman
źródło
0

Jakiego rodzaju grupę utworzyłeś? Ma to znaczenie, jeśli są domenami lokalnymi, globalnymi lub uniwersalnymi.

Wanny
źródło
Jest to globalna grupa bezpieczeństwa
Alan Barber
Wypróbuj go jako grupę bezpieczeństwa Universal i sprawdź, czy to działa.
Tuby
0

Zalecam skonfigurowanie uprawnień udostępniania w następujący sposób, aby uniknąć nieporozumień:

Na samych uprawnieniach do udostępniania:

DOMENA ADMINISTRACYJNA = Pełna kontrola

Wszyscy = zapis / odczyt

Następnie na uprawnieniach bezpieczeństwa NTFS:

Domeny ADMINS = Pełna kontrola

a następnie ustaw zabezpieczenia NTFS dla innych w zależności od potrzeb.

W ten sposób unikniesz problemów z uprawnieniami udziału zastępującymi uprawnienia NTFS.

TheCleaner
źródło
2
Lepiej byłoby użyć opcji „Użytkownicy uwierzytelnieni” zamiast „Wszyscy”.
Tuby
@Tubs - Teoretycznie to samo od XP i 2003 ... patrz tutaj: support.microsoft.com/kb/278259
TheCleaner