ไม่สามารถเข้าถึงหน้าต่างแบ่งปันได้เมื่ออยู่ในกลุ่มความปลอดภัยที่กำหนดให้แชร์


10

ฉันกำลังหยุดอยู่ที่นี่สักหน่อย

ฉันสร้างกลุ่มความปลอดภัยในโฆษณาที่เรียกว่า "ผู้ใช้ข้อมูลพิเศษ" และเพิ่มตัวเองลงในกลุ่มนั้น

จากนั้นฉันสร้างการแชร์บนเซิร์ฟเวอร์และให้กลุ่มความปลอดภัย AD นั้นเข้าถึงการแชร์อย่างเต็มรูปแบบ

หากฉันพยายามเข้าถึงการแชร์ฉันไม่สามารถรับข้อผิดพลาดในการปฏิเสธสิทธิ์ได้

หากฉันเพิ่มบัญชีผู้ใช้ของฉันลงในการแบ่งปันโดยตรงหรือเพิ่มกลุ่มความปลอดภัยอื่น ๆ ที่มีมานานหลายปีว่าฉันเป็นสมาชิกของมันใช้งานได้ดี

คำแนะนำหรือข้อเสนอแนะเกี่ยวกับสิ่งที่จะมองหาว่าทำไมกลุ่มใหม่นี้จึงใช้งานไม่ได้ ฉันดูสูงและต่ำและไม่สามารถระบุได้ว่าเหตุใดกลุ่มความปลอดภัยใหม่ที่สร้างขึ้นจึงไม่ทำงาน ...

ขอบคุณ!

คำตอบ:


15

เมื่อคุณเพิ่มตัวเองในกลุ่มคุณออกจากระบบเวิร์กสเตชันและเข้าสู่ระบบอีกครั้งหรือไม่? สมาชิกกลุ่มความปลอดภัยเป็นส่วนประกอบของโทเค็นการเข้าถึงที่กำหนดให้กับ ID ผู้ใช้ของคุณเมื่อเข้าสู่ระบบและการเปลี่ยนความเป็นสมาชิกกลุ่มต้องออกจากระบบและเข้าสู่ระบบเพื่อรับโทเค็นการเข้าถึงใหม่ที่สะท้อนถึงการเป็นสมาชิกใหม่


3
Tks ชาย! ไม่ทราบว่า ... หลังจากขุดประมาณ 1 ชั่วโมงฉันพบโพสต์นี้และแก้ไขปัญหาของฉัน!
Pascal

1

ตรวจสอบให้แน่ใจว่าคุณได้กำหนดสิทธิ์การอ่านให้กับ "ผู้ใช้ข้อมูลพิเศษ" ทั้งในแท็บความปลอดภัยและในการแบ่งปัน -> สิทธิ์

นอกจากนี้คุณต้องลงชื่อเข้าใช้อีกครั้งเมื่อคุณเพิ่มผู้ใช้ในกลุ่มใหม่


0

ฉันไม่แน่ใจว่านี่จะเป็นปัญหาของคุณ แต่ฉันเคยถูกไฟไหม้ในอดีต บัญชีของคุณมีสมาชิกกี่กลุ่ม (รวมถึงกลุ่มซ้อนกัน) คุณอาจเพิ่งผ่านการ จำกัด โฆษณา มีข้อ จำกัด ในการเป็นสมาชิกกลุ่มเนื่องจากขนาดตั๋ว Kerberos ใน AD นี่คือการอ่านเพิ่มเติมจาก Technetในข้อ จำกัด บางอย่างของโฆษณา ตรวจสอบข้อมูลภายใต้หัวข้อการเป็นสมาชิกกลุ่มเพื่อความปลอดภัย

ในการตรวจสอบว่าเป็นกรณีนี้หรือไม่ให้สร้างบัญชีใหม่และเพิ่มไปยังกลุ่มใหม่ของคุณและดูว่าบัญชีนั้นสามารถเข้าถึงการแชร์ได้หรือไม่


0

คุณสร้างกลุ่มประเภทใด มันสร้างความแตกต่างหากพวกเขาเป็นโดเมนท้องถิ่นทั่วโลกหรือสากล


มันเป็นกลุ่มรักษาความปลอดภัยระดับโลก
Alan Barber

ลองใช้เป็น hgroup ความปลอดภัยสากลและดูว่าใช้งานได้หรือไม่
Tubs

0

ฉันแนะนำให้คุณตั้งค่าการอนุญาตการแชร์ดังนี้เพื่อหลีกเลี่ยงความสับสน:

ในการแบ่งปันสิทธิ์ตัวเอง:

DOMAIN ADMINS = การควบคุมเต็มรูปแบบ

ทุกคน = เขียน / อ่าน

จากนั้นในการอนุญาตความปลอดภัย NTFS:

DOMAIN ADMINS = การควบคุมแบบเต็ม

จากนั้นตั้งค่าความปลอดภัย NTFS ให้กับผู้อื่นตามต้องการ

โดยการทำเช่นนั้นคุณจะหลีกเลี่ยงปัญหาเกี่ยวกับการอนุญาตให้ใช้ร่วมกันแทนที่สิทธิ์ NTFS


2
มันจะเป็นการดีกว่าถ้าใช้ "ผู้ใช้ที่ได้รับการรับรองความถูกต้อง" จะใช้ "ทุกคน"
Tubs

@Tubs - ในทางทฤษฎีมันเป็นสิ่งเดียวกันตั้งแต่ XP และ 2003 ... ดูที่นี่: support.microsoft.com/kb/278259
TheCleaner
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.