none
Проблемы с доступом в папки NTFS на основе членства в группе AD RRS feed

  • Question

  • Добрый день!

    Возникла проблема следующего характера: при назначении прав доступа на уровне NTFS группе пользователей домена AD пользователь, включенный в указанную группу не может получить доступ. Если доступ к папке дать непосредственно пользователю, а не группе, доступ работает. Также, проблему решает перезагрузка компьютера с которого осуществляется попытка обращения к защищенному ресурсу.

    Иными словами, проблему можно сформулировать следующим образом: информация об именившемся членстве в группе обновляется не сразу.

    Есть ли какой настраиваемый параметр, который определяет, насколько часто должен клиент вычитывать содержимое группы, чтобы определить актуальные права пользователя к защищаемому ресурсу?

     

    Friday, October 1, 2010 10:27 AM

Answers

All replies

  • Чтобы обновить членство в группах пользователю нужно перелогиниться. Тем самым обновляется access token пользователя

     

    Friday, October 1, 2010 10:37 AM
    Answerer
  • Добавлю, что это свойство Kerberos, в случае NTLM членство в группах подхватывается сразу.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Monday, October 4, 2010 12:14 PM
    Moderator
  • Еще раз столкнулся с указанной проблемой и смог выяснить доп. подробности:

    К папке NTFS даны права доменной группе, проверено, что в данную группу входит пользователь.

    При использовании инструмента "Effective Permissions" выясняется, что пользователь не имеет прав, что видимо и приводит к ошибке вида "отказано в доступе".

    Что делать?

    Monday, October 4, 2010 12:31 PM
  • Еще раз столкнулся с указанной проблемой и смог выяснить доп. подробности:

    К папке NTFS даны права доменной группе, проверено, что в данную группу входит пользователь.

    При использовании инструмента "Effective Permissions" выясняется, что пользователь не имеет прав, что видимо и приводит к ошибке вида "отказано в доступе".

    Что делать?


    Покажите вывод команд

    whoami /groups - с клиентского компьютера

    net share имя_шары  и  calcls путь_к_папке  c сервера

    Monday, October 4, 2010 12:34 PM
    Answerer
  • cacls.exe "M:\Corporate Data\test"

    M:\Corporate Data\test
    BUILTIN\Administrators:(OI)(CI)F
    domain\test-u:(OI)(CI)C

    net share "Corporate Data"
    Share name        Corporate Data
    Path              M:\Corporate Data
    Remark            Corporate Data
    Maximum users     No limit
    Caching           Caching disabled
    Permission        Everyone, CHANGE

    The command completed successfully.

    whoami /groups

    [Group  1] = "domain\Domain Users"
    [Group  2] = ""
    [Group  3] = "BUILTIN\"
    [Group  4] = "BUILTIN\"
    [Group  5] = "NT AUTHORITY\"
    [Group  6] = "NT AUTHORITY\"
    [Group  7] = ""
    [Group  8] = "domain\BudgetUser"
    [Group  9] = "domain\Internet"
    [Group 10] = "domain\BookRulesAdmin"
    [Group 11] = "domain\rg_audit_change"
    [Group 12] = "domain\BookProductsUser"
    [Group 13] = "domain\metodology-u"
    [Group 14] = "domain\ReportsUser"
    [Group 15] = "domain\MetodologyUser"
    [Group 16] = "domain\corporate"
    [Group 17] = "domain\online-c"
    [Group 18] = "domain\internet-all"

     

    Monday, October 4, 2010 1:42 PM
  • Отдельно хочу заметить (еще раз проверил), что интерфейс (оснастка AD Users and Computers) ясно показывает членство пользователя в группе, которой даны права к папке. Только эта информация, видимо, не соответствует тому, что выдает команда whoami на клиенте.
    Monday, October 4, 2010 1:45 PM
  • Клиент после внесения в группу таки перелогонился или нет?
    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    Monday, October 4, 2010 2:05 PM
    Answerer
  • Я получил ответ, что он даже Windows перезагрузил.
    Monday, October 4, 2010 2:10 PM
  • Отдельно хочу заметить, что данная проблема не единична, а вылазит в самых разных местах - например, квотирование доступа в интернет на ISA Server завязано тоже на членстве в группах AD, так вот на сервере также это членство сразу не обновляется (это следует из отчета-простыни по доступам).
    Monday, October 4, 2010 2:13 PM
  • Покажите ipconfig /all проблемной машины.
    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    Monday, October 4, 2010 2:31 PM
    Answerer
  • Имя компьютера : pc-959-1
    Основной DNS-суффикс : domain.company.ru
    Тип узла : неизвестный
    IP-маршрутизация включена : нет
    WINS-прокси выключен : нет
    Порядок просмотра суффиксов DNS : domain.company.ru
    domain.company.ru
    company.ru
    Подключение по локальной сети –
    Ethernet адаптер:
    DNS-суффикс этого подключения : domain.company.ru
    Описание : Broadcom NetXtream Gigabit Ethernet for hp
    Физический адрес : 00-0B-CD-6F-A7-16
    Dhcp включен : да
    Автонастройка включена : да
    IP-адрес : 192.168.225.8
    Маска подсети : 255.255.255.224
    Основной шлюз : 192.168.225.1
    DHCP-сервер : 192.168.0.5
    DNS-серверы : 192.168.0.5 : 192.168.0.9
    Аренда получена : 5 октября 2010 г. 09:31:00
    Аренда истекает : 19 октября 2010 г. 09:31:00

     

    Tuesday, October 5, 2010 10:07 AM
  • Кто такие 192.168.0.5 и 192.168.0.9?

    Они являются первичными DNS-серверами для зоны domain.company.ru или как-то ещё способны отвечать на запросы к Active Directory?


    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    Tuesday, October 5, 2010 12:35 PM
    Answerer
  • Зону domain.company.ru обслуживают только эти два DNS-сервера.

    Tuesday, October 5, 2010 1:50 PM
  • А сколько контроллеров? С репликацией между ними всё окай?
    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    Tuesday, October 5, 2010 7:42 PM
    Answerer
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Monday, October 11, 2010 6:04 AM
    Moderator
  •  

    Добрый день,

    проблема решилась путем выключения Universal Group Membership caching

    Monday, November 8, 2010 8:55 AM