none
Attribuzione permessi a gruppi in windows server 2012 RRS feed

  • Domanda

  • Salve.

    Ho uno scenario di questo tipo, presso un cliente.

    Sistema operativo: Windows Server 2012 (Domain Controller)

    Sistema operativo PC client: Win7 prof / win8.1 prof

    Numero di PC: circa 25

    numero di utenti: circa 25

    Tutti i PC e il server sono sulla stessa LAN

    L'infrastruttura del cliente è operativa da settembre 2014.

    Da un paio di mesi, il cliente non riesce più ad attribuire i permessi ( di qualunque tipo) ai gruppi, nelle cartelle create ex-novo in qualunque dei volumi (E: e F:) del server ,  ma riesce ad attribuire solo i permessi agli utenti per le stesse cartelle.

    Ad esempio, se si attribuisce il permesso di scrittura/lettura/modifica ad una cartella per il gruppo "domain users" (ma abbiamo provato anche con gruppi nuovi e con uno o due utenti), nel momento che si clicca "applica", il task "esplora risorse" si impalla e dopo qualche secondo compare "esplora risorse non risponde". Si è perciò costretti a chiudere il task, e ovviamente il processo di attribuzione dei permessi non va a buon fine.

    Abbiamo già fatto diverse prove basilari (verifica dei gruppi/utenti, controllo disco fisso, ...), ma senza alcun risultato.

    Vorrei sapere se esistono dei tools specifici (inclusi nel S.O. oppure disponibili su internet), che permettano di fare un'analisi più approfondita del problema.

    Ogni consiglio per ulteriori test e prove specifiche è bene accetto.

    Grazie.

    Giampiero Giugno

    Rivenditore Microsoft AER

    Salve.

    Aggiungo un'informazione sulla configurazione del Server 2012, che ritengo doverosa sebbene io abbia avuto risposte rassicuranti in merito.

    Il server è installato in ambiente virtualizzato tramite il pacchetto software Proxmox.

    Sul server fisico sono istallate 2 istanze Windows server 2012, di cui una è quella relativa al nostro scenario.

    Il tecnico dell'ambiente proxmox ha fatto tutte le verifiche del sistema virtuale, e mi ha confermato di non esserci problemi in tal senso.

    D'altro canto, questo ambiente , come ho già scritto , è attivo da settembre 2014 (nodo proxmox e 2 server virtualizzati Windows server 2012), e solo da un paio di mesi circa si è verificato il problema.

    Per quanto riguarda le 2 risposte ricevute dai 2 colleghi, che ringrazio, dovrei riuscire a fare le prove/verifiche consigliate da loro in questi giorni.

    Inoltre, cercando di approfondire il problema sui vari forums e blogs liberi, ho notato che si consiglia in certi casi l'uso del comando DISM (evoluzione del comando sfc...), per ripristinare eventuali file di sistema danneggiati.

    Vorrei un parere spassionato su questa pratica, considerando che il server di dominio è operativo 24x7, e che può essere fermato solo in caso di assoluta necessità e comunque per brevi periodi di tempo.

    Ringrazio e saluto i colleghi.

    Giampiero GIUGNO

    • Modificato Giampiero Giugno lunedì 6 luglio 2015 08:03 aggiornamento informazioni
    giovedì 2 luglio 2015 11:02

Risposte

  • Hai provato ad eseguire in sequenza:

    Dism /Online /Cleanup-Image /ScanHealth

    Dism /Online /Cleanup-Image /CheckHealth

    Dism /Online /Cleanup-Image /RestoreHealth

    Qual è l'output? Dovresti inoltre condividere il file C:\WINDOWS\Logs\DISM\dism.log

    In ogni caso se possibile io consiglierei di reinstallare direttamente il server: a mio parere anche riparandolo non sarà mai affidabile come in origine. Solitamente questi comportamenti anomali si verificano in seguito all'azione di qualche software.


    giovedì 9 luglio 2015 14:05
    Moderatore

Tutte le risposte

  • Ciao,

    viene loggato qualcosa nel registro degli eventi?


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 2 luglio 2015 12:03
  • Ciao, prima di spaccarsi la testa a cercare aghi nel pagliaio crea un secondo utente domain admin e prova da quello user se si comporta come dovuto. CREALO ex novo, non copiare l'esistente.

    Ciao.

    A.

    giovedì 2 luglio 2015 13:43
    Moderatore
  • Ciao.

    Ho provato a seguire il consiglio.

    Creato utente PIPPO, ex novo, membro del gruppo amministratori di dominio.

    Mi sono loggato al server con l'utente Pippo, ho creato una cartella sul volume E: del server, ho provato a dare i permessi per "domain users" alla cartella , nel momento che ho cliccato su "applica" il sistema è rimasto impallato sulla schermata di attribuzione permessi. Ho controllato il visualizzatore eventi ed è apparso il seguente errore:

    Evento 10010 , RestartManager

    "Generale"

    Impossibile riavviare l'applicazione 'C:\Windows\explorer.exe (pid 5008) - Il SID dell'applicazione non corrrisponde al SID del produttore.

    ....

    (ndr.: volevo inserire qui l'immagine catturata sul server, ma il sistema non me lo permette)

    ....

    A questo punto ho dovuto chiudere il task explorer.exe, e la modifica non è andata a buon fine.

    Ho rifatto la stessa prova, ma con l'utente amministratore di default: il visualizzatore eventi non mostrava alcun messaggio relativo, e il programma esplora risorse è rimasto impallato, finchè dopo alcuni minuti ho killato il processo.

    Come ho aggiunto al mio thread stamattina, vorrei provare ad usare il comando DISM, attendo un parere da parte vostra sull'effettiva necessità di questo comando rispetto al problema in essere.

    GRazie.

    Giampiero Giugno.

    lunedì 6 luglio 2015 16:01
  • Il processo Explorer si blocca in tutti i casi oppure solo quando l'operazione di assegnazione dei permessi viene eseguita da una determinata postazione? A mio parere questa informazione è molto importante per cercare di identificare meglio le cause del problema.


    lunedì 6 luglio 2015 20:40
    Moderatore
  • ...volevo inserire qui l'immagine catturata sul server, ma il sistema non me lo permette)

    Ciao Giampiero, puoi riprodurre l'errore e postare il log esteso in formato testo? Se non riesci posta una screen su OnDrive e posta il link.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 6 luglio 2015 20:57
    Moderatore
  • Ciao,

    io ti consiglio di usare DISM prima con l'opzione scanhealth e poi valutare il repair in base ai risultati


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    lunedì 6 luglio 2015 21:31
  • Ritengo che si verifichi in tutti i casi: ho acceduto al server via rdp, da diverse postazioni client, e il problema si è verificato sempre a prescindere dalla postazione utilizzata.

    martedì 7 luglio 2015 13:31
  • No, da RDP stai utilizzando comunque il server. Intendo provare a cambiare le autorizzazioni direttamente da un client accedendo alla cartella condivisa tramite SMB.

    Questo per capire se può trattarsi effettivamente di un file di sistema corrotto lato server.

    martedì 7 luglio 2015 13:41
    Moderatore
  • Rispondo a Fabrizio.

    Dovrò far fare la prova che mi hai consigliato al cliente, in quanto non ho modo di agire remotamente.

    Dopodichè , posterò il risultato sulla base del feedback ricevuto dal cliente.

    Grazie.

    martedì 7 luglio 2015 14:00
  • Ciao Fabrizio.

    Il cliente, guidato telefonicamente da me, ha fatto la prova come da tuo consiglio.

    In questo caso è riuscito a fare le operazioni necessarie nei tempi giusti (per capirci, senza il blocco del file explorer).

    Quindi, il problema sembrerebbe limitato alla gestione dei permessi usando il sistema operativo e i processi del server.

    Mi verrebbe da pensare che si tratti di problematiche legate ai moduli del server, potrebbe essere utile a questo punto tentare di fare un check con il comando DISM (di cui ho ho già parlato nel mio post precedente).

    Attendo cortese riscontro.

    GRazie ancora.

    Giampiero.

    martedì 7 luglio 2015 15:08
  • Aggiorno gli interessati sui risultati di ulteriori prove fatte direttamente in loco da un mio collega fidato.

    I risultati riguardano sia l'utilizzo del comando DISM (esattamente come consigliato da un collega sul social), sia soprattutto le prove di attribuzione dei permessi.

    Ecco i risultati (in sintesi) :

    1. Il comando Dism genera errore 87, pertanto non va a buon fine
    2. Utente Administrator del dominio non consente di agire sull'assegnazione avanzata dei permessi del tab sicurezza (é grigiato). Non si può quindi agire sulla ereditarietà e sui controlli avanzati. Si puó invece fare con utente Pippo (precedentemente creato con le credenziali di administrator)
    3. Dal server non si riesce ad assegnare permessi all'utente Administrator e a tutti i gruppi. Possibile solo con gli altri utenti singoli.
    4. Dal client si assegnano tutti i permessi sia gruppi sia Administrator
    5. Visualizzazione permessi sulle cartelle: Dal client visualizza i nomi e non il sid ma Administrator presenta icona con piccola "X" su sfondo rosso, come se fosse utente bloccato (ma non lo é) , dal server visualizza solo il sid come sconosciuto (sia Administrator sia Pippo)

    Spero che questa relazione sintetica sia chiara a tutti.

    Ringraziando tutti i colleghi che si sono inseriti in questo thread, o che si inseriranno d'ora in poi, resto in attesa di riscontri in merito.

    Giampiero.

    giovedì 9 luglio 2015 10:57
  • Hai provato ad eseguire in sequenza:

    Dism /Online /Cleanup-Image /ScanHealth

    Dism /Online /Cleanup-Image /CheckHealth

    Dism /Online /Cleanup-Image /RestoreHealth

    Qual è l'output? Dovresti inoltre condividere il file C:\WINDOWS\Logs\DISM\dism.log

    In ogni caso se possibile io consiglierei di reinstallare direttamente il server: a mio parere anche riparandolo non sarà mai affidabile come in origine. Solitamente questi comportamenti anomali si verificano in seguito all'azione di qualche software.


    giovedì 9 luglio 2015 14:05
    Moderatore
  • Errore 87 significa parametro errato (ERROR_INVALID_PARAMETER) quindi ha sbagliato la sintassi

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 9 luglio 2015 15:17
  • Ciao Giampiero,

    Potresti aggiornare il thread?

    Grazie.


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    lunedì 13 luglio 2015 10:05