none
Non riesco a dare autorizzazioni ntfs agli utenti locali RRS feed

  • Domanda

  • Ciao,
    mi succede una cosa a mio avviso stranissima.
    Win2016 in dominio con ruolo di file server 
    ho creato un account locale
    Da un client mi collego da explorer alla cartella condivisa, pulsante dx proprietà, sicurezza, aggiungi, sfoglio per selezionare il nome del server e non il nome di dominio...

    il problema è che vedo solo i builtin account and groups, ma non vedo ne i gruppi e nemmeno gli utenti locali.

    Spero sia una mia svista e per stanchezza sbagli procedura, perchè se no, non saprei come risolvere

    ps il server lo ho aggiornato 

    qualsiasi aiuto è gradito


    giovedì 21 gennaio 2021 16:29

Risposte

  • Adesso è tutto più chiaro, grazie delle spiegazioni, che possono essere di ispirazione per altri .

    Soluzioni alternative ci sono sempre... l'importante è trovare quella adatta e riuscire a realizzarla.

    1. La prima cosa che mi viene in mente (non molto elegante) uno script schedulato sul server che gira ogni 5 minuti e cerca redirect$\%username%\desktop\pdf e corregge i permessi, volendo crea il folder pdf se non esiste  (polling ogni 5 minuti, task esguito 12 volte ora...).

    2. Più elegante, stesso script, legato alla creazione dell'utente da parte di FIM (che non conosco, ma penso possa essere in qualche modo collegato ad un batch custom, eseguito una volta)

    3. Script in powershell sempre attivo sul server che monitora la creazione della home redirect$\%username%\ utente e solo in quel momento (esegue il solito script) crea il pdf e setta i permessi. Con ps è possibile fare in modo che l'evento di creazione di un folder faccia scattare la procedura setta permessi (event triggered, eseguito una volta sola alla prima creazione)

    4. un utente di dominio (ben limitato) per lo scanner avrebbe risolto, intuisco la tua scelta (mettendo le scansioni nella my documents)

    Se vuoi ragioniamo su qualcuna delle proposte sopra (ognuna ha dei pro e dei contro), mentre, se vuoi continuare con la tua idea, potrebbe funzionare usando subinacl.exe o setacl.exe (davvero potente), che dovrebbero evitare l'errore di mapping. Invoke-command per far cambiare all'utente permessi sul server: NO!!!

    Ciao Gas

    PS: con qualche dipartimentale (kyocera) avevo provato integrarle in AD, ma scrivere utente e password per sbloccare lo scanner era una procedura lunghissima (soluzione abbandonata), Ricoh aveva un sistema di selezione utenti ottimo, ti autocompletava la login man mano che digitavi, ma con 80000 utenti (non si poteva filtrare per OU) tutto era lentissimo... Sono prove di almeno 5 anni fa, non so come sia la situazione ora. Quando non esistevano le stampanti pdf , avevo creato una printer vituale pdf  su server, la quale metteva le stampe in %utente%\desktop\stampe_pdf usando uno script vbs


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here




    sabato 30 gennaio 2021 00:44
    Moderatore

Tutte le risposte

  • puoi postare una immagine?

    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    lunedì 25 gennaio 2021 09:58
    Moderatore
  • Di seguito ti metto le varie immagini. Come vedi faccio una ricerca sugli utenti locali del server e non su quelli di dominio includendo tutti gli oggetto. Mi aspettavo comunque di vedere gli account locali presenti sul server che condivide la cartella.

    L'obbiettivo poi sarebbe quello di garantire l'accesso ad un utente locale tramite uno script eseguito all'accesso da un utente di dominio che ha diritti full su quella cartella.

    Se lancio lo script mi da quell'errore di mapping sid, sia che io metta il nome sia che io metta il sid.
    Non capisco cosa stia sbagliando

    martedì 26 gennaio 2021 15:00
  • quando ti colleghi usando esplora risorse dal client punti alla share amministrativa del volume o direttamente alla cartella condivisa ?

    questa operazione non la puoi fare direttamente sul server ?


    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    mercoledì 27 gennaio 2021 13:43
    Moderatore
  • punto alla share, non a e$ per intenderci.

    posso certamente farlo dal server per mettere autorizzazioni a mano, ma il problema e' che devo in qualche modo automatizzare l'operazione al login, proprio per non dovere fare il lavoro per ogni nuovo utente.

    Se uso un account di dominio la cosa funziona, solo che per questa situazione preferirei potere usare un user locale di quel server

    giovedì 28 gennaio 2021 00:29
  • Forse è perchè sono abituato a lavorare in dominio

    credo di avere capito che se lancio il comando da un computer remoto, io debba avere l'utente in entrambi i computer. Infatti funziona con i builtin che hanno SID riconosciuti da tutti i PC. E' possibile?

    Se è così una soluzione potrebbe essere quella di mettere l'account locale in un gruppo comune a tutti i pc come il poweruser. 

    è questo il motivo?


    giovedì 28 gennaio 2021 16:58
  • I comportamento che riscontri è normale. Non ho capito esattamente cosa vuoi mettere nel gruppo power user...

    Forse sarebbe meglio sapere  quale è lo scopo che vuoi ottenere, potrebbero esserci strade alternative.

    "L'obbiettivo poi sarebbe quello di garantire l'accesso ad un utente locale tramite uno script eseguito all'accesso da un utente di dominio che ha diritti full su quella cartella." non mi è chiaro quello che vuoi fare (scanner?)... temo altri problemi.

    Ci sarebbe una strada per evitare il problema dell id mapping (evitare icacls e usare altro), ma  prima di continuare su questa strada, cerchiamo una soluzione alternativa (se c'è)


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here




    giovedì 28 gennaio 2021 21:52
    Moderatore
  • Intanto grazie. Provo a chiarire;

    In Active Directory gli utenti vengono creati automaticamente con Forefront Identity Manager e non posso creare utenti manualmente.

    Gli utenti hanno il desktop rediretto su una cartella condivisa

    Ho delle stampanti dipartimentali che hanno anche un modulo scanner e voglio che le scansioni vengano inviate direttamente all'utente. 
    Per questo scopo non posso usare la mail perchè ha un limite di 16MB a invio e talvolta non sono sufficienti.
    Ho quindi messo nella rubrica della stampante per ogni utente il percorso SMB che arriva ad una cartella PDF nel desktop utente (\\serverfs\redirect$\nome.utente\desktop)

    Pensavo di utilizzare sullo scanner per salvare la scansione sul server un utente locale(UtenteScansioni) del file server, e se do manualmente le autorizzazioni dal server funziona tutto.

    Io non voglio manualmente settare queste autorizzazioni per ogni nuovo utente che si logga, quindi la mia soluzione (forse sbagliata) era quella di mettere uno script di logon  che con icacls va a dare attraversamento per quell'utente a \\serverfs\redirect$\%username%\desktop e scrittura su \\serverfs\redirect$\%username%desktop\pdf

    Salvo che ci siano, come mi dicevi, soluzioni alternative, direi che tutto questo si possa fare con powershell usando invoke-command, così icalcs o set-acl troverebbe l'utente locale.


    venerdì 29 gennaio 2021 10:33
  • Adesso è tutto più chiaro, grazie delle spiegazioni, che possono essere di ispirazione per altri .

    Soluzioni alternative ci sono sempre... l'importante è trovare quella adatta e riuscire a realizzarla.

    1. La prima cosa che mi viene in mente (non molto elegante) uno script schedulato sul server che gira ogni 5 minuti e cerca redirect$\%username%\desktop\pdf e corregge i permessi, volendo crea il folder pdf se non esiste  (polling ogni 5 minuti, task esguito 12 volte ora...).

    2. Più elegante, stesso script, legato alla creazione dell'utente da parte di FIM (che non conosco, ma penso possa essere in qualche modo collegato ad un batch custom, eseguito una volta)

    3. Script in powershell sempre attivo sul server che monitora la creazione della home redirect$\%username%\ utente e solo in quel momento (esegue il solito script) crea il pdf e setta i permessi. Con ps è possibile fare in modo che l'evento di creazione di un folder faccia scattare la procedura setta permessi (event triggered, eseguito una volta sola alla prima creazione)

    4. un utente di dominio (ben limitato) per lo scanner avrebbe risolto, intuisco la tua scelta (mettendo le scansioni nella my documents)

    Se vuoi ragioniamo su qualcuna delle proposte sopra (ognuna ha dei pro e dei contro), mentre, se vuoi continuare con la tua idea, potrebbe funzionare usando subinacl.exe o setacl.exe (davvero potente), che dovrebbero evitare l'errore di mapping. Invoke-command per far cambiare all'utente permessi sul server: NO!!!

    Ciao Gas

    PS: con qualche dipartimentale (kyocera) avevo provato integrarle in AD, ma scrivere utente e password per sbloccare lo scanner era una procedura lunghissima (soluzione abbandonata), Ricoh aveva un sistema di selezione utenti ottimo, ti autocompletava la login man mano che digitavi, ma con 80000 utenti (non si poteva filtrare per OU) tutto era lentissimo... Sono prove di almeno 5 anni fa, non so come sia la situazione ora. Quando non esistevano le stampanti pdf , avevo creato una printer vituale pdf  su server, la quale metteva le stampe in %utente%\desktop\stampe_pdf usando uno script vbs


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here




    sabato 30 gennaio 2021 00:44
    Moderatore
  • Intanto grazie per il tempo che mi hai dedicato.

    Sono andato avanti con la soluzione di logon script, usando però il setacl.exe che mi hai consigliato in luogo di icacls. 

    Ne avevo già sentito parlare, ma non la avevo mai usata. Fa tutto quello che mi serve e come dici tu è davvero potente. Non sto qui a riportate lo script finale che ho usato, perchè tanto setacl è molto semplice da usare (o almeno è ben documentato e si trova subito l'esempio che serve).

    Singolare che funzioni meglio dell'utility fornita di default col sistema.

    Avevo provato anche io a giochicchiare con gli accessi alle stampanti con AD, ma senza smartcard è poco pratico. Avevo investito un po' di tempo anche sul ruolo print server/scan che dovrebbe indirizzare le scansioni di quelle stampanti dipartimentali a condivisioni di rete, ma senza successo. Magari potrei riprovarci, ma questa soluzione dello script è semplice e funziona...

    Grazie ancora

    A presto

    Marco


    domenica 31 gennaio 2021 21:24