none
RDS и профиля VHDX RRS feed

  • Общие обсуждения

  • Коллеги, доброго всем.

    Рассказывать не буду много, но есть стенд из 2х-узловой терминальной фермы.

    Согласно настройкам коллекции, профиля формируются в шару, в виду SID.VHDX

    От корневого каталога шары наследуются права на чтение/запись для администраторов домена.

    Суть вопроса - как при необходимости открыть VHDX файл? По умолчанию профиль без проблем может примонтировать сам пользователь, кому он принадлежит.

    Меняю права, владельца ... при попытке монтирования - ошибка доступа.

    Заранее спасибо.

Все ответы

  • Добрый день,

    Проясните, пожалуйста, от кого вы хотите скрыть файлы - от админов или других пользователей? Какие права и владельца ставите?

  • Априори работает так, что нужно выгнать юзера (в этом случае отмапится VHDX), затем под админом замапить его напрямую (здесь скорее всего возникнет UAC и вы сможете выдать себе права), а далее вы уже сможете увидеть VHDX как обычный набор папок (после маппинга).
  • Априори работает так, что нужно выгнать юзера (в этом случае отмапится VHDX), затем под админом замапить его напрямую (здесь скорее всего возникнет UAC и вы сможете выдать себе права), а далее вы уже сможете увидеть VHDX как обычный набор папок (после маппинга).

    Есть права на каталог, куда пишутся шары.

    Это группа безопасности на запись, куда входят RDS хосты, а так же группа Администраторы домена

    Да, пользователя выгоняем, само собой.

    Дело в том, что как раз права на vhdx есть у администратора домена и под администратором мапанг производится с ошибкой доступа. Следовательно, контент файловый не виден. Такие вот права формируются получаются при формировании профиля

    PS C:\RDprofiles> Get-Acl .\UVHD-S-1-5-21-3578923729-3381940068-3434444504-2602.vhdx | fl


    Path   : Microsoft.PowerShell.Core\FileSystem::C:\RDprofiles\UVHD-S-1-5-21-3578923729-3381940068-3434444504-2602.vhdx
    Owner  : domain\RDHOST1$
    Group  : domain\Компьютеры домена
    Access : domain\test2 Allow  FullControl
             Все Allow  ReadAndExecute, Synchronize
             NT AUTHORITY\СИСТЕМА Allow  FullControl
             IMP\RDS Connection Brokers Allow  Modify, Synchronize
             IMP\RDS Hosts Allow  Modify, Synchronize
             BUILTIN\Администраторы Allow  FullControl
             IMP\Администраторы домена Allow  FullControl


    6 июня 2019 г. 10:05
  • Интересная то ли бага, то ли фичер.

    Нашёл в англоязычном сообществе похожую штуку

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/0f518196-61c3-489b-988e-527720d4101b/windows-server-2016-user-profile-disk-administrator-is-denied-access?forum=winserverTS

    В итоге люди решают, монтирую из-под учётной записи Администратор. Вот из-под неё работает и у меня, а от сотрудника, с правами Администратора домена - нет)

    6 июня 2019 г. 11:14
  • Ну, если учесть что даже будучи администратором домена пользователь на компе по умолчанию работает с пользовательским правами вследствие действия UAC, то всё верно. Там по ссылке есть этому подтверждение:

    When I mount the disk, I get access is denied as well, but if you open an administrative command prompt, you can navigate without issue to the drive letter mounted and do whatever you need within the command prompt.

    Запустите командную строку с повышенными правами и попробуйте.

    6 июня 2019 г. 15:14
  • Ну, если учесть что даже будучи администратором домена пользователь на компе по умолчанию работает с пользовательским правами вследствие действия UAC, то всё верно. Там по ссылке есть этому подтверждение:

    When I mount the disk, I get access is denied as well, but if you open an administrative command prompt, you can navigate without issue to the drive letter mounted and do whatever you need within the command prompt.

    Запустите командную строку с повышенными правами и попробуйте.

    Как показывает практика,  пропуская UAC и пробуя смонтировать через консоль, эффект лично у меня остался прежним. Ни через CMD, ни через PoSh ничего не получилось. Так же отказы

  • Так то вы опять через проводник пытаетесь зайти, а дальше через командную строку пробовали браузить?

    >G:

    >dir

    ?

  • После вышеописанных команд cmd и posh VHD монтируется, но без права доступа.

    А т.к. в настройках установлен автостарт, то открывается проводник)

    10 июня 2019 г. 4:14