none
Проблема с доступами к папкам доменных пользователей в лесу RRS feed

  • Вопрос

  • Всем доброго вечера.

    Проблема следующая, но начну с предыстории.

    Есть сервер с WinServ2k12R2, которая начала вести себя крайне неадекватно. Похоже на вирусы, хотя касперыч ничего не видит. Исправлять это поведение уже нет никакой возможности, так что было принято решение переустановить. В целом, никаких проблем, кроме одного нюанса. Что делать с доменными пользователями? Т.е. всех выводить из домена, затем опускать сервер, всё переделывать, потом всех заново вводить и перевводить? "Подобным мазохизмом пусть занимаются другие", подумал я и сделал иначе.

    Взял запасную тачку, поднял на ней триалку серверной 2012 R2 и ввел в домен, в роли второго контроллера того же домена в существующем лесу. Соответственно, все данные засинхронились. Затем развернул DFS с репликацей, чтобы пользователи могли спокойно продолжать использовать файлопомойку, пока я занимаюсь основным сервером и никто ничего не заметил.

    В целом, все прошло хорошо, кроме одного неприятного нюанса. Когда пользователь пытается войти в сетевую шару нового сервера, он почему-то видит все папки, а не только перечисляемые на основе доступа. И попасть может также в любую. Но нигде, даже в личной папке, где у него задан полный доступ, не может создавать файлы и папки.

    Я начал ковырять и выяснилось, что хотя пользователи и засинхронились, но пооже, что с разными UID. Получается, что пользователи, верные права на одном сервере, не могут работать с данными на другом сервере. Т.е. на втором сервере верно перечислены права доступа, по именам пользователей и групп, как на первом сервере. Но это не работает. Пока на новом сервере не переделаешь права. После удаления пользователя из списка доступа и добавления его заново на втором сервере, он начинает нормально работать и на втором сервере. Как он после этого работает на первом - не могу сказать. Прямо сейчас не могу проверить :(

    В общем, "Майкл, Майкл! Ай нид хэлп!"

    Заранее спасибо всем.


    SharePoint + Liferay творят чудеса

    1 декабря 2017 г. 14:44

Ответы

  • Что-то вы странное такое пишете.

    Во-первых, по терминологии UID - это в Unix (а в Windows он используется только в NFS, именно для совместимости). В Windows аналогом UID является SID. При этом, у пользователя или группы в домене SID всегда одинаковый, вне зависимости на каком контроллере домена произошла аутентификация.

    Далее, в разрешениях на файлы на диске (в файловой системе NTFS) прописаны именно SID, и репликация DFS копирует их как есть - так что с доменным пользователями и группами проблем быть не может. Проблемы могут быть только если разрешения даны через локальные группы файл-сервера, который не является контроллером домена - они имеют SID, действительный только на этом файл-сервере. Но, как я понял, у вас общие папки - на контроллерах домена, а там нет таких локальных групп - только встроенные группы или локальные группы домена, и SID у них всегда одинаковый на любом контроллере.

    Единственно, что мне приходит в голову - у вас по-разному настроены разрешения на сами общие папки - эти разрешения между членами Пространства имён DFS никак не реплицируются, а по умолчанию Windows лепит разрешение Все - только для чтения. Ну, и Перечисление на основе доступа, которое отвечает за то, чтобы скрывать недоступные папки внутри общей папки (целевой папки в пространстве имён DFS)- оно тоже настраивается отдельно для каждой общей папки на каждом сервере, настройка Перечисления на основе доступа в Пространстве имён DFS влияет только на показ/сокрытие ссылок на целевые папки.

    Так что проверяйте настройки общих папок - разрешения, Перечисление на основе доступа. И если они у вас разные - постарайтесь больше не ругать Windows.


    Слава России!

    1 декабря 2017 г. 19:19

Все ответы

  • Дополнение. Во вкладке "Разрешения" для пользователя стоит "Полный доступ". Но когда мы проверяем разрешения во кладке "Действующие права доступа", система говорит, что у пользователя права "Чтение и запуск".

    SharePoint + Liferay творят чудеса

    1 декабря 2017 г. 15:15
  • Что-то вы странное такое пишете.

    Во-первых, по терминологии UID - это в Unix (а в Windows он используется только в NFS, именно для совместимости). В Windows аналогом UID является SID. При этом, у пользователя или группы в домене SID всегда одинаковый, вне зависимости на каком контроллере домена произошла аутентификация.

    Далее, в разрешениях на файлы на диске (в файловой системе NTFS) прописаны именно SID, и репликация DFS копирует их как есть - так что с доменным пользователями и группами проблем быть не может. Проблемы могут быть только если разрешения даны через локальные группы файл-сервера, который не является контроллером домена - они имеют SID, действительный только на этом файл-сервере. Но, как я понял, у вас общие папки - на контроллерах домена, а там нет таких локальных групп - только встроенные группы или локальные группы домена, и SID у них всегда одинаковый на любом контроллере.

    Единственно, что мне приходит в голову - у вас по-разному настроены разрешения на сами общие папки - эти разрешения между членами Пространства имён DFS никак не реплицируются, а по умолчанию Windows лепит разрешение Все - только для чтения. Ну, и Перечисление на основе доступа, которое отвечает за то, чтобы скрывать недоступные папки внутри общей папки (целевой папки в пространстве имён DFS)- оно тоже настраивается отдельно для каждой общей папки на каждом сервере, настройка Перечисления на основе доступа в Пространстве имён DFS влияет только на показ/сокрытие ссылок на целевые папки.

    Так что проверяйте настройки общих папок - разрешения, Перечисление на основе доступа. И если они у вас разные - постарайтесь больше не ругать Windows.


    Слава России!

    1 декабря 2017 г. 19:19