none
Группы и подразделени RRS feed

  • Вопрос

  • Настраивал уже существующие групповые политики, вероятно что-то удалил. Результат, что если раньше в сети были папки, безопасность которых настроена была по подразделениям, то щас пользователи оных не имеют прав доступа к ним. То есть допустим все пользователи которые были в AD "Компания\IT Отдел" чтобы назначить им права я в безопасноти добавлял эту группу. Сейчас я ее не нахожу. Добавить просто пользователя - могу. А подразделение в котором он - нет. В чем подскажите проблема. ASAP.
    14 декабря 2009 г. 13:39

Ответы

  • Ок. Тогда Вам придется либо переопределять разрешения на ресурсы, либо авторитарно восстанавливать "потерянных" принципалов безопасности.
    14 декабря 2009 г. 19:33
    Отвечающий

Все ответы

  • Подозреваю, что у Вас для организационных подразделений были назначены политики, определяющие разрешения NTFS или членство в группах безопасности. Если Вы эти политики удалили, то восстановить их можно из архива, созданного в GPMC, либо из архива, содержащего состояние системы "Sytem State" одного из контроллеров, на котором были локализованы эти объекты групповых политик.
    14 декабря 2009 г. 14:07
    Отвечающий
  • Подозреваю, что у Вас для организационных подразделений были назначены политики, определяющие разрешения NTFS или членство в группах безопасности. Если Вы эти политики удалили, то восстановить их можно из архива, созданного в GPMC, либо из архива, содержащего состояние системы "Sytem State" одного из контроллеров, на котором были локализованы эти объекты групповых политик.

    Вроде я этот  GPO не удалил а просто снял ссылку. Если так то как понять, за что GPO отвечает. А эти архивы сами создаются.
    14 декабря 2009 г. 14:25
  • Чтобы понять, "за что GPO отвечает", Вы можете посмотреть отчет о настройках ("Settings") этого ОГП из GPMC или воспользоваться возможностями RSoP. Архив ОГП в GMPC создается "вручную".

    http://www.osp.ru/win2000/2004/07/177237/
    14 декабря 2009 г. 14:28
    Отвечающий
  • Может тогда проще прилинковать GPO обратно?
    Хотя если честно то так и не понял как в настройках безопасности сетевой папки можно добавить сразу же разрешения для OU. Если при изменении настроек безопасности для папки Вы просто не можете найти нужную группу безопасности, то проверьте, что в типах объектов для поиска стоит флажок напротив "группы" и место для поиска определено как домен.
    14 декабря 2009 г. 14:42
    Модератор
  • Групп безопасности действительно нет. Там если где они были сейчас "Неизвестная учетная запись (S-1-5-21-23159601-173424-24532-23-42)". Эти группы безопасности не удается найти через поиск, так и просто прописывая группы. Хотя в AD, я их вижу. Вроде посмотрел отчет по объектам групповой политики ничего похожего на назначение прав или членство в группах не нашел. Возможно удалил. Господа, куда рыть подскажите?)

    14 декабря 2009 г. 18:47
  • То есть, если в Контейнере "Компания" лежал отдел контейнеру "IT-отдел" и существовала одноименная группа безопасности, которая принадлежала этому контейнеру. То все пользователи которые являлись членоми этой группы наследовали эти права. Сейчас эти группы отсутствуют.
    14 декабря 2009 г. 18:56
  • // Там если где они были сейчас

    А где Вы наблюдаете эти SID ("S-1-<...>")?..
    14 декабря 2009 г. 18:57
    Отвечающий
  • Ох уж этот русский язык) Наблюдаю в безопасности папки. Раньше место этого была группа.
    14 декабря 2009 г. 19:00
  • А в каталоге AD присутствуют те группы, которые Вы предполагаете увидеть "в безопасности папки"? Возможно, эти группы были удалены, а затем  "восстановлены" с помощью создания групп с именами ранее удаленных?..

    14 декабря 2009 г. 19:05
    Отвечающий
  • Да, они отсутствуют в AD.  
    14 декабря 2009 г. 19:07
  • Может тогда попробовать восстановить их?
    Например так:
    http://technet.microsoft.com/ru-ru/magazine/2007.09.tombstones.aspx
    или так:
    http://technet.microsoft.com/en-us/library/cc779573(WS.10).aspx

    14 декабря 2009 г. 19:12
    Модератор
  • Ну, если они отсутствуют в AD, то, вероятно, они были удалены, либо копия каталога AD является неактуальной...
    Как выглядит Ваша структура AD (леса, домены, контроллеры), топология (сайты, связи) и доверия?

    14 декабря 2009 г. 19:12
    Отвечающий
  • Вот скрин.
    http://grab.by/1bMZ
    14 декабря 2009 г. 19:21
  • Ничего не понятно из этого "скрина". Групп в AD нет, так? У Вас сколько доменов в лесу, сколько контроллеров, сколько сайтов?..

    14 декабря 2009 г. 19:29
    Отвечающий
  • 1 домен, 1 контроллер.
    14 декабря 2009 г. 19:31
  • Ок. Тогда Вам придется либо переопределять разрешения на ресурсы, либо авторитарно восстанавливать "потерянных" принципалов безопасности.
    14 декабря 2009 г. 19:33
    Отвечающий
  • Угу это впринципе не сложно сделать. Но как мне пользователей засунуть во вновь созданные группы отделов. Или присоединить их к контейнерам?
    14 декабря 2009 г. 19:38
  • Пользователей придется включать в группы вручную, либо с помощью скрипта на основе значения атрибута из учетной записи (например "Department").

    P.S. Удалить записи в DACL/SACL на объектах файловой системы с "неопределенными" SID поможет утилита "subinacl": http://www.microsoft.com/downloads/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en.
    14 декабря 2009 г. 19:54
    Отвечающий
  • Да, и вот еще что. Рекомендую Вам распределять разрешения на русурсы с помощью вспомогательных групп безопасности (локальных доменных), определяющих полномочия ее членов на тот или иной ресурс в домене AD. Например, группа "dl-ac-files-salesreports-read", включающая глобальные группы безопасности "g-SaleManagers" и "g-Chiefs", определяет разрешения на чтение файлового ресурса в сети с отчетами "Sales Reports". Ну и т.п.

    Overview of Designing a Resource Authorization Strategy: http://technet.microsoft.com/ru-ru/library/cc738103(WS.10).aspx.
    14 декабря 2009 г. 20:01
    Отвечающий