none
Проблема с правами SMB/NTFS RRS feed

  • Вопрос

  • Добрый день.

    Мне в наследство достался сервер, на который падают сканы организации. Структура следующая, в корне через SMB расшарены папки филиалов с правами у группы Все на полный доступ. Все права регулируются через NTFS.

    Если я пытаюсь зайти в папку филиала по SMB, то получаю ошибку (скрин 1). Но если смотреть NTFS права, там есть группа доменных админов, куда входит моя учётка. Причем я сначала я получаю сообщение что у меня нет прав, но после нажатия продолжить (скрин 2) мне открывается полный список разрешений (скрин 3). И если я пробую зайти в папку через NTFS, то получаю предупреждение про доступ (скрин 4). Если жать продолжить, то в права добавляется та учётка, под которой я захожу на сервер, хотя она уже есть в группе доменных админов. 

    При этом если смотреть результирующие права на папку ДО того как я нажимаю Продолжить (скрин 4), они показываю что доступ есть, правда перед тем как у меня появляется возможность выполнить результируюущю политику прав, мне нужно включить разрешение на любой вкладке в свойствах папки.

    Подскажите пожалуйста, почему так может быть?

    25 сентября 2020 г. 11:32

Ответы

  • то что вы описываете связано с наличием uac, поведение нормально и если вы не являетесь владельцем, то по умолчанию ограничены в правах

    выход прост администраторов домена добавить в группу например share_fullrights и дать все необходимые права этой группе. Если наследование включено, то эту настройку достаточно будет выполнить только на корне шары


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Валера2 28 сентября 2020 г. 5:05
    27 сентября 2020 г. 6:19
    Модератор

Все ответы

  • то что вы описываете связано с наличием uac, поведение нормально и если вы не являетесь владельцем, то по умолчанию ограничены в правах

    выход прост администраторов домена добавить в группу например share_fullrights и дать все необходимые права этой группе. Если наследование включено, то эту настройку достаточно будет выполнить только на корне шары


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Валера2 28 сентября 2020 г. 5:05
    27 сентября 2020 г. 6:19
    Модератор
  • Проблема в том, что администраторы домена уже прописаны в full access, а моя учётная запись входит в группу администраторов домена. Я с таким первый раз сталкиваюсь и похоже у меня плохо получилось описать ситуацию. 

    Смотрите, есть сервер SCAN с 10 папками филиалов, расшаренных по SMB. В правах SMB настроен полный доступ для всех (скрин 5), это сделано чтобы контролировать доступ путем настройки прав через NTFS. Если смотреть свойства любой корневой папки филиала (\\scan\1filial...\\scan\17filial), то там в безопасности уже видно группу domain admins (скрин 3). 

    То есть даже если срабатывает UAC, то доступ по SMB все равно должен проходить за счет сочетания полного доступа по SMB (группа Все) и NTFS (domain admins)?

    В правах на эти же папки есть другие группы с полным доступом и если добавить мою учётку в них, то потом вход в папки работает нормально. Проблема почему то именно с Domain Admins, но я никак не могу понять что именно может влиять. Я даже проверял расширенные настройки в NTFS правах, у группы Domain Admins там стоят галки на всех правах.

    27 сентября 2020 г. 18:10
  • Сейчас проверил ещё раз и доступ заработал. Причем стал смотреть другие папки, специально добавлял группу Domain Admins и сразу проверял без перезахода в систему и ошибки доступа не было. Все работает как и должною. Не знаю что это было, возможно я что-то упустил.
    28 сентября 2020 г. 5:04