Мы только что оправились от серьезной аппаратной аварии, и нам пришлось восстанавливать все наши данные из резервной копии вне офиса. В процессе мы перешли с Windows Server 2008 R2 на файловый сервер Windows Server 2012 R2 Standard.
У нас есть одна папка, в которой хранятся почти все наши более безопасные данные, и, чтобы упростить и упорядочить различные разрешения NTFS для различных папок в этой одной основной папке, я создал несколько настраиваемых групп безопасности и добавил пользователей домена в группы по мере необходимости.
Вот где это становится странным. Эти разрешения не работают. Никто не может получить доступ к основной папке, когда находится в группе, которой предоставлено разрешение. Однако, если я предоставлю разрешения отдельным пользователям домена, они смогут получить доступ к папке.
Я убедился, что права доступа к общему ресурсу установлены правильно (все - полный контроль). Я использовал вкладку «Эффективный доступ», чтобы убедиться, что пользователи в настраиваемых группах действительно имеют соответствующие уровни доступа. Но если я не предоставлю разрешение пользователям индивидуально, они не смогут получить доступ к папке.
Что здесь происходит? Может кто-нибудь помочь мне?
Вышли ли эти пользователи из системы и вернулись на свои компьютеры после того, как вы добавили их в новые группы?
Когда пользователь входит на свою рабочую станцию, контроллер домена аутентификации предоставляет ему билет на выдачу билетов (TGT). Этот TGT содержит информацию об их членстве в группах (SID) и не истекает в течение некоторого времени. Ваш компьютер использует этот TGT для запроса доступа к сетевым ресурсам.
Ваш TGT, естественно, содержит SID вашей учетной записи, поэтому добавление пользователей работает индивидуально. Но новые групповые SID, вероятно, еще не являются частью чьего-либо TGT.
Вам необходимо выйти из системы и снова зайти на локальный компьютер, чтобы запрашивать новый TGT у вашего контроллера домена при изменении членства пользователя в группе.
Недавно я столкнулся с той же проблемой и нашел это решение:
Отредактируйте реестр, ищите HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System и добавить DWORD называется LocalAccountTokenFilterPolicyсо значением 1.
Перезагрузка не требуется. Это сработало для меня с разрешениями на папки и AppLocker.