Я немного запутался в этом.
Я создал группу безопасности в AD под названием «Пользователи с особыми данными» и добавил себя в нее.
Затем я создал общий ресурс на сервере и предоставил группе безопасности AD полный доступ к нему.
Если я попытаюсь получить доступ к общему ресурсу, я не смогу и получу ошибку отказа в разрешении.
Если я добавлю свою учетную запись прямо в общий ресурс или добавлю другую группу безопасности, которая существует уже много лет, и я являюсь ее участником, она будет работать нормально.
Будем признательны за любые советы или предложения о том, что искать, почему эта новая группа не работает. Я посмотрел вверх и вниз и не могу понять, почему новая созданная группа безопасности не работает ...
Спасибо!
Когда вы добавили себя в группу, вы вышли из своей рабочей станции и снова вошли в нее? Членство в группе безопасности - это компонент маркера доступа, предоставленного вашему идентификатору пользователя при входе в систему, а изменение членства в группе требует выхода и входа в систему, чтобы получить новый маркер доступа, отражающий новое членство.
Убедитесь, что вы назначили этому «Специальному пользователю данных» права на чтение как на вкладке «Безопасность», так и в разделе «Совместное использование» -> «Разрешения».
Также вам необходимо повторно войти в систему после добавления пользователя в новую группу.
Какой тип группы вы создали? Имеет значение, являются ли они локальными, глобальными или универсальными.
Я не уверен, что это будет ваша проблема, но я был обожжен этим в прошлом. В скольких группах (включая вложенные) входит ваша учетная запись? Возможно, вы только что прошли ограничение AD. Существует ограничение на членство в группах из-за размера билета Kerberos в AD. Вот еще чтение от Technet о некоторых ограничениях AD. Ознакомьтесь с информацией в разделе "Членство в группах для руководителей безопасности".
Чтобы проверить, может ли это быть так, создайте новую учетную запись и добавьте ее в свою новую группу и посмотрите, может ли эта учетная запись получить доступ к общему ресурсу.
Я рекомендую вам настроить разрешения общего доступа следующим образом, чтобы избежать путаницы:
О самих разрешениях на общий ресурс:
DOMAIN ADMINS = Полный доступ
Все = запись / чтение
Затем о разрешениях безопасности NTFS:
DOMAIN ADMINS = FUll Control
а затем установите безопасность NTFS для других в зависимости от необходимости.
Таким образом вы избежите проблем с правами доступа к общим ресурсам, которые переопределяют разрешения NTFS.