Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Странная работа файлопомойки на основе AD (http://forum.oszone.net/showthread.php?t=294973)

Максим_Свирин@vk 04-02-2015 16:34 2466307
Странная работа файлопомойки на основе AD
 
Добрый день. Разгребаю конюшни предшественника. Среди прочего напоролся на такой вот момент: есть сервер AD+контроллер домена. Есть второй сервер, на котором помимо прочего лежит папка с файлами, в которой есть весьма ветвистый доступ к файлам по группам пользователей. Беда в том, что в сами папки на основе разрешений пользователи попадают, но когда пытаются открыть любой файл, который черпает разрешения с той же папки, в зависимости от типа файла выдает сообщение, суть которого одинакова: нет доступа. При этом все открывается и работает под админской учеткой. Пробовал перезадавать права, добавлять пользовательским учеткам привелегии админа, при этом активировались все его привелегии вплоть до выключения сервера - картина все та же.

Файл 121873

Вот результат dcdiag:

Скрытый текст
Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = srv1
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\SRV1
Запуск проверки: Connectivity
......................... SRV1 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\SRV1
Запуск проверки: Advertising
......................... SRV1 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... SRV1 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... SRV1 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... SRV1 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... SRV1 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... SRV1 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... SRV1 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... SRV1 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... SRV1 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... SRV1 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... SRV1 - пройдена проверка Replications
Запуск проверки: RidManager
......................... SRV1 - пройдена проверка RidManager
Запуск проверки: Services
......................... SRV1 - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 02/04/2015 14:31:53
Строка события:
Драйвер HP LaserJet 2420 PCL 6 для принтера HP LaserJet 2420 PCL 6 н
е опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйв
ер.
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 02/04/2015 14:31:56
Строка события:
Драйвер HP LaserJet M1530 MFP Series PCL 6 для принтера HP LaserJet
M1530 MFP Series PCL 6 не опознан. Обратитесь к сетевому администратору, чтобы о
н установил нужный драйвер.
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 02/04/2015 14:32:01
Строка события:
Драйвер Canon MF4500 Series UFRII LT для принтера Canon MF4500 не оп
ознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 02/04/2015 14:32:08
Строка события:
Драйвер Xerox Phaser 3121 для принтера Xerox Phaser 3121 не опознан.
Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
......................... SRV1 - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... SRV1 - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: WC
Запуск проверки: CheckSDRefDom
......................... WC - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... WC - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: WC .ru
Запуск проверки: LocatorCheck
......................... WC .ru- пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... WC .ru - пройдена проверка
Intersite

Максим_Свирин@vk 04-02-2015 17:13 2466330
Сейчас в ходе эксперимента дал на одну из папок "Пользователям домена" полный доступ, вплоть до удаления и редактирования прав на нее. Файлы стали открываться, удаляться и т.д.. После этого вернул этой группе права только на чтение, но почему то группа по прежнему может удалять файлы из этой папки или редактировать их, хотя права на просмотр разрешений для папки отпали нормально.

User001 04-02-2015 18:18 2466369
Цитата:
Цитата Максим_Свирин@vk
Сейчас в ходе эксперимента дал на одну из папок "Пользователям домена" полный доступ, вплоть до удаления и редактирования прав на нее. Файлы стали открываться, удаляться и т.д.. После этого вернул этой группе права только на чтение, но почему то группа по прежнему может удалять файлы из этой папки или редактировать их, хотя права на просмотр разрешений для папки отпали нормально. »
Угадывать тяжело. Навскидку - смотрите во вкладке дополнительно, если нужно, ставьте запрещающие правила. Проверьте, не наследуются ли права от родительского каталога.

Максим_Свирин@vk 04-02-2015 18:35 2466378
Цитата:
Угадывать тяжело. Навскидку - смотрите во вкладке дополнительно, если нужно, ставьте запрещающие правила. Проверьте, не наследуются ли права от родительского каталога.
User001, это проверял первым делом. Вообще творится какая то чертовщина. Меняю права на папку и на одном пользователе из группы "Пользователи домена" они схватываются сразу, на втором не меняются и он как мог удалять папку, так и может. Пробовал создавать и расшаривать новую папку, раздав на нее права - результат тот же. МОжно конечно все снести, но как то не сильно привлекает всю ночь все переустанавливать, перезадавать права на папку в 90 гб с 300+ внутренних папок и поутру заново вводить кучу машин в домен. Даже логи молчат, не дают эрроров

User001 04-02-2015 18:48 2466387
Цитата:
Цитата Максим_Свирин@vk
Меняю права на папку и на одном пользователе из группы "Пользователи домена" они схватываются сразу, на втором не меняются и он как мог удалять папку, так и может. »
Смотрите для пользователя: В Свойства папки -> Безопасность -> Дополнительно -> Действующие разрешения. И проверьте разрешения на общий ресурс (Свойства папки -> Доступ). Покажите скриншоты для проблемного пользователя. Проверьте в каких группах состоит данный пользователь.

cameron 04-02-2015 19:08 2466399
Цитата:
Цитата User001
Смотрите для пользователя: В Свойства папки -> Безопасность -> Дополнительно -> Действующие разрешения. »
только делать это нужно на самом сервере, потому что
Цитата:
Цитата Максим_Свирин@vk
Пробовал перезадавать права, добавлять пользовательским учеткам привелегии админа, при этом активировались все его привелегии вплоть до выключения сервера - картина все та же. »
лол =)
Цитата:
Цитата Максим_Свирин@vk
есть сервер AD+контроллер домена. »
по-другому быть не может

User001 04-02-2015 19:11 2466405
Цитата:
Цитата cameron
только делать это нужно на самом сервере, потому что »
Думал, что это очевидно.
Цитата:
Цитата Максим_Свирин@vk
перезадавать права на папку в 90 гб с 300+ внутренних папок »
Скопируйте, меняйте права, тестируйте. Потом подмените.
Цитата:
Цитата Максим_Свирин@vk
поутру заново вводить кучу машин в домен »
Вот про это я не понял :o .

Максим_Свирин@vk 04-02-2015 19:16 2466414
Вложений: 2
Цитата:
Цитата User001
Смотрите для пользователя: В Свойства папки -> Безопасность -> Дополнительно -> Действующие разрешения. И проверьте разрешения на общий ресурс (Свойства папки -> Доступ). Покажите скриншоты для проблемного пользователя. Проверьте в каких группах состоит данный пользователь. »
Все пользователи помимо групп отделов, которые используются для доступа к папкам по отделам (Buhgroup, Snabgroup и т.д.), состоят только в "Пользователи домена". Сами группы тоже состоят только в "пользователях домена". Проблема в том, что пользователь проблемный не один, все папки пускают в себя в соответствии с разрешениями по группам, но сами файлы открывать не дают. Понял, что разрешения меняются только для тех, у кого я поставил галочку в профиле "учетная запись важна и не может быть дилегированна" по образу админской учетки, но это не есть выход.

Файл 121882

К тому же этот способ работает только на тех папках, где я заново задал права, со старыми по прежнему все плохо, папка по правам пускает, а файлы выдают примерно следующее:


Файл 121883
Остальные документы посылают в ту же степь, на тот же лад.

cameron 04-02-2015 19:18 2466417
Цитата:
Цитата User001
Думал, что это очевидно. »
неа, если ТС раздаёт права лок.админов для регулирования прав NTFS для доменной группы.
Цитата:
Цитата User001
Скопируйте, меняйте права, тестируйте. Потом подмените. »
можно пошем слепок сделать, ну или ещё вариантами.
Цитата:
Цитата User001
Вот про это я не понял »
ТС хочет переподнять весь домен ("сервер AD+контроллер домена") для кардинального решения проблемы с раздачей прав.

nokogerra 05-02-2015 06:46 2466555
1. Не представляю как отмена гипотетической (потому что я почти уверен, что они не делегированы) возможности делегации управления учетной записью влияет на разрешения NTFS на совершенно другой машине, совершенно другом томе. Более того и на томах самого КД это не играло бы никакой роли. Ну или я чего то не понимаю, но это не беда, если что cameron меня носом ткнет.
2. Вы бы показали "действующие права доступа" (безопасность -> дополнительно -> действующие разрешения) хотя бы для одного проблемного пользователя для одного проблемного каталога и одного вложенного проблемного файла (например той картинки из скриншота и каталога, в котором она лежит). Иначе это просто гадание.

WindowsNT 05-02-2015 10:01 2466610
Цитата:
Цитата User001
если нужно, ставьте запрещающие правила »
Нет, так не делать. Применение запрещений свидетельствует либо о неправильной структуре папок, либо о неверных методах работы администратора.

User001 05-02-2015 17:25 2466873
Цитата:
Цитата WindowsNT
Нет, так не делать. Применение запрещений свидетельствует либо о неправильной структуре папок, либо о неверных методах работы администратора. »
Учитывая действия ТС и описанную ситуацию, это может быть тот случай.

Filk 09-02-2015 21:35 2469211
Проверьте вкладку папки "Доступ"-"Общий доступ". Быть может там у пользователей стоит "Чтение", а не "Чтение и запись". В итоге когда пользователь с правами на редактирование пытается открыть файл, то его рубит правило доступа к папке, а не правило AD.


Время: 21:14.

Время: 21:14.
© OSzone.net 2001-