Permissões de grupo NTFS do servidor 2012 que não funcionam no domínio

Navegue suas respostas
2

Acabamos de nos recuperar de um grande desastre de hardware e tivemos que restaurar todos os nossos dados a partir de um backup externo. No processo, atualizamos de um Windows Server 2008 R2 para um servidor de arquivos do Windows Server 2012 R2 Standard.

Temos uma pasta que armazena quase todos os nossos dados mais seguros e, para simplificar e manter organizadas as várias permissões NTFS nas várias pastas desta pasta principal, criei vários grupos de segurança personalizados e adicionei usuários de domínio aos grupos conforme necessário.

Aqui é onde está ficando estranho. Essas permissões não estão funcionando. Ninguém pode acessar a pasta principal quando está em um grupo que recebeu permissão. No entanto, se eu conceder permissões a usuários de domínio individuais, eles poderão acessar a pasta.

Verifiquei que as permissões de compartilhamento estão definidas corretamente (todos - controle total). Eu usei a guia "Acesso efetivo" para verificar se os usuários nos grupos personalizados têm, de fato, os níveis de acesso apropriados. Mas, a menos que eu atribua permissão aos usuários individualmente, eles não poderão acessar a pasta.

O que está acontecendo aqui? Alguém pode me ajudar?

    
por Dorian DeLuca 28.05.2015 / 21:47

2 respostas

3

Esses usuários efetuaram logout e voltaram para seus computadores desde que você os adicionou aos novos grupos?

Quando um usuário faz logon em sua estação de trabalho, recebe um ticket de concessão de ticket (TGT) pelo controlador de domínio de autenticação. Esse TGT contém informações sobre seus membros de grupo (SIDs) e não expira por algum tempo. Seu computador usa este TGT para solicitar acesso aos recursos da rede.

Seu TGT contém naturalmente sua conta SID, e é por isso que adicionar usuários funciona individualmente. Mas os novos SIDs do grupo provavelmente não fazem parte do TGT de ninguém ainda.

Você precisa fazer logoff e voltar ao computador local para solicitar um novo TGT do controlador de domínio sempre que a associação do grupo do usuário for alterada.

    
por 28.05.2015 / 22:43
0

Recentemente, experimentei o mesmo problema e encontrei esta solução:

Edite o registro, procure por HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System e adicione um DWORD chamado LocalAccountTokenFilterPolicy com o valor de 1.

Não há necessidade de reinicializar. Funcionou para mim com permissões de pasta e AppLocker .

Source Aqui

    
por 23.09.2015 / 13:21

Tags

Desativando o conector EOP durante a manutenção nginx server_name não priorizado