web-dev-qa-db-ja.com

共有に割り当てられたセキュリティグループにいるとき、Windows共有にアクセスできない

私はこれに少し困惑しています。

ADに「特別なデータユーザー」と呼ばれるセキュリティグループを作成し、自分に追加しました。

次に、サーバー上に共有を作成し、そのADセキュリティグループに共有へのフルアクセスを付与しました。

共有にアクセスしようとすると、アクセス拒否のエラーが表示されません。

ユーザーアカウントを直接共有に追加したり、何年も前から使用されている別のセキュリティグループを追加したりすると、そのメンバーは正常に機能します。

この新しいグループが機能しない理由を探すためのヒントや提案をいただければ幸いです。私は高低を調べましたが、作成された新しいセキュリティグループが機能しない理由を理解できません...

ありがとう!

9
Alan Barber

自分をグループに追加したときに、ワークステーションからログアウトして、再度ログインしましたか?セキュリティグループメンバーシップは、ログオン時にユーザーIDに付与されるアクセストークンのコンポーネントであり、グループメンバーシップを変更するには、新しいメンバーシップを反映する新しいアクセストークンを取得するためにログアウトとログが必要です。

14
joeqwerty

[セキュリティ]タブと[共有]-> [権限]の両方で、その「特別なデータユーザー」に読み取り権限が割り当てられていることを確認してください。

また、ユーザーを新しいグループに追加したら、再ログインする必要があります。

1
Regent

これがあなたの問題になるかどうかはわかりませんが、私は過去にそれによって焦げました。アカウントは、いくつのグループ(ネストされたグループを含む)のメンバーですか? ADの制限に合格した可能性があります。 ADのKerberosチケットサイズのため、グループメンバーシップには制限があります。 ADの制限に関するTechnet の詳細はこちらです。セキュリティプリンシパルのグループメンバーシップの見出しの下にある情報を確認してください。

これが当てはまるかどうかを確認するには、新しいアカウントを作成して新しいグループに追加し、そのアカウントが共有にアクセスできるかどうかを確認します。

0
squillman

混乱を避けるために、共有権限を次のように設定することをお勧めします。

共有権限自体について:

ドメイン管理者=フルコントロール

全員=書き込み/読み取り

次に、NTFSセキュリティ権限について:

ドメイン管理者=フルコントロール

次に、必要に応じて、他のユーザーのNTFSセキュリティを設定します。

そうすることで、NTFSアクセス許可を上書きする共有アクセス許可の問題を回避できます。

0
TheCleaner

どのようなグループを作成しましたか?それらがドメインローカル、グローバル、またはユニバーサルである場合、違いが生じます。

0
Tubs