我们刚从一个重大的硬件灾难中恢复过来,不得不从一个异地备份恢复所有的数据。 在此过程中,我们从Windows Server 2008 R2升级到Windows Server 2012 R2标准文件服务器。
我们有一个文件夹几乎容纳了所有更安全的数据,为了简化和保持这个主文件夹中各个文件夹上的各种NTFS权限,我创build了几个自定义安全组,并将域用户添加到组中如所须。
这是奇怪的地方。 这些权限不起作用。 当他们在一个已被授予权限的组中时,没有人可以访问主文件夹。 但是,如果我向各个域用户授予权限,则他们可以访问该文件夹。
我已经validation了共享权限设置正确(每个人 – 完全控制)。 我已经使用“有效访问”选项卡来validation自定义组中的用户确实具有适当的访问级别。 但是,除非我单独为用户分配权限,否则他们无法访问该文件夹。
这里发生了什么? 谁能帮我?
让这些用户注销并返回到他们的计算机,因为你将他们添加到新的组?
当用户login到他们的工作站时,他们将被授权authentication域控制器授予票证(TGT)。 TGT包含有关其组成员资格(SID)的信息,并且不会过期一段时间。 您的计算机使用此TGT请求访问networking资源。
您的TGT自然包含您的帐户SID,这就是为什么添加用户单独工作。 但新的小组SID可能不是任何人的TGT的一部分。
您需要注销并重新login到本地计算机,以便在用户的组成员身份发生更改时向域控制器请求新的TGT。
我最近遇到同样的问题,发现这个解决scheme:
编辑registry,查找HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System并添加一个名为LocalAccountTokenFilterPolicy DWORD值为1。
无需重启。 它为我工作的文件夹权限和AppLocker 。
来源于此