我有一个域控制器为我们的小networking(约20用户)。 它运行的是Win Server 2k3。
我添加了一个全局安全组( MYDOMAIN\GroupA ),并添加了3个用户( MYDOMAIN\UserA , MYDOMAIN\UserB , MYDOMAIN\UserC )。
我有一个单独的计算机运行Windows Server 2k3的名为文件服务器(你猜对了,它只是有文件共享)。 它join了域。
我有一个分享:
D:\Docs\ShareOne
我已经将其设置为与共享权限共享:“每个人/完全控制”
那么NTFS权限只允许MYDOMAIN\GroupA对其进行完全控制。
不过,我遇到了很奇怪的问题。
我有3个join域的工作站(2个XP和1个Vista),UserA,UserB和UserC都login到MYDOMAIN。
运行XP的用户A可以运行\\fileserver\ShareOne并正常访问文件。
用户B(在XP)和用户C(在Vista)然而键入\\fileserver\ShareOne到资源pipe理器中,敲回车,迎接一个友好的“访问被拒绝”错误。
我什至有UserB(XP上的whos)重新启动他们的整个机器,relogin,他们仍然无法访问共享。
为什么会这样呢? 非常奇怪的事情正在发生。
我强烈build议打开FILESERVER的本地安全策略中的“login”失败的审核(开始/运行/ GPEDIT.MSC – 导航到“计算机configuration”,“Windows设置”,“安全设置”,“本地策略” ,“和”审计策略“),运行”GPUPDATE“,并看到”安全“事件日志后,看到什么出现(我假设,通过引导你到当地的安全政策,你不没有域名政策覆盖它。)
你能否确认客户端计算机和用户的其他组合是否出现问题(例如“UserB”等常用的计算器上的“UserA”)?
这有一个问题的感觉:SMB签名或NTLM级别,但我认为所有的操作系统都设置为他们的股票configuration,应该工作正常。 只需启动,在正在运行的和未运行的客户端计算机上运行“结果策略集”,并比较与“域成员”相关的“计算机设置”,“Windows设置”,“安全设置”,“安全选项”中的设置。 。“和”Microsoftnetworking客户端:…“)。
还有一件愚蠢的事情:名称FILESERVER是否parsing到所有客户端上的相同IP地址?
你有没有尝试在计算机上被拒绝的两个用户帐户比用户工作正常? 这至less可以作为消除的过程。 如果他们可以通过该计算机访问它,那么可能怀疑计算机configuration或域/计算机关系。 也许把它们分开,重新join到这个领域。 但首先检查用户帐户是否可以访问其他计算机上的共享。 或者你可以创build另一个共享与访问它的每个人,看看这些用户帐户是否可以访问此。 这可能会让你更深入地了解这个问题。
愚蠢的问题,但是在UserB和UserC在ACL中有一个“拒绝”条目? 您也可以在这里检查高级权限,因为有时候这些条目不会显示在标准列表中。
如果不是这样,通常我在这些场景中所做的就是试图缩小到用户或机器问题,所以我会让UserBlogin到UserA的机器(反之亦然),看看会发生什么。 与UserA和UserC一样。 基于该练习的信息,您应该知道是否要查看用户帐户或PC上的某些内容,以便进一步排除故障。
如果您确定这是用户,那么下一个逻辑步骤就是通过复制活动用户来创buildtesting用户帐户,然后尝试自己重现问题。
这是一个远投。 你的客户机可以浏览到networking上的服务器,并能看到共享吗? 过去曾见过类似于浏览问题的行为。 权限被发现,但机器找不到服务器和Windows错误信息有时会被误导。
检查共享所在卷(驱动器)的权限。 每个用户都需要有“跳过遍历检查”用户权限才能进入共享文件夹及其内容,而不pipe共享本身的权限。 确保用户在卷(驱动器)级别具有“Traverse Folder \ Execute File”权限。