我有一个用于小型网络(约 20 个用户)的域控制器。它运行的是 Win Server 2k3。
我添加了一个全局安全组 ( MYDOMAIN\GroupA) 并向其中添加了 3 个用户 ( MYDOMAIN\UserA, MYDOMAIN\UserB, MYDOMAIN\UserC)。
我有一台运行 Windows Server 2k3 的独立计算机,名为 fileserver(您猜对了,它上面有文件共享)。它已加入域。
我有一份分享:
D:\Docs\ShareOne
我已将其设置为共享,共享权限为:“所有人/完全控制”
然后 NTFS 权限仅允许MYDOMAIN\GroupA对其进行完全控制。
但是,我遇到了非常奇怪的问题。
我有 3 个工作站(2 个 XP 和 1 个 Vista)加入了域,并且用户 A、用户 B 和用户 C 都登录到了 MYDOMAIN。
运行 XP 的用户 A 可以\\fileserver\ShareOne正常运行并访问文件。
然而,用户 B(在 XP 上)和用户 C(在 Vista 上)在 Explorer 中输入内容\\fileserver\ShareOne,按回车键,却看到了友好的“访问被拒绝”错误。
我甚至让用户 B (使用 XP) 重新启动了整个机器,重新登录,但他们仍然无法访问共享。
为什么会发生这种情况?一些非常非常奇怪的事情正在发生。
答案1
我强烈建议在 FILESERVER 的本地安全策略中启用对“登录”失败的审核(开始/运行/GPEDIT.MSC - 导航到“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”和“审核策略”),运行“GPUPDATE”,并在失败后观察“安全”事件日志以查看显示的内容。 (我假设,通过将您引导到本地安全策略,您没有覆盖它的域策略。)
您能否验证其他客户端计算机和用户的组合是否存在该问题(即“用户 A”在“用户 B”通常使用的计算机上,等等)?
这感觉像是 SMB 签名或 NTLM 级别的问题,但我认为您的所有操作系统都设置为其库存配置,应该可以正常工作。只是为了好玩,在工作和非工作的客户端计算机上运行策略的结果集,并比较与“域成员:...”和“Microsoft 网络客户端:...”相关的“计算机设置”、“Windows 设置”、“安全设置”、“安全选项”中的设置。)
还有一件愚蠢的事情:FILESERVER名称是否在所有客户端上解析为相同的IP地址?
答案2
您是否尝试过计算机上被拒绝的两个用户帐户,但用户工作正常?这至少可以作为一个排除过程。如果他们可以通过该计算机正常访问,那么可能怀疑计算机配置或域/计算机关系。也许可以断开它们并将它们重新加入域。但首先检查用户帐户是否可以访问另一台计算机上的共享。或者您可以创建另一个共享,让每个人都可以访问它,看看这些用户帐户是否可以访问它。这也可能让您对此事有更深入的了解。
答案3
愚蠢的问题,但 UserB 和 UserC 是否在 ACL 中具有“拒绝”条目的组中?您可能还想在此处检查高级权限,因为有时那里的条目不会显示在标准列表中。
如果不是这样,我通常会尝试将问题缩小到用户或机器问题,因此我会让 UserB 登录到 UserA 的机器(反之亦然),然后查看会发生什么。UserA 和 UserC 也一样。根据该练习的信息,您应该知道是否要查看用户帐户或 PC 上或 PC 上的某些内容以进行进一步的故障排除。
如果您确定是用户的问题,那么下一个合乎逻辑的步骤就是通过复制现有用户帐户来创建测试用户帐户,然后尝试自己重现该问题。
答案4
检查共享所在的卷(驱动器)上的权限。每个用户都需要拥有“绕过遍历检查”用户权限才能访问共享文件夹及其内容,而不管共享本身的权限如何。确保用户在卷(驱动器)级别拥有“遍历文件夹\执行文件”权限。