在 10 多年一直以“单向”方式设置 AD 之后,我查看了权限结构,意识到我们的业务实际上已经发生了足够大的变化,我们应该与当前状态相匹配,而不是 10 年前的状态。考虑到这一点,我创建了一组新的群组,其中有合适的个人作为成员。到目前为止一切顺利。
在我添加新组和新成员后几个小时过去了。然后,我在文件服务器上创建了一个新目录,并将新组“foo”设置为对该目录具有“完全”权限。我是组“foo”的成员(我也是域和 entp 管理员的成员)。
当我点击“应用”时,目录内容就消失了(这意味着将组“foo”设置为唯一有权访问新目录的组)。单击资源管理器中的目录时,我得到“访问被拒绝”的提示。右键单击确认组“foo”具有完全访问权限(其中应该包括“我”)。检查我们的 DC,我的帐户是组“foo”的骄傲成员。连接到我的所有 DC,我确认所有 DC 都已复制此更新。因此,我应该能够看到我的目录,但我没有。一旦我添加具有完全访问权限的“所有人”,我就会再次看到目录内容。此外,如果我使用旧的已建立组,我可以正常查看我的文件目录,但新组似乎根本不起作用。
我尝试将新组移至域中的新 OU,甚至移至通用“用户”OU。这似乎没有起到作用。所有 DC 和文件服务器都是 win2k3。应该不会这么难...
有什么线索吗?我被难住了。
提前谢谢。
答案1
您必须注销并重新登录才能使群组成员身份更改生效。
答案2
还要确保正确调整了正在访问的根共享上的共享权限。建议按以下方式设置权限:
根共享上的共享权限:经过身份验证的用户 -> 写入权限文件夹上的 NTFS 权限:域本地组(取决于应授予组的访问权限)
此外:应完全避免任何人访问!而是尝试使用“经过身份验证的用户”。
问候,