我们刚刚从一次重大硬件灾难中恢复过来,必须从异地备份中恢复所有数据。在此过程中,我们从 Windows Server 2008 R2 升级到 Windows Server 2012 R2 标准文件服务器。
我们有一个文件夹,其中存放了几乎所有更安全的数据,为了简化和组织这个主文件夹中各个文件夹上的各种 NTFS 权限,我创建了几个自定义安全组并根据需要将域用户添加到组中。
事情变得奇怪了。这些权限不起作用。当用户属于被授予权限的组时,任何人都无法访问主文件夹。但是,如果我向单个域用户授予权限,他们就可以访问该文件夹。
我已经验证共享权限设置正确(所有人 - 完全控制)。我已使用“有效访问”选项卡验证自定义组中的用户确实具有适当的访问级别。但除非我单独为用户分配权限,否则他们无法访问该文件夹。
这是怎么回事?有人能帮我吗?
答案1
自从您将这些用户添加到新组后,他们是否曾注销并重新登录他们的计算机?
当用户登录到其工作站时,身份验证域控制器会向他们授予票据授予票据 (TGT)。该 TGT 包含有关其组成员身份 (SID) 的信息,并且在一段时间内不会过期。您的计算机使用此 TGT 请求访问网络资源。
您的 TGT 自然包含您的帐户 SID,这就是单独添加用户有效的原因。但新的组 SID 可能还不是任何人的 TGT 的一部分。
每当用户的组成员身份发生变化时,您都需要注销并重新登录本地计算机,以便从域控制器请求新的 TGT。
答案2
我最近遇到了同样的问题并找到了以下解决方案:
编辑注册表,查找HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System并添加一个值为 1 的DWORD调用。LocalAccountTokenFilterPolicy
无需重启。它对我有用,具有文件夹权限和AppLocker。