我以下的总体目标是了解哪些域服务器(本地或主要)实际上控制共享或文件夹的身份验证。
我将首先描述我的设置:
2 个站点,A 和 B
站点 A:主域控制器(“主”)和我的工作站(“工作站”)
站点 B:本地域控制器,也是文件服务器(“分支”)。它有一个硬盘驱动器 S:\,上面创建了共享文件夹。
(所有服务器都是 Windows Server 2008 R2。站点 A 也有一个辅助域控制器,但这可能会影响我的问题。)
我在 Branch\S: (“FolderX”) 上有一个共享文件夹,我已将共享权限设置为所有人,完全控制;并将安全权限设置为域管理员和具有“修改”权限的 AD 组 (“GroupX”)。作为域管理员,我可以从 Branch 进入该文件夹。
我尝试以常规用户帐户的身份从 Workstation 访问该文件夹,但无法访问。(\Branch\FolderX) 我可以转到 \Branch,并在共享中看到 FolderX。
在复制之前,为了访问 FolderX,我需要从哪个域控制器将我的常规用户帐户添加到 GroupX?
(这是我的真正问题,我认为通过实验很容易确定。然而......)
如果我在登录 Branch 时将我的常规用户帐户添加到 GroupX,则我无法从 Workstation 访问该文件夹。 (即,我的常规用户帐户尚不存在于 Primary 上的 AD 中的 GroupX 中。)
我从 Branch 上的 GroupX 中删除了我的常规用户帐户。
然后,我在登录 Primary 时将我的常规用户帐户添加到 GroupX。我仍然无法从 Workstation 访问 \Branch\FolderX。
如果我确保我的常规用户帐户在分支和主服务器上的 AD 中的 GroupX 中存在,我仍然无法访问 FolderX。
我错过了什么?
答案1
这不是域控制器。而是工作站上的 Kerberos 票证。简单来说,当您的 Kerberos 票证发出时(可能是您登录时),它会枚举您的组成员身份。(有更长的描述这里)直到票证过期或者您注销并重新登录时,您的群组成员资格才会更新。
回答隐含的问题:将自己添加到 Branch 上的组中,然后注销并重新登录工作站。 (您也可以清除您的 kerberos 票证,但我认为这超出了这个答案的范围。)