Добрый день. Разгребаю конюшни предшественника. Среди прочего напоролся на такой вот момент: есть сервер AD+контроллер домена. Есть второй сервер, на котором помимо прочего лежит папка с файлами, в которой есть весьма ветвистый доступ к файлам по группам пользователей. Беда в том, что в сами папки на основе разрешений пользователи попадают, но когда пытаются открыть любой файл, который черпает разрешения с той же папки, в зависимости от типа файла выдает сообщение, суть которого одинакова: нет доступа. При этом все открывается и работает под админской учеткой. Пробовал перезадавать права, добавлять пользовательским учеткам привелегии админа, при этом активировались все его привелегии вплоть до выключения сервера - картина все та же.

121873

Вот результат dcdiag:

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = srv1
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\SRV1
Запуск проверки: Connectivity
......................... SRV1 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\SRV1
Запуск проверки: Advertising
......................... SRV1 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... SRV1 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... SRV1 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... SRV1 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... SRV1 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... SRV1 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... SRV1 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... SRV1 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... SRV1 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... SRV1 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... SRV1 - пройдена проверка Replications
Запуск проверки: RidManager
......................... SRV1 - пройдена проверка RidManager
Запуск проверки: Services
......................... SRV1 - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 02/04/2015 14:31:53
Строка события:
Драйвер HP LaserJet 2420 PCL 6 для принтера HP LaserJet 2420 PCL 6 н
е опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйв
ер.
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 02/04/2015 14:31:56
Строка события:
Драйвер HP LaserJet M1530 MFP Series PCL 6 для принтера HP LaserJet
M1530 MFP Series PCL 6 не опознан. Обратитесь к сетевому администратору, чтобы о
н установил нужный драйвер.
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 02/04/2015 14:32:01
Строка события:
Драйвер Canon MF4500 Series UFRII LT для принтера Canon MF4500 не оп
ознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 02/04/2015 14:32:08
Строка события:
Драйвер Xerox Phaser 3121 для принтера Xerox Phaser 3121 не опознан.
Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
......................... SRV1 - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... SRV1 - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: WC
Запуск проверки: CheckSDRefDom
......................... WC - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... WC - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: WC .ru
Запуск проверки: LocatorCheck
......................... WC .ru- пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... WC .ru - пройдена проверка
Intersite

Сейчас в ходе эксперимента дал на одну из папок "Пользователям домена" полный доступ, вплоть до удаления и редактирования прав на нее. Файлы стали открываться, удаляться и т.д.. После этого вернул этой группе права только на чтение, но почему то группа по прежнему может удалять файлы из этой папки или редактировать их, хотя права на просмотр разрешений для папки отпали нормально.

Сейчас в ходе эксперимента дал на одну из папок "Пользователям домена" полный доступ, вплоть до удаления и редактирования прав на нее. Файлы стали открываться, удаляться и т.д.. После этого вернул этой группе права только на чтение, но почему то группа по прежнему может удалять файлы из этой папки или редактировать их, хотя права на просмотр разрешений для папки отпали нормально. »Угадывать тяжело. Навскидку - смотрите во вкладке дополнительно, если нужно, ставьте запрещающие правила. Проверьте, не наследуются ли права от родительского каталога.

Угадывать тяжело. Навскидку - смотрите во вкладке дополнительно, если нужно, ставьте запрещающие правила. Проверьте, не наследуются ли права от родительского каталога.
User001, это проверял первым делом. Вообще творится какая то чертовщина. Меняю права на папку и на одном пользователе из группы "Пользователи домена" они схватываются сразу, на втором не меняются и он как мог удалять папку, так и может. Пробовал создавать и расшаривать новую папку, раздав на нее права - результат тот же. МОжно конечно все снести, но как то не сильно привлекает всю ночь все переустанавливать, перезадавать права на папку в 90 гб с 300+ внутренних папок и поутру заново вводить кучу машин в домен. Даже логи молчат, не дают эрроров

Меняю права на папку и на одном пользователе из группы "Пользователи домена" они схватываются сразу, на втором не меняются и он как мог удалять папку, так и может. »Смотрите для пользователя: В Свойства папки -> Безопасность -> Дополнительно -> Действующие разрешения. И проверьте разрешения на общий ресурс (Свойства папки -> Доступ). Покажите скриншоты для проблемного пользователя. Проверьте в каких группах состоит данный пользователь.

Смотрите для пользователя: В Свойства папки -> Безопасность -> Дополнительно -> Действующие разрешения. »
только делать это нужно на самом сервере, потому что
Пробовал перезадавать права, добавлять пользовательским учеткам привелегии админа, при этом активировались все его привелегии вплоть до выключения сервера - картина все та же. »
лол =)
есть сервер AD+контроллер домена. »
по-другому быть не может

только делать это нужно на самом сервере, потому что »Думал, что это очевидно.
перезадавать права на папку в 90 гб с 300+ внутренних папок »Скопируйте, меняйте права, тестируйте. Потом подмените.
поутру заново вводить кучу машин в домен »Вот про это я не понял :o .

Смотрите для пользователя: В Свойства папки -> Безопасность -> Дополнительно -> Действующие разрешения. И проверьте разрешения на общий ресурс (Свойства папки -> Доступ). Покажите скриншоты для проблемного пользователя. Проверьте в каких группах состоит данный пользователь. »

Все пользователи помимо групп отделов, которые используются для доступа к папкам по отделам (Buhgroup, Snabgroup и т.д.), состоят только в "Пользователи домена". Сами группы тоже состоят только в "пользователях домена". Проблема в том, что пользователь проблемный не один, все папки пускают в себя в соответствии с разрешениями по группам, но сами файлы открывать не дают. Понял, что разрешения меняются только для тех, у кого я поставил галочку в профиле "учетная запись важна и не может быть дилегированна" по образу админской учетки, но это не есть выход.

121882

К тому же этот способ работает только на тех папках, где я заново задал права, со старыми по прежнему все плохо, папка по правам пускает, а файлы выдают примерно следующее:


121883
Остальные документы посылают в ту же степь, на тот же лад.

Думал, что это очевидно. »
неа, если ТС раздаёт права лок.админов для регулирования прав NTFS для доменной группы.
Скопируйте, меняйте права, тестируйте. Потом подмените. »
можно пошем слепок сделать, ну или ещё вариантами.
Вот про это я не понял »
ТС хочет переподнять весь домен ("сервер AD+контроллер домена") для кардинального решения проблемы с раздачей прав.

1. Не представляю как отмена гипотетической (потому что я почти уверен, что они не делегированы) возможности делегации управления учетной записью влияет на разрешения NTFS на совершенно другой машине, совершенно другом томе. Более того и на томах самого КД это не играло бы никакой роли. Ну или я чего то не понимаю, но это не беда, если что cameron меня носом ткнет.
2. Вы бы показали "действующие права доступа" (безопасность -> дополнительно -> действующие разрешения) хотя бы для одного проблемного пользователя для одного проблемного каталога и одного вложенного проблемного файла (например той картинки из скриншота и каталога, в котором она лежит). Иначе это просто гадание.

если нужно, ставьте запрещающие правила »
Нет, так не делать. Применение запрещений свидетельствует либо о неправильной структуре папок, либо о неверных методах работы администратора.

Нет, так не делать. Применение запрещений свидетельствует либо о неправильной структуре папок, либо о неверных методах работы администратора. »Учитывая действия ТС и описанную ситуацию, это может быть тот случай.

Проверьте вкладку папки "Доступ"-"Общий доступ". Быть может там у пользователей стоит "Чтение", а не "Чтение и запись". В итоге когда пользователь с правами на редактирование пытается открыть файл, то его рубит правило доступа к папке, а не правило AD.