我们的网络遇到了一个非常不寻常的问题。
有两个站点:总部(1x SBS 2003 服务器和 20x PC:Win7 和 XP 的混合)和通过 VPN 连接的远程站点(1x XP PC,也与总部的 PC 在同一域中)。
我们的域上有大约 10 个安全组,用于为域用户提供对各种网络驱动器的访问权限。在主办公室,一切都按预期工作。
然而,在远程站点,如果某些域用户成为某个特定安全组(称为“_publicprograms”)的成员,他们就会遇到严重的网络问题。如果他们是此安全组的成员,他们将无法查看服务器 (\\server) 上的任何共享,而不是获得更多访问权限(就像在具有此安全组的主站点上发生的那样)。
如果用户随后从“_publicprograms”安全组中删除,从远程站点的 PC 注销,然后再次登录,他们可以再次以正常方式查看和访问服务器上的共享(与安全相关的组和其他,例如连接到服务器的网络打印机)。这个问题是 100% 可重复的。
这很奇怪,因为:
此问题不会发生在具有相同域用户帐户的主站点上,在与远程站点的 PC 位于同一 OU 中的 PC 上
与我们的任何其他安全组相比,此安全组在 AD 中的配置没有明显不同
我什至不会想到安全组成员能够阻止以这种方式在服务器上列出任何(或所有,在这种情况下)共享。我说的不仅仅是用户被拒绝访问共享(可以通过 NTFS 权限来解释),而是无法简单地列出服务器上的共享。
Evan:这是您要求的服务器自己的策略结果集。
或许你能在这里找到线索:
概括:
设置:
政策事件:
在解决了我认为在 AD 中完全不相关的问题后,我终于解决了这个问题。
以前的 IT 人员已经建立了大约 10 个完全不必要的安全组——一些嵌套在其他安全组中(许多只有 1 或 2 个成员)。这是一团糟,表明他对组织将如何使用他们的网络驱动器做了一些懒惰的假设(使得无法自由选择哪些单独的驱动器来为用户提供访问权限,因为有些驱动器最终混为一谈)。一般来说,它仍然有效——而且整理 AD 并不是我的首要任务(这就是为什么我到目前为止还没有开始着手处理它的原因)。
在我意识到新用户是一个安全组的成员之后,重组 AD 本周变得更加紧迫,该安全组是嵌套安全组链的一部分(“groupA”是“B”的成员,“B”是“ C" 等) - 最终导致用户在登录时获得 2 个额外的网络驱动器映射,这是他们不应该看到的。
在主站点,用户可以正常登录,只需访问这些额外的映射驱动器,仍然可以浏览服务器共享。在远程站点(可能与 3G 网络相对较低的带宽有关),当这个安全组的成员时,用户失去了通过 VPN 对同一服务器的所有访问权限(根据我的问题)。很奇怪——但你可以明白为什么我很想擦除工作站上的操作系统,希望能解决问题。
After nearly a day of reorganzing NTFS permissions on the data partition, reorganizing group membership, and deleting as many superfluous security groups as possible (as well as ensuring that no security groups were members of others- mainly because there was no need for that in this relatively small organization) the issue I posted here instantly disappeared. I never even had to go in to the office, let alone do a reload of the OS on the workstation at the remote site- all I needed to do was remote in to the server and tidy up everything related to security groups in AD.
The problem seems to have arisen due to a combination of the remote site having a slower connection (VPN over 3G cellular network) combined with the multiple nested security groups.
顺便说一句,在解开和简化我们的 AD 安全组之前,我还尝试通过相同的 LogMeIn Hamachi VPN 链接将其链接到办公室,将其连接到域,然后以有问题的帐户登录,从而在我的家用 PC 上重现问题。我无法重现该问题。我的家庭网络下降了 25Mbps,上升了 2.5Mbps,这就是为什么我认为带宽(或延迟)可能是这里的一个促成因素。
也许这里故事的寓意是:如果您完全没有想法,遇到可能与权限相关的问题...卷起袖子,打开水壶,准备花一天时间仔细整理 Active目录!