Chúng tôi vừa khôi phục sau một thảm họa phần cứng lớn và phải khôi phục tất cả dữ liệu của mình từ một bản sao lưu bên ngoài. Trong quá trình này, chúng tôi đã nâng cấp từ Windows Server 2008 R2 lên máy chủ tệp Windows Server 2012 R2 Standard.

Chúng tôi có một thư mục chứa gần như tất cả dữ liệu an toàn hơn của chúng tôi và để đơn giản hóa và duy trì tổ chức các quyền NTFS khác nhau trên các thư mục khác nhau trong một thư mục chính này, tôi đã tạo một số nhóm bảo mật tùy chỉnh và thêm người dùng miền vào các nhóm khi cần thiết.

Đây là nơi mà nó trở nên kỳ lạ. Các quyền này không hoạt động. Không ai có thể truy cập vào thư mục chính khi họ ở trong một nhóm đã được cấp quyền. Tuy nhiên, nếu tôi cấp quyền cho người dùng miền riêng lẻ, họ có thể truy cập vào thư mục.

Tôi đã xác minh rằng quyền chia sẻ được đặt đúng cách (mọi người - toàn quyền kiểm soát). Tôi đã sử dụng tab "Truy cập hiệu quả" để xác minh rằng người dùng trong các nhóm tùy chỉnh trên thực tế có các cấp truy cập thích hợp. Nhưng trừ khi tôi chỉ định quyền cho từng người dùng, họ không thể truy cập vào thư mục.

Có chuyện gì đang xảy ra ở đây? Ai giúp tôi với?

answer

Những người dùng này đã đăng xuất và quay lại máy tính của họ kể từ khi bạn thêm họ vào nhóm mới chưa?

Khi người dùng đăng nhập vào máy trạm của họ, họ sẽ được bộ điều khiển miền xác thực cấp một vé cấp phép (TGT). TGT đó chứa thông tin về tư cách thành viên nhóm (SID) của họ và không hết hạn trong một thời gian. Máy tính của bạn sử dụng TGT này để yêu cầu quyền truy cập vào tài nguyên mạng.

TGT của bạn tự nhiên chứa SID tài khoản của bạn, đó là lý do tại sao việc thêm người dùng riêng lẻ hoạt động. Nhưng các SID của nhóm mới có lẽ chưa phải là một phần trong TGT của bất kỳ ai.

Bạn cần đăng xuất và bật lại máy tính cục bộ để yêu cầu TGT mới từ bộ điều khiển miền của bạn bất cứ khi nào thành viên nhóm của người dùng thay đổi.

Gần đây tôi đã gặp vấn đề tương tự và tìm thấy giải pháp này:

Chỉnh sửa sổ đăng ký, tìm kiếm HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemvà thêm một DWORDđược gọi LocalAccountTokenFilterPolicyvới giá trị là 1.

Không cần khởi động lại. Nó làm việc cho tôi với quyền thư mục và AppLocker.

Nguồn tại đây