Я пытаюсь настроить несколько сложный сценарий доступа к общей папке (подключенной к домену Windows Server 2022), и у меня происходят действительно странные вещи.
Я создал 3 группы в AD: Top Test Group, Test Group A и Test Group B. Тестовые группы A и B находятся внутри Top Test Group.
Я настроил простую акцию и дал доступ к Top Test Group. Затем я попытался получить к нему доступ с моей учетной записью без прав администратора и обнаружил, что у меня нет доступа. Ну… никаких сюрпризов — я забыл добавить себя в одну из групп! Но после того, как я добавил себя в тестовую группу А, у меня… все еще не было доступа. Проверка эффективного доступа также показала это. Когда я проверил Top Test Group with Effective Access, я увидел ожидаемый набор разрешений.
Через несколько минут эффективный доступ, наконец, показал ожидаемый набор разрешений для моего пользователя, но я все еще не мог получить доступ к самому сетевому ресурсу (Top Test Group имеет права на чтение/запись).
Это предполагает, что разрешения каким-то образом кэшируются, И они кэшируются разными системами в течение разной продолжительности, но я не помню такого для общих ресурсов SMB, и я всегда думал, что они «обновляются» мгновенно (изменение разрешений/групп).
Есть идеи, что здесь происходит?
блок сообщений сервера активного каталога Windows
1 ответ
Как написал @djdomi: членство в группах вашей учетной записи не обновляется на лету.
При входе в домен Windows вы получаете «билет», содержащий информацию о вашем текущем членстве в группе, из которого серверы могут определить, следует ли вам разрешить доступ к определенному ресурсу. Этот билет необходимо заменить новым, содержащим текущую информацию о членстве в группе, если ваш пользователь будет добавлен в новые группы.
Выход из системы и повторный вход в нее — распространенный способ обновления этой информации.
Микаэль Х