Устранение неполадок с Active Directory

Проблемы при задании разрешений

При назначении или изменении разрешений NTFS на доступ к файлам/папкам иногда возникают проблемы, которые важно вовремя устранить. Далее описаны некоторые типичные проблемы с разрешениями, а также способы их устранения [ 4 ] .

• Пользователь не может получить доступ к файлу или папке. Если файл или папка были скопированы или перемещены на другой том NTFS, разрешения могли измениться. Необходимо проверить разрешения, назначенные учетной записи пользователя и группам, членом которых он является. Например, иногда пользователь не имеет разрешение или доступ для него запрещен в индивидуальном порядке или как члену группы.
• Учетная запись пользователя добавлена в группу, чтобы предоставить этому пользователю доступ к файлу или папке, но он не может получить доступ. Чтобы войти в новую группу, в которую добавлена учетная запись, пользователь должен или выйти из системы и затем войти в нее повторно, или закрыть все сетевые подключения к компьютеру, на котором размещен файл или папка, и затем создать новое подключение.
• Пользователь с разрешением Full Control для папки удаляет файл в папке, хотя не имеет разрешения удалять этот файл. Необходимо предотвратить дальнейшее удаление пользователем файлов. Необходимо отменить специальное разрешение для папки, чтобы лишить пользователя с разрешением Full Control права удалять файлы в этой папке.

Далее приведены рекомендации по внедрению разрешений NTFS, которые помогут избежать возможных проблем [ 4 ] .

• Рекомендуется назначать наиболее строгие разрешения NTFS, позволяющие пользователям и группам выполнять только необходимые задачи.
• Рекомендуется назначать все разрешения на уровне папок, а не на уровне файлов. Необходимо сгруппировать файлы, доступ к которым требуется ограничить, в отдельную папку и ограничить к ней доступ.
• Для всех исполняемых файлов приложений рекомендуется назначить группе Administrators (Администраторы) разрешения Read & Execute и Change Permissions, а группе Users (Пользователи) - разрешение Read & Execute. Повреждение файлов приложений обычно является результатом деятельности вирусов и несанкционированных действий. Назначив указанные разрешения, можно предотвратить изменение или удаление исполняемых файлов.
• Рекомендуется назначить группе CREATOR OWNER (Создатель-владелец) разрешение Full Control для общих папок данных, чтобы пользователи могли удалять и изменять созданные ими файлы/папки. Данное разрешение предоставляет пользователю, создавшему файл/папку, полный доступ в общей папке данных только к тем файлам/папкам, которые созданы непосредственно им.
• Для общих папок группе CREATOR OWNER рекомендуется назначить разрешение Full Control, а группе Everyone - разрешение Read and Write. Пользователи получат полный доступ к созданным ими файлам, однако члены группы Everyone (Все) смогут лишь считывать и добавлять файлы в каталог.
• Если к ресурсу не будут обращаться по сети, рекомендуется использовать длинные и подробные имена. Если планируется открыть к папке совместный доступ, имена папок/файлов должны поддерживаться всеми клиентскими компьютерами.
• Рекомендуется назначать, но не аннулировать разрешения. Если надо, чтобы пользователь или группа не имели доступа к конкретной папке или файлу, рекомендуется не назначать им соответствующее разрешение. Отмена разрешений должна быть исключением, а не обычной практикой.

Краткие итоги

Некоторые типичные проблемы с Active Directory, с которыми можно столкнуться:

• Невозможно добавить или удалить домен.
• Невозможно создать объекты в Active Directory.
• Изменения членства в группе не вступают в силу.
• Пользователи без программного обеспечения Active Directory не могут войти в систему.
• Пользователю не удается локально войти в систему на контроллере домена.
• Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000.
• Сообщение об ошибке " Домен не найден", "Сервер недоступен" или "Сервер RPC недоступен".

Некоторые типичные ошибки репликации:

• Любой отказ в репликации между контроллерами домена.
• Репликация информации каталога прекратилась.
• Репликация информации каталога замедлилась, но не остановилась.
• При попытке репликации вручную получено сообщение "Отказано в доступе".
• Не удается подключиться к контроллеру домена под управлением Windows 2000 при помощи оснастки Active Directory Sites And Services (Сайты и службы Active Directory).

Некоторые возможные неполадки DNS:

• Прерывание делегирования зоны.
• Неполадки, связанные с зонной передачей.
• Неполадки динамического обновления.

Некоторые типичные неполадки схемы Active Directory:

• Невозможно изменить или расширить схему.
• Невозможно добавить атрибуты в класс.
• Не удается найти или запустить оснастку "Схема Active Directory".
• Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000, при помощи оснастки "Схема Active Directory".

Некоторые типичные неполадки в сведениях о доверии Active Directory:

• Клиенты не могут обратиться к ресурсам в другом домене.
• Клиентам не удается получить доступ к ресурсам домена вне леса.
• Ошибки доверия между серверами или рабочими станциями.

Некоторые типичные проблемы с разрешениями:

• Пользователь не может получить доступ к файлу или папке.
• Учетная запись пользователя добавлена в группу, чтобы предоставить этому пользователю доступ к файлу или папке, но он не может получить доступ.
• Пользователь с разрешением Full Control для папки удаляет файл в папке, хотя не имеет разрешения удалять этот файл.