Опубликован: 29.07.2008 | Уровень: специалист | Доступ: свободно
Лекция 14:

Устранение неполадок с Active Directory

< Лекция 13 || Лекция 14: 123 || Лекция 15 >

Проблемы при задании разрешений

При назначении или изменении разрешений NTFS на доступ к файлам/папкам иногда возникают проблемы, которые важно вовремя устранить. Далее описаны некоторые типичные проблемы с разрешениями, а также способы их устранения [ 4 ] .

  • Пользователь не может получить доступ к файлу или папке. Если файл или папка были скопированы или перемещены на другой том NTFS, разрешения могли измениться. Необходимо проверить разрешения, назначенные учетной записи пользователя и группам, членом которых он является. Например, иногда пользователь не имеет разрешение или доступ для него запрещен в индивидуальном порядке или как члену группы.
  • Учетная запись пользователя добавлена в группу, чтобы предоставить этому пользователю доступ к файлу или папке, но он не может получить доступ. Чтобы войти в новую группу, в которую добавлена учетная запись, пользователь должен или выйти из системы и затем войти в нее повторно, или закрыть все сетевые подключения к компьютеру, на котором размещен файл или папка, и затем создать новое подключение.
  • Пользователь с разрешением Full Control для папки удаляет файл в папке, хотя не имеет разрешения удалять этот файл. Необходимо предотвратить дальнейшее удаление пользователем файлов. Необходимо отменить специальное разрешение для папки, чтобы лишить пользователя с разрешением Full Control права удалять файлы в этой папке.

Далее приведены рекомендации по внедрению разрешений NTFS, которые помогут избежать возможных проблем [ 4 ] .

  • Рекомендуется назначать наиболее строгие разрешения NTFS, позволяющие пользователям и группам выполнять только необходимые задачи.
  • Рекомендуется назначать все разрешения на уровне папок, а не на уровне файлов. Необходимо сгруппировать файлы, доступ к которым требуется ограничить, в отдельную папку и ограничить к ней доступ.
  • Для всех исполняемых файлов приложений рекомендуется назначить группе Administrators (Администраторы) разрешения Read & Execute и Change Permissions, а группе Users (Пользователи) - разрешение Read & Execute. Повреждение файлов приложений обычно является результатом деятельности вирусов и несанкционированных действий. Назначив указанные разрешения, можно предотвратить изменение или удаление исполняемых файлов.
  • Рекомендуется назначить группе CREATOR OWNER (Создатель-владелец) разрешение Full Control для общих папок данных, чтобы пользователи могли удалять и изменять созданные ими файлы/папки. Данное разрешение предоставляет пользователю, создавшему файл/папку, полный доступ в общей папке данных только к тем файлам/папкам, которые созданы непосредственно им.
  • Для общих папок группе CREATOR OWNER рекомендуется назначить разрешение Full Control, а группе Everyone - разрешение Read and Write. Пользователи получат полный доступ к созданным ими файлам, однако члены группы Everyone (Все) смогут лишь считывать и добавлять файлы в каталог.
  • Если к ресурсу не будут обращаться по сети, рекомендуется использовать длинные и подробные имена. Если планируется открыть к папке совместный доступ, имена папок/файлов должны поддерживаться всеми клиентскими компьютерами.
  • Рекомендуется назначать, но не аннулировать разрешения. Если надо, чтобы пользователь или группа не имели доступа к конкретной папке или файлу, рекомендуется не назначать им соответствующее разрешение. Отмена разрешений должна быть исключением, а не обычной практикой.

Краткие итоги

Некоторые типичные проблемы с Active Directory, с которыми можно столкнуться:

  • Невозможно добавить или удалить домен.
  • Невозможно создать объекты в Active Directory.
  • Изменения членства в группе не вступают в силу.
  • Пользователи без программного обеспечения Active Directory не могут войти в систему.
  • Пользователю не удается локально войти в систему на контроллере домена.
  • Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000.
  • Сообщение об ошибке " Домен не найден", "Сервер недоступен" или "Сервер RPC недоступен".

Некоторые типичные ошибки репликации:

  • Любой отказ в репликации между контроллерами домена.
  • Репликация информации каталога прекратилась.
  • Репликация информации каталога замедлилась, но не остановилась.
  • При попытке репликации вручную получено сообщение "Отказано в доступе".
  • Не удается подключиться к контроллеру домена под управлением Windows 2000 при помощи оснастки Active Directory Sites And Services (Сайты и службы Active Directory).

Некоторые возможные неполадки DNS:

  • Прерывание делегирования зоны.
  • Неполадки, связанные с зонной передачей.
  • Неполадки динамического обновления.

Некоторые типичные неполадки схемы Active Directory:

  • Невозможно изменить или расширить схему.
  • Невозможно добавить атрибуты в класс.
  • Не удается найти или запустить оснастку "Схема Active Directory".
  • Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000, при помощи оснастки "Схема Active Directory".

Некоторые типичные неполадки в сведениях о доверии Active Directory:

  • Клиенты не могут обратиться к ресурсам в другом домене.
  • Клиентам не удается получить доступ к ресурсам домена вне леса.
  • Ошибки доверия между серверами или рабочими станциями.

Некоторые типичные проблемы с разрешениями:

  • Пользователь не может получить доступ к файлу или папке.
  • Учетная запись пользователя добавлена в группу, чтобы предоставить этому пользователю доступ к файлу или папке, но он не может получить доступ.
  • Пользователь с разрешением Full Control для папки удаляет файл в папке, хотя не имеет разрешения удалять этот файл.
< Лекция 13 || Лекция 14: 123 || Лекция 15 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Виктор Мамонов
Виктор Мамонов
http://www.intuit.ru/studies/courses/1068/259/lecture/3546