Wie können wir Ihnen heute helfen?

Fehlerbehebung bei fehlgeschlagener Anmeldung bzw. fehlenden Freigaben für Benutzer

Du bist da:
< Zurück

Bei der Anmeldung führt MyWorkDrive eine Echtzeitsuche in Active Directory nach der Gruppenmitgliedschaft eines Benutzers durch und gleicht diese mit der Konfiguration in Shares ab, damit ein Benutzer erfolgreich angemeldet werden kann.

Anforderungen an den Suchprozess

Damit sich ein Benutzer erfolgreich anmelden kann, müssen alle folgenden Bedingungen erfüllt sein

  • AD-Gruppen werden auf den Freigaben in MyWorkDrive konfiguriert
  • Den auf Freigaben konfigurierten Gruppen werden Berechtigungen in NTFS erteilt
  • Der sich anmeldende Benutzer ist Mitglied von Gruppen, die auf Freigaben in MyWorkDrive konfiguriert sind
  • Die Freigabe verfügt über NTFS-Berechtigungen und Windows-Berechtigungen, die nicht miteinander in Konflikt stehen
  • Das Computerkonto oder Benutzerkonto, auf dem MyWorkDrive installiert ist, verfügt über Rechte zum Abfragen von Benutzern und Gruppen in AD.

Mögliche Fehler

Dies sind die typischen Fehler, auf die ein Benutzer beim Anmelden stoßen kann, wenn der Anmeldevorgang aufgrund von Freigabe-/Berechtigungsproblemen nicht erfolgreich ist

  • Eine Warnmeldung, dass der Administrator keine Freigaben für Ihr Konto bereitgestellt hat
  • Fehlende Anteile (einige vorhanden, andere nicht)
  • Anteile, die leer/leer sind.

Diese Fehler betreffen möglicherweise nicht alle Benutzer. Abhängig von Ihrer Konfiguration sind möglicherweise einige Benutzer betroffen, andere nicht. Bei Gruppenmitgliedschaften kann es zu Gemeinsamkeiten kommen: „Administratoren können sich anmelden, Benutzer nicht“ oder bei Benutzern, die Freigaben erhalten: „Buchhaltung funktioniert, Finanzen jedoch nicht“, „Neue Benutzer können nicht auf die Freigabe zugreifen, bestehende Benutzer sind jedoch in Ordnung“.

Fehlerbehebung

Wenn Ihre Benutzer auf eines dieser Probleme stoßen, können Sie eine Kombination aus in MyWorkDrive integrierten Tools und Tools in AD verwenden, um das Problem zu beheben.

Testtool für Dateifreigaben

Der Dateifreigabe-Testtool ermöglicht es Ihnen, eine Anmeldung als Benutzerkonto für eine bestimmte Dateifreigabe zu simulieren, entweder mit einer E-Mail-Adresse (SSO) oder einem Benutzernamen/Passwort.

Das Dateifreigabe-Testtool meldet Fehler bei der Delegation (Delegation ist erforderlich, wenn Sie SSO verwenden). Es wird auch über die Gruppen berichtet, in denen ein Benutzer Mitglied ist (womit Sie überprüfen können, ob MyWorkDrive die erwartete Gruppe zurückgibt) und ob er über Berechtigungen für die Freigabe verfügt (NTFS-Berechtigungen sind korrekt).

Gesundheits-Dashboard

Der Gesundheits-Dashboard gibt Ihnen einen schnellen Überblick darüber, ob die Delegation richtig konfiguriert ist und ob unsere Abfragen zu AD erfolgreich sind.

Effektiver Zugriff

Kein Tool innerhalb von MyWorkDrive, aber Effektiver Zugriff ist die effizienteste Methode, um festzustellen, ob ein Benutzer Berechtigungen für eine Freigabe hat oder ob er aus irgendeinem Grund blockiert/verweigert wird (Windows-Freigabe, geerbte Verweigerungen, keine Vererbung von Berechtigungen).

Häufige Probleme/Lösungen

Es gibt sechs häufige Probleme, die zu leeren Freigaben, fehlenden Freigaben oder Anmeldefehlern führen

1. Delegation (sso)

Wenn ein Benutzer über Benutzer/Pass Zugriff auf eine Freigabe hat (mithilfe von Tool zum Testen von Dateifreigaben, oder durch vorübergehendes Deaktivieren von SSO auf dem Server), jedoch nicht über SSO, fehlen Delegation ist mit an Sicherheit grenzender Wahrscheinlichkeit die Ursache.

Fehlende Delegierung kann behoben werden, indem die Delegierung auf dem MyWorkDrive-Server an die entsprechenden Dateiserver aktiviert wird (und DFS-Server, wenn DFS verwendet wird). Ein häufiger Fehler besteht darin, Dateiserver hinzuzufügen oder zu ändern oder neue DFS-Server hinzuzufügen und die Delegierung auf dem MyWorkDrive-Server nicht zu aktivieren. Wenn Sie eine ansonsten funktionierende Umgebung haben, in der plötzlich oder zeitweise Freigaben fehlen, suchen Sie nach neuen Ressourcen in der Umgebung, die möglicherweise auf dem MyWorkDrive-Computerkonto aktualisiert werden müssen.

Beachten Sie, dass verschiedene Szenarien möglicherweise unterschiedliche Methoden zum Festlegen der Delegation erfordern – über die Benutzeroberfläche, durch Power Shell, oder verwenden KCD über Powershell, oder auf einem Benutzerkonto für AzureFiles mit Azure AD Domain Services. Die verschiedenen Methoden werden alle in unserem behandelt Delegationsartikel

Vermehrung

Eine letzte Anmerkung zur Delegation.

Es dauert mindestens 15 Minuten, bis Kerberos-Tickets wiederverwendet werden, und möglicherweise länger, bis Active Directory die Änderungen verbreitet, insbesondere in größeren/verteilten Domänen. Warten Sie mindestens 15 Minuten, bevor Sie Ihre Tests wiederholen. Eine Wartezeit von einer Stunde ist nicht ungewöhnlich.

2. Freigabekonfiguration (Gruppen nicht vorhanden)

Es ist nicht ungewöhnlich, dass Gruppen auf Freigaben fehlen oder nicht konfiguriert sind, da Änderungen an NTFS-Berechtigungen auch in MyWorkDrive vorgenommen werden müssen (MyWorkDrive wird nicht automatisch mit NTFS-Berechtigungen synchronisiert, da es für Administratoren konzipiert ist, um weniger Zugriff über MyWorkDrive gewähren zu können als ein Benutzer lokal hätte. Überprüfen Sie die Freigabekonfiguration noch einmal oder verwenden Sie die Testtool um die Konfiguration zu validieren, einschließlich der Benutzergruppenmitgliedschaft.

Wenn Sie den Benutzer manuell zur Freigabe hinzufügen und die Freigabe bei der Benutzeranmeldung mit Inhalt angezeigt wird, liegt das Problem wahrscheinlich daran, dass der Benutzer kein Mitglied der auf der Freigabe definierten Gruppen ist.

Wenn Sie den Benutzer manuell zur Freigabe hinzufügen und die Freigabe bei der Benutzeranmeldung leer erscheint, verfügt der Benutzer wahrscheinlich nicht über die Berechtigung für die Freigabe.

Einzelheiten zur Freigabekonfiguration finden Sie unter Dieser Beitrag.

3. NTFS-Berechtigung für die Gruppe auf der Freigabe (fehlt)

Wie in der Freigabekonfiguration erwähnt, können Sie die verwenden Testtool um zu überprüfen, ob der Benutzer die Berechtigung für die Freigabe hat. Das Testtool zeigt Ihnen auch an, in welchen Gruppen der Benutzer Mitglied ist.
Wenn das Tool anzeigt, dass der Benutzer keine Berechtigung für die Freigabe hat, überprüfen Sie noch einmal seine Gruppenmitgliedschaft und NTFS-Berechtigungen.

4. Widersprüchliche Windows-Freigabeberechtigungen

Der Zugriff auf Freigaben wird nur gewährt, wenn dem Benutzer sowohl über Windows-Freigabe- als auch über NTFS-Berechtigungen Zugriff gewährt wird.

Die Gewährung des Zugriffs auf eine Weise, bei der der Zugriff entweder über die Windows-Freigabe oder NTFS eingeschränkt ist, führt dazu, dass Freigaben fehlen, Ordner fehlen und Freigaben unerwartet schreibgeschützt oder leer sind.

Wie in unserem beschrieben Anleitung zur Windows-Dateifreigabe, empfehlen wir, jedem die volle Kontrolle über die Windows-Freigabe zu gewähren und NTFS zu verwenden, um granulare Berechtigungen anzuwenden.

Dies wird Ihnen angezeigt, wenn Sie „Effektiver Zugriff“ verwenden und beachten, dass Berechtigungen wie „Dateien erstellen“ oder „Ordner erstellen“ durch die Freigabe blockiert werden.
Sie können mehr über das Testen mit lesen Effektiver Zugriff in unserem Testtool-Artikel.

5. Benutzer-/Gruppenmitgliedschaft (Benutzer ist kein Mitglied der Gruppe)

MyWorkDrive verwendet Active Directory und NTFS für Authentifizierung und Berechtigungen. Wenn sich ein Benutzer nicht in den richtigen Active Directory-Gruppen befindet oder die richtigen Gruppen nicht über die richtigen Berechtigungen für Freigaben/Ordner/Dateien verfügen, hat der Benutzer über MyWorkDrive nicht mehr Zugriff als über SMB. Mit einer Kombination aus Teilen Sie das Testtool und Effektiver Zugriff Mithilfe von Tests können Sie feststellen, ob das eine oder das andere ein Problem darstellt.

6. AD-Synchronisierung

MyWorkDrive stellt alle Anfragen an die Domäne und SMB über das Computerkonto des Servers, auf dem es installiert ist. Der Computer und das AD verhandeln über den verwendeten Domänencontroller, und in großen Umgebungen ist es oft nicht derjenige, an dem Änderungen vorgenommen wurden. Unmittelbare Änderungen werden möglicherweise nicht berücksichtigt, einschließlich Passwortänderungen, neue Benutzer, Änderungen der Benutzergruppenmitgliedschaft usw. Warten Sie mindestens 15 Minuten, bis die Änderungen wirksam werden. Überprüfen Sie noch einmal, welchen Anmeldeserver der Computer verwendet, auf dem MyWorkDrive gehostet wird, und überprüfen Sie dort Ihre Änderungen. Wenn die Replikation ein Problem darstellt, Fehlerbehebung bei der Replikation.

AD-Suchberechtigungen

AD-Änderungen, die den MyWorkDrive-Server daran hindern, Benutzerinformationen in AD nachzuschlagen, sind zwar eher selten, können jedoch sehr frustrierend sein, wenn sie behoben werden, da AD kein gutes Feedback für abgelehnte/blockierte LDAP-Anfragen liefert.

Die häufigste an AD vorgenommene Änderung, die Anmeldungen für Benutzer verhindert, ist das Entfernen/Deaktivieren der Gruppe „Pre-Windows 2000“, ohne sie durch die Gruppe „Authentifizierte Benutzer“ zu ersetzen. Während sich Benutzer normalerweise weiterhin anmelden können, da sie ihre eigenen Attribute weiterhin im Benutzerkontext lesen können, kann die Gruppenmitgliedschaft nicht nachgeschlagen werden – was zu einer erfolgreichen Authentifizierung führt, aber zu einer fehlgeschlagenen Anmeldung, da der Benutzer keinen Freigaben zugeordnet ist.

MyWorkDrive verwendet Microsoft Active Directory als externe Identitätsquelle zur Validierung von Benutzern und zur Suche nach Gruppenmitgliedschaften.
Die Benutzer- und Computerauthentifizierung in Active Directory ermöglicht den Netzwerkzugriff nur Benutzern und Geräten, die in Active Directory aufgeführt sind.

MyWorkDrive wird auf einem domänengebundenen Windows-Server installiert. Als Computerkonto im Active Directory ist der Windows Server Mitglied der Gruppe Authentifizierte Benutzer.
Die Gruppe „Authentifizierte Benutzer“ ist standardmäßig Mitglied der Gruppe „Prä-Windows 2000“.
Wenn Sie die Gruppe „Pre-Windows 2000“ deaktivieren oder authentifizierte Benutzer aus der Gruppe „Pre-Windows 2000“ entfernen, treten Authentifizierungs- und Gruppensuchfehler auf.

Wir empfehlen, die Gruppe „Vor Windows 2000“ nicht zu deaktivieren. Wenn Sie diese Gruppe jedoch aus irgendeinem Grund deaktivieren müssen, erteilen Sie dem Computerkonto für die Windows-Server, auf denen MyWorkDrive in AD installiert ist, für die entsprechenden Benutzer/Benutzergruppen/Organisationseinheiten die Berechtigung „Remotezugriffsinformationen lesen“.

Um zu überprüfen, ob authentifizierte Benutzer in der Gruppe „Prä-Windows 2000-kompatibel“ das Problem sind, führen Sie den folgenden PowerShell-Befehl aus:

Get-ADGroupMember -Identity „Vor-Windows 2000-kompatibler Zugriff“

Wir erwarten, dass im Ergebnis authentifizierte Benutzer zurückgegeben werden

Der MyWorkDrive-Server kann hier benannt werden oder nicht, eine übernommene Gruppenmitgliedschaft (Gruppe in einer Gruppe) wird mit diesem Befehl nicht angezeigt.

Wenn die Rückgabe keine authentifizierten Benutzer enthält, wurde diese wahrscheinlich absichtlich entfernt. Möglicherweise müssen Sie sich an Ihr Sicherheitsteam wenden, um zu prüfen, ob Sie sie wiederherstellen können.

 

Wenn Sie geerbte Gruppen entfernt haben und das Computerobjekt MyWorkDrive zur kompatiblen Zugriffsgruppe vor Windows 2000 hinzufügen müssen, können Sie Powershell verwenden.

 

Add-ADGroupMember -Identity „Pre-Windows 2000-kompatibler Zugriff“ -Members „MWDServer$“

In unserem Beispiel haben wir einen Server namens mwf-scott3 verwendet und dann einen Get-ADGroupMember-Befehl ausgeführt, um zu überprüfen, ob er korrekt hinzugefügt wurde.

 

Alternativ kann auch die „Windows Authorization Access Group.“ verwendet werden. Diese kann ebenfalls über Powershell eingetragen und abgefragt werden.

Add-ADGroupMember -Identity „Windows-Autorisierungszugriffsgruppe“ -Mitglieder „MWDServer$“

Hier fügen wir mwf-scott3 hinzu und fragen mit Get-ADGroupMember ab, um zu überprüfen, ob es korrekt hinzugefügt wurde.

Das Hinzufügen authentifizierter Benutzer zur Windows-Autorisierungszugriffsgruppe erfolgt am besten über die Benutzeroberfläche von Active Directory-Benutzern und -Computern.