¿Cómo podemos ayudarle hoy?

Solución de problemas de inicio de sesión fallido o recursos compartidos faltantes para los usuarios

Estás aquí:
< Atrás

Al iniciar sesión, MyWorkDrive realiza una búsqueda en tiempo real en Active Directory para conocer la membresía del grupo de un usuario y la compara con la configuración en Shares para que un usuario pueda iniciar sesión correctamente.

Requisitos del proceso de búsqueda

Para que un usuario pueda iniciar sesión correctamente, todo lo siguiente debe ser cierto

  • Los grupos AD están configurados en los recursos compartidos en MyWorkDrive
  • Los grupos configurados en recursos compartidos tienen permisos en NTFS
  • El usuario que inicia sesión es miembro de grupos configurados en recursos compartidos en MyWorkDrive
  • El recurso compartido tiene permisos NTFS y permisos de Windows, que no entran en conflicto
  • La cuenta de computadora o cuenta de usuario en la que MyWorkDrive está instalada tiene derechos para consultar usuarios y grupos en AD.

Errores que puedes encontrar

Estos son los errores típicos que un usuario puede encontrar al iniciar sesión si el proceso de inicio de sesión no se realiza correctamente debido a problemas de compartir/permisos.

  • Un mensaje de advertencia de que el administrador no ha aprovisionado ningún recurso compartido para su cuenta
  • Acciones que faltan (algunas presentes, otras no)
  • Acciones que están vacías/en blanco.

Es posible que estos errores no afecten a todos los usuarios. Dependiendo de su configuración, algunos usuarios pueden verse afectados y otros no. Es posible que encuentre puntos en común en torno a las membresías de grupos "Los administradores pueden iniciar sesión, los usuarios no" o los usuarios que obtienen recursos compartidos "La contabilidad funciona, pero Finanzas no", "Los nuevos usuarios no pueden acceder al recurso compartido, pero los usuarios existentes están bien".

Solución de problemas

Si sus usuarios encuentran alguno de esos problemas, puede utilizar una combinación de herramientas integradas en MyWorkDrive, así como herramientas de AD para ayudar a solucionar el problema.

Herramienta de prueba para compartir archivos

los herramienta de prueba para compartir archivos le permitirá simular un inicio de sesión como cuenta de usuario para un archivo compartido determinado, ya sea con un correo electrónico (sso) o un nombre de usuario/contraseña.

La herramienta de prueba para compartir archivos informará sobre errores con la delegación (Delegación es obligatorio si utiliza SSO). También informará sobre los grupos de los que es miembro un usuario (que puede usar para validar que MyWorkDrive devuelva el grupo esperado) y si tiene permiso para compartir (los permisos NTFS son correctos).

Panel de salud

los Panel de salud Le brindará una instantánea rápida de si la delegación está configurada correctamente y si nuestras consultas sobre AD tienen éxito.

Acceso efectivo

No es una herramienta dentro de MyWorkDrive, pero Acceso efectivo es la forma más eficiente de determinar si un usuario tiene permisos para compartir, o si está siendo bloqueado o denegado por algún motivo (compartir Windows, denegaciones heredadas, no heredar permiso).

Problemas comunes/soluciones

Hay seis problemas comunes que resultan en recursos compartidos vacíos, recursos compartidos faltantes o errores de inicio de sesión.

1. Delegación (sso)

Si un usuario tiene acceso a un recurso compartido a través de Usuario/Pass (usando el Herramienta de prueba de archivos compartidos, o desactivando SSO temporalmente en el servidor), pero no a través de SSO, desaparecido delegación Es casi seguro que la causa.

La delegación faltante se puede resolver habilitando la delegación en el servidor MyWorkDrive a los servidores de archivos apropiados (y servidores DFS, si se utiliza DFS). Un error común es agregar o cambiar servidores de archivos o agregar nuevos servidores DFS y no habilitar la delegación en el servidor MyWorkDrive. Si tiene un entorno de trabajo en el que de repente faltan recursos compartidos o que faltan de forma intermitente, verifique si hay nuevos recursos en el entorno que puedan necesitar ser actualizados en la cuenta de la computadora MyWorkDrive.

Tenga en cuenta que diferentes escenarios pueden requerir diferentes métodos para configurar la delegación: a través de la interfaz de usuario, a través de Potencia Shell, o usando KCD a través de Powershell, o en un Cuenta de usuario para AzureFiles con los servicios de dominio de Azure AD. Los diferentes métodos están todos cubiertos en nuestro Artículo de delegación

Propagación

Una nota final sobre la delegación.

Se necesitan al menos 15 minutos para que los tickets de Kerberos se reciclen y, potencialmente, más tiempo para que Active Directory propague los cambios, particularmente en dominios más grandes/distribuidos. Espere al menos 15 minutos antes de repetir las pruebas. Una espera de una hora no es anormal.

2. Compartir configuración (grupos no presentes)

No es raro que falten grupos o que no estén configurados en Recursos compartidos, ya que los cambios en los permisos NTFS también se deben realizar en MyWorkDrive (MyWorkDrive no se sincroniza automáticamente con los permisos NTFS ya que está diseñado para que los administradores puedan proporcionar menos acceso a través de MyWorkDrive). que un usuario tendría localmente. Vuelva a verificar la configuración compartida o use el Herramienta de prueba para validar la configuración, incluida la membresía del grupo de usuarios.

Si agrega manualmente el usuario al recurso compartido y el recurso compartido aparece con contenido al iniciar sesión, entonces es probable que el problema sea que el usuario no sea miembro de los grupos definidos en el recurso compartido.

Si agrega manualmente el usuario al recurso compartido y el recurso compartido aparece en blanco al iniciar sesión, es probable que el usuario no tenga permiso para compartir.

Los detalles sobre la configuración compartida están disponibles en Este artículo.

3. Permiso NTFS para el grupo en el recurso compartido (Falta)

Como se indica en Configuración compartida, puede utilizar el herramienta de prueba para validar si el usuario tiene permiso para compartir. La herramienta de prueba también le mostrará a qué grupos es miembro el usuario.
Si la herramienta indica que el usuario no tiene permiso para compartir, verifique su membresía en el grupo y los permisos NTFS.

4. Permiso de uso compartido de Windows en conflicto

El acceso a los recursos compartidos solo se otorga cuando al usuario se le otorga acceso mediante permisos compartidos de Windows Y NTFS.

Otorgar acceso de una manera en la que el acceso esté limitado a través de Windows Sharing o NTFS dará como resultado recursos compartidos faltantes, carpetas faltantes, recursos compartidos inesperados de solo lectura o en blanco.

Como se describe en nuestro Guía para compartir archivos de Windows, recomendamos otorgar a todos control total a través del recurso compartido de Windows y usar NTFS para aplicar permisos granulares.

Verá esto si utiliza Acceso efectivo y observa que permisos como Crear archivos o Crear carpetas están bloqueados por recurso compartido.
Puede leer más sobre las pruebas con Acceso efectivo en nuestro artículo sobre la herramienta de prueba.

5. Usuario/Membresía de grupo (usuario que no es miembro del grupo)

MyWorkDrive utiliza Active Directory y NTFS para autenticación y permisos. Si un usuario no está en los grupos correctos del directorio activo, o los grupos correctos no tienen los permisos correctos para compartir/carpetas/archivos, el usuario no tendrá más acceso a través de MyWorkDrive que a través de SMB. Usando una combinación de los Compartir herramienta de prueba y Acceso efectivo Al realizar pruebas, puede determinar si uno u otro es un problema.

6. Sincronización de anuncios

MyWorkDrive realiza todas las solicitudes en el dominio y SMB a través de la cuenta de computadora del servidor en el que está instalado. La computadora y AD negocian el controlador de dominio utilizado y, a menudo, no será el que se realizaron los cambios en entornos grandes. Es posible que los cambios inmediatos no se reflejen, incluidos cambios de contraseña, nuevos usuarios, cambios en la membresía del grupo de usuarios, etc. Espere al menos 15 minutos para que se propaguen los cambios. Verifique nuevamente qué servidor de inicio de sesión está utilizando la computadora que aloja MyWorkDrive y verifique sus cambios allí. Si la replicación es un problema, solucionar problemas de replicación.

Permisos de búsqueda de AD

Si bien son bastante raros, los cambios de AD que impiden que el servidor MyWorkDrive pueda buscar información del usuario en AD pueden ser muy frustrantes de resolver, ya que AD no proporciona buenos comentarios para las solicitudes LDAP denegadas/bloqueadas.

El cambio más común realizado en AD que impide el inicio de sesión de los usuarios es eliminar/deshabilitar el grupo anterior a Windows 2000 sin reemplazarlo con el grupo de usuarios autenticados. Si bien los usuarios generalmente aún pueden iniciar sesión, ya que aún pueden leer sus propios atributos en el contexto del usuario, no se puede buscar la membresía del grupo, lo que da como resultado una autenticación exitosa, pero un inicio de sesión fallido ya que el usuario no coincide con los recursos compartidos.

MyWorkDrive utiliza Microsoft Active Directory como fuente de identidad externa para validar usuarios y buscar membresía en grupos.
La autenticación de usuarios y máquinas en Active Directory permite el acceso a la red solo a los usuarios y dispositivos que figuran en Active Directory.

MyWorkDrive se instala en un servidor Windows unido a un dominio. Como cuenta de computadora en Active Directory, Windows Server es miembro del grupo Usuarios autenticados.
El grupo Usuarios autenticados es miembro del grupo anterior a Windows 2000 de forma predeterminada.
Si desactiva el grupo anterior a Windows 2000 o elimina los usuarios autenticados del grupo anterior a Windows 2000, se producirán errores de autenticación y búsqueda de grupos.

Le recomendamos que no desactive el grupo anterior a Windows 2000. Sin embargo, si debe deshabilitar este grupo por algún motivo, otorgue el permiso Leer información de acceso remoto a la cuenta de computadora para los servidores Windows en los que MyWorkDrive está instalado en AD para los usuarios/grupos de usuarios/OU relevantes.

Para verificar si el problema está en los usuarios autenticados del grupo Compatible con versiones anteriores a Windows 2000, ejecute el siguiente comando de PowerShell:

Get-ADGroupMember -Identity “acceso compatible con versiones anteriores a Windows 2000”

Esperamos que los usuarios autenticados se devuelvan en el resultado

El servidor MyWorkDrive puede o no nombrarse aquí, la membresía de grupo heredada (grupo en un grupo) no se muestra con este comando.

Si la devolución no incluye usuarios autenticados, es probable que se haya eliminado intencionalmente. Es posible que deba consultar con su equipo de seguridad para ver si puede restaurarla.

 

Si ha eliminado grupos heredados y necesita agregar el objeto de computadora MyWorkDrive al grupo de acceso compatible con versiones anteriores a Windows 2000, se puede usar PowerShell.

 

Add-ADGroupMember -Identity “Acceso compatible con versiones anteriores a Windows 2000” -Members “MWDServer$”

En nuestro ejemplo, utilizamos un servidor llamado mwf-scott3 y luego ejecutamos el comando Get-ADGroupMember para validar que se agregó correctamente.

 

Se puede utilizar como alternativa el “Grupo de acceso de autorización de Windows”. También se puede agregar y consultar mediante PowerShell.

Add-ADGroupMember -Identity “Grupo de acceso de autorización de Windows” -Miembros “MWDServer$”

Aquí agregamos mwf-scott3 y consultamos con Get-ADGroupMember para validar que se agregó correctamente

La mejor manera de agregar usuarios autenticados al grupo de acceso de autorización de Windows es a través de la interfaz de usuario de usuarios y equipos de Active Directory.