Come possiamo aiutarvi oggi?

Risoluzione dei problemi di accesso non riuscito/condivisioni mancanti per gli utenti

Tu sei qui:
< Indietro

All'accesso, MyWorkDrive esegue una ricerca in tempo reale in Active Directory per l'appartenenza al gruppo di un utente e la confronta con la configurazione in Condivisioni affinché un utente possa accedere correttamente.

Requisiti del processo di ricerca

Affinché un utente possa accedere con successo, è necessario che tutte le seguenti condizioni siano vere

  • I gruppi AD sono configurati nelle condivisioni in MyWorkDrive
  • Ai gruppi configurati sulle condivisioni vengono concesse autorizzazioni in NTFS
  • L'utente che accede è un membro dei gruppi configurati sulle condivisioni in MyWorkDrive
  • La condivisione dispone di autorizzazioni NTFS e autorizzazioni Windows, che non sono in conflitto
  • L'account computer o l'account utente MyWorkDrive installato ha i diritti per interrogare utenti e gruppi su AD.

Errori che potresti riscontrare

Questi sono gli errori tipici che un utente può riscontrare durante l'accesso se il processo di accesso non ha esito positivo a causa di problemi di condivisione/autorizzazione

  • Un messaggio di avviso che informa che l'amministratore non ha fornito alcuna condivisione per il tuo account
  • Azioni mancanti (alcune presenti, altre no)
  • Condivisioni vuote/vuote.

Questi errori potrebbero non avere effetto su tutti gli utenti. A seconda della configurazione, alcuni utenti potrebbero essere interessati, altri no. Potresti trovare punti in comune tra le appartenenze ai gruppi "Gli amministratori possono accedere, gli utenti no" o gli utenti che ottengono condivisioni "La contabilità funziona, ma la finanza no", "I nuovi utenti non possono accedere alla condivisione, ma gli utenti esistenti stanno bene".

Risoluzione dei problemi

Se i tuoi utenti riscontrano uno di questi problemi, puoi utilizzare una combinazione di strumenti integrati in MyWorkDrive e strumenti in AD per risolvere il problema.

Strumento di test della condivisione file

IL strumento di test della condivisione di file ti consentirà di simulare un accesso come account utente per una determinata condivisione di file, con un'e-mail (sso) o un nome utente/password.

Lo strumento di test della condivisione file segnalerà gli errori con la delega (Delegazione è obbligatorio se si utilizza SSO). Riporterà inoltre i gruppi di cui è membro un utente (che puoi utilizzare per convalidare MyWorkDrive restituisce il gruppo previsto) e se hanno l'autorizzazione per la condivisione (le autorizzazioni NTFS sono corrette)

Cruscotto della salute

IL Cruscotto della salute ti fornirà una rapida istantanea per verificare se la delega è configurata correttamente e se le nostre query su AD hanno esito positivo.

Accesso effettivo

Non uno strumento all'interno di MyWorkDrive, ma Accesso effettivo è il modo più efficiente per determinare se un utente dispone delle autorizzazioni per una condivisione o se viene bloccato/negato per qualsiasi motivo (condivisione di Windows, negazioni ereditate, autorizzazione non ereditaria).

Problemi/soluzioni comuni

Esistono sei problemi comuni che provocano condivisioni vuote, condivisioni mancanti o errori di accesso

1. Delegazione (sso)

Se un utente ha accesso a una condivisione tramite Utente/Pass (utilizzando il file Strumento di test della condivisione fileo disattivando temporaneamente SSO sul server), ma non tramite SSO, mancante delegazione è quasi certamente la causa.

La delega mancante può essere risolta abilitando la delega sul server MyWorkDrive ai file server appropriati (e server DFS, se viene utilizzato DFS). Un errore comune è aggiungere o modificare file server oppure aggiungere nuovi server DFS e non riuscire ad abilitare la delega sul server MyWorkDrive. Se disponi di un ambiente altrimenti funzionante in cui mancano improvvisamente condivisioni o condivisioni mancanti in modo intermittente, controlla la presenza di nuove risorse nell'ambiente che potrebbe dover essere aggiornato sull'account del computer MyWorkDrive.

Tieni presente che scenari diversi potrebbero richiedere metodi diversi di impostazione della delega: tramite l'interfaccia utente, tramite PowerShell, o utilizzando KCD tramite PowerShello su a Account utente per AzureFiles con i servizi di dominio di Azure AD. I diversi metodi sono tutti trattati nel nostro Articolo della delegazione

Propagazione

Un'ultima nota sulla delegazione.

Sono necessari almeno 15 minuti per il riciclo dei ticket Kerberos e potenzialmente più tempo affinché Active Directory propaghi le modifiche, in particolare nei domini più grandi/distribuiti. Attendi almeno 15 minuti prima di ripetere i test. Un'attesa di un'ora non è anormale.

2. Configurazione condivisione (gruppi non presenti)

Non è raro che i gruppi manchino o non siano configurati sulle condivisioni, poiché è necessario apportare modifiche alle autorizzazioni NTFS anche in MyWorkDrive (MyWorkDrive non si sincronizza automaticamente con le autorizzazioni NTFS poiché è progettato per consentire agli amministratori di fornire meno accessi tramite MyWorkDrive di quanto un utente avrebbe localmente. Ricontrolla la configurazione della condivisione o utilizza il file Strumento di prova per convalidare la configurazione, inclusa l'appartenenza al gruppo di utenti.

Se aggiungi manualmente l'utente alla condivisione e la condivisione viene visualizzata con il contenuto all'accesso dell'utente, è probabile che l'utente non sia un membro dei gruppi definiti nella condivisione.

Se aggiungi manualmente l'utente alla condivisione e la condivisione appare vuota all'accesso dell'utente, è probabile che l'utente non disponga dell'autorizzazione per la condivisione.

I dettagli sulla configurazione della condivisione sono disponibili in Questo articolo.

3. Autorizzazione NTFS per il gruppo sulla condivisione (mancante)

Come notato nella configurazione della condivisione, puoi utilizzare il file strumento di prova per verificare se l'utente dispone dell'autorizzazione per la condivisione. Lo strumento di test ti mostrerà anche di quali gruppi è membro l'utente.
Se lo strumento indica che l'utente non dispone dell'autorizzazione per la condivisione, ricontrolla l'appartenenza al gruppo e le autorizzazioni NTFS.

4. Autorizzazione di condivisione di Windows in conflitto

L'accesso alle condivisioni viene concesso solo quando all'utente viene concesso l'accesso tramite la condivisione Windows E le autorizzazioni NTFS.

Concedere l'accesso in un modo in cui l'accesso è limitato tramite Condivisione Windows o NTFS comporterà la mancanza di condivisioni, cartelle mancanti e condivisioni impreviste di sola lettura o vuote.

Come descritto nel ns Guida alla condivisione file di Windows, ti consigliamo di concedere a tutti il controllo completo tramite la condivisione di Windows e di utilizzare NTFS per applicare autorizzazioni granulari.

Lo vedrai se utilizzi Accesso effettivo e noti che autorizzazioni come Crea file o Crea cartelle sono bloccate dalla condivisione.
Puoi leggere ulteriori informazioni sui test con Accesso effettivo nel nostro articolo sullo strumento di test.

5. Iscrizione utente/gruppo (utente non membro del gruppo)

MyWorkDrive utilizza Active Directory e NTFS per l'autenticazione e le autorizzazioni. Se un utente non si trova nei gruppi di Active Directory corretti o i gruppi corretti non dispongono delle autorizzazioni corrette per condivisioni/cartelle/file, l'utente non avrà più accesso tramite MyWorkDrive rispetto a quanto avrebbe tramite SMB. Utilizzando una combinazione di Condividi strumento di test E Accesso effettivo testando puoi determinare se l'uno o l'altro è un problema.

6. Sincronizzazione AD

MyWorkDrive effettua tutte le richieste sul dominio e sulla SMB tramite l'account del computer del server su cui è installato. Il computer e AD negoziano il controller di dominio utilizzato e spesso non sarà quello su cui sono state apportate le modifiche in ambienti di grandi dimensioni. Le modifiche immediate potrebbero non essere riflesse, incluso modifiche della password, nuovi utenti, modifiche all'appartenenza ai gruppi di utenti, ecc. Attendi almeno 15 minuti affinché le modifiche si propaghino. Controlla bene quale server di accesso sta utilizzando il computer che ospita MyWorkDrive e controlla lì le modifiche. Se la replica è un problema, risolvere i problemi di replica.

Autorizzazioni di ricerca AD

Anche se piuttosto rare, le modifiche ad AD che impediscono al server MyWorkDrive di cercare le informazioni dell'utente su AD possono essere molto frustranti da risolvere, poiché AD non fornisce un buon feedback per le richieste LDAP negate/bloccate.

La modifica più comune apportata ad AD che impedisce l'accesso degli utenti è la rimozione/disattivazione del gruppo precedente a Windows 2000 senza sostituirlo con il gruppo Utenti autenticati. Sebbene gli utenti siano generalmente ancora in grado di accedere, poiché possono ancora leggere i propri attributi nel contesto utente, non è possibile verificare l'appartenenza al gruppo, il che si traduce in un'autenticazione riuscita, ma in un accesso non riuscito poiché l'utente non è abbinato alle condivisioni.

MyWorkDrive utilizza Microsoft Active Directory come fonte di identità esterna per convalidare gli utenti e verificare l'appartenenza ai gruppi.
L'autenticazione utente e macchina in Active Directory consente l'accesso alla rete solo agli utenti e ai dispositivi elencati in Active Directory.

MyWorkDrive è installato su un server Windows aggiunto a un dominio. In quanto account computer su Active Directory, Windows Server è membro del gruppo Authenticated Users.
Per impostazione predefinita, il gruppo Authenticated Users è membro del gruppo precedente a Windows 2000.
Se si disabilita il gruppo precedente a Windows 2000 o si rimuovono gli utenti autenticati dal gruppo precedente a Windows 2000, si verificheranno errori di autenticazione e di ricerca del gruppo.

Si consiglia di non disattivare il gruppo precedente a Windows 2000. Tuttavia, se è necessario disabilitare questo gruppo per qualsiasi motivo, concedere l'autorizzazione di lettura delle informazioni di accesso remoto all'account computer per i server Windows su cui MyWorkDrive è installato in AD per gli utenti/gruppi di utenti/unità organizzative pertinenti

Per verificare se il problema riguarda gli utenti autenticati nel gruppo compatibile con Pre-Windows 2000, eseguire il seguente comando di PowerShell:

Get-ADGroupMember -Identity "accesso compatibile con pre-windows 2000"

Ci aspettiamo che nel risultato vengano restituiti gli utenti autenticati

Il server MyWorkDrive può essere denominato qui o meno, ma l'appartenenza al gruppo ereditato (gruppo in un gruppo) non viene visualizzata con questo comando.

Se il ritorno non include Authenticated Users, è probabile che sia stato rimosso intenzionalmente. Potresti dover consultare il tuo team di sicurezza per vedere se puoi ripristinarlo.

 

Se sono stati rimossi i gruppi ereditati e si desidera aggiungere l'oggetto computer MyWorkDrive al gruppo di accesso compatibile con le versioni precedenti a Windows 2000, è possibile utilizzare PowerShell.

 

Add-ADGroupMember -Identity “Accesso compatibile con pre-windows 2000” -Members “MWDServer$”

Nel nostro esempio, abbiamo utilizzato un server denominato mwf-scott3, quindi abbiamo eseguito un comando Get-ADGroupMember per convalidare la corretta aggiunta.

 

Il "Windows Authorization Access Group" può essere utilizzato come alternativa. Può anche essere aggiunto e interrogato tramite Powershell.

Add-ADGroupMember -Identity "Gruppo di accesso alle autorizzazioni di Windows" -Membri "MWDServer$"

Qui aggiungiamo mwf-scott3 e interroghiamo con Get-ADGroupMember per convalidare che sia stato aggiunto correttamente

L'aggiunta di utenti autenticati al gruppo Accesso autorizzazione Windows viene gestita al meglio tramite l'interfaccia utente Utenti e computer di Active Directory