Hoe kunnen we u vandaag helpen?
Problemen oplossen met mislukte aanmelding/ontbrekende share(s) voor gebruikers
Bij het inloggen voert MyWorkDrive een realtime zoekopdracht uit in Active Directory naar het groepslidmaatschap van een gebruiker en vergelijkt dat met de configuratie in Shares, zodat een gebruiker succesvol kan inloggen.
Inhoud
Vereisten voor zoekproces
Om ervoor te zorgen dat een gebruiker succesvol kan inloggen, moet het volgende allemaal waar zijn
- AD-groepen worden geconfigureerd op de shares in MyWorkDrive
- De groepen die op shares zijn geconfigureerd, krijgen machtigingen in NTFS
- De gebruiker die inlogt, is lid van een groep(en) die op shares in MyWorkDrive is geconfigureerd
- De share heeft NTFS-machtigingen en Windows-machtigingen, die niet conflicteren
- Het computeraccount of gebruikersaccount dat MyWorkDrive is geïnstalleerd, heeft rechten om gebruikers en groepen op AD te bevragen.
Fouten die u kunt tegenkomen
Dit zijn de typische fouten die een gebruiker kan tegenkomen bij het inloggen als het inlogproces niet succesvol is vanwege problemen met delen/toestemming
- Een waarschuwingsbericht dat de beheerder geen shares voor uw account heeft ingericht
- Aandelen die ontbreken (sommige aanwezig, andere niet)
- Aandelen die leeg/leeg zijn.
Deze fouten zijn mogelijk niet van invloed op alle gebruikers. Afhankelijk van uw configuratie kunnen sommige gebruikers getroffen worden, andere niet. U kunt overeenkomsten tegenkomen rond groepslidmaatschappen “Beheerders kunnen inloggen, gebruikers niet” of gebruikers die aandelen krijgen “Accounting werkt, maar Financiën niet”, “Nieuwe gebruikers hebben geen toegang tot de share, maar bestaande gebruikers prima”.
Probleemoplossen
Als uw gebruikers een van deze problemen tegenkomen, kunt u een combinatie van tools gebruiken die zijn ingebouwd in MyWorkDrive en tools in AD om het probleem op te lossen.
De testtool voor het delen van bestanden kunt u een login als gebruikersaccount voor een bepaalde bestandsshare simuleren, met een e-mailadres (sso) of een gebruikersnaam/wachtwoord.
De testtool voor het delen van bestanden rapporteert over fouten met Delegatie (Delegatie is vereist als u SSO gebruikt). Er wordt ook gerapporteerd over de groepen waarvan een gebruiker lid is (die u kunt gebruiken om te valideren dat MyWorkDrive de verwachte groep retourneert) en of zij toestemming hebben om te delen (NTFS-machtigingen zijn correct)
Gezondheidsdashboard
De Gezondheidsdashboard geeft u een snelle momentopname van of Delegatie correct is geconfigureerd en of onze vragen over AD succesvol zijn.
Effectieve toegang
Geen tool binnen MyWorkDrive, maar Effectieve toegang is de meest efficiënte manier om te bepalen of een gebruiker machtigingen heeft voor een share, of dat deze om welke reden dan ook wordt geblokkeerd/geweigerd (Windows delen, Overgenomen geweigerd, geen machtiging overnemen).
Veelvoorkomende problemen/oplossingen
Er zijn zes veelvoorkomende problemen die resulteren in lege aandelen, ontbrekende aandelen of mislukte aanmeldingen
1. Delegatie (sso)
Als een gebruiker toegang heeft tot een share via Gebruiker/Pass (met behulp van de Testtool voor het delen van bestanden, of door SSO tijdelijk uit te schakelen op de server), maar niet via SSO, missend delegatie is vrijwel zeker de oorzaak.
Ontbrekende delegatie kan worden opgelost door delegatie op de MyWorkDrive-server naar de juiste bestandsservers in te schakelen (en DFS-servers, als DFS wordt gebruikt). Een veel voorkomende fout is het toevoegen of wijzigen van bestandsservers of het toevoegen van nieuwe DFS-servers en het niet inschakelen van delegatie op de MyWorkDrive-server. Als u een andere werkomgeving heeft waarin plotseling shares ontbreken of af en toe shares ontbreken, controleer dan op nieuwe bronnen in de omgeving die mogelijk moeten worden bijgewerkt op de MyWorkDrive-computeraccount.
Houd er rekening mee dat verschillende scenario's mogelijk verschillende methoden vereisen voor het instellen van delegatie – via de gebruikersinterface, via Powershell, of met behulp van KCD Via Powershell, of op een Gebruikersaccount voor AzureFiles met Azure AD Domain Services. De verschillende methoden komen allemaal aan bod in onze Delegatie artikel
Voortplanting
Een laatste opmerking over de delegatie.
Het duurt minimaal 15 minuten voordat Kerberos-tickets zijn gerecycled, en mogelijk langer voordat Active Directory de wijzigingen heeft doorgevoerd, vooral in grotere/gedistribueerde domeinen. Wacht minimaal 15 minuten voordat u uw tests herhaalt. Een wachttijd van een uur is niet abnormaal.
Het is niet ongebruikelijk dat groepen ontbreken of niet zijn geconfigureerd op Shares, omdat wijzigingen in NTFS-machtigingen ook moeten worden aangebracht in MyWorkDrive (MyWorkDrive synchroniseert niet automatisch met NTFS-machtigingen, omdat het is ontworpen zodat beheerders minder toegang kunnen bieden via MyWorkDrive dan een gebruiker lokaal zou hebben. Controleer de deelconfiguratie nogmaals of gebruik de Testinstrument om de configuratie te valideren, inclusief het lidmaatschap van een gebruikersgroep.
Als u de gebruiker handmatig aan de share toevoegt en de share verschijnt met inhoud bij het inloggen van de gebruiker, is het waarschijnlijk een probleem dat de gebruiker geen lid is van de groepen die op de share zijn gedefinieerd.
Als u de gebruiker handmatig aan de share toevoegt en de share leeg wordt weergegeven bij het inloggen van de gebruiker, heeft de gebruiker waarschijnlijk geen toestemming voor de share.
Details over de shareconfiguratie zijn beschikbaar in Dit artikel.
Zoals aangegeven in de Share-configuratie, kunt u de test hulpmiddel om te valideren of de gebruiker toestemming heeft voor de share. De testtool laat u ook zien van welke groepen de gebruiker lid is.
Als de tool aangeeft dat de gebruiker geen toestemming heeft voor het delen, controleer dan het groepslidmaatschap en de NTFS-machtigingen.
Toegang tot shares wordt alleen verleend wanneer de gebruiker toegang krijgt via zowel Windows-deel- als NTFS-machtigingen.
Het verlenen van toegang op een manier waarbij de toegang beperkt is, hetzij via Windows Sharing of NTFS, zal resulteren in ontbrekende shares, ontbrekende mappen en gedeelde shares die onverwacht alleen-lezen of leeg zijn.
Zoals beschreven in onze Gids voor het delen van Windows-bestanden, raden we aan iedereen volledige controle te geven via Windows Share en NTFS te gebruiken om gedetailleerde machtigingen toe te passen.
U zult dit zien als u Effectieve toegang gebruikt en merk op dat machtigingen zoals Bestanden maken of Mappen maken worden geblokkeerd door delen.
U kunt meer lezen over testen met Effectieve toegang in ons Testtool-artikel.
5. Lidmaatschap van gebruiker/groep (gebruiker is geen lid van de groep)
MyWorkDrive gebruikt Active Directory en NTFS voor verificatie en machtigingen. Als een gebruiker niet in de juiste active directory-groepen zit, of als de juiste groepen niet de juiste rechten hebben voor shares/mappen/bestanden, heeft de gebruiker via MyWorkDrive niet meer toegang dan via SMB. Met behulp van een combinatie van de Deel testtool en Effectieve toegang Door te testen kunt u bepalen of het een of het ander een probleem is.
6. AD-synchronisatie
MyWorkDrive doet alle aanvragen op het domein en SMB via het computeraccount van de server waarop het is geïnstalleerd. De computer en AD onderhandelen over de gebruikte domeincontroller, en in grote omgevingen zal dit vaak niet de controller zijn waarop wijzigingen zijn aangebracht. Onmiddellijke wijzigingen worden mogelijk niet weergegeven, inclusief wachtwoordwijzigingen, nieuwe gebruikers, wijzigingen in het lidmaatschap van gebruikersgroepen, enz. Wacht minimaal 15 minuten totdat de wijzigingen zijn doorgevoerd. Controleer nogmaals welke aanmeldingsserver de computer waarop MyWorkDrive wordt gehost gebruikt en controleer daar uw wijzigingen. Als replicatie een probleem is, replicatieproblemen oplossen.
AD-opzoekmachtigingen
Hoewel vrij zeldzaam, kunnen AD-wijzigingen die voorkomen dat de MyWorkDrive-server gebruikersinformatie over AD kan opzoeken, erg frustrerend zijn om op te lossen, omdat AD geen goede feedback geeft voor geweigerde/geblokkeerde LDAP-verzoeken.
De meest voorkomende wijziging in AD die aanmeldingen voor gebruikers verhindert, is het verwijderen/uitschakelen van de Pre-Windows 2000-groep zonder deze te vervangen door de Geverifieerde Gebruikersgroep. Hoewel gebruikers doorgaans nog steeds kunnen inloggen, omdat ze nog steeds hun eigen attributen kunnen lezen onder de gebruikerscontext, kan het groepslidmaatschap niet worden opgezocht – wat resulteert in een succesvolle authenticatie, maar een mislukte login omdat de gebruiker niet is gekoppeld aan gedeelde bestanden.
MyWorkDrive gebruikt Microsoft Active Directory als externe identiteitsbron om gebruikers te valideren en groepslidmaatschap op te zoeken.
Met gebruikers- en machineverificatie in Active Directory is netwerktoegang alleen mogelijk voor gebruikers en apparaten die in Active Directory staan vermeld.
MyWorkDrive wordt geïnstalleerd op een domein dat lid is van een Windows-server. Als computeraccount op Active Directory is de Windows Server lid van de groep Geverifieerde gebruikers.
De groep Geverifieerde gebruikers is standaard lid van de pre-Windows 2000-groep.
Als u de Pre-Windows 2000-groep uitschakelt of Geverifieerde gebruikers uit de Pre-Windows 2000-groep verwijdert, treden er fouten op bij het zoeken naar authenticatie en groepen.
Wij raden u aan de Pre-Windows 2000-groep niet uit te schakelen. Als u deze groep echter om welke reden dan ook moet uitschakelen, verleen dan de toestemming Lees RAS-informatie aan het computeraccount voor de Windows-server(s) waarop MyWorkDrive is geïnstalleerd in AD voor de relevante gebruikers/gebruikersgroepen/OE's
Om te controleren of het probleem ligt bij Geverifieerde gebruikers in de groep Pre-Windows 2000 Compatibel, voert u de volgende PowerShell-opdracht uit:
Get-ADGroupMember -Identiteit “pre-windows 2000 compatibele toegang”
We verwachten dat de resultaten Geverifieerde gebruikers weergeven
De MyWorkDrive-server kan hier wel of niet worden genoemd. Geërfd groepslidmaatschap (groep in een groep) wordt bij deze opdracht niet weergegeven.
Als de return geen Authenticated Users bevat, is het waarschijnlijk opzettelijk verwijderd. U moet mogelijk contact opnemen met uw beveiligingsteam om te zien of u het kunt herstellen.
Als u geërfde groepen hebt verwijderd en het computerobject MyWorkDrive aan de Pre-Windows 2000-compatibele toegangsgroep moet toevoegen, kunt u PowerShell gebruiken.
Add-ADGroupMember -Identity “Pre-Windows 2000 compatibele toegang” -Members “MWDServer$”
In ons voorbeeld hebben we een server met de naam mwf-scott3 gebruikt en vervolgens de opdracht Get-ADGroupMember uitgevoerd om te valideren of deze correct was toegevoegd.
De "Windows Authorization Access Group." kan als alternatief worden gebruikt. Het kan ook worden toegevoegd aan en opgevraagd met Powershell.
Add-ADGroupMember -Identiteit “Windows Autorisatie Toegangsgroep” -Leden “MWDServer$”
Hier voegen we mwf-scott3 toe en voeren een query uit met Get-ADGroupMember om te valideren of deze correct is toegevoegd
Het toevoegen van geverifieerde gebruikers aan de Windows-autorisatietoegangsgroep wordt het beste afgehandeld via de gebruikersinterface van Active Directory: gebruikers en computers