5 votos

Los usuarios de repente faltan permisos de escritura a la root de la unidad c dentro de un dominio de active directory

Estoy dirigiendo un active directory entorno de dominio único en algunos Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 máquinas.

Desde hace unas semanas tengo un extraño problema. Algunos usuarios (no todos!) informan de que no pueden por más tiempo guardar, copiar o escribir archivos en la root de la unidad c, ya sea en sus clientes (vista, win 7), ni a través de la conexión a escritorio remoto en un equipo con Windows Server 2008. Incluso ejecutar programas que requieren directo permisos de escritura a la root de la unidad sin permisos de administrador no hacerlo desde entonces.

Los usuarios afectados tienen permisos de administrador local.

La pregunta que me estoy enfrentando ahora es: Qué provocó este cambio de comportamiento del sistema? ¿Por qué ocurre esto? No he encontrado todavía.

¿Cuál fue la última cosa que hice antes de que sucediera?

  • La última acción que se hizo antes de que esto sucediera fue la puesta en marcha de una GPO que contienen asignaciones de unidad de red para los usuarios dependiendo de su pertenencia a grupos de seguridad. Todas las unidades de red se encuentra en un servidor linux con samba activado.

  • No hemos de cambiar cualquier configuración de UAC, y siempre han sido activado.

  • Sin embargo no me puedo imaginar que el despliegue de esta GPO causado el problema. Alguien ha enfrentado a un problema como ese?

Sólo en caso de:

  • Sé que es por una razón específica que un usuario sin privilegios administrativos se impide escrito a la root de la unidad a partir de windows vista y la aplicación de la UAC. No creo que los usuarios deben ser capaces de escribir a la unidad c, pero yo trate de la figura por qué esto está sucediendo y hace un par de semanas esto se sigue trabajando.

  • También sé que un usuario que es miembro de administradores locales el grupo no ejecutar nada con permisos de administrador por por defecto, a menos que él o ella se ejecuta un programa con esto de los permisos.

¿Qué debo hacer?

  • He comprobado los permisos de los programas afectados, los afectados clientes/servidor. No encontrar algo especial.

  • He comprobado TODOS nuestros Gpo si existen restricciones, que podría evitar que los usuarios afectados de la escritura a la root de la unidad. No encontrar la configuración.

  • He comprobado la configuración de UAC de los usuarios afectados y las comparó con las a otros usuarios que todavía puede escribir a la root de la unidad. Todo similares.

  • Busqué en google a través de internet y trató de encontrar a alguien que tenía un problema similar. No la encontramos.

Tiene alguien una idea? Muchas gracias.

Editar:

El GPO que fue lanzado hace lo siguiente (por Favor, disculpe si la configuración no se llama exactamente así, he traducido la configuración en inglés):


**Windows Settings --> Network Drive Mappings --> Drive N: --> General:**
Action: Replace

**Properties:**
Letter: N
Location: \\path-to-drive\drivename
Re-Establish connection: deactivated
Label as: Name_of_the_Share
Use first available Option: deactivated

**Windows Settings --> Network Drive Mappings --> Drive N: --> Public:
Options:**
On error don't process any further elements for this extension: no
Run as the logged in user: no
remove element if it is not applied anymore: no
Only apply once: no

**Securitygroup:**
Attribute --> Value
bool --> AND
not --> 0
name --> domain\groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0

**Securitygroup:**
Attribute --> Value
bool --> OR
not --> 0
name --> domain\another-groupname
sid --> sid-of-the-group
userContext --> 1
primaryGroup --> 0
localGroup --> 0

Editar: El Mensaje de Error de los usuarios afectados que dice lo siguiente:


Due to an unexpected error you can't copy the file.
Error-Code 0x80070522: The client is missing a required permission.

El comando icacls C: muestra lo siguiente:


NT-AUTORITY\SYSTEM:(OI)(CI)(F)
PRE-DEFINED\Administrators:(OI)(CI)(F)
computername\username:(OI)(CI)(F)

Una universidad sólo me dijo que también el principal controlador de dominio (PDC) cambiado de Windows Server 2008 Windows Server 2012. Que también puede ser una razón. Alguna sugerencia?

1voto

ZuberFowler Puntos 21

No puedo comentar aún y esto no es una solución como tal, pero he observado que el mismo tipo de comportamiento en Windows 7 y 8, además Server 2012 y windows Server 2012 R2. En la parte superior de que, esto sucede desde la cuenta de Administrador, incluso después de cambiar la titularidad y todos los permisos de las unidades directorio root para la cuenta de Administrador. También, esta experiencia se observó en el local cuenta con máquinas en un grupo de trabajo, por lo que la creación de redes y el estar dentro de un dominio no es parte de la cuestión.

Por ejemplo, el Administrador no está permitido copiar un archivo desde la unidad D: a de la E:\ root, pero pueden copiar E:\temp y, a continuación, mover el archivo a E:\. La copia no es permitido, pero moviéndose en la misma unidad.

Si realmente tienen los usuarios que están autorizados para realizar estas funciones:

Algunos usuarios (no todos!) informan de que no pueden por más tiempo guardar, copiar o escribir archivos en la root de la unidad c

Sugiero estudiar de cerca lo que es único acerca de sus cuentas con respecto a los demás. Tan lejos como ¿por qué el comportamiento ha cambiado, yo supuse que era algo de lo que tengo aplicado con Microsoft update. (Tipo de respuesta :-)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: