Почему на ПК студентов не приходят утверждения для компьютеров, а только для пользователей, при настройке раздельного доступа?

Question

[meleh_krem]

Добрый день!

Столкнулся с проблемой при реализации раздельного доступа для студентов в учебной аудитории.

Задача: Настроить доступ таким образом, чтобы каждый студент мог получить доступ только к своей личной папке на общем ресурсе, не видя других папок и соседних ПК.

Что было сделано:

Создано утверждение sAMAccountName, которое используется для идентификации каждого ПК и пользователя.
Настроены групповые политики (GPO) на уровне домена, чтобы управлять доступом к папкам студентов на общем ресурсе.
Проблема: На ПК студентов утверждения для компьютера не приходят, хотя утверждение пользователя приходит корректно. Для каждого ПК требуется, чтобы утверждение компьютера также применялось, но в текущей конфигурации оно отсутствует.

Прошу помочь разобраться, почему на компьютеры не приходят утверждения и что нужно сделать для их корректной доставки.

вывод на клиенте
whoami /all

СВЕДЕНИЯ ОБ УТВЕРЖДЕНИЯХ ПОЛЬЗОВАТЕЛЯ
-------------------------------------

Имя заявки ИД утверждения Флаги Тип Значения
================ ======================================== ===== ====== ========
"sAMAccountName" ad://ext/sAMAccountName:88dce7a34ddb02e9 Строка "stud"

Comments

[Роман Безруков]

к своей личной папке на общем ресурсе

это что: просто папка с назначенными правами, перемещаемый профиль, перенаправленная папка? эта папка как создается?

Создано утверждение sAMAccountName, которое используется для идентификации каждого ПК и пользователя

сдается мне, что для решения вашей задачи вы сильно заморочились, и использование Dynamic Access Control в данном случае избыточно. Думаю, что включения Access-Based Enumeration на общем ресурсе может быть достаточно...

[meleh_krem]

Роман Безруков, это простая сетевая папка с номером кабинета со вложенными папками(PC-01 до PC-15, папка Задание и Преподаватель). Студенты заходят под пользователем stud, guru для преподавателя. Преподаватель должен заходить в любую папку, студент видит папку Задание и одну из PC-01 до PC-15. Пока пк не были в домене так и было, даже написал скрипт который создавал эти папки вместе с пользователями и разрешениями. Таких кабинетов много и на каждый пк заводить учетку будет аварийным вариантом...

[MVV]

Поделитесь сокровенными знаниями, а то как-то не совсем понятно, какой именно механизм аутентиффкации:
Файл-сервер, как я понял, в домене.
1. PC-01 - PC-15 - в домене?
2. stud, под которым заходят студенты на PC-XX - это учетная запись в домене?
3. Весия ОС, которая стоит на PC и файл-сервере?
4. Скриншот откуда снят?

[Роман Безруков]

MVV, скрин - это Active Directory Administrative Center, раздел Dynamic Access Control

[Роман Безруков]

meleh_krem, т.е. раньше у вас на каждом учебном компе была локальная учетка stud, от которой был доступ в соответствующую папку... А сейчас у вас stud доменный - так?
Раз вы умеете в скрипты - например, создаете учетки вида studXXXXX (по числу компов, название с учетом кабинета и номера компа), каждой учетке разрешаете вход только на определенный комп (делаете, условно, строгое соответствие юзер-комп), дальше логон-скриптом в GPO цепляете нужную папку

[meleh_krem]

MVV,
Все пк в домене.
Windows server2012 R2, в основном Win 10 и часть Win 7
(возможно надо будет переходить на Win 8 из-за DAC или создавать отдельную учетку на каждый Win 7, настраивать чтобы только на этом пк мог логинется - не тяжело, а будут другие варианты учеток sud - для экзамена, зачета, чемпионата и т.д.). каждому преподавателю и студенту донести за каким пк под кем входить, да ещё при отсутствии желания... для тех кто хочет учится, можно завести учетки со всеми вытекающими плюшками.
stud и guru учетные записи домена.
Скринщот с AD DC.

[meleh_krem]

Роман Безруков, да

[meleh_krem]

Роман Безруков,
не тяжело, а будут другие варианты учеток sud - для экзамена, зачета, чемпионата и т.д.

[MVV]

MVV, скрин - это Active Directory Administrative Center, раздел Dynamic Access Control

Роман Безруков, я тоже так предполагаю, но на всякий случай хочтел уточнить, не понесло ли автора куда-нибудь в сторону Workplace Join (это тоже формально Active directory, хотя и требует AD FS с его консолью).

[MVV]

Все пк в домене.
Windows server2012 R2, в основном Win 10 и часть Win 7

meleh_krem, стесняюсь спросить, а раньше-то как оно было сделано? По сохраненным учетным данным?
В принципе, и сейчас можно попробовать настроить вход по сохраненным учетным данным. А если использовать DAC, то во-первых Win7 для аутентификации по компьютеру, откуда сделан вход, не годится, зандо заменнять. А во вторых, требуемая для этого политики KDC support for claims, compound authentication, and Kerberos armoring нужно включить, по умолчанию ЕМНИП она отключена, плюс - включить через политику поддержку для клиентов. (см. здесь)

Answer 1

[pindschik]

Вы неправильно решаете задачу.
Есть простой и "родной" способ: создавайте каждому пользователю перемещаемый профиль, и настраивайте подключаемый диск с буквой для папки этого профиля (в остнастке "Active Directory пользователи и компьютеры", в свойствах этого пользователя).
Лучше указать подпапку для перемещаемого профиля, а диск подключать непосредственно к папке с именем пользователя. Так будет меньше мусора в корне.
Заодно сделайте принудительное перенаправление папок "загрузки", "мои документы" сразу в перемещаемый профиль.
Еще неплохо исключить из синхронизации папки мессенджеров, т.к. они много мусорных файлов создают.

Ваши студенты смогут заходить на любой ПК и сразу получать своё окружение (обои с котиками, файлы на рабочем столе, личный диск, "мои документы" и т.д.)

Comments

[meleh_krem]

stud и guru учетные записи домена.
Все студенты заходят под одним на всех логином stud.
За одним и тем же пк сидят разные люди, а пк должен "смотреть" в конкретную директорию не зависимо кто залогинился.

Ваш вариант подходит для тех кто хочет учится, им можно и плюшки, просто ему надо быть членом группы "Студенты".
Но задания надо взять из папки "задания" и результаты выполнения положить в папку на которую "смотрит" пк на котором студент залогинился.

[pindschik]

meleh_krem,

все студенты заходят под одним на всех логином stud.

и все же вы сами себя загнали в прокрустово ложе и теперь героически преодолеваете...
Права для компьютеров и права для пользователей - разные. Пользователь заходя в сетевую папку - будет везде один и тот же, с какого-бы ПК не зашел. Соответственно давая к папке доступ только ПК - вы запрещаете в нее доступ stud.
Я виже решение такое: на каждый комп наклеить крупный номер, например "ПК03", "ПК 04" и т.д.
Создайте учетки stud03, stud04. Этим учеткам нужно присвоить сложные пароли, а на самих ПК настроить автовход с этим паролем. Таким образом они станут разделены и вы сможете без заморочек с динамическим доступом навесить на разные папки нужные права. Сохраненный пароль в теории можно посмотреть в реесте. Поэтому повесьте запрет запуска regedit для группы. в которую будут входить все stud. Не 100% гарантия, но усложнит задачу.

По поводу доступа на другие компы по сети - выделите все ПК класса (классов) в отдельное подразделение. Дла него создайте политику. В ней запретите доступ к компьютеру из сети группе пользователей, где все учетки studХХ.

[meleh_krem]

pindschik, так планировалось....