Почему не работают доступы в AD?

Question

[Роман]

Есть вполне обычная AD с группами доступа по отделам.
Есть группы доступа Отдел логистики и Отдел технический.
Есть сетевая папка - наш файл-сервер и он тоже в домене. Сопоставлением дисков в групповой политике проброшен всем пользователям. И на этом сервере находится папка Отдел технический, на котором настроена лишь одна группа Отдел технический и она может там все. Идентично и для отдела Логистики
Проблема в том что пользователь, не состоящий ни в одной из этих групп может спокойно там перемещаться, удалять, сохранять и делать все что захочет. Условно он состоит только в группе Domain User, о которой в доступах папки ни слова. Наследование так же отключено
Область проблемы находится где то в районе проброса диска, ибо при подключении диска руками права (вроде) отрабатывают.
Прошу помощи в том что может быть не так.

Comments

[Ziptar]

Прошу помощи в том что может быть не так.

Проверить не заданы ли случаем права для группы Authenticated Users

[Роман Безруков]

Сопоставлением дисков в групповой политике проброшен всем пользователям

диск пробрасывается через GPP и нацеливание на группы или просто в политике подключается всем (Domain Users)?

[Роман]

Роман Безруков, Нацеленный.

[Роман]

Ziptar, На папке одна группа и удалены все остальные

Answer 1

[tichoblinii]

Проверим эффективность прав доступа. Вывод сюда.
WIN+R
powershell
На файл-сервере Get-Acl "\\server\share\folder" | Format-List
На файл-сервере проверим там же в PS (powershell) включен ли SMB, вывод сюда.
Get-SmbServerConfiguration
На ПК, из под УЗ пользователя сделать в обычной консоли
gpresult /h report.html
вывод сюда.

Comments

[Роман]

Path : Microsoft.PowerShell.Core\FileSystem::\\SERVER\Fileserv\Test
Owner : DC1\myusername
Group : DC1\Domain Users
Access : DC1\Отдел технический Allow FullControl
Audit :
Sddl : O:S-1-5-21-440387722-2119948284-1221661967-2142G:DUD:PAI(A;OICI;FA;;;S-1-5-21-440387722-2119948284-1221661967-
1285)

AnnounceComment :
AnnounceServer : False
AsynchronousCredits : 512
AuditClientCertificateAccess : False
AuditSmb1Access : False
AutoDisconnectTimeout : 15
AutoShareServer : True
AutoShareWorkstation : True
CachedOpenLimit : 10
DisableCompression : False
DisableSmbEncryptionOnSecureConnection : True
DurableHandleV2TimeoutInSeconds : 180
EnableAuthenticateUserSharing : False
EnableDownlevelTimewarp : False
EnableForcedLogoff : True
EnableLeasing : True
EnableMultiChannel : True
EnableOplocks : True
EnableSecuritySignature : False
EnableSMB1Protocol : True
EnableSMB2Protocol : True
EnableSMBQUIC : True
EnableStrictNameChecking : True
EncryptData : False
EncryptionCiphers : AES_128_GCM, AES_128_CCM, AES_256_GCM, AES_256_CCM
IrpStackSize : 15
KeepAliveTime : 2
MaxChannelPerSession : 32
MaxMpxCount : 50
MaxSessionPerConnection : 16384
MaxThreadsPerQueue : 20
MaxWorkItems : 1
NullSessionPipes :
NullSessionShares :
OplockBreakWait : 35
PendingClientTimeoutInSeconds : 120
RejectUnencryptedAccess : True
RequestCompression : False
RequireSecuritySignature : False
RestrictNamedpipeAccessViaQuic : True
ServerHidden : True
Smb2CreditsMax : 8192
Smb2CreditsMin : 512
SmbServerNameHardeningLevel : 0
TreatHostAsStableStorage : False
ValidateAliasNotCircular : True
ValidateShareScope : True
ValidateShareScopeNotAliased : True
ValidateTargetName : True

[Роман Безруков]

Роман,
1. хорошо бы в отчете развернуть политику Disk_D
2. на вашем файловом сервере выполните следующий код и внимательно изучите результат (для удобства можно результат экспортировать в CSV)

код

$ShareList = Get-SmbShare -Special $false
$ShareNTFS = @()
ForEach ($entry in $ShareList)
{
    $SharePath = $entry.Path
    $Acl = Get-Acl -Path $SharePath
    ForEach ($Access in $Acl.Access)
    {
        $Properties = [ordered]@{"Folder Name" = $SharePath;"Owner" = $Acl.Owner;"Group/User" = $Access.IdentityReference;"Permissions" = $Access.FileSystemRights;"Inherited" = $Access.IsInherited} 
        $ShareNTFS += New-Object -TypeName PSObject -Property $Properties
    }
}
$ShareNTFS | ft -AutoSize

[Роман]

Роман Безруков, Там просто сопоставление и определение на группы. Проверил на тесте, проблема уходит если диск "Заменять" а не "Обновлять", то есть разрешение отрабатывают даже на автоматически сопоставленным диском. Значит, где то кешируются права

[Роман Безруков]

Роман, https://learn.microsoft.com/en-us/previous-version...