Не удается получить доступ к общей папке Windows, когда в группе безопасности назначен общий ресурс

Я немного запутался в этом.

Я создал группу безопасности в AD под названием «особые пользователи данных» и добавил себя в нее.

Затем я создал общий ресурс на сервере и предоставил этой группе безопасности AD полный доступ к общему ресурсу.

Если я пытаюсь получить доступ к общему ресурсу, я не могу и получаю ошибку «Отказано в разрешении».

Если я добавляю свою учетную запись пользователя непосредственно в общий ресурс или добавляю другую группу безопасности, которая существует уже много лет, я являюсь ее участником, и она работает нормально.

Будем благодарны за любые советы или предложения о том, что искать, почему эта новая группа не работает. Я выглядел высоко и низко и не могу понять, почему любая новая группа безопасности не работает ...

Спасибо!

Когда вы добавили себя в группу, вы вышли из своей рабочей станции и снова вошли в систему? Членство в группе безопасности является компонентом токена доступа, предоставленного вашему идентификатору пользователя при входе в систему, и для изменения членства в группе необходимо выйти и войти в систему, чтобы получить новый токен доступа, который отражает новое членство.

Убедитесь, что вы назначили разрешения на чтение этому «Специальному пользователю данных» как на вкладке «Безопасность», так и в разделе «Общий доступ -> Разрешения».

Также вам необходимо повторно войти в систему после добавления пользователя в новую группу.

Я не уверен, что это будет вашей проблемой, но я был сожжен этим в прошлом. Сколько групп (включая вложенные) входит в ваш аккаунт? Возможно, вы только что прошли ограничение AD. Членство в группах ограничено из-за размера билета Kerberos в AD. Вот еще чтение из Technet о некоторых ограничениях AD. Проверьте информацию под заголовком Членство в группах для участников безопасности.

Чтобы проверить, так ли это, создайте новую учетную запись и добавьте ее в новую группу, чтобы узнать, может ли эта учетная запись иметь доступ к этой папке.

Какой тип группы вы создали? Это имеет значение, если они являются локальными, глобальными или универсальными.

Я рекомендую вам настроить общие права доступа следующим образом, чтобы избежать путаницы:

На самих акциях разрешений:

DOMAIN ADMINS = Полный доступ

Все = Написать / Читать

Затем в разрешениях безопасности NTFS:

DOMAIN ADMINS = Полный контроль

и затем установите безопасность NTFS для других в зависимости от необходимости.

Делая это, вы избежите проблем с разрешениями общего ресурса, переопределяющими разрешения NTFS.