Access-Denied Assistance в Windows Server 2012 | Windows для системных администраторов

Access-Denied Assistance в Windows Server 2012

Познакомимся с еще одной интересной функцией Windows Server 2012, которую  Microsoft внедрила в свою последнюю серверную ОС, под названием Access Denied Assistance (Помощь при отказе в доступе), являющуюся еще одним компонентов системы динамического управления доступом DAC.

Функция Access Denied Assistance активируется на файловом хранилище и при попытке доступа пользователя, которому не предоставлены права на данный каталог или файл, пользователю отображается специальное диалоговое окно, позволяющее запросить доступ к данному ресурсу.

Функция Access Denied Assistance  реализует несколько сценариев решения вопросов, связанных с доступом к файлам или папкам.

  • Self-assistance («самопомощь»).  При доступе к ресурсу пользователь видит окно «Отказано в доступе», в котором дополнительно описывается процедура получения доступа к ресурсу. Эту информацию задает администратор файлового сервера, указывая, например, процедуру оформления доступа к ресурсу, принятую в организации.
  • Assistance by the data owner (Помощь владельца ресурса). Можно настроить список общих папок, и настроить систему так, чтобы владельцы  каталогов получали почтовые уведомления от пользователей, которые хотят получить доступ к ресурсам, владельцами которых они назначены. Если владелец ресурса не знает, как предоставить доступа, он пересылает эту информацию администратору сервера.
  • Assistance by the file server administrator (Помощь администратора файлового сервера). Этот тип помощи доступен, если пользователь и владелец ресурса не смогли разобраться с проблемой. В Windows Server 2012  существует специальная функция, формирующая и отправляющая администратору список действующих разрешений на конкретный файл или каталог.

Разберем применение технологии Access Denied Assistance на практическом примере. Для активации технологии Access Denied Assistance нужно:

  • Настроить Access-Denied Assistance
  • Настроить параметры Email уведомлений в консоли FSRM

Access-Denied Assistance можно включить и настроить с помощью групповых политик или с помощью консоли File Server Resource Manager (FSRM). Рассмотрим оба метода:

Включаем Access-Denied Assistance с помощью групповых политик


Откройте редактор групповых политик и перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> System -> Access-Denied Assistance. Найдите параметр Customize message for Access Denied errors-> Edit и включите его (Enabled). Поставьте галочку на опции Enable users to request assistance.

В поле Display the following message to users who are denied access укажите фразу, которую пользователи будут видеть при попытке доступа к ресурсу, прав на который у них нет. В данном тексте разрешено использовать специальные макросы:

  • [Original File Path] – путь к ресурсу.
  • [Original File Path Folder] — путь к родительскому ресурсу.
  • [Admin Email] – список адресов email администраторов системы
  • [Data Owner Email] -адрес владельца ресурса

Здесь же можно указать тех, кто получит уведомление от пользователя о необходимости предоставления доступа (владелец и/или администратор), также указать выводить ли дополнительную информацию о пользователе и текущих правах доступа к ресурсу.

Настройка Access-Denied-Assistance с помощью групповой политики

Настройка Access-Denied-Assistance в Windows Server 2012

Включаем Access-Denied Assistance с помощью консоли FSRM


Откройте консоль File Server Resource Manager, и, щелкнув правой кнопкой мыши по корню консоли, выберите пункт Configure Options. В появившемся окне перейдите на вкладку Access-Denied Assistance и включите опцию Enable access-denied assistance. Расширенные параметры задаются при нажатии на кнопке Enable users to request assistance.Настройка параметров Access-Denied-Assistance в консоли FSRM

Настройка параметров почты в FSRM

Далее настроим параметры почтовых уведомлений для службы FSRM.

Для этого в той же консоли параметров FSRM откройте вкладку Email Notifications и укажите имя/ip адрес SMTP сервера, адреса администраторов и имя отправителя.Настройка smtp в консоли FSRM

На этом настройка закончена и перейдем к испытаниям.

Пользователь пытается открыть каталог Finance и появляется ошибка отказа в доступе. В появившемся окне есть кнопка Request Assistance.

Окно Request Assistance при доступе к ресурсу

Пользователь может нажать на ссылку, ввести сообщение владельцу/администратору ресурса о необходимости предоставления ему доступа и отправить письмо.Отправка письма

Администратор или владелец ресурса (в зависимости от настроек) получает письмо, в котором указано имя пользователя, описание ресурса, и текущие настройки доступа. На основании этой информации он может предоставить доступ или отказать в нем.Письмо от службы FSRM

Еще записи по теме: Windows Server 2012
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00161 sec