Не дает добавить права пользователям на каталог

@salder · Регистрация: 20.02.2025

Студворк — интернет-сервис помощи студентам

Добрый день!

Суть следующая.

1) Два домена.
2) На одном КД - ОС Win Serv St 2016; на втором ОС Win Serv St 2012 R2.
3) Оба работают в режиме Win Serv St 2012 R2.
- Между ними создано двустороннее транзитивное доверие.
- Проверки проходят успешно.
- Пользователи успешно авторизуются на рабочих станциях.
4) На всех остальных серверах - ОС Win Serv St 2012 R2

Дальше вопрос раздачи прав на каталоги для пользователей из доверенного домена.
И тут какая-то фигня происходит.

На части сервером вполне можно добавить права на каталог для пользователя доверенного домена, а другая часть (включая, собственно, непосредственно файловый сервер) - не получается.
На первый взгляд сервера (не КД) сконфигурированы одинаково (кроме ФС) - и те, где работает и те, где не работает.

А происходит вот что:
Для каталога - вкладка "Безопасность" >
Изменить (или Дополнительно) >
Добавить >
Интерфейс выбора типа объекта и размещения объекта >
В размещении выбираешь доверенный домен (выбирается без ошибок) >
Вводишь имя пользователя, нажимаешь "Проверить имена" - находит, проверяет без ошибок >
Нажимаешь OK чтобы подтвердить выбор и перейти к назначению прав и на этом этапе ошибка:
Недоступны контроллеры домена AD, требуемые для нахождения выбранных объектов в указанных доменах:
<имя доверенного домена>.

Если бы это было на всех серверах, то можно было бы предположить, что проблема на доверенном домене или в настройках отношений доверия, а так - логика проявления проблемы - не понятна.

Буду благодарен за помощь.

Спасибо.

@Maks · 11.03.2025, 13:52

salder, попробуйте не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа.

@qwertehok · 11.03.2025, 14:58

с группами мысль конечно правильная, но то что пишет такую ошибку на части серверов это неправильно
надо определить почему это происходить и устранить
что с сетевыми настройками? днс? nslookup второй домен находит?

@Maks · 11.03.2025, 15:02

Сообщение от qwertehok

с группами мысль конечно правильная, но то что пишет такую ошибку на части серверов это неправильно

Тут к сожалению не подскажу, ибо всегда делаю через отдельные группы пользователей и еще ни разу подобных ошибок не возникало.

@pEntity · 11.03.2025, 16:59

Привет. Какой тип аутентификации?(Картинка) Так же в Active Directory Domains and Trusts проверьте доверие. Там кнопка теста есть.

@salder · 12.03.2025, 13:36 **[ТС]**

Сообщение от Maks

salder, попробуйте не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа.

Идея, конечно, интересная, только во втором домене пользователей раз-два и обчелся и каждый как целая группа, то есть для каждого разрешения на отдельные каталоги.

В тестовом режиме я проверил процедуру добавления - она сработала. правда не проверял назначились права или нет (но, думаю, что назначились).

qwertehok,
Все настроено нормально. все проверки проходит.

Добавлено через 44 секунды
pEntity,
Доверие работает во все стороны.
Тип - который на картинке выбран.

@Maks · 12.03.2025, 14:20

Сообщение от salder

только во втором домене пользователей раз-два и обчелся

Для чего тогда вообще нужен этот домен? При малом количестве пользователей можно обойтись правами NTFS.

@mxts · 18.03.2025, 12:35

Такая же проблема.
Два леса, двухстороннее доверие. Как бы все работает, ошибок явных нет. Пользователи могут авторизоваться в разных доменах.
А как пытаешься добавить пользователя из другого леса или посмотреть действующие права, появляется ошибка на рандомных машинах:

Контроллеры домен Active Directory, необходимые для поиска выбранных объектов в следующих доменах, недоступны:

<Доверенный лес>

Убедитесь, что контроллеры Active Directory доступны и повторите попытку выбрать объекты.

Проверял на нескольких Вин10- 100% успех
На WinSrv2019 почти всегда ошибка, только на одном сработало.

Во всех случаях сетевые настройки идентичны, брандмауэр отключен.

HotBeer · 18.03.2025, 13:06

Сообщение от Maks

не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа.

ЕМНИП мне память не изменяет, читал книгу лет 17 назад по еще винде сервер 2003, так и нужно делать в АД, ну как минимум, чтобы групповые политики работали...

@pEntity · 18.03.2025, 22:33

Проверьте серверы условной пересылки, что там указан прааильный домен и его адреса. Оснастка DNS.

Новые блоги и статьи Все статьи Все блоги /
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .
Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .

@salder 0 / 0 / 0 Регистрация: 20.02.2025 Сообщений: 8

	Не дает добавить права пользователям на каталог 11.03.2025, 10:01. Показов 1970. Ответов 9 Метки нет (Все метки) Добрый день! Суть следующая. 1) Два домена. 2) На одном КД - ОС Win Serv St 2016; на втором ОС Win Serv St 2012 R2. 3) Оба работают в режиме Win Serv St 2012 R2. - Между ними создано двустороннее транзитивное доверие. - Проверки проходят успешно. - Пользователи успешно авторизуются на рабочих станциях. 4) На всех остальных серверах - ОС Win Serv St 2012 R2 Дальше вопрос раздачи прав на каталоги для пользователей из доверенного домена. И тут какая-то фигня происходит. На части сервером вполне можно добавить права на каталог для пользователя доверенного домена, а другая часть (включая, собственно, непосредственно файловый сервер) - не получается. На первый взгляд сервера (не КД) сконфигурированы одинаково (кроме ФС) - и те, где работает и те, где не работает. А происходит вот что: Для каталога - вкладка "Безопасность" > Изменить (или Дополнительно) > Добавить > Интерфейс выбора типа объекта и размещения объекта > В размещении выбираешь доверенный домен (выбирается без ошибок) > Вводишь имя пользователя, нажимаешь "Проверить имена" - находит, проверяет без ошибок > Нажимаешь OK чтобы подтвердить выбор и перейти к назначению прав и на этом этапе ошибка: Недоступны контроллеры домена AD, требуемые для нахождения выбранных объектов в указанных доменах: <имя доверенного домена>. Если бы это было на всех серверах, то можно было бы предположить, что проблема на доверенном домене или в настройках отношений доверия, а так - логика проявления проблемы - не понятна. Буду благодарен за помощь. Спасибо. 0

@Maks Супер-модератор 9263 / 5030 / 605 Регистрация: 13.03.2013 Сообщений: 17,792 Записей в блоге: 17
	11.03.2025, 13:52
	salder, попробуйте не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа. 1

@qwertehok 5940 / 4517 / 1093 Регистрация: 29.08.2013 Сообщений: 28,089 Записей в блоге: 3
	11.03.2025, 14:58
	с группами мысль конечно правильная, но то что пишет такую ошибку на части серверов это неправильно надо определить почему это происходить и устранить что с сетевыми настройками? днс? nslookup второй домен находит? 1

@pEntity 350 / 269 / 67 Регистрация: 12.12.2012 Сообщений: 2,129
	11.03.2025, 16:59
	Привет. Какой тип аутентификации?(Картинка) Так же в Active Directory Domains and Trusts проверьте доверие. Там кнопка теста есть. Миниатюры 1

@pEntity 350 / 269 / 67 Регистрация: 12.12.2012 Сообщений: 2,129
	18.03.2025, 22:33
	Проверьте серверы условной пересылки, что там указан прааильный домен и его адреса. Оснастка DNS. 0