Не дает добавить права пользователям на каталог

@salder · Регистрация: 20.02.2025

Author24 — интернет-сервис помощи студентам

Добрый день!

Суть следующая.

1) Два домена.
2) На одном КД - ОС Win Serv St 2016; на втором ОС Win Serv St 2012 R2.
3) Оба работают в режиме Win Serv St 2012 R2.
- Между ними создано двустороннее транзитивное доверие.
- Проверки проходят успешно.
- Пользователи успешно авторизуются на рабочих станциях.
4) На всех остальных серверах - ОС Win Serv St 2012 R2

Дальше вопрос раздачи прав на каталоги для пользователей из доверенного домена.
И тут какая-то фигня происходит.

На части сервером вполне можно добавить права на каталог для пользователя доверенного домена, а другая часть (включая, собственно, непосредственно файловый сервер) - не получается.
На первый взгляд сервера (не КД) сконфигурированы одинаково (кроме ФС) - и те, где работает и те, где не работает.

А происходит вот что:
Для каталога - вкладка "Безопасность" >
Изменить (или Дополнительно) >
Добавить >
Интерфейс выбора типа объекта и размещения объекта >
В размещении выбираешь доверенный домен (выбирается без ошибок) >
Вводишь имя пользователя, нажимаешь "Проверить имена" - находит, проверяет без ошибок >
Нажимаешь OK чтобы подтвердить выбор и перейти к назначению прав и на этом этапе ошибка:
Недоступны контроллеры домена AD, требуемые для нахождения выбранных объектов в указанных доменах:
<имя доверенного домена>.

Если бы это было на всех серверах, то можно было бы предположить, что проблема на доверенном домене или в настройках отношений доверия, а так - логика проявления проблемы - не понятна.

Буду благодарен за помощь.

Спасибо.

@Maks · 11.03.2025, 13:52

salder, попробуйте не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа.

@qwertehok · 11.03.2025, 14:58

с группами мысль конечно правильная, но то что пишет такую ошибку на части серверов это неправильно
надо определить почему это происходить и устранить
что с сетевыми настройками? днс? nslookup второй домен находит?

@Maks · 11.03.2025, 15:02

Сообщение от qwertehok

с группами мысль конечно правильная, но то что пишет такую ошибку на части серверов это неправильно

Тут к сожалению не подскажу, ибо всегда делаю через отдельные группы пользователей и еще ни разу подобных ошибок не возникало.

@pEntity · 11.03.2025, 16:59

Привет. Какой тип аутентификации?(Картинка) Так же в Active Directory Domains and Trusts проверьте доверие. Там кнопка теста есть.

@salder · 12.03.2025, 13:36 **[ТС]**

Сообщение от Maks

salder, попробуйте не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа.

Идея, конечно, интересная, только во втором домене пользователей раз-два и обчелся и каждый как целая группа, то есть для каждого разрешения на отдельные каталоги.

В тестовом режиме я проверил процедуру добавления - она сработала. правда не проверял назначились права или нет (но, думаю, что назначились).

qwertehok,
Все настроено нормально. все проверки проходит.

Добавлено через 44 секунды
pEntity,
Доверие работает во все стороны.
Тип - который на картинке выбран.

@Maks · 12.03.2025, 14:20

Сообщение от salder

только во втором домене пользователей раз-два и обчелся

Для чего тогда вообще нужен этот домен? При малом количестве пользователей можно обойтись правами NTFS.

@mxts · 18.03.2025, 12:35

Такая же проблема.
Два леса, двухстороннее доверие. Как бы все работает, ошибок явных нет. Пользователи могут авторизоваться в разных доменах.
А как пытаешься добавить пользователя из другого леса или посмотреть действующие права, появляется ошибка на рандомных машинах:

Контроллеры домен Active Directory, необходимые для поиска выбранных объектов в следующих доменах, недоступны:

<Доверенный лес>

Убедитесь, что контроллеры Active Directory доступны и повторите попытку выбрать объекты.

Проверял на нескольких Вин10- 100% успех
На WinSrv2019 почти всегда ошибка, только на одном сработало.

Во всех случаях сетевые настройки идентичны, брандмауэр отключен.

HotBeer · 18.03.2025, 13:06

Сообщение от Maks

не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа.

ЕМНИП мне память не изменяет, читал книгу лет 17 назад по еще винде сервер 2003, так и нужно делать в АД, ну как минимум, чтобы групповые политики работали...

@pEntity · 18.03.2025, 22:33

Проверьте серверы условной пересылки, что там указан прааильный домен и его адреса. Оснастка DNS.

Новые блоги и статьи Все статьи Все блоги /
Компиляция C++ с Clang API NullReferenced 24.03.2025 Компиляторы обычно воспринимаются как черные ящики, которые превращают исходный код в исполняемые файлы. Мы запускаем компилятор командой в терминале, и вуаля — получаем бинарник. Но что если нужно. . .	Многопоточное программирование в C#: Класс Thread UnmanagedCoder 24.03.2025 Когда запускается приложение на компьютере, операционная система создаёт для него процесс - виртуальное адресное пространство. В C# этот процесс изначально получает один поток выполнения — главный. . .	SwiftUI Data Flow: Передача данных между представлениями mobDevWorks 23.03.2025 При первом знакомстве со SwiftUI кажется, что фреймворк предлагает избыточное количество механизмов для передачи данных: @State, @Binding, @StateObject, @ObservedObject, @EnvironmentObject и другие. . . .	Моки в Java: Сравниваем Mockito, EasyMock, JMockit Javaican 23.03.2025 Как протестировать класс, который зависит от других сложных компонентов, таких как базы данных, веб-сервисы или другие классы, с которыми и так непросто работать в тестовом окружении? Для этого и. . .	Архитектурные паттерны микросервисов: ТОП-10 шаблонов ArchitectMsa 22.03.2025 Популярность микросервисной архитектуры объясняется множеством важных преимуществ. К примеру, она позволяет командам разработчиков работать независимо друг от друга, используя различные технологии и. . .
Оптимизация рендеринга в Unity: Сортировка миллиона спрайтов GameUnited 22.03.2025 Помните, когда наличие сотни спрайтов в игре приводило к существенному падению производительности? Время таких ограничений уходит в прошлое. Сегодня геймдев сталкивается с задачами совершенно иного. . .	Образование и практика Igor3D 21.03.2025 Добрый день А вот каково качество/ эффективность ВУЗовского образования? Аналитическая геометрия изучается в первом семестре и считается довольно легким курсом, что вполне справедливо. Ну хорошо,. . .	Lazarus. Таблица с объединением ячеек. Massaraksh7 21.03.2025 Понадобилась представление на экране таблицы с объединёнными ячейками. И не одной, а штук триста, и все разные. На Delphi я использовал для этих целей TStringGrid, и то, кривовато получалось. А в. . .	Async/await в Swift: Асинхронное программирование в iOS mobDevWorks 20.03.2025 Асинхронное программирование долго было одной из самых сложных задач для разработчиков iOS. В течение многих лет мы сражались с замыканиями, диспетчеризацией очередей и обратными вызовами, чтобы. . .	Колмогоровская сложность: Приёмы упрощения кода ArchitectMsa 20.03.2025 Наверное, каждый программист хотя бы раз сталкивался с кодом, который напоминает запутанный лабиринт — чем дальше в него погружаешься, тем сложнее найти выход. И когда мы говорим о сложности кода, мы. . .

@salder 0 / 0 / 0 Регистрация: 20.02.2025 Сообщений: 6

	Не дает добавить права пользователям на каталог 11.03.2025, 10:01. Показов 844. Ответов 9 Метки нет (Все метки) Добрый день! Суть следующая. 1) Два домена. 2) На одном КД - ОС Win Serv St 2016; на втором ОС Win Serv St 2012 R2. 3) Оба работают в режиме Win Serv St 2012 R2. - Между ними создано двустороннее транзитивное доверие. - Проверки проходят успешно. - Пользователи успешно авторизуются на рабочих станциях. 4) На всех остальных серверах - ОС Win Serv St 2012 R2 Дальше вопрос раздачи прав на каталоги для пользователей из доверенного домена. И тут какая-то фигня происходит. На части сервером вполне можно добавить права на каталог для пользователя доверенного домена, а другая часть (включая, собственно, непосредственно файловый сервер) - не получается. На первый взгляд сервера (не КД) сконфигурированы одинаково (кроме ФС) - и те, где работает и те, где не работает. А происходит вот что: Для каталога - вкладка "Безопасность" > Изменить (или Дополнительно) > Добавить > Интерфейс выбора типа объекта и размещения объекта > В размещении выбираешь доверенный домен (выбирается без ошибок) > Вводишь имя пользователя, нажимаешь "Проверить имена" - находит, проверяет без ошибок > Нажимаешь OK чтобы подтвердить выбор и перейти к назначению прав и на этом этапе ошибка: Недоступны контроллеры домена AD, требуемые для нахождения выбранных объектов в указанных доменах: <имя доверенного домена>. Если бы это было на всех серверах, то можно было бы предположить, что проблема на доверенном домене или в настройках отношений доверия, а так - логика проявления проблемы - не понятна. Буду благодарен за помощь. Спасибо. 0

@Maks Супер-модератор 8790 / 4659 / 569 Регистрация: 13.03.2013 Сообщений: 16,614 Записей в блоге: 16
	11.03.2025, 13:52
	salder, попробуйте не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа. 1

@qwertehok 5634 / 4479 / 1086 Регистрация: 29.08.2013 Сообщений: 27,937 Записей в блоге: 3
	11.03.2025, 14:58
	с группами мысль конечно правильная, но то что пишет такую ошибку на части серверов это неправильно надо определить почему это происходить и устранить что с сетевыми настройками? днс? nslookup второй домен находит? 1

@Maks Супер-модератор 8790 / 4659 / 569 Регистрация: 13.03.2013 Сообщений: 16,614 Записей в блоге: 16
	11.03.2025, 15:02
	Сообщение от qwertehok с группами мысль конечно правильная, но то что пишет такую ошибку на части серверов это неправильно Тут к сожалению не подскажу, ибо всегда делаю через отдельные группы пользователей и еще ни разу подобных ошибок не возникало. 0

@pEntity 348 / 267 / 65 Регистрация: 12.12.2012 Сообщений: 2,106
	11.03.2025, 16:59
	Привет. Какой тип аутентификации?(Картинка) Так же в Active Directory Domains and Trusts проверьте доверие. Там кнопка теста есть. Миниатюры 1

@salder 0 / 0 / 0 Регистрация: 20.02.2025 Сообщений: 6
	12.03.2025, 13:36 [ТС]
	Сообщение от Maks salder, попробуйте не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа. Идея, конечно, интересная, только во втором домене пользователей раз-два и обчелся и каждый как целая группа, то есть для каждого разрешения на отдельные каталоги. В тестовом режиме я проверил процедуру добавления - она сработала. правда не проверял назначились права или нет (но, думаю, что назначились). qwertehok, Все настроено нормально. все проверки проходит. Добавлено через 44 секунды pEntity, Доверие работает во все стороны. Тип - который на картинке выбран. 0

@Maks Супер-модератор 8790 / 4659 / 569 Регистрация: 13.03.2013 Сообщений: 16,614 Записей в блоге: 16
	12.03.2025, 14:20
	Сообщение от salder только во втором домене пользователей раз-два и обчелся Для чего тогда вообще нужен этот домен? При малом количестве пользователей можно обойтись правами NTFS. 0

@mxts 0 / 0 / 0 Регистрация: 18.03.2025 Сообщений: 1
	18.03.2025, 12:35
	Такая же проблема. Два леса, двухстороннее доверие. Как бы все работает, ошибок явных нет. Пользователи могут авторизоваться в разных доменах. А как пытаешься добавить пользователя из другого леса или посмотреть действующие права, появляется ошибка на рандомных машинах: Контроллеры домен Active Directory, необходимые для поиска выбранных объектов в следующих доменах, недоступны: <Доверенный лес> Убедитесь, что контроллеры Active Directory доступны и повторите попытку выбрать объекты. Проверял на нескольких Вин10- 100% успех На WinSrv2019 почти всегда ошибка, только на одном сработало. Во всех случаях сетевые настройки идентичны, брандмауэр отключен. 0

HotBeer Модератор 5809 / 2696 / 191 Регистрация: 27.06.2011 Сообщений: 10,998
	18.03.2025, 13:06
	Сообщение от Maks не добавлять пользователей из доверенного домена напрямую, а создать доменную группу на текущем сервере, куда включите пользователей из доверенного домена, а уже эта группа выбирается в свойствах каталога для предоставления доступа. ЕМНИП мне память не изменяет, читал книгу лет 17 назад по еще винде сервер 2003, так и нужно делать в АД, ну как минимум, чтобы групповые политики работали... 0

@pEntity 348 / 267 / 65 Регистрация: 12.12.2012 Сообщений: 2,106
	18.03.2025, 22:33
	Проверьте серверы условной пересылки, что там указан прааильный домен и его адреса. Оснастка DNS. 0

Опции темы