Почему при настройке раздельного доступа на компьютерах студентов не поступают утверждения для самих компьютеров, а только для пользователей?

Question

Тигран

active-directory , windows-server

Почему при настройке раздельного доступа на компьютерах студентов не поступают утверждения для самих компьютеров, а только для пользователей?

Добрый день! 

Я столкнулся с проблемой при реализации раздельного доступа для студентов в учебной аудитории. 

Задача: настроить доступ таким образом, чтобы каждый студент мог видеть и получать доступ только к своей личной папке на общем ресурсе, не имея возможности просматривать другие папки и соседние ПК. 

Что было сделано: 
- Создано утверждение sAMAccountName для идентификации каждого ПК и пользователя. 
- Настроены групповые политики (GPO) на уровне домена для управления доступом к папкам студентов на общем ресурсе. 

Проблема: на ПК студентов утверждения для компьютера не поступают, хотя утверждение пользователя приходит корректно. Для корректной работы необходимо, чтобы утверждение компьютера также применялось, но в текущей конфигурации оно отсутствует. 

Прошу помощи в понимании причин, по которым утверждения не приходят на компьютеры, и какие шаги необходимо предпринять для их корректной доставки. 

<blockquote>
вывод на клиенте
whoami /all

СВЕДЕНИЯ ОБ УТВЕРЖДЕНИЯХ ПОЛЬЗОВАТЕЛЯ
-------------------------------------

Имя заявки       ИД утверждения                           Флаги Тип    Значения
================ ======================================== ===== ====== ========
"sAMAccountName" <a>ad://ext/sAMAccountName:88dce7a34ddb02e9</a>       Строка "stud"
</blockquote>

10 октября 2024 г. 6:24

Ответы на вопрос 3

Похожие вопросы

Answer 1

Добрый день!

Проблема, с которой вы столкнулись, может быть связана с тем, как Windows управляет аудитом безопасности и раздельным доступом в рамках Active Directory. Параметры аутентификации и авторизации могут быть настроены несколько иначе для компьютеров и пользователей.

### Возможные причины:

1. **Область применения утверждений**: Утверждения, которые вы создали (например, `sAMAccountName`), могли быть сконфигурированы только для пользователей. Если вы не создали аналогичное утверждение для компьютеров или не привязали существующее утверждение (если таковое имеется) к группе компьютеров, то ваши политики могут не применяться к ПК.

2. **Объект компьютера**: Убедитесь, что объект компьютера (например, ПК студента) находится в том же контейнере или группе Active Directory, для которой настройки применяются. Групповые политики применяются в зависимости от принадлежности к OU (Organizational Unit) или группе.

3. **Групповые политики**: Убедитесь, что ваши групповые политики для ПК правильно настроены и применяются. Возможно, вам нужно использовать `gpresult /h report.html` на клиентском ПК, чтобы проверить, какие политики применяются. Исключенные политики могут указывать на проблемы с применением.

4. **Контекст работы**: При проверке утверждений с помощью `whoami /all` запрашивается информация для текущего пользователя. Утверждения компьютера могут не отображаться в этом отчете, поскольку команда работает в контексте пользовательской учетной записи. Утверждения компьютеров можно проверить через PowerShell, используя команду `Get-ADComputer`.

### Шаги для решения проблемы:

1. **Создать и настроить утверждение для компьютеров**: Проверьте, создано ли аналогичное утверждение для компьютеров, как для пользователей. Например, если у вас уже есть `sAMAccountName` для пользователей, настройте его для компьютеров.

2. **Проверить групповые политики**: Убедитесь, что все необходимые группы и объекты конфигурируются через соответствующие GPO. Проверьте, есть ли ограничения на уровне GPO.

3. **Перепроверьте связи между пользователями и компьютерами**: Возможно, есть проблемы с тем, что компьютер и пользователь не сопоставлены должным образом в Active Directory.

4. **Перезапустите компьютеры**: После внесения изменений убедитесь, что сотрудники (студенты) перезапускают свои компьютеры, чтобы новые политики применились.

5. **Использовать PowerShell для диагностики**: Используйте PowerShell для проверки утверждений, чтобы убедиться, что они есть и имеют правильные значения для компьютеров.

Если после выполнения этих шагов проблема остается, возможно, стоит обратиться к документации Microsoft или к специалисту по Active Directory для более детального анализа и устранения проблемы.

Answer 2

Вы неправильно решаете задачу. 
 Есть простой и "родной" способ: создавайте каждому пользователю перемещаемый профиль, и настраивайте подключаемый диск с буквой для папки этого профиля (в остнастке "Active Directory пользователи и компьютеры", в свойствах этого пользователя). 
 Лучше указать подпапку для перемещаемого профиля, а диск подключать непосредственно к папке с именем пользователя. Так будет меньше мусора в корне. 
 Заодно сделайте принудительное перенаправление папок "загрузки", "мои документы" сразу в перемещаемый профиль. 
 Еще неплохо исключить из синхронизации папки мессенджеров, т.к. они много мусорных файлов создают. 
 
 Ваши студенты смогут заходить на любой ПК и сразу получать своё окружение (обои с котиками, файлы на рабочем столе, личный диск, "мои документы" и т.д.)

Answer 3

с учетом уже озвученных коллегами вариантов, возражений и комментариев: 
 используем одну доменную УЗ stud, но при этом компы должны учитывать в названии номер кабинета и номер компа (условно, pc305-15, переименовать компы можно скриптом)...ну а дальше тем же логон-скриптом в GPO цепляете нужную папку... 
 
 P.S. Dynamic Access Control тут все усложняет...