Deploy Access-Denied Assistance (Demonstration Steps)

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе описывается, как настроить функцию помощи при отказе в доступе и убедиться в ее правильной работе.

Содержание документа

Примечание

В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.

Шаг 1. Настройка помощи при отказе в доступе

Вы можете настроить помощь при отказе в доступе в домене с помощью групповой политики или настроить помощь при отказе в доступе отдельно для каждого файлового сервера, используя консоль диспетчера ресурсов файлового сервера. Вы также можете изменить сообщение об отказе в доступе для определенной общей папки на файловом сервере.

Настроить помощь при отказе в доступе для домена с помощью групповой политики можно следующим образом.

Выполните этот шаг с помощью Windows PowerShell.

Настройка помощи при отказе в доступе с использованием групповой политики

  1. Откройте "Управление групповой политикой". В Диспетчере серверов щелкните Средства и выберите Управление групповой политикой.

  2. Щелкните нужную групповую политику правой кнопкой мыши и выберите команду Изменить.

  3. Последовательно выберите Конфигурация компьютера, Политики, Административные шаблоны, Система и Помощь при отказе в доступе.

  4. Щелкните правой кнопкой Настроить сообщение для ошибок отказа в доступе и выберите команду Изменить.

  5. Выберите параметр Включено.

  6. Настройте следующие параметры.

    1. В поле Отображать следующее сообщение пользователям, получившим отказ в доступе к папке или файлу введите сообщение, которое будут видеть пользователи, если им отказано в доступе к файлу или папке.

      Вы можете добавить в сообщение макрос, который будет вставлять настраиваемый текст. Этот макрос содержит:

      • [Original File Path] Исходный путь к файлу, к которому обращался пользователь.

      • [Original File Path Folder] Родительская папка исходного пути к файлу, к которому обращался пользователь.

      • [Admin Email] Список получателей сообщений электронной почты администратора.

      • [Data Owner Email] Список получателей сообщений электронной почты владельца данных.

    2. Установите флажок Разрешить пользователям запрашивать помощь.

    3. Оставьте для оставшихся параметров значения по умолчанию.

solution guidesWindows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName AllowEmailRequests -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName GenerateLog -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeDeviceClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeUserClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutAdminOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutDataOwnerOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName ErrorMessage -Type MultiString -value "Type the text that the user will see in the error message dialog box."
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName Enabled -Type DWORD -value 1

Или же можно настроить помощь при отказе в доступе отдельно для каждого файлового сервера, используя консоль диспетчера ресурсов файлового сервера.

Выполните этот шаг с помощью Windows PowerShell.

Настройка помощи при отказе в доступе с использованием консоли диспетчера ресурсов файлового сервера

  1. Откройте диспетчер ресурсов файлового сервера. В диспетчере серверов откройте меню Сервис и щелкните Диспетчер ресурсов файлового сервера.

  2. Щелкните правой кнопкой элемент Диспетчер ресурсов файлового сервера (локальный) и выберите команду Настроить параметры.

  3. Щелкните вкладку Помощь при отказе в доступе.

  4. Установите флажок Включить помощь при отказе в доступе.

  5. В поле Отображать следующее сообщение пользователям, получившим отказ в доступе к папке или файлу введите сообщение, которое будут видеть пользователи, если им отказано в доступе к файлу или папке.

    Вы можете добавить в сообщение макрос, который будет вставлять настраиваемый текст. Этот макрос содержит:

    • [Original File Path] Исходный путь к файлу, к которому обращался пользователь.

    • [Original File Path Folder] Родительская папка исходного пути к файлу, к которому обращался пользователь.

    • [Admin Email] Список получателей сообщений электронной почты администратора.

    • [Data Owner Email] Список получателей сообщений электронной почты владельца данных.

  6. Щелкните Настроить запросы по электронной почте, установите флажок Разрешить пользователям запрашивать помощь и нажмите кнопку ОК.

  7. Щелкните Предварительный просмотр, чтобы увидеть, как сообщение об ошибке будет отображаться для пользователя.

  8. Нажмите кнопку ОК.

solution guidesWindows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-FSRMAdrSetting -Event "AccessDenied" -DisplayMessage "Type the text that the user will see in the error message dialog box." -Enabled:$true -AllowRequests:$true

После настройки помощи при отказе в доступе необходимо включить эту функцию для всех типов файлов с помощью групповой политики.

Выполните этот шаг с помощью Windows PowerShell.

Настройка помощи при отказе в доступе для всех типов файлов с использованием групповой политики

  1. Откройте "Управление групповой политикой". В Диспетчере серверов щелкните Средства и выберите Управление групповой политикой.

  2. Щелкните нужную групповую политику правой кнопкой мыши и выберите команду Изменить.

  3. Последовательно выберите Конфигурация компьютера, Политики, Административные шаблоны, Система и Помощь при отказе в доступе.

  4. Щелкните правой кнопкой Включить помощь при отказе в доступе на клиенте для всех типов файлов и выберите команду Изменить.

  5. Выберите вариант Включен, а затем нажмите кнопку ОК.

solution guidesWindows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\SOFTWARE\Policies\Microsoft\Windows\Explore" -ValueName EnableShellExecuteFileStreamCheck -Type DWORD -value 1

Также вы можете указать отдельное сообщение при отказе в доступе для каждой общей папки на файловом сервере, используя консоль диспетчера ресурсов файлового сервера.

Выполните этот шаг с помощью Windows PowerShell.

Указание отдельного сообщения при отказе в доступе для общей папки с использованием диспетчера ресурсов файлового сервера

  1. Откройте диспетчер ресурсов файлового сервера. В диспетчере серверов откройте меню Сервис и щелкните Диспетчер ресурсов файлового сервера.

  2. Разверните узел Диспетчер ресурсов файлового сервера (локальный) и щелкните Управление классификацией.

  3. Щелкните правой кнопкой элемент Свойства классификации и выберите пункт Задать свойства управления папками.

  4. В поле Свойство щелкните Сообщение для помощи при отказе в доступе и нажмите кнопку Добавить.

  5. Нажмите кнопку Обзор и выберите папку, для которой будет использоваться настраиваемое сообщение.

  6. В поле Значение введите сообщение, которое будут видеть пользователи при отказе в доступе к ресурсу в этой папке.

    Вы можете добавить в сообщение макрос, который будет вставлять настраиваемый текст. Этот макрос содержит:

    • [Original File Path] Исходный путь к файлу, к которому обращался пользователь.

    • [Original File Path Folder] Родительская папка исходного пути к файлу, к которому обращался пользователь.

    • [Admin Email] Список получателей сообщений электронной почты администратора.

    • [Data Owner Email] Список получателей сообщений электронной почты владельца данных.

  7. Нажмите кнопку ОК, затем кнопку Закрыть.

solution guidesWindows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-FSRMMgmtProperty -Namespace "folder path" -Name "AccessDeniedMessage_MS" -Value "Type the text that the user will see in the error message dialog box."

Шаг 2. Настройка параметров уведомлений по электронной почте

Параметры уведомлений по электронной почте необходимо настроить на каждом файловом сервере, который будет отправлять сообщения для помощи при отказе в доступе.

Выполните этот шаг с помощью Windows PowerShell.

  1. Откройте диспетчер ресурсов файлового сервера. В диспетчере серверов откройте меню Сервис и щелкните Диспетчер ресурсов файлового сервера.

  2. Щелкните правой кнопкой элемент Диспетчер ресурсов файлового сервера (локальный) и выберите команду Настроить параметры.

  3. Щелкните вкладку Уведомления по электронной почте.

  4. Настройте следующие параметры.

    • В поле Имя или IP-адрес SMTP-сервера введите имя или IP-адрес SMTP-сервера в вашей организации.

    • В полях " Администраторы по умолчанию" и "от" адреса электронной почты по умолчанию введите адрес электронной почты администратора файлового сервера.

  5. Нажмите кнопку Отправить проверочное сообщение электронной почты, чтобы убедиться, что уведомления по электронной почте настроены правильно.

  6. Нажмите кнопку ОК.

solution guidesWindows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

set-FSRMSetting -SMTPServer "server1" -AdminEmailAddress "fileadmin@contoso.com" -FromEmailAddress "fileadmin@contoso.com"

Шаг 3. Проверка правильности настройки помощи при отказе в доступе

чтобы убедиться в правильности настройки помощника по доступу, необходимо, чтобы пользователь, который работает Windows 8 попытаться получить доступ к общей папке или файлу в этой общей папке, к которому у них нет доступа. Когда появится сообщение об отказе в доступе, пользователь увидит кнопку Запрос помощи. Нажав кнопку "Запрос помощи", пользователь сможет указать обоснование доступа и отправить сообщение электронной почты владельцу папки или администратору файлового сервера. Владелец папки или администратор файлового сервера могут проверить, пришло ли сообщение и содержит ли оно необходимые сведения.

Важно!

если вы хотите проверить помощь в отказе в доступе, получив пользователя, работающего Windows Server 2012, перед подключением к общей папке необходимо установить возможности рабочего стола.