Вложенные группы AD не распространяют разрешения
-
16-10-2019 - |
Вопрос
У меня есть список групп AD, которые вложены друг на друга, и если я назначаю уровень разрешения для группы, выровненной, люди, похоже, не получают необходимый им доступ. Вот представление о том, как это работает:
Индивидуальная подгруппа B содержит индивидуальную группу C содержит подгруппу B
Группе C предоставляется доступ, а индивидуальная A не имеет доступа. Однако, если я назначаю человеку доступ непосредственно, то он/она имеет его.
Есть идеи о том, почему это так, или что идет не так?
Решение
Отвечать: Одна из групп не настроена как безопасность Группа в Active Directory.
Это все еще относится ко всем версиям SharePoint и наиболее распространено для вложенных подгрупп.
Проверять: Свяжитесь с командой, которая поддерживает объявление или проверьте себя, используя такой инструмент, как LDP: Обзор LDP.
Затем измените группу, чтобы стать группой безопасности!
Другие вопросы:
Если вы вообще не можете найти группу в сборщике людей
- Убедитесь, что это группа безопасности
- Убедитесь, что вы можете найти другую группу в одном домене
- Если вы не сможете сделать #1 и #2 выше, вам нужно будет убедиться, что вы настроили сервер для поиска домена, который вы ожидаете. Видеть Настройте People Picker в SharePoint 2013.
Другие советы
Если ваша рекламная группа является группой безопасности, и вы используете SharePoint 2013, то, как работают рекламные группы, немного отличается. Каждый раз, когда пользователь входит в SharePoint, они получают токен, который является их идентичностью для групп рекламы, с которыми они связаны. Существует свойство службы токена безопасности под названием Windows Token Lifetime, которая является истечением жетона, который затем захватывает новый токен с любыми новыми изменениями в их членстве. Время по умолчанию составляет 10 часов. Использование может проверить это, используя:
$sts = Get-SPSecurityTokenServiceConfig
$sts.WindowsTokenLifetime
LogontOkenCacheExpirationWindow - это количество времени, которое SharePoint позволит в качестве буфера для этого токена. Чтобы изменить его, чтобы быстрее проверить/истекать, используйте следующий PowerShell.
$sts = Get-SPSecurityTokenServiceConfig
$sts.WindowsTokenLifetime = (New-TimeSpan -Minutes 15)
$sts.LogonTokenCacheExpirationWindow = (New-TimeSpan -Minutes 15)
$sts.Update()
Если вы удалили группу безопасности, а затем не снимали, используя Адрестор Или аналогично, тогда, хотя SID остается прежним, SharePoint 2013 рассматривает его как новую группу, и вам нужно снова добавить разрешения.
Это очевидно, так как вы можете выбрать группу, используя People Picker, даже если она уже выбрана и перечислена в списке участников!
Я знаю, что это старое, но я просто хочу дать намек на время срока службы токена Windows: если вы уменьшите это значение в диапазоне минут, пользователи, которые работают на странице вики, чтобы написать, например, статья, будет Потеряйте свою работу полностью, когда токен будет обновлен.