Настройка Access Denied Assistance в Windows Server 2012
Настройка Access Denied Assistance в Windows Server 2012
Вместе с Dynamic Access Control в Windows Server 2012 появился функционал, призванный облегчить разрешение проблем с доступом пользователей к файловым ресурсам. Этот функционал называется Access Denied Assistance, или помощь при отказе в доступе.
Сообщение, которое выдается пользователю при отказе в доступе, довольно не информативно и не дает представления о том, что делать дальше. Получив такое сообщение, пользователь должен найти администратора, отвечающего за доступы и внятно объяснить, кто он такой, куда ему нужен доступ, и, главное, почему этот доступ должен быть ему предоставлен.
У некоторых пользователей вызывает затруднение даже назвать свое имя пользователя, поэтому выяснение подробностей может занять немало времени. Кроме того, решение о предоставлении доступа, как правило, не входит в компетенцию системного администратора, за этим надо обращаться к владельцу ресурса. Процесс предоставления доступа затягивается, а в результате мы получаем недовольного пользователя и загруженного бесполезной работой администратора.
Access Denied Assistance как раз предназначен для разрешения подобных проблем. Он активируется на файловом сервере, и когда пользователь пытается получить доступ к ресурсу, ему будет показано специальное диалоговое окно, в котором можно запросить разрешение на доступ. Microsoft описывает несколько вариантов решения проблемы с доступом:
• Self-assistance (Помоги себе сам) — в этом варианте в окне содержится пошаговое описание процедуры получения доступа. Пользуясь этой информацией, пользователь самостоятельно запрашивает доступ к ресурсу;
• Assistance by the data owner (Помощь владельца ресурса) — в этом случае отправляется уведомление владельцу файлового ресурса. Владелец принимает решение о предоставлении доступа и либо сам предоставляет соответствующие разрешения, либо обращается за помощью к администратору;
• Assistance by the server administrator (Помощь администратора сервера) — в том случае, если пользователь не смог решить проблему ни сам, ни с помощью владельца, можно настроить отправку сообщения администратору сервера.
Предварительные требования
Для включения Access Denied Assistance необходим файловый сервер Windows Server 2012 с установленными ролями File Server и File Server Resource Manager.
Для настройки Access Denied Assistance есть два способа — распространить настройки на все файловые сервера с помощью групповых политик либо произвести настройку каждого сервера отдельно из оснастки FSRM.
Групповые политики
Создаем новый объект групповой политики (или берем существующий) и открываем его в редакторе. Переходим в раздел Computer Configuration\Policies\Administrative Template\System\Access-Denied-Assistance, в котором находятся две политики:
1) Enable access-denied assistance on client for all file types — форсирует использование Access Denied Assistance на клиентской стороне, надо просто включить;
2) Customize message for Access Denied errors — отвечает за настройки Access Denied Assistance на файловых серверах, к которым применена данная политика.
Для настройки «Customize message for Access Denied errors» переводим ее в Enabled. Затем отмечаем чекбокс «Enable users to request assistance» и набираем текст, который увидит пользователь при отказе в доступе. Для удобства в тексте можно использовать специальные макросы:
[Original File Path] — путь к файлу;
[Original File Path Folder] — путь к родительской папке;
[Admin Email] — email администратора ресурса;
[Data Owner Email] — email владельца ресурса.
Должно получиться что то вроде: ″При проблеме с доступом к [Original File Path] обратитесь к администратору по адресу [Admin Email]″.
В разделе Email recipients указываем получателей сообщения. Можно выбрать владельца ресурса (Folder owner), администратора сервера (File server administrator), либо вручную ввести необходимые адреса email в поле «Additional recipients».
И в разделе Email Settings указываем, нужно ли включать в письмо утверждения для пользователей и устройств, а также надо ли делать соответствующие записи в системном журнале.
Созданные настройки надо применить к файловым серверам и к клиентским компьютерам. Тут есть выбор — создать один GPO и присоединить его ко всему домену, или распостранить клиентские и серверные настройки по разным GPO и применять их к различным OU.
И еще. Для того, чтобы файловые сервера смогли отправлять почтовые сообщения, на них также необходимо произвести некоторые настройки. Для этого зайдем на сервер и выполним следующую команду PowerShell:
Set-FSRMSetting -SMTPServer ″mail.contoso.com″ -AdminEmailAddress ″admin@contoso.com″ -FromEmailAddress ″fsrm@contoso.com″
В этой команде мы указываем SMTP сервер mail.contoso.com, адрес администратора сервера admin@contoso.com и адрес отправителя fsrm@contoso.com.
Оснастка File System Resource Manager
Если вы хотите использовать для каждого сервера индивидуальные настройки, то можно воспользоваться оснасткой File System Resource Manager.
Для ее открытия надо нажать Win+R и ввести команду fsrm.msc (или из меню Tools в Server Manager). Открыв оснастку, нажимаем правой клавишей на основном разделе и выбираем пункт Configure Options.
Переходим на вкладку Access-Denied Assistance, отмечаем чекбокс «Enable access-denied assistance» и вводим текст сообщения для пользователя. При составлении текста также можно использовать макросы, а внизу есть кнопка Preview, нажав которую можно посмотреть получившееся сообщение.
Затем жмем кнопку «Configure email requests», отмечаем чекбокс «Enable users to request assistance» и настраиваем дополнительные параметры: какую информацию надо включать в запрос, кому отправлять сообщение и надо ли делать запись о событии в системный журнал.
Теперь остается настроить параметры отправки почтовых сообщений. Это можно сделать как уже знакомой нам командой PowerShell, так и из оснастки FSRM. Переходим на вкладку Email Notifications и указываем SMTP сервер, который будет отправлять сообщение, а также адрес администратора сервера и адрес отправителя по умолчанию.
Для проверки можно воспользоваться кнопкой «Send Test Email». Если все данные были введены правильно, то на адрес администратора сервера будет отправлено тестовое сообщение.
После настройки Access Denied Assistance пользователь, не имеющий разрешений на доступ к ресурсу, получит вот такое сообщение. Как видите, теперь его не просто посылают не к администратору, а дают возможность самостоятельно запросить помощь по email либо воспользоваться запросом о помощи.При нажатии на запрос помощи открывается форма, в которой пользователь может указать причину, по которой ему нужен доступ, и отправить сообщение администратору или владельцу ресурса.Вот так выглядит сообщение, полученное администратором сервера. В нем содержится вся необходимая информация: путь к ресурсу, имя пользователя и его текущие разрешения, утверждения для пользователя и устройства и описание проблемы самим пользователем. Все это поможет оперативно принять решение о предоставлении доступа.Помощь при отказе в доступе работает только в том случае, если в качестве клиентской ОС используется Windows 8. Пользователи Windows 7 или XP увидят стандартное сообщение об ошибке, независимо от настроек на сервере.
0