SourceOne für Dateisysteme: Nutzer können keine Dateien mit der Berechtigung "Meine Dateien" abrufen

SourceOne für Dateisysteme: Nutzer können keine Dateien abrufen, wenn die Berechtigungen für den zugeordneten Ordner "My Files" der AD-Gruppe der Domainnutzer zugewiesen sind.
Bei Verwendung der Servicekontoidentität kann jedoch auf alle Dateiverknüpfungen zugegriffen werden. Alle Standardnutzer können jedoch nicht auf Dateien zugreifen, es sei denn, ihre Zugriffsberechtigungen werden direkt unter den NTFS-Berechtigungen für die Datei selbst angegeben, bevor die Datei archiviert und über eine Verknüpfung versehen wird (mithilfe des Snapshot der Dateisystemberechtigungen).

Nach einem Fehler beim Abrufen wird im Docmanageservice-Protokoll:
DocumentService::D oGetMessage|FEHLER|GetMessage-Fehler: Fehlercode: 0x80070005, Ordner: xxxxxxxxx Zugriff verweigert. (Ausnahme von HRESULT: 0x80070005 (E_ACCESSDENIED)) |(0)|Job-ID: -1; Name der Aktivität: SERV1551; Aktivitäts-ID: -1; Aktivitätstyp: -1; Servername

Dell EMC verfügt über ein Testgruppentool, ehemals TestFixForGetAuthorizedGroup.  Dabei werden dieselben Klassen wie bei der SourceOne-Anwendung verwendet, um festzustellen, ob das Dienstkonto die AD-Gruppen lesen kann, in denen sich die Benutzer befinden.
Dieses Tool verwendet System.DirectoryServices-Namespace-Klassen, um die AD-Benutzer zu finden, z. B:
var domain = new PrincipalContext(ContextType.Domain);
var user = UserPrincipal.FindByIdentity(domain, userName);
UserPrincipal upLogonUser = UserPrincipal.FindByIdentity(pc, IdentityType.DistinguishedName, sUserDN);

Wenn dieses Tool nicht unter einer Domänenadministratoridentität ausgeführt wird, erhalten Sie die folgende Ausnahme:

Ausnahmetext **************
System.Runtime.InteropServices.COMException (0x8007200A): Das angegebene Verzeichnisdienstattribut oder der angegebene Wert ist nicht vorhanden.
bei System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
bei System.DirectoryServices.DirectoryEntry.Bind()
bei System.DirectoryServices.DirectoryEntry.get_SchemaEntry()
bei System.DirectoryServices.AccountManagement.ADStoreCtx.IsContainer(DirectoryEntry de)
bei System.DirectoryServices.AccountManagement.ADStoreCtx.. ctor(DirectoryEntry ctxBase, Boolean ownCtxBase, String username, String password, ContextOptions options)
at System.DirectoryServices.AccountManagement.PrincipalContext.CreateContextFromDirectoryEntry(DirectoryEntry entry)
at System.DirectoryServices.AccountManagement.PrincipalContext.DoLDAPDirectoryInitNoContainer()
at System.DirectoryServices.AccountManagement.PrincipalContext.DoDomainInit()
at System.DirectoryServices.AccountManagement.PrincipalContext.Initialize()
at System.DirectoryServices.AccountManagement.PrincipalContext.get_QueryCtx()
at System.DirectoryServices.AccountManagement.Principal.FindByIdentityWithTypeHelper(PrincipalContext context, Type principalType, Nullable'1 identityType, String identityValue, DateTime refDate)
bei System.DirectoryServices.AccountManagement.Principal.FindByIdentityWithType(PrincipalContext context, Type principalType, String identityValue)
bei System.DirectoryServices.AccountManagement.UserPrincipal.FindByIdentity(PrincipalContext context, String identityValue)
bei TestFixForGetAuthorizedGroup.Form1.GetUserDistinguishedName(String userName)
at TestFixForGetAuthorizedGroup.Form1.GetUserGroups_Click(Object sender, EventArgs e)

Auch das Ausführen dieses grundlegenden PS1-Skripts, das die gleichen Klassen aufruft, gibt die gleiche Meldung "Das angegebene Verzeichnisdienstattribut oder der angegebene Wert ist nicht vorhanden." zurück: error:

$userName = Servicekonto
Add-Type -AssemblyName System.DirectoryServices.AccountManagement
$ct = [System.DirectoryServices.AccountManagement.ContextType]::D omain
$user = [System.DirectoryServices.AccountManagement.Principal]::FindByIdentity($ct,$userName)
$user. GetGroups() #gets alle Benutzergruppen (direkt)
$user. GetAuthorizationGroups() #gets alle Benutzergruppen, einschließlich verschachtelter Gruppen (indirekt)

https://blogs.msdn.microsoft.com/dsadsi/2009/08/28/getting-an-exception-the-specified-directory-service-attribute-or-value-does-not-exist-when-you-try-to-search-a-user-in-an-ad-container-using-system-directoryservices-accountmanagement/

"Eine Ausnahme erhalten Das angegebene Verzeichnisdienstattribut oder -wert ist nicht vorhanden, wenn Sie versuchen, einen Nutzer in einem AD-Container mithilfe von System.DirectoryServices.AccountManagement.UserPrincipal::FindByIdentity

zu suchenDies liegt daran, dass, wenn kein Container angegeben ist, die Prinzipalkontextklasse ein System.DirectoryServices.DirectoryEntry-Objekt erstellt, indem sie an den integrierten CN=Users-Container gebunden wird, um mit der Suche nach Benutzern zu beginnen. System.DirectoryServices baut auf ADSI auf.  ADSI führt standardmäßig eine objectclass=*-Suche als Teil des normalen Bindungsprozesses durch, es sei denn, das fastbind-Flag ist angegeben.  Wenn der Nutzer, der die Suche durchführt, nicht über die Berechtigung zum Lesen der Attribute von Standardnutzern verfügt, schlägt der Suchvorgang fehl und führt dazu, dass das angegebene Verzeichnisdienstattribut oder der angegebene Wert nicht vorhanden ist, Ausnahme.

Dies gilt auch, wenn Computerobjekte mithilfe von ComputerPrincipal::FindByIdentity durchsucht werden und Sie nicht über Leseberechtigungen für den CN=Computer-Container verfügen und keinen Container im Konstruktor von System.DirectoryServices.AccountManagemnt.PrincipalContext angegeben haben. Im Abschnitt "Bemerkungen" der Dokumentation unter http://msdn.microsoft.com/en-us/library/system.directoryservices.accountmanagement.principalcontext.principalcontext.aspx werden die Regeln erläutert, die von der PrincipalContext-Klasse bei der Auswahl eines Containers befolgt werden, wenn dieser nicht explizit im Konstruktor angegeben wurde.

Weisen Sie Leseberechtigungen für AD-Gruppen zu.