SourceOne para sistemas de archivos: Los usuarios no pueden recuperar archivos con permisos "Mis archivos"

SourceOne para sistemas de archivos: Los usuarios no pueden recuperar archivos con los permisos "Mis archivos" de la carpeta asignada asignados al grupo de AD de usuarios del dominio.
Sin embargo, si se utiliza la identidad de la cuenta de servicio, se puede acceder a todos los accesos directos a los archivos. Sin embargo, todos los usuarios estándar no pueden acceder a ningún archivo, a menos que sus permisos de acceso se especifiquen directamente bajo los permisos NTFS en el archivo mismo antes de que este se archive y se acceda a un acceso directo (mediante la instantánea de permisos del sistema de archivos).

Después de un error en la recuperación, verá lo siguiente en el registro de Docmanageservice:
DocumentService::D oGetMessage|ERROR|Error GetMessage: Código de error: 0x80070005, carpeta: xxxxxxxx Se denegó el acceso. (Excepción de HRESULT: 0x80070005 (E_ACCESSDENIED)) |(0)|ID de trabajo: -1; Nombre de la actividad: SERV1551; ID de actividad: -1; Tipo de actividad: -1; Nombre

del servidor Dell EMC tiene una herramienta de grupo de prueba, anteriormente TestFixForGetAuthorizedGroup.  Utiliza las mismas clases que la aplicación SourceOne para establecer si la cuenta de servicio puede leer los grupos de AD donde residen los usuarios.
Esta herramienta utiliza las clases de espacio de nombres System.DirectoryServices para buscar los usuarios de AD, por ejemplo
:var domain = new PrincipalContext(ContextType.Domain);
var user = UserPrincipal.FindByIdentity(dominio, userName);
UserPrincipal upLogonUser = UserPrincipal.FindByIdentity(pc, IdentityType.DistinguishedName, sUserDN);

A menos que esta herramienta se ejecute con una identidad de administrador de dominio, obtendrá la siguiente excepción:

Texto de excepción **************
System.Runtime.InteropServices.COMException (0x8007200A): El atributo o el valor especificado del servicio de directorio no existe.
en System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
at System.DirectoryServices.DirectoryEntry.Bind()
at System.DirectoryServices.DirectoryEntry.get_SchemaEntry()
at System.DirectoryServices.AccountManagement.ADStoreCtx.IsContainer(DirectoryEntry de)
at System.DirectoryServices.AccountManagement.ADStoreCtx.. ctor(DirectoryEntry ctxBase, Boolean ownCtxBase, String username, String password, ContextOptions options)
at System.DirectoryServices.AccountManagement.PrincipalContext.CreateContextFromDirectoryEntry(DirectoryEntry entry)
at System.DirectoryServices.AccountManagement.PrincipalContext.DoLDAPDirectoryInitNoContainer()
at System.DirectoryServices.AccountManagement.PrincipalContext.DoDomainInit()
at System.DirectoryServices.AccountManagement.PrincipalContext.Initialize()
at System.DirectoryServices.AccountManagement.PrincipalContext.get_QueryCtx()
at System.DirectoryServices.AccountManagement.Principal.FindByByIdentityWithTypeHelper(PrincipalContext context, Type principalType, Nullable'1 identityType, String identityValue, DateTime refDate)
en System.DirectoryServices.AccountManagement.Principal.FindByIdentityWithType(PrincipalContext context, Type principalType, String identityValue)
at System.DirectoryServices.AccountManagement.UserPrincipal.FindByIdentity(PrincipalContext context, String identityValue)
at TestFixForGetAuthorizedGroup.Form1.GetUserDistinguishedName(String userName)
at TestFixForGetAuthorizedGroup.Form1.GetUserGroups_Click(Object sender, EventArgs e)

Además, la ejecución de este script básico de PS1 que invoca s las mismas clases devuelve el mismo "El atributo o valor del servicio de directorio especificado no existe.": error:

$userName = Cuenta
de servicio Add-Type -AssemblyName System.DirectoryServices.AccountManagement
$ct = [System.DirectoryServices.AccountManagement.ContextType]::D omain
$user = [System.DirectoryServices.AccountManagement.Principal]::FindByIdentity($ct,$userName)
$user. GetGroups() #gets todos los grupos de usuarios (directos)
$user. GetAuthorizationGroups() #gets todos los grupos de usuarios, incluidos los grupos anidados (indirectos)

https://blogs.msdn.microsoft.com/dsadsi/2009/08/28/getting-an-exception-the-specified-directory-service-attribute-or-value-does-not-exist-when-you-try-to-search-a-user-in-an-ad-container-using-system-directoryservices-accountmanagement/

"Obtención de una excepción El atributo o el valor del servicio de directorio especificado no existe cuando intenta buscar un usuario en un contenedor de AD mediante System.DirectoryServices.AccountManagement.UserPrincipal::FindByIdentity

Esto sucede porque si no se especifica ningún contenedor, la clase de contexto principal creará un objeto System.DirectoryServices.DirectoryEntry mediante la vinculación al contenedor CN=Users incorporado para comenzar a buscar usuarios. System.DirectoryServices se basa en ADSI.  ADSI, de forma predeterminada, realiza una búsqueda objectclass=* como parte de su proceso de enlace normal a menos que se especifique la marca fastbind.  Si el usuario que realiza la búsqueda no tiene permiso para leer los atributos que contienen los usuarios predeterminados, la operación de búsqueda fallará, lo que provocará la excepción

El atributo o el valor del servicio de directorio especificado no existe .Esto también es cierto cuando se buscan objetos de equipo mediante ComputerPrincipal::FindByIdentity y no tiene permiso de lectura en CN=Computer container y no ha especificado un contenedor en el constructor de System.DirectoryServices.AccountManagemnt.PrincipalContext. La sección de comentarios de la documentación de http://msdn.microsoft.com/en-us/library/system.directoryservices.accountmanagement.principalcontext.principalcontext.aspx explica las reglas seguidas por la clase PrincipalContext al seleccionar un contenedor cuando no se ha especificado explícitamente uno en el constructor.

Asigne permiso de lectura en grupos de AD.