SourceOne for Files Systems: Gebruikers kunnen geen bestanden ophalen met de machtiging "Mijn bestanden"

SourceOne for Files Systems: Gebruikers kunnen geen bestanden ophalen met de machtigingen 'Mijn bestanden' in de map 'Mijn bestanden' die zijn toegewezen aan de AD-groep van domeingebruikers.
Als u de serviceaccountidentiteit gebruikt, kunt u echter toegang krijgen tot alle snelkoppelingen. Alle standaardgebruikers hebben echter geen toegang tot bestanden, tenzij hun toegangsrechten rechtstreeks zijn gespecificeerd onder de NTFS-machtigingen voor het bestand zelf voordat het bestand wordt gearchiveerd en snelkoppeling (met behulp van de snapshot van bestandssysteemmachtigingen).

Als het ophalen is mislukt, ziet u het volgende in het Docmanageservice-logboek:
DocumentService::D oGetMessage|FOUT|GetMessage-fout: Foutcode: 0x80070005, Folder: xxxxxxxx Toegang is geweigerd. (Uitzondering van HRESULT: 0x80070005 (E_ACCESSDENIED)) |(0)|Taak-ID: -1; Naam activiteit: SERV1551; Activiteit-id: -1; Type activiteit: -1; Servernaam

Dell EMC heeft een testgroeptool, voorheen TestFixForGetAuthorizedGroup.  Dat gebruikt dezelfde klassen als de SourceOne-applicatie om vast te stellen of het serviceaccount de AD-groepen kan lezen waarin de gebruikers zich bevinden.
Deze tool gebruikt System.DirectoryServices Namespace-klassen om de AD-gebruikers te vinden, bijvoorbeeld:
var domain = new PrincipalContext(ContextType.Domain);
var user = UserPrincipal.FindByIdentity(domein, gebruikersnaam);
UserPrincipal upLogonUser = UserPrincipal.FindByIdentity(pc, IdentityType.DistinctedName, sUserDN);

Tenzij deze tool wordt uitgevoerd onder een domeinbeheerdersidentiteit, krijgt u de volgende uitzondering:

Uitzonderingstekst **************
System.Runtime.InteropServices.COMException (0x8007200A): Het opgegeven kenmerk of de opgegeven waarde voor de directoryservice bestaat niet.
at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
at System.DirectoryServices.DirectoryEntry.Bind()
at System.DirectoryServices.DirectoryEntry.get_SchemaEntry()
at System.DirectoryServices.AccountManagement.ADStoreCtx.IsContainer(DirectoryEntry de)
at System.DirectoryServices.AccountManagement.ADStoreCtx.. ctor(DirectoryEntry ctxBase, Boolean ownCtxBase, String username, String password, ContextOptions options)
at System.DirectoryServices.AccountManagement.PrincipalContext.CreateContextFromDirectoryEntry(DirectoryEntry entry)
at System.DirectoryServices.AccountManagement.PrincipalContext.DoLDAPDirectoryInitNoContainer()
at System.DirectoryServices.AccountManagement.PrincipalContext.DoDomainInit()
at System.DirectoryServices.AccountManagement.PrincipalContext.Initialize()
at System.DirectoryServices.AccountManagement.PrincipalContext.get_QueryCtx()
at System.DirectoryServices.AccountManagement.Principal.FindByIdentityWithTypeHelper(PrincipalContext context, Type principalType, Nullable'1 identityType, String identityValue, DateTime refDate)
at System.DirectoryServices.AccountManagement.Principal.FindByIdentityWithType(PrincipalContext context, Type principalType, String identityValue)
at System.DirectoryServices.AccountManagement.UserPrincipal.FindByIdentity(PrincipalContext context, String identityValue)
at TestFixForGetAuthorizedGroup.Form1.GetUserDistinctedName(String userName)
at TestFixForGetAuthorizedGroup.Form1.GetUserGroups_Click(Object sender, EventArgs e)

Ook het uitvoeren van dit standaard PS1-script dat dezelfde klassen aanroept, retourneert hetzelfde "Het opgegeven kenmerk of de waarde van de directoryservice bestaat niet.": error:

$userName = Service account
Add-Type -AssemblyName System.DirectoryServices.AccountManagement
$ct = [System.DirectoryServices.AccountManagement.ContextType]::D omain
$user = [System.DirectoryServices.AccountManagement.Principal]::FindByIdentity($ct;$userName)
$user. GetGroups() #gets alle gebruikersgroepen (direct)
$user. GetAuthorizationGroups() #gets alle gebruikersgroepen inclusief geneste groepen (indirect)

https://blogs.msdn.microsoft.com/dsadsi/2009/08/28/getting-an-exception-the-specified-directory-service-attribute-or-value-does-not-exist-when-you-try-to-search-a-user-in-an-ad-container-using-system-directoryservices-accountmanagement/

"Een uitzondering krijgen Het opgegeven kenmerk of de waarde van de directoryservice bestaat niet wanneer u een gebruiker probeert te zoeken in een AD-container met behulp van System.DirectoryServices.AccountManagement.UserPrincipal::FindByIdentity

Als er geen container is opgegeven, maakt de primaire contextklasse een System.DirectoryServices.DirectoryEntry-object door een koppeling aan de ingebouwde CN=Users-container om te beginnen met zoeken naar gebruikers. System.DirectoryServices is gebouwd bovenop ADSI.  ADSI voert standaard een objectclass=* zoekopdracht uit als onderdeel van het normale bindingsproces, tenzij de fastbind-vlag is opgegeven.  Als de gebruiker die de zoekopdracht uitvoert geen toestemming heeft om de kenmerken van de standaardgebruikers te lezen, mislukt de zoekopdracht, waardoor het opgegeven kenmerk of de waarde van de directoryservice bestaat niet , uitzondert.

Dit is ook het geval bij het zoeken naar computerobjecten met behulp van ComputerPrincipal::FindByIdentity en u geen leesmachtiging hebt op CN=Computer-container en geen container hebt opgegeven in de constructor van System.DirectoryServices.AccountManagemnt.PrincipalContext. In het opmerkingengedeelte van de documentatie bij http://msdn.microsoft.com/en-us/library/system.directoryservices.accountmanagement.principalcontext.principalcontext.aspx worden de regels uitgelegd die door de PrincipalContext-klasse worden gevolgd bij het selecteren van een container wanneer er geen expliciet is gespecificeerd in de constructor.

Leesrechten toewijzen aan AD-groepen.