VNX: Användaren har skrivbehörighet men får "permission denied"

Sammanfattning: VNX: Användaren har skrivbehörighet men får "permission denied"

Den här artikeln gäller för Den här artikeln gäller inte för Den här artikeln är inte kopplad till någon specifik produkt. Alla produktversioner identifieras inte i den här artikeln.
Kolla in andra resurser

Symptom

En Active Directory-grupp har lagts till i en fil-/mappbehörighet som har mindre kontroll än en befintlig användare/grupp i samma katalog.
 

Användaren kan inte skriva till ett filsystem, men har full kontroll över NTFS-behörigheten.

Alla" har lagts till i filsystemsbehörigheter med Läs/Kör och nu kan andra användare med Läsa/Skriva/Köra inte skriva till filsystemet.

Not: Det här problemet är inte specifikt för VNX/Celerra utan snarare för alla Windows NTFS-behörighetsfunktioner.

Orsak

I Windows Advanced NTFS Security-behörigheter tillämpas de gällande behörigheterna med de lägsta behörigheterna först.

Om en Active Directory-grupp läggs till i en fil-/mappbehörighet, och den nya gruppen har mindre kontroll än tidigare grupper/användare, kommer alla användare som ingår i den nya gruppen att ha de gällande behörigheterna med minst kontroll tillämpad först.

Föreställ dig det här scenariot: 
Det finns en resurs på dataöverföraren med sökvägen "/filesystem1/share1".
Mappen "share1" har följande behörigheter: 

  • Gruppen "Alla" har read/execute tillåtelse.
  • Gruppen "nas_user" har read/write/execute tillåtelse.

En användare med namnet "user1" loggar in och ingår i både "Alla" och "nas_user" Active Directory-grupper. 

 När "user1" försöker skriva till en fil till resurskatalogen "share1" nekas de åtkomst.

user1" nekas åtkomst eftersom behörigheterna från gruppen "Alla" är gällande behörighet och tillämpas först eftersom det är den behörighet som har minst kontroll.

Upplösning

För att korrigera behörighetsproblemet måste Active Directory-domänadministratören överväga behörighetsstrukturen och tillämpa lämpliga gällande behörigheter igen.

Med hänvisning till ovanstående scenario är några exempel för att åtgärda problemet: 

  • Ta bort "user1" från gruppen "Everyone". (minst påträngande)
  • Lägg till skrivbehörighet i gruppen "Alla".
  • Ta bort gruppen "Alla" från resursens behörigheter.

Du kan identifiera problemet på två sätt: 

  • Du kan låta kunden kontrollera från en Windows-klient i de avancerade säkerhetsegenskaperna för mappen/filen samt kontrollera gruppegenskaperna.
  • Du kan köra en ACL-dump och en CRED-rapport för filen/katalogen och användaren från kontrollstationen för VNX/celerra.

Kontrollera via Windows-klienten: 
Det här exemplet gäller lokala grupper, men användaren kanske använder Active Directory och måste checka in Active Directory - användare och datorer.

  1. Kontrollera vilka behörigheter som tillämpas på mappen -- observera att rutan i RÖD är användaren med läs-/skriv-/körningsbehörighet, och rutan i GRÖN är den grupp som visar de gällande ready/execute-behörigheterna eftersom "user1" ingår i gruppen "users".
kA2j0000000kAwACAU_2_0
  1. Kontrollera alla grupper som ingår i behörigheterna och se om den berörda användaren ingår i gruppen med minst behörighet.
kA2j0000000kAwACAU_2_1



Kontrollera via Control Station ACL/CRED-dump: 
Kör följande två kommandon på kontrollstationen. Du måste känna till sökvägen till resursen och/eller filen, namnet på användarkontot som försöker komma åt/skriva, dataöverförarens/VDM:ens namn, kundens domännamn och CIFS-servernamnet.


$ server_cifssupport <vdm/server_name> -cred -name <username> -domain <domain_name> -compname <cifs_server_name>
 
$ server_cifssupport <vdm/server_name> -acl -path /filesystem1/share1


Använd följande utdata för att jämföra CRED-rapporten med ACL DUMP-rapporten: 

CRED Report: 

$ server_cifssupport <vdm/server_name> -cred -name <username> -domain <domain_name> -compname <cifs_server_name>

 

ACCOUNT GENERAL INFORMATION
 
Name                     : user_name
Domain                   : DOMAINNAME
Server                   : CIFSSERVERNAME
Primary SID              :
S-1-5-15-xxx9ff8-6bc5c62-6b635f23-1fc521 <<< User SID
UID                      : 23xx70
GID                      : 32xx8
Authentification         : KERBEROS
 
ACCOUNT GROUPS INFORMATION <<< groups that this account is part of 
 
Type UNIX ID    Name                Domain              SID
NT   4294967294 Everyone                                S-1-1-0   <<< SID of Everyone group


ACL-DUMPRAPPORT: 

$ server_cifssupport <vdm/server_name> -acl -path /filesystem1/share1

 

Path         : /filesystem1/share1
UID          : 10xx5
GID          : 40xx1
Rights       : rwxrwxr-x
owner SID    : S-1-5-xx-1-27c9
group SID    : S-1-5-xx-2-9f4d
 
DACL  <<< this section is the permission formation for the above path
 
USER 23xx70 S-1-5-15-xxxx9ff8-6bc5c62-6b635f23-1fc521 <<< user SID same as above 
ALLOWED 0x2 0x1201ff RWX--- user has read/write/execute
 
ALL S-1-1-0 <<Everyone SID from above
ALLOWED 0x9 0xa0000000 R-X---  << Everyone has only read/execute

 
Sammanfattningsvis: 
Med hjälp av Windows NTFS-säkerhetsbehörighetsriktlinjerna och genom att referera till markerade utdata kan vi fastställa att "Alla" har läst/kört och att användaren har "read/write/execute".

Eftersom användaren är en del av gruppen "alla" läses/körs de gällande behörigheterna för användaren.

Berörda produkter

VNX/VNXe

Produkter

Celerra, VNX1 Series, VNX2 Series, VNX/VNXe
Artikelegenskaper
Artikelnummer: 000052335
Artikeltyp: Solution
Senast ändrad: 20 okt. 2025
Version:  5
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.