Разом з Dynamic Access Control в Windows Server 2012 з'явився цікавий функціонал, покликаний полегшити вирішення проблем з доступом користувачів до файлових ресурсів. Цей функціонал має назву Access Denied Assistance, або допомога при відмові в доступі.

Стандартне повідомлення, яке видається користувачеві при відмові в доступі, досить інформативно і не дає уявлення про те, що робити далі.Отримавши таке повідомлення, користувач повинен знайти адміністратора, який відповідає за доступи і виразно пояснити, хто він такий, куди йому потрібен доступ, і, головне, чому цей доступ повинен бути йому надано.

З досвіду скажу, що у деяких користувачів викликає утруднення навіть назвати своє ім'я користувача, тому з'ясування подробиць може зайняти чимало часу.Крім того, рішення про надання доступу, як правило, не входить до компетенції системного адміністратора, за цим треба звертатися до власника ресурсу. Процес надання доступу затягується, а в результаті ми отримуємо незадоволеного користувача і завантаженого марною роботою адміністратора.

Access Denied Assistance якраз призначений для вирішення подібних проблем. Він активується на файловому сервері, і коли користувач намагається отримати доступ до ресурсу, йому буде показано спеціальне діалогове вікно, в якому можна запросити дозвіл на доступ.Microsoft описує кілька варіантів вирішення проблеми з доступом:

• Self-assistance (Допоможи собі сам) - в цьому варіанті в вікні міститься покроковий опис процедури отримання доступу. Користуючись цією інформацією, користувач самостійно запитує доступ до ресурсу;
• Assistance by the data owner (Допомога власника ресурсу) - в цьому випадку надсилається повідомлення власнику файлового ресурсу.Власник приймає рішення про надання доступу та або сам надає відповідні дозволи, або звертається за допомогою до адміністратора;
• Assistance by the server administrator (Допомога адміністратора сервера) - в тому випадку, якщо користувач не зміг вирішити проблему ні сам, ні за допомогою власника, можна налаштувати відправку повідомлення адміністратору сервера.

Попередні вимоги

Для включення Access Denied Assistance необхідний файловий сервер Windows Server 2012 з встановленими ролями File Server і File Server Resource Manager.

Для налаштування Access Denied Assistance є два способи - поширити настройки на всі файлові сервера за допомогою групових політик або зробити налаштування кожного сервера окремо від інструменту FSRM.

Групові політики

Створюємо новий об'єкт групової політики (або беремо існуючий) і відкриваємо його в редакторі. Переходимо в розділ Computer Configuration \ Policies \ Administrative Template \ System \ Access-Denied-Assistance, в якому знаходяться дві політики:

1) Enable access-denied assistance on client for all file types - форсує використання Access Denied Assistance на клієнтській стороні, треба просто включити;
2) Customize message for Access Denied errors - відповідає за настройки Access Denied Assistance на файлових серверах, до яких застосовано даний політика.

Для настройки «Customize message for Access Denied errors» переводимо її в Enabled. Потім відзначаємо чекбокс «Enable users to request assistance» і набираємо текст, який побачить користувач при відмові в доступі. Для зручності в тексті можна використовувати спеціальні макроси:

[Original File Path] - шлях до файлу;
[Original File Path Folder] - шлях до батьківської папки;
[Admin Email] - email адміністратора ресурсу;
[Data Owner Email] - email власника ресурсу.

Має вийти щось на зразок: "При проблемі з доступом до [Original File Path] зверніться до адміністратора за адресою [Admin Email]".

В розділі Email recipients вказуємо одержувачів повідомлення. Можна вибрати власника ресурсу (Folder owner), адміністратора сервера (File server administrator), або вручну ввести необхідні адреси email в поле «Additional recipients».

І в розділі Email Settings вказуємо, чи потрібно включати в лист затвердження для користувачів і пристроїв, а також чи треба робити відповідні записи в системному журналі.

Створені настройки треба застосувати до файлових серверів і до клієнтських комп'ютерів.Тут є вибір - створити один GPO і прілінкованние його до всього домену, або рознести клієнтські і серверні налаштування за різними GPO і застосовувати їх до різних OU.

І ще. Для того, щоб файлові сервера змогли відправляти поштові повідомлення, на них також необхідно зробити деякі налаштування.Для цього зайдемо на сервер і виконаємо наступну команду PowerShell:

Set-FSRMSetting -SMTPServer "mail.contoso.com" -AdminEmailAddress "[email protected]" -FromEmailAddress "[email protected]"

В цій команді ми вказуємо SMTP сервер mail.contoso.com, адреса адміністратора сервера [email protected] і адреса відправника [email protected].

Оснащення File System Resource Manager

Якщо ви хочете використовувати для кожного сервера індивідуальні настройки, то можна скористатися оснащенням File System Resource Manager.

Для її відкриття треба натиснути Win + R і ввести команду fsrm.msc (або з меню Tools в Server Manager). Відкривши оснащення, натискаємо правою клавішею на основному розділі і вибираємо пункт Configure Options.

Переходимо на вкладку Access-Denied Assistance, відзначаємо чекбокс «Enable access-denied assistance» і вводимо текст повідомлення для користувача.При складанні тексту також можна використовувати макроси, а внизу є кнопка Preview, натиснувши яку можна подивитися, що вийшло повідомлення.

Потім тиснемо кнопку «Configure email requests», відзначаємо чекбокс «Enable users to request assistance» і налаштовуємо додаткові параметри : яку інформацію треба включати в запит, кому відправляти повідомлення і чи треба робити запис про подію в системний журнал.

Тепер залишається налаштувати параметри надсилання повідомлень електронної пошти. Це можна зробити як уже знайомої нам командою PowerShell, так і з оснащення FSRM. Переходимо на вкладку Email Notifications і вказуємо SMTP сервер, який буде відправляти повідомлення, а також адреса адміністратора сервера і адреса відправника за замовчуванням.

Для перевірки можна скористатися кнопкою «Send Test Email». Якщо всі дані були введені правильно, то на адресу адміністратора сервера буде відправлено тестове повідомлення.

Після настройки Access Denied Assistance користувач, який не має дозволів на доступ до ресурсу, отримає ось таке повідомлення.Як бачите, тепер його не просто посилають на до адміністратора, а дають можливість самостійно запросити допомогу по email або скористатися запитом про допомогу.

При натисканні на запит допомоги відкривається форма, в якій користувач може вказати причину, по якій йому потрібен доступ, і відправити повідомлення адміністратору або власнику ресурсу (або обом, в залежності від налаштувань).

А ось так виглядає повідомлення, отримане адміністратором сервера. У ньому міститься вся необхідна інформація: шлях до ресурсу, ім'я користувача і його поточні дозволу, затвердження для користувача і пристрою і будьте готовими описати проблему самим користувачем.Все це допоможе оперативно прийняти рішення про надання доступу.

На мою дуже зручно, причому як для користувача так і для адміністратора. А тепер про сумне