Развертывание помощи при отказе в доступе (обучающий пример)

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В этом разделе описывается, как настроить функцию помощи при отказе в доступе и убедиться в ее правильной работе.

В этом документе

• Шаг 1. Настройка помощи с отказом в доступе

• Шаг 2. Настройка параметров уведомления электронной почты

• Шаг 3. Убедитесь, что помощь с отказом в доступе настроена правильно

Примечание.

В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.

Шаг 1. Настройка помощи при отказе в доступе

Вы можете настроить помощь при отказе в доступе в домене с помощью групповой политики или настроить помощь при отказе в доступе отдельно для каждого файлового сервера, используя консоль диспетчера ресурсов файлового сервера. Вы также можете изменить сообщение об отказе в доступе для определенной общей папки на файловом сервере.

Настроить помощь при отказе в доступе для домена с помощью групповой политики можно следующим образом.

Выполните этот шаг с помощью Windows PowerShell

Настройка помощи при отказе в доступе с использованием групповой политики

1. Откройте раздел Управление групповой политикой. В Диспетчере серверов щелкните Средства и выберите Управление групповой политикой.

2. Щелкните нужную групповую политику правой кнопкой мыши и выберите команду Изменить.

3. Последовательно выберите Конфигурация компьютера, Политики, Административные шаблоны, Система и Помощь при отказе в доступе.

4. Щелкните правой кнопкой Настроить сообщение для ошибок отказа в доступе и выберите команду Изменить.

5. Установите флажок Enabled (Включено).

6. Настройте следующие параметры:

   1. В поле Отображать следующее сообщение пользователям, получившим отказ в доступе к папке или файлу введите сообщение, которое будут видеть пользователи, если им отказано в доступе к файлу или папке.

      Вы можете добавить в сообщение макрос, который будет вставлять настраиваемый текст. Этот макрос содержит:

      • [Original File Path] Исходный путь к файлу, к которому обращался пользователь.

      • [Original File Path Folder] Родительская папка исходного пути к файлу, к которому обращался пользователь.

      • [Admin Email] Список получателей сообщений электронной почты администратора.

      • [Data Owner Email] Список получателей сообщений электронной почты владельца данных.

   2. Установите флажок Разрешить пользователям запрашивать помощь.

   3. Оставьте для оставшихся параметров значения по умолчанию.

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName AllowEmailRequests -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName GenerateLog -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeDeviceClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeUserClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutAdminOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutDataOwnerOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName ErrorMessage -Type MultiString -value "Type the text that the user will see in the error message dialog box."
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName Enabled -Type DWORD -value 1

Или же можно настроить помощь при отказе в доступе отдельно для каждого файлового сервера, используя консоль диспетчера ресурсов файлового сервера.

Выполните этот шаг с помощью Windows PowerShell

Настройка помощи при отказе в доступе с использованием консоли диспетчера ресурсов файлового сервера

1. Откройте диспетчер ресурсов файлового сервера. В диспетчере серверов откройте меню Сервис и щелкните Диспетчер ресурсов файлового сервера.

2. Щелкните правой кнопкой элемент Диспетчер ресурсов файлового сервера (локальный) и выберите команду Настроить параметры.

3. Щелкните вкладку Помощь при отказе в доступе.

4. Установите флажок Включить помощь при отказе в доступе.

5. В поле Отображать следующее сообщение пользователям, получившим отказ в доступе к папке или файлу введите сообщение, которое будут видеть пользователи, если им отказано в доступе к файлу или папке.

   Вы можете добавить в сообщение макрос, который будет вставлять настраиваемый текст. Этот макрос содержит:

   • [Original File Path] Исходный путь к файлу, к которому обращался пользователь.

   • [Original File Path Folder] Родительская папка исходного пути к файлу, к которому обращался пользователь.

   • [Admin Email] Список получателей сообщений электронной почты администратора.

   • [Data Owner Email] Список получателей сообщений электронной почты владельца данных.

6. Щелкните Настроить запросы по электронной почте, установите флажок Разрешить пользователям запрашивать помощь и нажмите кнопку ОК.

7. Щелкните Предварительный просмотр, чтобы увидеть, как сообщение об ошибке будет отображаться для пользователя.

8. Щелкните OK.

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-FSRMAdrSetting -Event "AccessDenied" -DisplayMessage "Type the text that the user will see in the error message dialog box." -Enabled:$true -AllowRequests:$true

После настройки помощи при отказе в доступе необходимо включить эту функцию для всех типов файлов с помощью групповой политики.

Выполните этот шаг с помощью Windows PowerShell

Настройка помощи при отказе в доступе для всех типов файлов с использованием групповой политики

1. Откройте раздел Управление групповой политикой. В Диспетчере серверов щелкните Средства и выберите Управление групповой политикой.

2. Щелкните нужную групповую политику правой кнопкой мыши и выберите команду Изменить.

3. Последовательно выберите Конфигурация компьютера, Политики, Административные шаблоны, Система и Помощь при отказе в доступе.

4. Щелкните правой кнопкой Включить помощь при отказе в доступе на клиенте для всех типов файлов и выберите команду Изменить.

5. Выберите Включено и нажмите кнопку OK.

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\SOFTWARE\Policies\Microsoft\Windows\Explore" -ValueName EnableShellExecuteFileStreamCheck -Type DWORD -value 1

Также вы можете указать отдельное сообщение при отказе в доступе для каждой общей папки на файловом сервере, используя консоль диспетчера ресурсов файлового сервера.

Выполните этот шаг с помощью Windows PowerShell

Указание отдельного сообщения при отказе в доступе для общей папки с использованием диспетчера ресурсов файлового сервера

1. Откройте диспетчер ресурсов файлового сервера. В диспетчере серверов откройте меню Сервис и щелкните Диспетчер ресурсов файлового сервера.

2. Разверните узел Диспетчер ресурсов файлового сервера (локальный) и щелкните Управление классификацией.

3. Щелкните правой кнопкой элемент Свойства классификации и выберите пункт Задать свойства управления папками.

4. В поле Свойство щелкните Сообщение для помощи при отказе в доступе и нажмите кнопку Добавить.

5. Нажмите кнопку Обзор и выберите папку, для которой будет использоваться настраиваемое сообщение.

6. В поле Значение введите сообщение, которое будут видеть пользователи при отказе в доступе к ресурсу в этой папке.

   Вы можете добавить в сообщение макрос, который будет вставлять настраиваемый текст. Этот макрос содержит:

   • [Original File Path] Исходный путь к файлу, к которому обращался пользователь.

   • [Original File Path Folder] Родительская папка исходного пути к файлу, к которому обращался пользователь.

   • [Admin Email] Список получателей сообщений электронной почты администратора.

   • [Data Owner Email] Список получателей сообщений электронной почты владельца данных.

7. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-FSRMMgmtProperty -Namespace "folder path" -Name "AccessDeniedMessage_MS" -Value "Type the text that the user will see in the error message dialog box."

Шаг 2. Настройка параметров уведомлений по электронной почте

Параметры уведомлений по электронной почте необходимо настроить на каждом файловом сервере, который будет отправлять сообщения для помощи при отказе в доступе.

Выполните этот шаг с помощью Windows PowerShell

1. Откройте диспетчер ресурсов файлового сервера. В диспетчере серверов откройте меню Сервис и щелкните Диспетчер ресурсов файлового сервера.

2. Щелкните правой кнопкой элемент Диспетчер ресурсов файлового сервера (локальный) и выберите команду Настроить параметры.

3. Щелкните вкладку Уведомления по электронной почте.

4. Настройте следующие параметры:

   • В поле Имя или IP-адрес SMTP-сервера введите имя или IP-адрес SMTP-сервера в вашей организации.

   • В полях адресов электронной почты администратора по умолчанию и по умолчанию введите адрес электронной почты администратора файлового сервера.

5. Нажмите кнопку Отправить проверочное сообщение электронной почты, чтобы убедиться, что уведомления по электронной почте настроены правильно.

6. Щелкните OK.

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

set-FSRMSetting -SMTPServer "server1" -AdminEmailAddress "fileadmin@contoso.com" -FromEmailAddress "fileadmin@contoso.com"

Шаг 3. Проверка правильности настройки помощи при отказе в доступе

Вы можете убедиться, что помощь с отказом в доступе настроена правильно, имея пользователя под управлением Windows 8, пытающегося получить доступ к общей папке или файлу в этой общей папке, к которому у них нет доступа. Когда появится сообщение об отказе в доступе, пользователь увидит кнопку Запрос помощи. Нажав кнопку "Запрос помощи", пользователь сможет указать обоснование доступа и отправить сообщение электронной почты владельцу папки или администратору файлового сервера. Владелец папки или администратор файлового сервера могут проверить, пришло ли сообщение и содержит ли оно необходимые сведения.

Внимание

Если вы хотите проверить помощь с отказом в доступе, имея пользователя под управлением Windows Server 2012, перед подключением к общей папке необходимо установить интерфейс рабочего стола.

См. также

• Сценарий: помощь с отказом в доступе

• Планирование помощи с отказом в доступе

• Динамические контроль доступа: обзор сценария