VietNetwork.Vn

Khắc phục bị từ chối truy cập, còn được gọi là hỗ trợ bị từ chối truy cập, cho phép chúng tôi đặt thông báo lỗi được xác định trước để cung cấp cho người dùng cố gắng truy cập tệp hoặc thư mục mà họ không có quyền truy cập. Thay vì nhận được lỗi từ chối quyền chung, quản trị viên có thể tùy chỉnh thông báo lỗi. Chúng tôi có thể thực hiện khắc phục truy cập bị từ chối bằng cách thiết lập thủ công trên máy chủ tệp hoặc tự động cho nhiều máy chủ tệp thông qua chính sách nhóm.

Người dùng cũng có thể yêu cầu quyền truy cập thông qua giao diện xuất hiện, giao diện này sẽ gửi thông báo đến quản trị viên kèm theo yêu cầu của người dùng, giúp toàn bộ quá trình quản lý dễ dàng và hiệu quả hơn.

Tính năng này khả dụng trong Windows Server 2012 trở lên, ví dụ của chúng tôi ở đây được thực hiện với Windows Server 2016.

Để sử dụng tính năng này, trước tiên bạn phải cài đặt vai trò FSRM.

Trước tiên, chúng tôi sẽ đề cập đến cách chúng tôi có thể thực hiện khắc phục quyền truy cập bị từ chối theo cách thủ công trên cơ sở từng máy chủ tệp, tiếp theo là cách chúng tôi có thể định cấu hình tập trung trên tất cả các máy chủ tệp trong miền của mình bằng chính sách nhóm.

1. Thực hiện thủ công Khắc phục truy cập bị từ chối

Trước tiên hãy mở Trình quản lý tài nguyên máy chủ tệp (FSRM), điều này có thể được thực hiện thông qua Trình quản lý máy chủ > Công cụ > Trình quản lý tài nguyên máy chủ tệp. Từ cửa sổ FSRM, chọn Tùy chọn cấu hình từ menu hành động ở bên phải.


Thao tác này sẽ mở cửa sổ Tùy chọn Trình quản lý Tài nguyên Máy chủ Tệp, chọn tab Hỗ trợ Bị Từ chối Truy cập, như minh họa bên dưới. Chúng tôi sẽ chọn hộp kiểm bên cạnh "Bật hỗ trợ bị từ chối truy cập" để bật tính năng này. Đây cũng là nơi chúng tôi có thể đặt thông báo tùy chỉnh được hiển thị cho người dùng bị từ chối truy cập vào thư mục hoặc tệp. Lưu ý rằng thông báo này áp dụng cho toàn bộ máy chủ, chúng tôi có thể sử dụng Cơ sở hạ tầng phân loại tệp (FCI) để tạo thông báo tùy chỉnh trên cơ sở từng tệp hoặc thư mục.


Chúng tôi có thể nhấp vào Định cấu hình yêu cầu email để cho phép người dùng yêu cầu hỗ trợ. Điều này sẽ cho phép người dùng gửi email đến chủ sở hữu thư mục, quản trị viên hoặc danh sách người nhận tùy chỉnh với yêu cầu của họ.


Có bốn macro có sẵn để sử dụng trong email, chúng tôi có thể sử dụng chúng để tự động đưa thông tin hữu ích cho quản trị viên sẽ đọc thư.

• [Original File Path]: Đây là đường dẫn tệp gốc mà người dùng đang cố truy cập.
• [Original File Path Folder]: Đây là đường dẫn thư mục mẹ của đường dẫn tệp gốc mà người dùng đang cố truy cập.
• [Admin Email]: Đây là danh sách người nhận email của quản trị viên.
• [Data Owner Email]: Đây là danh sách người nhận email của chủ sở hữu dữ liệu.

Từ cửa sổ Tùy chọn trình quản lý tài nguyên máy chủ tệp, chúng tôi có thể nhấp vào xem trước để biết ý tưởng về những gì người dùng sẽ thấy khi họ bị từ chối truy cập vào một tệp hoặc thư mục với các cài đặt này. Chúng tôi có thể thấy các màn hình thông báo được chỉ định của mình và người dùng có thể nhấp vào Yêu cầu hỗ trợ để gửi email đến những người dùng mà chúng tôi đã chỉ định để yêu cầu quyền truy cập.


Chúng tôi cũng có thể thực hiện thủ công việc khắc phục quyền truy cập bị từ chối bằng PowerShell, hãy xem lệnh ghép ngắn bên dưới bao gồm những gì chúng tôi vừa thực hiện thông qua giao diện người dùng đồ họa (GUI).

Set-FSRMAdrSetting -Event "AccessDenied" -DisplayMessage "The user will see this custom message" -Enabled:$true -AllowRequests:$true
2. Tự động thực hiện khắc phục truy cập bị từ chối

Bây giờ chúng tôi sẽ giới thiệu cách tự động thực hiện khắc phục truy cập bị từ chối đối với tất cả các máy chủ tệp trong miền của chúng tôi bằng chính sách nhóm. Để bắt đầu mở Quản lý chính sách nhóm, điều này có thể được thực hiện thông qua Trình quản lý máy chủ > Công cụ > Quản lý chính sách nhóm hoặc bằng cách chạy 'gpmc.msc' trong PowerShell hoặc Dấu nhắc lệnh. Tại thời điểm này, bạn có thể tạo chính sách mới hoặc chỉnh sửa chính sách hiện có. Trong ví dụ này, chúng tôi tạo một GPO chuyên dụng để thực hiện khắc phục sự cố truy cập bị từ chối.


Sau khi hoàn thành, chỉnh sửa chính sách sẽ mở Trình chỉnh sửa quản lý chính sách nhóm (GPME). Chúng tôi cần bật cài đặt chính sách nhóm "Bật hỗ trợ bị từ chối truy cập trên máy khách cho tất cả các loại tệp" từ trong Cấu hình máy tính > Chính sách > Mẫu quản trị > Hệ thống > Hỗ trợ bị từ chối truy cập.


Như đã nêu, chính sách này chỉ áp dụng cho các máy khách Windows mà chúng tôi muốn kích hoạt biện pháp khắc phục bị từ chối truy cập.


Từ trong cùng một khu vực, chúng tôi cũng có thể bật chính sách "Thông báo tùy chỉnh cho lỗi Truy cập bị từ chối" và định cấu hình thông báo tùy chỉnh mà chúng tôi muốn hiển thị. Chúng tôi có thể tùy chọn nếu chúng tôi muốn cho phép người dùng yêu cầu hỗ trợ và chỉnh sửa nội dung của email sẽ được gửi cho quản trị viên. Theo mặc định, người nhận email là chủ sở hữu thư mục và quản trị viên máy chủ tệp, tuy nhiên, những người này có thể được sửa đổi trong chính sách với các địa chỉ tùy chỉnh cũng được chỉ định.


Giờ đây, chúng tôi có thể đính kèm GPO vào trang web, miền hoặc đơn vị tổ chức (OU) có chứa các máy chủ tệp Windows mà chúng tôi muốn áp dụng điều này.

Chúng tôi có thể thực hiện khắc phục bị từ chối truy cập với vai trò Trình quản lý tài nguyên máy chủ tệp trong Windows Server 2016. Điều này cho phép chúng tôi tùy chỉnh thông báo lỗi mà người dùng bị từ chối truy cập vào tệp hoặc thư mục sẽ nhận được. Chúng tôi cũng có thể cho phép người dùng gửi email đến quản trị viên máy chủ tệp để yêu cầu quyền truy cập vào tệp hoặc thư mục. Tất cả những điều này có thể được định cấu hình theo cách thủ công trên cơ sở từng máy chủ tệp hoặc tự động thông qua chính sách nhóm, có khả năng cho tất cả các máy chủ tệp trong miền của chúng tôi.