本主题介绍如何配置“拒绝访问”协助,并验证它是否可以正常工作。
本文档内容
步骤 1:配置“拒绝访问”协助
步骤 2:配置电子邮件通知设置
步骤 3:验证是否已正确配置“拒绝访问”协助
Note
此主题将介绍一些 Windows PowerShell cmdlet 示例,你可以使用它们来自动执行所述的一些步骤。 For more information, see Using Cmdlets.
步骤 1:配置“拒绝访问”协助
你可以通过使用组策略在域中配置“拒绝访问”协助,或者可以通过使用文件服务器资源管理器控制台,在每个文件服务器上单独配置该协助。 还可以为文件服务器上的特定共享文件夹更改拒绝访问的消息。
可以通过使用组策略为域配置“拒绝访问”协助,如下所示:
使用 Windows PowerShell 执行此步骤
使用组策略配置“拒绝访问”协助
打开“组策略管理”。 In Server Manager, click Tools, and then click Group Policy Management.
Right-click the appropriate Group Policy, and then click Edit.
Click Computer Configuration, click Policies, click Administrative Templates, click System, and then click Access-Denied Assistance.
右键单击“自定义‘拒绝访问’错误的消息”,然后单击“编辑”。
Select the Enabled option.
配置以下选项:
在“向拒绝访问的用户显示以下消息”框中,键入用户在被拒绝访问文件或文件夹时看到的消息。
可以将宏添加到将插入自定义文本的消息。 这些宏包括:
[原始文件路径] 用户已访问的原始文件路径。
[原始文件路径文件夹] 用户已访问的原始文件路径的父文件夹。
[Admin Email] The administrator email recipient list.
[数据所有者电子邮件] 数据所有者电子邮件收件人列表。
选中“允许用户请求协助”复选框。
保留其余默认设置。
Windows PowerShell equivalent commands
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName AllowEmailRequests -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName GenerateLog -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeDeviceClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeUserClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutAdminOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutDataOwnerOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName ErrorMessage -Type MultiString -value "Type the text that the user will see in the error message dialog box."
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName Enabled -Type DWORD -value 1
或者,你可以使用文件服务器资源管理器控制台,在每个文件服务器上单独配置“拒绝访问”协助。
使用 Windows PowerShell 执行此步骤
使用文件服务器资源管理器配置“拒绝访问”协助
打开文件服务器资源管理器。 In Server Manager, click Tools, and then click File Server Resource Manager.
右键单击“文件服务器资源管理器(本地)”,然后单击“配置选项”。
Click the Access-Denied Assistance tab.
选中“启用‘拒绝访问’协助”复选框。
在“向拒绝访问文件夹或文件的用户显示以下消息”框中,键入用户在被拒绝访问文件或文件夹时看到的消息。
可以将宏添加到将插入自定义文本的消息。 这些宏包括:
[原始文件路径] 用户已访问的原始文件路径。
[原始文件路径文件夹] 用户已访问的原始文件路径的父文件夹。
[Admin Email] The administrator email recipient list.
[数据所有者电子邮件] 数据所有者电子邮件收件人列表。
单击“配置电子邮件请求”,选中“允许用户请求协助”复选框,然后单击“确定”。
Click Preview if you want to see how the error message will look to the user.
Click OK.
Windows PowerShell equivalent commands
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Set-FSRMAdrSetting -Event "AccessDenied" -DisplayMessage "Type the text that the user will see in the error message dialog box." -Enabled:$true -AllowRequests:$true
配置完“拒绝访问”协助后,你必须通过使用组策略对所有文件类型启用它。
使用 Windows PowerShell 执行此步骤
使用组策略对所有文件类型配置“拒绝访问”协助
打开“组策略管理”。 In Server Manager, click Tools, and then click Group Policy Management.
Right-click the appropriate Group Policy, and then click Edit.
Click Computer Configuration, click Policies, click Administrative Templates, click System, and then click Access-Denied Assistance.
右键单击“在客户端上对所有文件类型启用‘拒绝访问’协助”,然后单击“编辑”。
Click Enabled, and then click OK.
Windows PowerShell equivalent commands
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\SOFTWARE\Policies\Microsoft\Windows\Explore" -ValueName EnableShellExecuteFileStreamCheck -Type DWORD -value 1
还可以通过使用文件服务器资源管理器控制台,为文件服务器上的每个共享文件夹指定单独的拒绝访问消息。
使用 Windows PowerShell 执行此步骤
使用文件服务器资源管理器为共享文件夹指定单独的拒绝访问消息
打开文件服务器资源管理器。 In Server Manager, click Tools, and then click File Server Resource Manager.
展开“文件服务器资源管理器(本地)”,然后单击“分类管理”。
Right-click Classification Properties, and then click Set Folder Management Properties.
In the Property box, click Access-Denied Assistance Message, and then click Add.
Click Browse, and then choose the folder that should have the custom access-denied message.
In the Value box, type the message that should be presented to the users when they cannot access a resource within that folder.
可以将宏添加到将插入自定义文本的消息。 这些宏包括:
[原始文件路径] 用户已访问的原始文件路径。
[原始文件路径文件夹] 用户已访问的原始文件路径的父文件夹。
[Admin Email] The administrator email recipient list.
[数据所有者电子邮件] 数据所有者电子邮件收件人列表。
Click OK, and then click Close.
Windows PowerShell equivalent commands
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Set-FSRMMgmtProperty -Namespace "folder path" -Name "AccessDeniedMessage_MS" -Value "Type the text that the user will see in the error message dialog box."
步骤 2:配置电子邮件通知设置
必须在每个可发送“拒绝访问”协助消息的文件服务器上配置电子邮件通知设置。
使用 Windows PowerShell 执行此步骤
打开文件服务器资源管理器。 In Server Manager, click Tools, and then click File Server Resource Manager.
右键单击“文件服务器资源管理器(本地)”,然后单击“配置选项”。
Click the Email Notifications tab.
配置下列设置:
在“SMTP 服务器名称或 IP 地址”框中,键入组织中 SMTP 服务器的 IP 地址的名称。
在“默认管理员收件人”和“默认‘发件人’电子邮件地址”框中,键入文件服务器管理员的电子邮件地址。
单击“发送测试电子邮件”以确保正确配置电子邮件通知。
Click OK.
Windows PowerShell equivalent commands
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
set-FSRMSetting -SMTPServer "server1" -AdminEmailAddress "fileadmin@contoso.com" -FromEmailAddress "fileadmin@contoso.com"
步骤 3:验证是否已正确配置“拒绝访问”协助
通过让正在运行 Windows 8 的用户尝试访问无权访问的某个共享或该共享中的文件,可以验证是否已正确配置“拒绝访问”协助。 When the access-denied message appears, the user should see a Request Assistance button. 单击“请求协助”按钮后,用户可以指定访问的原因,然后可以向文件夹所有者或文件服务器管理员发送一封电子邮件。 文件夹所有者或文件服务器管理员可以为你验证该电子邮件是否已送达以及是否包含相应的详细信息。
Important
如果希望让正在运行 Windows Server 2012 的用户来验证“拒绝访问”协助,则必须在连接到文件共享之前安装桌面体验。
See also
方案:“拒绝访问”协助
“拒绝访问”协助方案
动态访问控制:方案概述