Access Denied Assistance – Sinnvolle Meldungen vom Fileserver 21. Mai 2012

Wenn Benutzer in einem Netzlaufwerk versuchen, auf ein Element (Datei oder Ordner) zuzugreifen, auf die sie keine Dateisytemberechtigungen haben, dann bekommen Sie eine “Zugriff verweigert” Meldung auf dem Client angezeigt. Solche Meldungen können unter Umständen zu einem hohen Aufwand beim Helpdesk führen, da die Benutzer den Zugriff auf die Elemente für die Erfüllung ihrer Aufgaben benötigen. Dadurch, dass den Benutzern aber der Ansprechpartner fehlt, wird als Erstes der User Helpdesk kontaktiert bzw. eine Mail an alle Mitarbeiter der EDV Abteilung geschickt, die der betreffende Benutzer so kennt. Mit Windows Server 2012 und Windows 8 auf der Clientseite gibt es jetzt die Möglichkeit, eine angepasste Fehlermeldung zu erstellen, die den Benutzern beim Zugriffsversuch angezeigt wird. In dieser Fehlermeldung kann dann auch dem Benutzer die Möglichkeit gegeben werden, dem betreffenden IT Mitarbeiter direkt eine E-Mail zu senden.

Um dieses Feature einsetzen zu können, sind aber ein paar Vorarbeiten zu leisten. Im ersten Schritt muss auf dem zukünftigen Fileserver die “Fileserver Rolle” inklusive des “File Server Ressource Manager” installiert werden.

Nachdem die Installation abgeschlossen wurde, geht es jetzt an die Konfiguration. Als Erstes muss auf dem Fileserver die Gruppe “Authentifizierte Benutzer” zu der Gruppe “WinRMRemoteWMIUsers__” hinzugefügt werden.

Im File Server Ressource Manager müssen auch noch Einstellungen vorgenommen werden.

Leider hat es Microsoft auch bei Windows Server 2012 nicht geschafft, bei den “E-Mail Benachrichtungseinstellungen” eine Option für die SMTP Authentifizierung zu schaffen. Das bedeutet, dass der Server versucht, sich mit seinem Computeraccount am SMTP Server zu authentifizieren. Das verstehen die wenigsten SMTP Server. Um dieses Problem zu umgehen, kann man die IP des Fileservers für das Versenden ohne Authentifizierung auf dem Mailserver freischalten.

Danach kann man sich an die Konfiguration der “Access Denied Assistence” machen.

Wenn es darum geht, dass mehrere Fileserver konfiguriert werden müssen, können diese Einstellungen auch über eine Gruppenrichtlinie vorgenommen werden.

Jetzt muss auf dem Client noch ein Registrierungswert gesetzt werden. Leider ist dieser Registrierungswert momentan nicht über eine administrative Vorlage implementiert.

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer
Wert: REG_DWORD EnableShellExecuteFileStreamCheck=1

Wenn die Konfiguration abgeschlossen ist, kann der erste Test vorgenommen werden. In meinem Beispiel greift der Benutzer “m.mustermann” auf eine Freigabe zu, auf die er keine Berechtigung hat.

Wenn der Benutzer den Zugriff angefordert hat, sollte der in den FSRM Einstellungen konfigurierte Empfänger folgende E-Mail erhalten:

Der Administrator des Fileservers kann jetzt reagieren und nach einer Prüfung die entsprechenden Berechtigungen konfigurieren.

Fazit

“Access Denied Assistence” ist durchaus ein brauchbares Feature von Windows Server 2012. Allerdings fehlen meiner Meinung nach ein paar Dinge. Zum Beispiel lässt sich die “Access Denied Assistence” nur auf Ebene des Servers konfigurieren. Besser wäre es, wenn man die Benachrichtungen pro Freigabe konfigurieren könnte. Bisher habe ich auch noch nicht feststellen können, ob Windows 7 dieses Feature durch ein Update unterstützen wird. Die Unterstützung von Windows 7 als Clientbetriebssytem wäre sehr wünschenswert.

Leave a Reply

*