Deploy Access-Denied Assistance (Demonstration Steps)

Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

This topic explains how to configure access-denied assistance, and verify that it is working properly.

In this document

This topic includes sample Windows PowerShell cmdlets that you can use to automate some of the procedures described. For more information, see Using Cmdlets.

Step 1: Configure access-denied assistance

You can configure access-denied assistance within a domain by using Group Policy, or you can configure the assistance individually on each file server by using the File Server Resource Manager console. You can also change the access-denied message for a specific shared folder on a file server.

You can configure access-denied assistance for the domain by using Group Policy as follows:

To configure access-denied assistance by using Group Policy

Open Group Policy Management. In Server Manager, click Tools, and then click Group Policy Management.

Right-click the appropriate Group Policy, and then click Edit.

Click Computer Configuration, click Policies, click Administrative Templates, click System, and then click Access-Denied Assistance.

Right-click Customize message for Access Denied errors, and then click Edit.

Select the Enabled option.

Configure the following options:

In the Display the following message to users who are denied access box, type a message that users will see when they are denied access to a file or folder.

You can add macros to the message that will insert customized text. The macros include:

[Original File Path] The original file path that was accessed by the user.

[Original File Path Folder] The parent folder of the original file path that was accessed by the user.

[Admin Email] The administrator email recipient list.

[Data Owner Email] The data owner email recipient list.

Select the Enable users to request assistance check box.

Leave the remaining default settings.

Windows PowerShell equivalent commands

The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Alternatively, you can configure access-denied assistance individually on each file server by using the File Server Resource Manager console.

To configure access-denied assistance by using File Server Resource Manager

Open File Server Resource Manager. In Server Manager, click Tools, and then click File Server Resource Manager.

Right-click File Server Resource Manager (Local), and then click Configure Options.

Click the Access-Denied Assistance tab.

Select the Enable access-denied assistance check box.

In the Display the following message to users who are denied access to a folder or file box, type a message that users will see when they are denied access to a file or folder.

You can add macros to the message that will insert customized text. The macros include:

[Original File Path] The original file path that was accessed by the user.

[Original File Path Folder] The parent folder of the original file path that was accessed by the user.

[Admin Email] The administrator email recipient list.

[Data Owner Email] The data owner email recipient list.

Click Configure email requests, select the Enable users to request assistance check box, and then click OK.

Click Preview if you want to see how the error message will look to the user.

Click OK.

Windows PowerShell equivalent commands

The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

After you configure the access-denied assistance, you must enable it for all file types by using Group Policy.

To configure access-denied assistance for all file types by using Group Policy

Open Group Policy Management. In Server Manager, click Tools, and then click Group Policy Management.

Right-click the appropriate Group Policy, and then click Edit.

Click Computer Configuration, click Policies, click Administrative Templates, click System, and then click Access-Denied Assistance.

Right-click Enable access-denied assistance on client for all file types, and then click Edit.

Click Enabled, and then click OK.

Windows PowerShell equivalent commands

The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

You can also specify a separate access-denied message for each shared folder on a file server by using the File Server Resource Manager console.

To specify a separate access-denied message for a shared folder by using File Server Resource Manager

Open File Server Resource Manager. In Server Manager, click Tools, and then click File Server Resource Manager.

Expand File Server Resource Manager (Local), and then click Classification Management.

Right-click Classification Properties, and then click Set Folder Management Properties.

In the Property box, click Access-Denied Assistance Message, and then click Add.

Click Browse, and then choose the folder that should have the custom access-denied message.

In the Value box, type the message that should be presented to the users when they cannot access a resource within that folder.

You can add macros to the message that will insert customized text. The macros include:

[Original File Path] The original file path that was accessed by the user.

[Original File Path Folder] The parent folder of the original file path that was accessed by the user.

[Admin Email] The administrator email recipient list.

[Data Owner Email] The data owner email recipient list.

Click OK, and then click Close.

Windows PowerShell equivalent commands

The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Step 2: Configure the email notification settings

You must configure the email notification settings on each file server that will send the access-denied assistance messages.

Open File Server Resource Manager. In Server Manager, click Tools, and then click File Server Resource Manager.

Right-click File Server Resource Manager (Local), and then click Configure Options.

Click the Email Notifications tab.

Configure the following settings:

In the SMTP server name or IP address box, type the name of IP address of the SMTP server in your organization.

In the Default administrator recipients and Default ‘From’ e-mail address boxes, type the email address of the file server administrator.

Click Send Test E-mail to ensure that the email notifications are configured correctly.

Click OK.

Windows PowerShell equivalent commands

The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Step 3: Verify that access-denied assistance is configured correctly

You can verify that the access-denied assistance is configured correctly by having a user who is running Windows 8 try to access a share or a file in that share that they do not have access to. When the access-denied message appears, the user should see a Request Assistance button. After clicking the Request Assistance button, the user can specify a reason for access and then send an email to the folder owner or file server administrator. The folder owner or file server administrator can verify for you that the email arrived and contains the appropriate details.

If you want to verify access-denied assistance by having a user who is running Windows Server 2012 , you must install the Desktop Experience before connecting to the file share.

Scenario: Access-Denied Assistance

Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Users will get an access-denied message when they try to access shared files and folders on a file server for which they do not have permissions. Administrators often do not have the appropriate context to troubleshoot the access issue, which makes it hard to resolve the issue.

Scenario description

Access-denied assistance is a new feature in Windows Server 2012 , which provides the following ways to troubleshoot issues that are related to access to files and folders:

Self-assistance. If a user can determine the issue and remediate the problem so that they can get the requested access, the impact to the business is low, and no special exceptions are needed in the central access policy. Access-denied assistance provides an access-denied message that file server administrators can customize with information specific to their organizations. For example, an administrator could set the message so that users can request access from a data owner without involving the file server administrator.

Assistance by the data owner. You can define a distribution list for shared folders, and configure it so that the folder owner receives an email notification when a user needs access. If the data owner does not know how to help the user get access, the owner can forward this information to the file server administrator.

Assistance by the file server administrator. This type of assistance is available when the user cannot fix an issue and the data owner cannot help. Windows Server 2012 provides a user interface where file server administrators can view the effective permissions for a user on a file or folder so that it is easier to troubleshoot access issues.

Access-denied assistance in Windows Server 2012 provides file server administrators the relevant access details so that they can determine the issue and appropriate tools so that they can make configuration changes to satisfy the access request. For example, a user might follow this process to access a file that they currently do not have access to:

The user attempts to read a file in the \\financeshares shared folder, but the server displays an access-denied message.

Windows Server 2012 displays the access-denied assistance information to the user with an option to request assistance.

If the user requests access to the resource, the server sends an email with the access request information to the folder owner.

You can find planning information for configuring access-denied assistance in Plan for Access-Denied Assistance.

You can find steps about configuring access-denied assistance in Deploy Access-Denied Assistance (Demonstration Steps).

In this scenario

This scenario is part of the Dynamic Access Control scenario. For additional information about Dynamic Access Control, see:

Practical applications

Access-denied assistance in Windows Server 2012 contributes to Dynamic Access Control by giving users the ability to request access to shared files and folders directly from an access-denied message.

Features included in this scenario

The following table lists the features that are part of this scenario and describes how they support it.

Deploy Access-Denied Assistance (Demonstration Steps) Deploy Access-Denied Assistance (Demonstration Steps)

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе описывается, как настроить функцию помощи при отказе в доступе и убедиться в ее правильной работе. This topic explains how to configure access-denied assistance, and verify that it is working properly.

Содержание документа In this document

В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. This topic includes sample Windows PowerShell cmdlets that you can use to automate some of the procedures described. Дополнительные сведения см. в разделе Использование командлетов. For more information, see Using Cmdlets.

Шаг 1. Настройка помощи при отказе в доступе Step 1: Configure access-denied assistance

Вы можете настроить помощь при отказе в доступе в домене с помощью групповой политики или настроить помощь при отказе в доступе отдельно для каждого файлового сервера, используя консоль диспетчера ресурсов файлового сервера. You can configure access-denied assistance within a domain by using Group Policy, or you can configure the assistance individually on each file server by using the File Server Resource Manager console. Вы также можете изменить сообщение об отказе в доступе для определенной общей папки на файловом сервере. You can also change the access-denied message for a specific shared folder on a file server.

Настроить помощь при отказе в доступе для домена с помощью групповой политики можно следующим образом. You can configure access-denied assistance for the domain by using Group Policy as follows:

Настройка помощи при отказе в доступе с использованием групповой политики To configure access-denied assistance by using Group Policy

Откройте «Управление групповой политикой». Open Group Policy Management. В Диспетчере серверов щелкните Средства и выберите Управление групповой политикой. In Server Manager, click Tools, and then click Group Policy Management.

Щелкните нужную групповую политику правой кнопкой мыши и выберите команду Изменить. Right-click the appropriate Group Policy, and then click Edit.

Последовательно выберите Конфигурация компьютера, Политики, Административные шаблоны, Система и Помощь при отказе в доступе. Click Computer Configuration, click Policies, click Administrative Templates, click System, and then click Access-Denied Assistance.

Щелкните правой кнопкой Настроить сообщение для ошибок отказа в доступе и выберите команду Изменить. Right-click Customize message for Access Denied errors, and then click Edit.

Выберите параметр Включено. Select the Enabled option.

Настройте следующие параметры. Configure the following options:

В поле Отображать следующее сообщение пользователям, получившим отказ в доступе к папке или файлу введите сообщение, которое будут видеть пользователи, если им отказано в доступе к файлу или папке. In the Display the following message to users who are denied access box, type a message that users will see when they are denied access to a file or folder.

Вы можете добавить в сообщение макрос, который будет вставлять настраиваемый текст. You can add macros to the message that will insert customized text. Этот макрос содержит: The macros include:

[Original File Path] Исходный путь к файлу, к которому обращался пользователь. [Original File Path] The original file path that was accessed by the user.

[Original File Path Folder] Родительская папка исходного пути к файлу, к которому обращался пользователь. [Original File Path Folder] The parent folder of the original file path that was accessed by the user.

[Admin Email] Список получателей сообщений электронной почты администратора. [Admin Email] The administrator email recipient list.

[Data Owner Email] Список получателей сообщений электронной почты владельца данных. [Data Owner Email] The data owner email recipient list.

Установите флажок Разрешить пользователям запрашивать помощь. Select the Enable users to request assistance check box.

Оставьте для оставшихся параметров значения по умолчанию. Leave the remaining default settings.

* эквивалентные команды Windows PowerShell **Windows PowerShell equivalent commands_* _

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Или же можно настроить помощь при отказе в доступе отдельно для каждого файлового сервера, используя консоль диспетчера ресурсов файлового сервера. Alternatively, you can configure access-denied assistance individually on each file server by using the File Server Resource Manager console.

Настройка помощи при отказе в доступе с использованием консоли диспетчера ресурсов файлового сервера To configure access-denied assistance by using File Server Resource Manager

Откройте диспетчер ресурсов файлового сервера. Open File Server Resource Manager. В диспетчер сервера щелкните значок _ * сервис * *, а затем выберите Диспетчер ресурсов файлового сервера. In Server Manager, click _*Tools**, and then click File Server Resource Manager.

Щелкните правой кнопкой элемент Диспетчер ресурсов файлового сервера (локальный) и выберите команду Настроить параметры. Right-click File Server Resource Manager (Local), and then click Configure Options.

Щелкните вкладку Помощь при отказе в доступе. Click the Access-Denied Assistance tab.

Установите флажок Включить помощь при отказе в доступе. Select the Enable access-denied assistance check box.

В поле Отображать следующее сообщение пользователям, получившим отказ в доступе к папке или файлу введите сообщение, которое будут видеть пользователи, если им отказано в доступе к файлу или папке. In the Display the following message to users who are denied access to a folder or file box, type a message that users will see when they are denied access to a file or folder.

Вы можете добавить в сообщение макрос, который будет вставлять настраиваемый текст. You can add macros to the message that will insert customized text. Этот макрос содержит: The macros include:

[Original File Path] Исходный путь к файлу, к которому обращался пользователь. [Original File Path] The original file path that was accessed by the user.

[Original File Path Folder] Родительская папка исходного пути к файлу, к которому обращался пользователь. [Original File Path Folder] The parent folder of the original file path that was accessed by the user.

[Admin Email] Список получателей сообщений электронной почты администратора. [Admin Email] The administrator email recipient list.

[Data Owner Email] Список получателей сообщений электронной почты владельца данных. [Data Owner Email] The data owner email recipient list.

Щелкните Настроить запросы по электронной почте, установите флажок Разрешить пользователям запрашивать помощь и нажмите кнопку ОК. Click Configure email requests, select the Enable users to request assistance check box, and then click OK.

Щелкните Предварительный просмотр, чтобы увидеть, как сообщение об ошибке будет отображаться для пользователя. Click Preview if you want to see how the error message will look to the user.

Нажмите кнопку ОК. Click OK.

* эквивалентные команды Windows PowerShell **Windows PowerShell equivalent commands_* _

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

После настройки помощи при отказе в доступе необходимо включить эту функцию для всех типов файлов с помощью групповой политики. After you configure the access-denied assistance, you must enable it for all file types by using Group Policy.

Настройка помощи при отказе в доступе для всех типов файлов с использованием групповой политики To configure access-denied assistance for all file types by using Group Policy

Откройте «Управление групповой политикой». Open Group Policy Management. В диспетчер сервера щелкните значок _ * Tools * *, а затем выберите пункт управление групповая политика. In Server Manager, click _*Tools**, and then click Group Policy Management.

Щелкните нужную групповую политику правой кнопкой мыши и выберите команду Изменить. Right-click the appropriate Group Policy, and then click Edit.

Последовательно выберите Конфигурация компьютера, Политики, Административные шаблоны, Система и Помощь при отказе в доступе. Click Computer Configuration, click Policies, click Administrative Templates, click System, and then click Access-Denied Assistance.

Щелкните правой кнопкой Включить помощь при отказе в доступе на клиенте для всех типов файлов и выберите команду Изменить. Right-click Enable access-denied assistance on client for all file types, and then click Edit.

Выберите вариант Включен, а затем нажмите кнопку ОК. Click Enabled, and then click OK.

* эквивалентные команды Windows PowerShell **Windows PowerShell equivalent commands_* _

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Также вы можете указать отдельное сообщение при отказе в доступе для каждой общей папки на файловом сервере, используя консоль диспетчера ресурсов файлового сервера. You can also specify a separate access-denied message for each shared folder on a file server by using the File Server Resource Manager console.

Указание отдельного сообщения при отказе в доступе для общей папки с использованием диспетчера ресурсов файлового сервера To specify a separate access-denied message for a shared folder by using File Server Resource Manager

Откройте диспетчер ресурсов файлового сервера. Open File Server Resource Manager. В диспетчер сервера щелкните значок _ * сервис * *, а затем выберите Диспетчер ресурсов файлового сервера. In Server Manager, click _*Tools**, and then click File Server Resource Manager.

Разверните узел Диспетчер ресурсов файлового сервера (локальный) и щелкните Управление классификацией. Expand File Server Resource Manager (Local), and then click Classification Management.

Щелкните правой кнопкой элемент Свойства классификации и выберите пункт Задать свойства управления папками. Right-click Classification Properties, and then click Set Folder Management Properties.

В поле Свойство щелкните Сообщение для помощи при отказе в доступе и нажмите кнопку Добавить. In the Property box, click Access-Denied Assistance Message, and then click Add.

Нажмите кнопку Обзор и выберите папку, для которой будет использоваться настраиваемое сообщение. Click Browse, and then choose the folder that should have the custom access-denied message.

В поле Значение введите сообщение, которое будут видеть пользователи при отказе в доступе к ресурсу в этой папке. In the Value box, type the message that should be presented to the users when they cannot access a resource within that folder.

Вы можете добавить в сообщение макрос, который будет вставлять настраиваемый текст. You can add macros to the message that will insert customized text. Этот макрос содержит: The macros include:

[Original File Path] Исходный путь к файлу, к которому обращался пользователь. [Original File Path] The original file path that was accessed by the user.

[Original File Path Folder] Родительская папка исходного пути к файлу, к которому обращался пользователь. [Original File Path Folder] The parent folder of the original file path that was accessed by the user.

[Admin Email] Список получателей сообщений электронной почты администратора. [Admin Email] The administrator email recipient list.

[Data Owner Email] Список получателей сообщений электронной почты владельца данных. [Data Owner Email] The data owner email recipient list.

Нажмите кнопку ОК, затем кнопку Закрыть. Click OK, and then click Close.

* эквивалентные команды Windows PowerShell **Windows PowerShell equivalent commands_* _

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Шаг 2. Настройка параметров уведомлений по электронной почте Step 2: Configure the email notification settings

Параметры уведомлений по электронной почте необходимо настроить на каждом файловом сервере, который будет отправлять сообщения для помощи при отказе в доступе. You must configure the email notification settings on each file server that will send the access-denied assistance messages.

Откройте диспетчер ресурсов файлового сервера. Open File Server Resource Manager. В диспетчер сервера щелкните значок _ * сервис * *, а затем выберите Диспетчер ресурсов файлового сервера. In Server Manager, click _*Tools**, and then click File Server Resource Manager.

Щелкните правой кнопкой элемент Диспетчер ресурсов файлового сервера (локальный) и выберите команду Настроить параметры. Right-click File Server Resource Manager (Local), and then click Configure Options.

Щелкните вкладку Уведомления по электронной почте. Click the Email Notifications tab.

Настройте следующие параметры. Configure the following settings:

В поле Имя или IP-адрес SMTP-сервера введите имя или IP-адрес SMTP-сервера в вашей организации. In the SMTP server name or IP address box, type the name of IP address of the SMTP server in your organization.

В полях » Администраторы по умолчанию » и «от» адреса электронной почты по умолчанию введите адрес электронной почты администратора файлового сервера. In the Default administrator recipients and Default ‘From’ e-mail address boxes, type the email address of the file server administrator.

Нажмите кнопку Отправить проверочное сообщение электронной почты, чтобы убедиться, что уведомления по электронной почте настроены правильно. Click Send Test E-mail to ensure that the email notifications are configured correctly.

Нажмите кнопку ОК. Click OK.

* эквивалентные команды Windows PowerShell **Windows PowerShell equivalent commands_* _

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Шаг 3. Проверка правильности настройки помощи при отказе в доступе Step 3: Verify that access-denied assistance is configured correctly

Чтобы убедиться в правильности настройки помощника по доступу, пользователь, работающий под управлением Windows 8, пытается получить доступ к общей папке или файлу в этой общей папке, к которой у них нет доступа. You can verify that the access-denied assistance is configured correctly by having a user who is running Windows 8 try to access a share or a file in that share that they do not have access to. При появлении сообщения об отказе в доступе пользователь увидит кнопку _ *запросить помощь**. When the access-denied message appears, the user should see a _ Request Assistance* button. Нажав кнопку «Запрос помощи», пользователь сможет указать обоснование доступа и отправить сообщение электронной почты владельцу папки или администратору файлового сервера. After clicking the Request Assistance button, the user can specify a reason for access and then send an email to the folder owner or file server administrator. Владелец папки или администратор файлового сервера могут проверить, пришло ли сообщение и содержит ли оно необходимые сведения. The folder owner or file server administrator can verify for you that the email arrived and contains the appropriate details.

Если вы хотите проверить помощь при отказе в доступе, установив пользователя, работающего под управлением Windows Server 2012, перед подключением к общей папке необходимо установить возможности рабочего стола. If you want to verify access-denied assistance by having a user who is running Windows Server 2012 , you must install the Desktop Experience before connecting to the file share.