方案：“拒绝访问”协助

适用对象：Windows Server 2012

当用户尝试访问其不具有访问权限的文件服务器上的共享文件和文件夹时，他们将收到一条拒绝访问的消息。 管理员通常不具有用于解决访问问题的相应上下文，这使他们难以解决该问题。

方案说明

“拒绝访问”协助是 Windows Server 2012 中的一项新功能，它提供了以下方式来解决与访问文件和文件夹相关的问题：

• **自我协助。**如果用户可以确定造成问题的原因并修正该问题，则该用户就可获得所请求的访问权限，这样可以降低对业务的影响，并且不需要在中心访问策略中设置特殊例外。 “拒绝访问”协助提供了一条拒绝访问的消息，文件服务器管理员可以使用特定于其组织的信息自定义该消息。 例如，管理员可以设置该消息，以便用户可以从数据所有者请求访问权限，而无需文件服务器管理员干预。

• **由数据所有者提供协助。**你可以为共享文件夹定义通讯组列表并配置它，以便文件夹所有者可以在用户需要访问时收到电子邮件通知。 如果数据所有者不知道如何帮助用户获取访问权限，则该数据所有者可以将此信息转发给文件服务器管理员。

• **由文件服务器管理员提供协助。**当用户不能解决问题且数据所有者无法提供帮助时，可提供这种类型的协助。Windows Server 2012 提供了一个用户界面，文件服务器管理员可以用来查看用户对于文件或文件夹的有效权限，以使其更轻松地解决访问权限问题。

Windows Server 2012 中的“拒绝访问”协助为文件服务器管理员提供了相关访问的详细信息，以便他们可以确定问题和相应的工具，从而更改配置以满足访问请求。 例如，用户可以按照以下步骤访问一个他们当前没有访问权限的文件：

• 用户试图读取 \\financeshares 共享文件夹中的文件，但服务器显示拒绝访问的消息。

• Windows Server 2012 向用户显示“拒绝访问”协助的信息，该信息提供用于请求协助的选项。

• 如果用户请求访问资源，则服务器会向文件夹所有者发送一封包含访问请求信息的电子邮件。

可以在“拒绝访问”协助方案中找到关于配置“拒绝访问”协助的规划信息。

可以在Deploy Access-Denied Assistance (Demonstration Steps)中找到关于配置“拒绝访问”协助的步骤。

本方案内容

本方案是动态访问控制方案的一部分。 有关动态访问控制的其他信息，请参阅：

• 动态访问控制：方案概述

实际的应用程序

通过让用户能够直接从拒绝访问消息请求对共享文件和文件夹的访问权限，Windows Server 2012 中的“拒绝访问”协助将有助于进行动态访问控制。

本方案中所含的功能

下表列出了本方案的部分功能并说明了支持该方案的工作原理。