Customize message for access denied error

When you access a file share in Windows and the conditions for access are not met, you are normally presented with a generic access denied message. It is actually possible to customize the error message to provide more meaningful and understandable output that aids with dynamic access control, rather than the simple «contact your network administrator,» which will invariably result in a call to the service desk. However, there are a couple of limitations to this functionality.

First, it can only be activated on Windows-based file servers. File shares that are not fronted by the Windows operating system will not be able to use this method. You can, however, front access to network- or cloud-based storage through a Windows file server instance and use this method.

Second, you can only configure the customized access denied message on a device-by-device basis. This means that each file server can only have a single customized error message displayed. While you could set up separate departmental file shares on different file servers and then customize the messages on a share-by-share basis, this seems like a very inefficient method. It would be good if this functionality could be extended so that different shares could have different access messages.

Enabling the functionality

To customize this, you first need to ensure that File Server Resource Manager is installed on the file server instance. You do this by opening Server Manager and installing File Server Resource Manager from within the File Server role.

Once this is installed, you can now customize your error message in one of two ways on the file server end, both of which are detailed below. However, the configuration that is required on the client end must be done via Group Policy.

Customize via Group Policy Objects

In an Active Directory domain, the easiest way is to use GPOs to enable the functionality. The GPOs need to be applied in two places—on the file server and on the clients that will access the file server.

Navigate to the following settings in GPMC: Computer Configuration > Policies > Administrative Templates > System > Access-Denied Assistance

Set the policies described below.

Customize message for Access Denied errors

This has a number of settings that should be self-explanatory. The first field, Display the following message to users who are denied access, allows you to customize the error message that you will display. There are a set of variables you can add to the text fields that may help you to form the most appropriate message. The available variables are:

• [Original File Path] The original file path accessed by the user.
• [Original File Path Folder] The parent folder of the original file path accessed by the user.
• [Admin Email] The administrator email recipient list.
• [Data Owner Email] The data owner’s email recipient list.

The Enable users to request assistance check box enables the email functionality to help with dynamic access control.

The second field, Add the following text to the end of the email, allows you to put a suffix onto the emails that are sent regarding the access request.

For both the first and second text fields, a blank line on its own is not accepted as input. If you insert a carriage return and no other text, you will see the following error when trying to click OK.

Fortunately, a simple way to enable spaced formatting is to use a single space as the line input instead.

The next section deals with email settings. You can configure a Folder Owner and File Server Administrator email recipient. You can also specify additional recipients as well.

Finally, you can choose whether to include either device (device information) and/or user claims (user information) in the email. There’s also the option to log the emails in the event logs, which is useful for troubleshooting.

Link the configured GPO to the OUs where the file server and the clients that access the file server exist.

Enable access-denied assistance on the client for all file types

This second GPO setting simply needs to be set to Enabled. This setting is specifically for the client end and must be set directly via GPO or in the image. The clients must be at least Windows 8 or Server 2012 for this functionality to work.

Customize via File Server Resource Manager

The first set of GPO settings can, if you wish, be configured directly on the file server itself via File Server Resource Manager. Once installed, File Server Resource Manager can be run by opening Server Manager and choosing File Server Resource Manager from the Tools menu.

Once it launches, right-click File Server Resource Manager and choose Configure Options, as shown below.

On the Access-Denied Assistance tab, you can configure much the same set of options as specified in the GPO section.

Click the Configure email requests button to access the additional options mentioned in the GPO section.

Email configuration

One aspect that can only be configured directly from File Server Resource Manager is the email configuration. This should be done in addition to the GPO settings. The configuration is done on the Email Notifications tab.

Note that the email settings currently require an open relay. There is no way to provide authentication settings within the FSRM console. In an ideal world, it would be better to allow an authenticated connection, but for now, if you can’t use an open relay, there are a few options:

• Configure a server in your domain with IIS, and make it an open relay. It can then forward the mail with an authenticated account to some other service.
• Install a program like hmail and use it as the open relay to an authenticated account.
• Configure an account in your own email system (if you have one) to not require authentication.

Once this is configured, you can click the Send Test Email button to verify that everything is working correctly for dynamic access control.

Testing

Once the server and client are configured in this way, you can try setting up a file share and denying your test user access so you can see what the custom error message looks like.

Hopefully, you can configure this custom error message so that your users can contact the folder owner and/or file server administrator to provide access without them having to generate helpdesk calls.

Вместе с Dynamic Access Control в Windows Server 2012 появился интересный функционал, призванный облегчить разрешение проблем с доступом пользователей к файловым ресурсам. Этот функционал имеет название Access Denied Assistance, или помощь при отказе в доступе.

Стандартное сообщение, которое выдается пользователю при отказе в доступе, довольно неинформативно и не дает представления о том, что делать дальше. Получив такое сообщение, пользователь должен найти администратора, отвечающего за доступы и внятно объяснить, кто он такой, куда ему нужен доступ, и, главное, почему этот доступ должен быть ему предоставлен.

По опыту скажу, что у некоторых пользователей вызывает затруднение даже назвать свое имя пользователя, поэтому выяснение подробностей может занять немало времени. Кроме того, решение о предоставлении доступа, как правило, не входит в компетенцию системного администратора, за этим надо обращаться к владельцу ресурса. Процесс предоставления доступа затягивается, а в результате мы получаем недовольного пользователя и загруженного бесполезной работой администратора.

Access Denied Assistance как раз предназначен для разрешения подобных проблем. Он активируется на файловом сервере, и когда пользователь пытается получить доступ к ресурсу, ему будет показано специальное диалоговое окно, в котором можно запросить разрешение на доступ. Microsoft описывает несколько вариантов решения проблемы с доступом:

• Self-assistance (Помоги себе сам) — в этом варианте в окне содержится пошаговое описание процедуры получения доступа. Пользуясь этой информацией, пользователь самостоятельно запрашивает доступ к ресурсу;
• Assistance by the data owner (Помощь владельца ресурса) —  в этом случае отправляется уведомление владельцу файлового ресурса. Владелец принимает решение о предоставлении доступа и либо сам предоставляет соответствующие разрешения, либо обращается за помощью к администратору;
• Assistance by the server administrator (Помощь администратора сервера) — в том случае, если пользователь не смог решить проблему ни сам, ни с помощью владельца, можно настроить отправку сообщения администратору сервера.

Предварительные требования

Для включения Access Denied Assistance необходим файловый сервер Windows Server 2012 с установленными ролями File Server и File Server Resource Manager.

Для настройки Access Denied Assistance есть два способа — распространить настройки на все файловые сервера с помощью групповых политик либо произвести настройку каждого сервера отдельно из оснастки FSRM.

Групповые политики

Создаем новый объект групповой политики (или берем существующий) и открываем его в редакторе. Переходим в раздел Computer ConfigurationPoliciesAdministrative TemplateSystemAccess-Denied-Assistance, в котором находятся две политики:

1) Enable access-denied assistance on client for all file types — форсирует использование Access Denied Assistance на клиентской стороне, надо просто включить;
2) Customize message for Access Denied errors — отвечает за настройки Access Denied Assistance на файловых серверах, к которым применена данная политика.

Для настройки «Customize message for Access Denied errors» переводим ее в Enabled. Затем отмечаем чекбокс «Enable users to request assistance» и набираем текст, который увидит пользователь при отказе в доступе. Для удобства в тексте можно использовать специальные макросы:

[Original File Path] — путь к файлу;
[Original File Path Folder] — путь к родительской папке;
[Admin Email] — email администратора ресурса;
[Data Owner Email] — email владельца ресурса.

Должно получиться что то вроде: ″При проблеме с доступом к [Original File Path] обратитесь к администратору по адресу [Admin Email]″.

В разделе Email recipients указываем получателей сообщения. Можно выбрать владельца ресурса (Folder owner), администратора сервера (File server administrator), либо вручную ввести необходимые адреса email в поле «Additional recipients».

И в разделе Email Settings указываем, нужно ли включать в письмо утверждения для пользователей и устройств, а также надо ли делать соответствующие записи в системном журнале.

Созданные настройки надо применить к файловым серверам и к клиентским компьютерам. Тут есть выбор — создать один GPO и прилинковать его ко всему домену, или разнести  клиентские и серверные настройки по разным GPO и применять их к различным OU.

И еще. Для того, чтобы файловые сервера смогли отправлять почтовые сообщения, на них также необходимо произвести некоторые настройки. Для этого зайдем на сервер и выполним следующую команду PowerShell:

Set-FSRMSetting -SMTPServer ″mail.contoso.com″ -AdminEmailAddress ″admin@contoso.com″ -FromEmailAddress ″fsrm@contoso.com″

В этой команде мы указываем SMTP сервер mail.contoso.com, адрес администратора сервера admin@contoso.com и адрес отправителя fsrm@contoso.com.

Оснастка File System Resource Manager

Если вы хотите использовать для каждого сервера индивидуальные настройки, то можно воспользоваться оснасткой File System Resource Manager.

Для ее открытия надо нажать Win+R и ввести команду fsrm.msc (или из меню Tools в Server Manager). Открыв оснастку, кликаем правой клавишей на основном разделе и выбираем пункт Configure Options.

Переходим на вкладку Access-Denied Assistance, отмечаем чекбокс «Enable access-denied assistance» и вводим текст сообщения для пользователя. При составлении текста также можно использовать макросы, а внизу есть кнопка Preview, нажав которую можно посмотреть получившееся сообщение.

Затем жмем кнопку «Configure email requests», отмечаем чекбокс «Enable users to request assistance» и настраиваем дополнительные параметры: какую информацию надо включать в запрос, кому отправлять сообщение и надо ли делать запись о событии в системный журнал.

Теперь остается настроить параметры отправки почтовых сообщений. Это можно сделать как уже знакомой нам командой PowerShell, так и из оснастки FSRM. Переходим на вкладку Email Notifications и указываем SMTP сервер, который будет отправлять сообщение, а также адрес администратора сервера и адрес отправителя по умолчанию.

Для проверки можно воспользоваться кнопкой «Send Test Email». Если все данные были введены правильно, то на адрес администратора сервера будет отправлено тестовое сообщение.

После настройки Access Denied Assistance пользователь, не имеющий разрешений на доступ к ресурсу, получит вот такое сообщение. Как видите, теперь его не просто посылают на к администратору, а дают возможность самостоятельно запросить помощь по email либо воспользоваться запросом о помощи.

При нажатии на запрос помощи открывается форма, в которой пользователь может указать причину, по которой ему нужен доступ, и отправить сообщение администратору или владельцу ресурса (или обоим, в зависимости от настроек).

А вот так выглядит сообщение, полученное администратором сервера. В нем содержится вся необходимая информация: путь к ресурсу, имя пользователя и его текущие разрешения, утверждения для пользователя и устройства и описание проблемы самим пользователем. Все это поможет оперативно принять решение о предоставлении доступа.

По моему очень удобно, причем как для пользователя так и для администратора. А теперь о грустном 🙁 . Помощь при отказе в доступе работает только в том случае, если в качестве клиентской ОС используется Windows 8. Пользователи Windows 7 или XP увидят стандартное сообщение об ошибке, независимо от настроек на сервере. Впрочем, это еще один повод перейти на Windows 8.

Back to top button

Today, in this article, we will discuss the way to Customize Access Denied Message in Windows 10 and 11. In many cases, administrators keep the use of Windows 10 restricted to some extent for certain users or user-categories. When a user tries to get access to the files for which they are restricted, they will get an error message stating denied access. Or, they may see a message instructing them to contact the administrator to gain access.

This is to prevent them from accessing important files or folders on the system without explicit permissions. Such restrictions are often necessary because changes made by those users could potentially affect the stability and performance of the system.

The ability to control the level of access that users have in a system is definitely an important factor in a huge corporate system. Not just for Enterprises, but this control can be handy for even Home versions which have multiple user accounts set up.

Windows 10 has a setting to manage and customize the access denied message for all possible content and resource available on the system.

This option is available in the Windows Group Policy Editor. Here are the steps you need to follow for managing the access denied message:

Step-1: Press Win logo + R keys to open Run dialog box. Type in gpedit.msc and click OK to continue.

Step-2: Once you access Group Policy Editor, navigate to the path mentioned below.

Computer Configuration => Administrative Templates => System => Access-Denied Assistance

Step-3: Switch to the right pane of Access-Denied Assistance. Here, double-click the policy namely Customize message for Access Denied errors.

Step-4: When the policy window opens up, select Enabled radio button.

Step-5: After you enable this policy, you will be able to create a custom message. Go to the ‘Display the following message to users who are denied access’ section at the lower left side of the window. So, type a denial note as per preference. The system will display this very message when any user tries to access the restricted content.

Step-6: Moving ahead, you can also set up the additional parameters. Checkmark the box Enable users to request assistance. Doing so will provide the users with the ability to send an email request to access the specific file or folder for which they were denied.

Step-7: Next insert your customizable text in the box below the option Add the following text to the end of the email.

More about the policy

When you Customize Access Denied Message in Windows 11 or 10, you can see the guideline and description that Microsoft shares about the policy.

The description states that this group policy, when enabled, allows you to display customize access denied message to the user. It can include additional links or texts. Also, you will be able to let the user contact the administrator by sending an email requesting access to a folder or file.

If you disable this policy, the system will display the standard message for access denied. This eliminates any functionality offered by this policy set-up. You should note this if you have already set up any restrictions or if you are planning to do so.

The access denied message customization policy was brought out far back, with Windows 8 and is available in other versions including Windows Server 2012, Windows RT, etc.

Note that you must enable restricted access before you enable this policy.

• Go to the above-mentioned location (Computer Configuration => Administrative Templates => System => Access-Denied Assistance).
• On the right side, find and double-click the other policy “Enable access-denied assistance on client for all file types”.
• Choose Enabled option. Click Apply and OK.

That’s all!

For each policy rule, you can create a custom access denied error message that displays when users attempt to sign in and fail because their credentials are invalid.

Procedure

1. In the VMware Identity Manager console Identity & Access Management tab, select Manage > Policies.
2. Select the access policy to edit.
3. Click Edit and then Next.
4. Select the rule to edit.
5. Click Advanced Properties and in the Custom Error Message text box, type the error message.
6. To add a link to a URL, in the Custom Error Link text text box enter the message to display as the link that sends users to another screen when authentication fails.

   The link is displayed at the end of the custom message. If you do not add a message in the Link text box but add a URL, the link that displays is

   Continue.

7. In the Custom Error Link URL text box, enter the URL.
8. Click Save and then click Next and click Save again.

Published by Patrick Gruenauer

Microsoft MVP on PowerShell [2018-2023], IT-Trainer, IT-Consultant, MCSE: Cloud Platform and Infrastructure, Cisco Certified Academy Instructor.
View all posts by Patrick Gruenauer

Introduction

Hello,
We offer our articles about another Group Policy content. Group Policy Assistance as mentioned this feature, our Microsoft’s Directory Service structure since the start, against our faulty we do some operations that appear in «Access Denied», «You dont have
permission for this process» as some of the messages contain. And we are system administrators, especially in the authorization and program installation folder too are faced with this error stages can say. So, in which case we encounter this error a look.

Requirements

This policy, because it contains email feature, SMTP Server must be installed on the server.

Access Denied Errors

Derived from File System Error Messages

Services Error Messages

Internet-based Error Messages

Access-Denied Assistance Function

Task of this policy, we will prepare your own show error messages on the user side, we have identified further again to authorized persons, users real-time as they encounter this error is sending an email.

Group Policy — Access Denied Assistance

This policy is a Computer Configuration rules. Therefore, if we want to apply the rule, we have two major way:

1- Message we want to get out of the computers in an OU gathered under the rules of the OU method to define and implement the Block Policy   Inheritance.
2- These rules apply on the Default Domain Policy.

Practice

Computer Configuration — Administrative Templates — System — Access-Denied Assistance
watching the road and we reach the below screen:

Enable access-denied assistance on client for all file types : The client extensions for all files on the computer activates the message means. The first condition for the operation of our protocol, this setting is set to Enable.

Customise message for Access Denied errors: This section is the part privatisation of error messages.

Display the following message to users who are denied access : It
is an error message will show the end-user side. 
Enable users to request assistance : Goes to the admin side of the paper is to be seen
in the mail.

Folder owner : Folder associated with an access authorization if there is an error, the folder
owner has the authority sends the user an email.
File server administrator : Configure
the File Server role on Server 2012 send an email to the user.
Additional recipients : We will send e-mail to determine the extra users. In this section
«;» with more than one email address can be added.
Include device claims : In e-mail to admin side device sends a request for authorization.
Include user claims : Admin side sends the user authorization request.
Log emails in Application and Services event log : These operations saves in the Event Viewer
logs.

MS Technet readers and members, 
We have come to the end of the article. Wishing to appear in our later writings.

Thanks