Як вирішити ваду дизайну NTFS Move / Copy?

Як відомо всім, хто має справу з дозволами на файловий сервер, NTFS має цікаву функцію / недолік дизайну, відому як проблема "Переміщення / Копіювання".

Як пояснено в цій статті MS KB , дозволи для папки або файлу не успадковуються автоматично від батьків, якщо папка переміщена, а джерело та місце призначення мають однаковий обсяг NTFS. Дозволи мають бути успадковані, якщо папка скопійована або якщо джерело та призначення мають різні томи.

Ось короткий приклад:

У вас є дві спільні папки на тому ж томі NTFS, які називаються "Техніки" та "Менеджери". Група Техніків має доступ RW до папки "Техніки", а Група менеджерів - доступ RW до папки "Менеджери". Якщо хтось має доступ до обох, і вони переміщують підпапку з папки "Менеджери" в папку "Техніки", переміщена папка все ще доступна лише користувачам групи "Менеджери". Група "Техніки" не може отримати доступ до підпапки, навіть якщо вона знаходиться в папці "Техніки" і повинна успадковувати дозволи зверху.

Як ви можете собі уявити, це спричиняє дзвінки з підтримкою, квитки та витрачені цикли на вирішення цих проблем з кінцевим користувачем, не кажучи вже про щурів, що містяться дозволів, до яких можна дійти, якщо користувачі часто переміщують папки між різними захищеними папками / областями на той же обсяг.

Питання:

Який найкращий спосіб подолати цю ваду дизайну NTFS і як ви працюєте з нею у своєму оточенні?

Я знаю, що пов'язана стаття KB розповідає про деякі ключі реєстру, щоб змінити поведінку Windows Explorer за замовчуванням, але вони є клієнтськими і вимагає, щоб користувачі мали можливість змінювати дозволи, які, на мою думку, у більшості середовищ є нестартерними, якщо ви хочете зберегти контроль над дозволами вашого файлового сервера (і над вашим розумом як sysadmin).

Мій підхід полягає в тому, щоб не використовувати дозволу на файли / каталоги на рівні файлів; використовувати дозволи дозволу на загальний доступ до файлів та встановити диск для всієї файлової системи сервера на повний контроль для кожного (який стає суперечливим).

Протягом багатьох років (10+) я виявив, що дозволи NTFS є складнішими і призводять до більшої кількості помилок. Якщо дозволи встановлені неправильно, або спадщина порушена, ви виставляєте дані та їх важко знайти та побачити. Крім того, ви піддаєтеся проблемі переміщення / копіювання, як ви кажете.

Місця, де вам потрібно використовувати ACL рівня каталогу / файлу; Мені невідомо іншого рішення, крім того, як здоров'я перевіряють річ на регулярній основі.

Ну це насправді не вада. Це правило для обробки дозволів при переміщенні файлів діє з принаймні бета-версії 2 NT3.1 (хоча, очевидно, не спадкування, оскільки це було додано лише в Windows 2000). Це приблизно так добре відома, як будь-яка функція Windows. Я дуже симпатизую вашому погляду, оскільки нас може бути небагато, кого це не спалило на одному етапі. Але це щось, що сисадмін швидко засвоює.

JR

Ми використовуємо NTFS з NT 3.51, і хоча ми бачили цю "проблему" (як і майже всі), вона не доставила нам великих проблем:

• Ми завжди кажемо людям копіювати файли, якщо їм потрібно перемістити їх з одного спільного каталогу в інший. "Утримуючи клавішу CTRL під час перетягування та переконайтеся, що показник + відображається", - це поширена фраза.
• Наші спільні папки мають досить просту структуру, і спільні папки, які ми створюємо, не часто перетинаються між групами, тому люди, швидше за все, хочуть копіювати файли.
• Проблему ми бачимо здебільшого в нашому "загальному" просторі - папках, де кожен може читати / писати, але ці каталоги в основному нетривалі, тому проблема зникає після їх очищення.

Обхідні шляхи, про які я можу придумати:

• знайти певний спосіб зробити теки з різними дозволами на різних томах NTFS
• Зробіть заплановане завдання (раз на годину або один раз на день, залежно від частоти запитів на підтримку), яке проходить через папки та скидає всі дозволи, щоб вони були такими ж, як у верхнього рівня. Це менше, ніж ідеально, тим більше, що в папках є багато файлів, але це щось, що дозволило б усунути проблему, якщо немає хорошого рішення, наприклад, виправлення реєстру на стороні сервера. Команда, яку ви хочете подивитися, називається "cacls", яку ви можете потім додати до пакетного файлу.

Відмова від відповідальності - я надходжу з фонових зображень Unix (і впровадив останній, щоб виправити різні недоліки дозволів - він відчуває себе хитким, але виконує роботу), тому може бути набагато краще виправлення.

Під час переміщення як адміністратор я використовую xcopy / s / e / c / h / r / k / y - все окрім власності на файл та ACL, що означає, що спадщина ACL автоматично починається. Ніколи насправді не доводилося стикатися з ситуацією, коли користувач хоч речі перенесли.

Я використовую групову політику / політику безпеки / файлову систему для відстеження складних дозволів. (НІКОЛИ не використовуйте "замінити дозволи" в політиці).

Сплануйте CACLS, щоб скинути весь дозвіл протягом ночі з подальшим gpupdate / force для повторного застосування дозволу з політики. Працює як шарм.

Оскільки Windows 7 (або, можливо, Windows Vista), дозволи для папки чи файлу DO успадковуються від батьків, якщо папка переміщена, а джерело та призначення мають той самий обсяг NTFS - якщо файл чи папка копіюється через Провідник. У більш ранній ОС ви можете використовувати менеджер Far - це дозволяє включити успадкування дозволів з пункту призначення (разом з тоннами інших функцій). Хоча Далеке може здатися непривабливим для загального користувача.

Дуже просте вирішення полягає в тому, щоб просто зафіксувати файли та розпакувати їх до каталогу призначення.