Jak każdy, kto miał do czynienia z uprawnieniami serwera plików, jest świadomy, NTFS ma interesującą funkcję / wadę projektową zwaną problemem przenoszenia / kopiowania.
Jak wyjaśniono w tym artykule MS KB , uprawnienia do folderu lub pliku nie dziedziczą automatycznie po rodzicu, jeśli folder zostanie przeniesiony, a źródło i miejsce docelowe znajdują się na tym samym woluminie NTFS. Uprawnienia są dziedziczone, jeśli folder jest kopiowany lub jeśli źródło i miejsce docelowe znajdują się na różnych woluminach.
Oto szybki przykład:
Masz dwa foldery współdzielone na tym samym woluminie NTFS o nazwie „Technicy” i „Menedżerowie”. Grupa Techników ma dostęp RW do folderu Techników, a grupa Menedżerów ma dostęp RW do folderu „Menedżerowie”. Jeśli ktoś ma dostęp do obu i przenosi podfolder z folderu „Menedżerowie” do folderu „Technicy”, przeniesiony folder jest nadal dostępny tylko dla użytkowników z grupy „Menedżerowie”. Grupa „Techników” nie może uzyskać dostępu do podfolderu, nawet jeśli znajduje się on w folderze „Techników” i powinna dziedziczyć uprawnienia z góry.
Jak możesz sobie wyobrazić, powoduje to połączenia z pomocą techniczną, bilety i zmarnowane cykle przy rozwiązywaniu tych problemów użytkowników końcowych, nie wspominając o gnieździe szczurów uprawnień, które możesz uzyskać, jeśli użytkownicy często przenoszą foldery między różnymi zabezpieczonymi folderami / obszarem na ten sam wolumen.
Pytania są następujące:
Jaki jest najlepszy sposób obejścia tej wady projektu NTFS i jak sobie z nią radzisz w swoim środowisku?
Wiem, że połączony artykuł KB mówi o niektórych kluczach rejestru w celu zmiany domyślnego zachowania Eksploratora Windows, ale są one po stronie klienta i wymaga od użytkowników możliwości zmiany uprawnień, które moim zdaniem w większości środowisk nie są uruchamiane, jeśli chcesz zachować kontrolę nad uprawnieniami serwera plików (i rozsądkiem jako administrator systemu).
źródło
Odpowiedzi:
Moje podejście polega na tym, aby nie używać uprawnień do plików na poziomie plików / katalogów; użyj uprawnień na poziomie udziału plików i ustaw dysk danych całego systemu plików serwera na Wszyscy w pełnej kontroli (który staje się dyskusyjny).
Przez lata (10+) odkryłem, że uprawnienia NTFS są bardziej złożone i prowadzą do większej liczby błędów. Jeśli uprawnienia są ustawione nieprawidłowo lub dziedziczenie zostanie zerwane, narażasz dane i trudno je znaleźć i zobaczyć. Ponadto jesteś narażony na problem z przenoszeniem / kopiowaniem, jak mówisz.
Miejsca, w których należy używać list ACL na poziomie katalogu / pliku; Nie znam innego rozwiązania niż regularne sprawdzanie stanu zdrowia.
źródło
To nie jest wada. Ta reguła obsługi uprawnień podczas przenoszenia plików obowiązuje od co najmniej wersji beta 2 NT3.1 (choć oczywiście nie jest to dziedziczenie, ponieważ dodano ją tylko w systemie Windows 2000). Jest to tak dobrze znana jak każda funkcja systemu Windows. Mam wiele współczucia dla twojego poglądu, ponieważ może być niewielu z nas, którzy nie zostali spaleni przez to na jednym etapie. Ale sysadmin szybko się tego uczy.
JR
źródło
Używamy NTFS od NT 3.51 i chociaż widzieliśmy ten „problem” (jak prawie wszyscy), nie przysporzyło nam to większych problemów:
źródło
Obejścia, o których mogę myśleć:
Zastrzeżenie - pochodzę z uniksowego środowiska (i zaimplementowałem ten ostatni, aby naprawić różne błędy uprawnień - wydaje się to trudne, ale spełnia swoje zadanie), więc może być znacznie lepsza poprawka.
źródło
Przenosząc się jako administrator korzystam z xcopy / s / e / c / h / r / k / y - wszystko oprócz własności pliku i listy ACL, co oznacza, że automatycznie rozpoczyna się dziedziczenie listy ACL. Nigdy tak naprawdę nie miałem do czynienia z sytuacją, w której użytkownik przeniesione rzeczy.
źródło
Korzystam z zasad grupy / zasad bezpieczeństwa / systemu plików, aby śledzić skomplikowane uprawnienia. (NIGDY nie używaj „zastępuj uprawnienia” w polityce).
Zaplanuj CACLS, aby zresetował wszystkie uprawnienia w nocy, a następnie gpupdate / force, aby ponownie zastosować pozwolenie z zasad. Działa jak marzenie.
źródło
Od Windows 7 (a może Windows Vista) uprawnienia do folderu lub pliku dziedziczą od rodzica, jeśli folder zostanie przeniesiony, a źródło i miejsce docelowe znajdują się na tym samym woluminie NTFS - jeśli plik lub folder jest kopiowany za pomocą Eksploratora. We wcześniejszym systemie operacyjnym możesz używać Far managera - pozwala włączyć dziedziczenie uprawnień z miejsca docelowego (wraz z mnóstwem innych funkcji). Chociaż Far może wydawać się nieprzyjazny dla ogólnego użytkownika.
źródło
Bardzo prostym obejściem jest po prostu skompresowanie plików i rozpakowanie ich do katalogu docelowego.
źródło