NTFS Taşı / Kopyala tasarım kusuru nasıl giderilir?

Dosya sunucusu izinleriyle ilgilenen herkesin bildiği gibi, NTFS'nin Taşı / Kopyala sorunu olarak bilinen ilginç bir tasarım özelliği / kusuru vardır.

Bu MS KB makalesinde açıklandığı gibi , bir klasör veya dosyanın izinleri, klasör taşındığında ve kaynak ve hedef aynı NTFS birimindeyse otomatik olarak üst öğeden devralmaz. Klasör kopyalanırsa veya kaynak ve hedef farklı birimlerdeyse izinler devralınır.

İşte hızlı bir örnek:

"Teknisyenler" ve "Yöneticiler" adlı aynı NTFS biriminde iki paylaşılan klasörünüz var. Teknisyenler grubunun Teknisyenler klasörüne RW erişimi ve Yöneticiler grubunun "Yöneticiler" klasörüne RW erişimi vardır. Birinin her ikisine de erişimi varsa ve bir alt klasörü "Yöneticiler" klasöründen "Teknisyenler" klasörüne taşırsa, taşınan klasöre yalnızca "Yöneticiler" grubundaki kullanıcılar tarafından erişilebilir. "Teknisyenler" grubu, "Teknisyenler" klasörü altında olmasına rağmen alt klasöre erişemez ve üstünden izin devralması gerekir.

Tahmin edebileceğiniz gibi, bu, kullanıcılar sık ​​sık farklı güvenli klasörler / alanlar arasında klasörleri taşırken, son kullanıcılar ile ilişkili olan izinler sıçanları yuvalarına değinmek yerine, bu son kullanıcı sorunlarını çözme konusunda destek çağrılarına, biletlere ve boşa harcanan çevrimlere neden olur. Aynı hacim.

Sorular:

Bu NTFS tasarım kusurunu gidermenin en iyi yolu nedir ve bunu ortamınızda nasıl kullanıyorsunuz?

Bağlantılı KB makalesinin Windows Gezgini'nin varsayılan davranışını değiştirmek için bazı kayıt defteri anahtarları hakkında konuştuğunu biliyorum, ancak bunlar istemci tarafındadır ve kullanıcıların, çoğu ortamda düşündüğüm izinleri değiştirme yeteneğine sahip olmalarını gerektirir. dosya sunucusu izinleriniz (ve bir sysadmin olarak akıl sağlığınız) üzerinde kontrol sahibi olmak istiyorum.

Benim yaklaşımım dosya / dizin düzeyinde dosya izinlerini kullanmamak; dosya paylaşımı düzeyindeki izinleri kullanın ve tüm sunucu dosya sistemi veri sürücüsünü Everyone Full Control (çok çeker) olarak ayarlayın.

Yıllar geçtikçe (10+), NTFS izinlerinin daha karmaşık olduğunu ve daha fazla hataya yol açtığını buldum. İzinler yanlış ayarlanırsa veya miras bozulursa, verileri ve onu bulmak ve görmek zordur. Ayrıca, dediğiniz gibi taşıma / kopyalama sorununa maruz kalıyorsunuz.

Dizin / dosya düzeyinde ACL'leri kullanmanız gereken yerler; Bir şeyi düzenli olarak kontrol etmenin sağlıktan başka bir çözümü olmadığını biliyorum.

Aslında bu bir kusur değil. Dosyaları taşırken izinlerin ele alınmasıyla ilgili bu kural, NT3.1'in en az 2 beta sürümünden beri kullanılmasına rağmen (açıkça yalnızca Windows 2000 ile eklenmiş olduğu gibi miras). Windows'un herhangi bir özelliği olabileceği kadar iyi bilinmektedir. Görüşünüz için size çok fazla sempati duyuyorum, çünkü bununla bir aşamada yakılmayan birkaç kişi olabilir. Fakat bu, sysadmin'in çabucak öğrendiği bir şey.

JR

NT 3.51'den beri NTFS kullanıyoruz ve bu "sorunu" görmüş olsak da (hemen hemen herkesin olduğu gibi) bize fazla sorun yaratmadı:

• İnsanlara her zaman paylaşılan bir dizinden diğerine taşımaları gerektiğinde dosyaları kopyalamasını söyleriz. "Sürüklerken CTRL tuşunu basılı tutun ve küçük + işaretinin gösterildiğinden emin olun", ortak bir cümledir.
• Paylaşılan klasörlerimiz oldukça basit bir yapıya sahiptir ve oluşturduğumuz paylaşılan klasörler gruplar arasında çok sık geçiş yapmaz, bu nedenle insanların dosyaları ilk etapta kopyalamak istemeleri daha muhtemeldir.
• Sorunu çoğunlukla "ortak" alanımızda görüyoruz - herkesin okuyabileceği / yazabileceği klasörler, ancak bu dizinler çoğunlukla kısa ömürlüdür, bu yüzden sorun temizlendiğinde ortadan kalkar.

Düşünebileceğim geçici çözümler:

• Farklı izinlere sahip klasörleri farklı NTFS birimleri üzerinde yapmanın bir yolunu bulmak
• Klasörlerden geçen ve tüm izinleri en üst seviyedekilerle aynı olacak şekilde sıfırlayan zamanlanmış bir görev yapın (destek isteklerinin sıklığına bağlı olarak günde bir kez veya günde bir kez). Bu, idealden daha az, daha çok, eğer klasörlerin içinde çok sayıda dosya varsa, ancak sunucu tarafı kayıt defteri düzeltmesi gibi iyi bir çözüm yoksa, sorunu sabit tutacak bir şeydir. Bakmak isteyeceğiniz komut, daha sonra bir toplu iş dosyasına ekleyebileceğiniz 'cacls' olarak adlandırılır.

Feragatname - Bir unix arkaplanından geliyorum (ve farklı izin kusurlarını düzeltmek için sonuncuyu uyguladım - bu çok zorlu ama iş yapıyor);

Yönetici olarak taşınırken xcopy / s / e / c / h / r / k / y - dosya mülkiyeti ve ACL dışında kalan her şeyi kullanırım, yani ACL devralmanın otomatik olarak devreye girdiği anlamına gelir. olsa taşınmış şeyler.

Karmaşık izinleri takip etmek için grup politikası / güvenlik ilkeleri / dosya sistemi kullanıyorum. (Politikada "izinleri değiştir" seçeneğini ASLA kullanmayın).

Gece boyunca tüm izinleri sıfırlamak ve ardından politikanın iznini yeniden uygulamak için bir gpupdate / force tarafından bir CACLS programlayın. ÇALIŞIYOR bir cazibe gibi.

Windows 7'den (veya belki de Windows Vista'dan beri), bir klasör veya dosyanın izinleri DO, klasör taşınırsa ve kaynak ve hedef aynı NTFS birimindeyken üst öğeden devralır - bir dosya veya klasör Gezgin aracılığıyla kopyalanıyorsa. Daha önceki bir işletim sisteminde Uzak yönetici kullanabilirsiniz - hedeften izin devralmayı sağlar (diğer birçok özellik ile birlikte). Uzak bir genel kullanıcı için kolay görünmese de.

Çok basit bir geçici çözüm sadece dosyaları sıkıştırmak ve hedef dizine açmaktır.