DFS çoğaltma ve SYSTEM kullanıcısı (NTFS izinleri)

10

Google veya Technet'te yanıt bulma konusunda sorun yaşadığım soru ...

SYSTEMDFS paylaşılan dosya ve klasörlerine kullanıcı izinleri verilmesinin DFS çoğaltma üzerinde herhangi bir etkisi var mı? (Ve işteyken, DFS tarafından paylaşılan dosyalara izin verilmemesinin iyi bir nedeni SYSTEMvar mı?)

Başka birisinin sorununu çözemediğim bir DFS ad alanları ve klasörleri koleksiyonum var ve bir DFS çoğaltmasının fark edilebilir bir nedenden ötürü başka biriyle çoğaltılmadığı bir sorunu giderirken, SYSTEMhesabın, söz konusu klasördeki dosya veya klasörlerin hiçbirine izin verilmedi.

Bu yüzden SYSTEMtam kontrole sahip olmayı ayarladım ve dağıttım ve DFS sağlık teşhis raporlarımız ~ 80 dosyadan oluşan bir birikmiş işten ~ 100.000'lik bir biriktirmeye gösterildi ... ve eksik olan bir dizi dosya da dahil olmak üzere işler çoğalmaya başladı bir sunucuda veya diğerinde (yalnızca izin değişiklikleri çoğaltmaya başladığı kadar).

Doğal olarak bu, DFS'nin SYSTEMhesabını işini yapmak için izinlere sahip olup olmayacağını veya DFS'nin eyleme geçmesini isteyen klasör ağacında herhangi bir değişiklik olup olmadığını merak etmemi sağladı. Önemliyse, DFS ad alanlarımız 2000/2003 altında kuruldu ve kısa bir süre önce tüm sunucuları 2008 R2 veya 2012'ye yükseltmeyi bitirdim (UAC etkin, blech ile), ancak henüz DFS ad alanını işlevsel hale getirmeye gelmedim Server 2008'e yükseltilir.

(Ve herhangi birinin NTFS dosya izinleri ve SYSTEMDFS veya ağ dosyalarıyla ilgili hesap hakkında resmi bir Microsoft makalesi varsa bonus puanları .)

file-permissions  dfs 
HopelessN00b
kaynak
Sunucuları yükselttiğinizde, FRS'den DFS'ye geçiş kılavuzunu izlediniz mi? microsoft.com/tr-tr/download/confirmation.aspx?id=580
Rex
@Rex FRS yapmadım -> DFS geçişi ve herhangi bir kılavuzun, en iyi uygulamaların sağduyulu veya rasyonel düşüncenin muhtemelen takip edilmediğini söylemek için bir tahminde bulunabilirim, ancak DFS'yi kullanıyoruz (aksine FRS) oldukça uzun bir süre. Bu kadar kötü çalışmasının nedeninin başlangıçta kurulduğu ve taşındığı yoldan kaynaklandığından şüphe duymuyorum. Söz konusu yükseltme , bir FRS -> DFS yükseltmesi değil , bir ad alanı sürümü yükseltmesiydi. Şimdi atlanan kelimeyi düzeltirim.
HopelessN00b
2000/2003 altında DFS'de herhangi bir çoğaltma yapıyorsanız, çoğaltmayı yapmak için FRS kullanıyor olurdu. DFS çoğaltması için DFS-R, 2003 R2'ye kadar mevcut değildi. 2008 R2'deki DFS artık çoğaltma için FRS'yi desteklemez ve tüm sunucuları 2003 R2'ye (veya daha yenisine) yükseltmediyseniz ve çoğaltma için DFS-R'ye geçmedikçe 2008 R2 sunucuları eski 2003 tabanlı DFS ad alanlarıyla çoğaltılamaz.
Rex

Yanıtlar:

9

Technet'teki bu konu SYSTEM'in tam kontrole ihtiyacı olduğunu söylüyor. Ancak çok resmi bir kaynak değil ve daha ileri testler bunun yanlış olduğunu kanıtlıyor .

DFS Çoğaltma Hizmeti

Process Explorer ile Server 2008R2 makinemdeki DFS hizmetlerine baktım. Dağıtılmış Dosya Sistemi Çoğaltma hizmeti olan dfsrs.exe, "NT Authority \ SYSTEM" olarak çalışır. Ancak, SeBackupPrivilege ve SeRestorePrivilege vardır :

Dfsrs.exe izinlerinin ekran görüntüsü

Microsoft Ayrıcalık Sabitlerinden :

SeBackupPrivilege - Yedekleme işlemlerini gerçekleştirmek için gereklidir . Bu ayrıcalık, dosya için belirtilen erişim denetim listesine (ACL) bakılmaksızın, sistemin tüm okuma erişim denetimini herhangi bir dosyaya vermesine neden olur. Okuma dışında herhangi bir erişim isteği yine de EKL ile değerlendirilir. 3

SeRestorePrivilege - Geri yükleme işlemlerini gerçekleştirmek için gereklidir . Bu ayrıcalık, dosya için belirtilen ACL'den bağımsız olarak, sistemin tüm yazma erişim denetimini herhangi bir dosyaya vermesine neden olur. Yazma dışında herhangi bir erişim isteği yine de ACL ile değerlendirilir. Ayrıca, bu ayrıcalık, geçerli herhangi bir kullanıcı veya grup SID'sini dosyanın sahibi olarak ayarlamanızı sağlar.

Bu izinlerle, DFS Çoğaltma Hizmeti dosya izinlerini yok sayabilir - hoşuna giden herhangi bir dosyayı okuma, yazma ve ayarlama izinleri verilir.

Test yapmak

DFS paylaşımlarımdan birinde birkaç dosya bulunan bir klasör oluşturdum, hesabımı sahip olarak ayarladım ve hesabım dışındaki tüm izinleri kaldırdım.

DFS, sorunu diğer tüm sunuculara sorunsuz olarak çoğalttı ve tüm kopyaların izinleri aynı.

Bu nedenle, DFS çoğaltma için herhangi bir dosya sistemi iznine bağlı değildir.

Durumunuzda, dosyalarda herhangi bir değişiklik yapmanın DFS'nin uyanmasına ve çoğaltılması gerektiğini görmesine neden olabileceğinden şüpheleniyorum. İlk etapta bu duruma neyin sebep olabileceği hakkında hiçbir fikrim yok.

hibe
kaynak
1
Mükemmel cevap. 5 gün içinde onay işaretini ve ödülünü vereceğim, birisinin gelip bunun üstesinden gelme şansı.
Umutsuz N00b
2
Dangit, yazımda bir resim kullanmalıydım! :(
3

Microsoft'un bu makalesine göre http://support.microsoft.com/kb/120929 "Sistem hesabı ve yönetici hesabı (Administrators grubu) aynı dosya ayrıcalıklarına sahip, ancak farklı işlevleri var."

Bu, Sistem Hesabının yerel bir yönetici ile aynı olduğu ve parola gerektirmeden Sistem hizmetlerini bir Yöneticinin ayrıcalıklarıyla çalıştırmak amacıyla var olduğu anlamına gelir. DFS-R'deki çoğaltma işlemi bu hesapla gerçekleştirilir.

Sistem kullanıcısının Dosya Sisteminde veya DFS kurulumunda normal bir Yönetici'den farklı bir önemi yoktur. Ancak, programın veya kabuğun nasıl çağrıldığına bağlı olarak Windows Yöneticileri her zaman Yönetimsel ayrıcalıklarla çalışmadığı için kafa karıştırıcı olabilir, oysa bir sistem hesabı her zaman yükseltilmiş / yönetici belirteciyle çalışır. DFS kurulumunuzun sadece arabası olduğunu ve ACL'leri değiştirmenin belki de bazı sistem çağrılarının yapılmasına veya dosya tanıtıcılarının meşhur örümcek ağlarını sallayan açılıp yenilenmesine neden olduğunu tahmin ediyorum.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.