การจำลองแบบ DFS และผู้ใช้ SYSTEM (สิทธิ์ NTFS)

10

คำถามที่ฉันมีปัญหาในการค้นหาคำตอบใน Google หรือ Technet ...

การให้SYSTEMสิทธิ์ผู้ใช้แก่ไฟล์และโฟลเดอร์ที่ใช้ร่วมกันของ DFS มีผลต่อการจำลองแบบ DFS หรือไม่ (และในขณะที่เราอยู่ที่นี่มีเหตุผลที่ดีที่จะไม่ให้SYSTEMมีสิทธิ์ในการแชร์ไฟล์ DFS หรือไม่?)

มันเกิดขึ้นเพราะฉันมีคอลเลกชันของ DFS เนมสเปซและโฟลเดอร์ที่ฉันไม่สามารถทำให้คนอื่นมีปัญหาและในขณะที่การแก้ไขปัญหาที่ DFS หนึ่งเรพลิกาไม่ได้จำลองด้วยอีกอันหนึ่งโดยไม่มีเหตุผลที่สังเกตได้SYSTEMบัญชีไม่มีสิทธิ์ใด ๆ ที่อนุญาตให้กับไฟล์หรือโฟลเดอร์ใด ๆ ในโฟลเดอร์ที่เป็นปัญหา

ดังนั้นฉันจึงตั้งค่าSYSTEMให้มีการควบคุมเต็มรูปแบบและเผยแพร่มันลงและรายงานการวินิจฉัยสุขภาพ DFS ของเราเริ่มจากการแสดง backlog ของไฟล์ 80 ไฟล์ไปที่ backlog ~ 100,000 ... และสิ่งต่าง ๆ เริ่มทำซ้ำรวมถึงจำนวนไฟล์ที่หายไป บนเซิร์ฟเวอร์หนึ่งเครื่องหรือเซิร์ฟเวอร์อื่น (ดังนั้นมากกว่าการเปลี่ยนแปลงการอนุญาตเริ่มต้นการเรพลิเคต)

โดยธรรมชาติแล้วสิ่งนี้ทำให้ฉันอยากรู้ว่า DFS ต้องการSYSTEMบัญชีที่มีสิทธิ์ในการทำงานหรือไม่หรือบางทีมันอาจเป็นการเปลี่ยนแปลงของโครงสร้างโฟลเดอร์ที่มีปัญหาซึ่งทำให้ DFS กระโดดข้ามการดำเนินการ หากเป็นเรื่องสำคัญเนมสเปซ DFS ของเราได้รับการตั้งค่าภายใต้ 2000/2003 และฉันเพิ่งเสร็จสิ้นการอัพเกรดเซิร์ฟเวอร์ทั้งหมดเป็น 2008 R2 หรือ 2012 (ด้วยการเปิดใช้งาน UAC, blech) แต่ยังไม่ได้รับรอบเพื่อเพิ่มการทำงานของเนมสเปซ DFS ระดับเป็น Server 2008

(และคะแนนโบนัสถ้าใครมีบทความอย่างเป็นทางการของ Microsoft เกี่ยวกับสิทธิ์ของไฟล์ NTFS และSYSTEMบัญชีที่เกี่ยวข้องกับ DFS หรือไฟล์เครือข่าย)

file-permissions  dfs 
HopelessN00b
แหล่งที่มา
เมื่อคุณอัพเกรดเซิร์ฟเวอร์คุณทำตามคำแนะนำในการโยกย้าย FRS-to DFS หรือไม่ microsoft.com/en-us/download/confirmation.aspx?id=580
Rex
@Rex ฉันไม่ได้ทำ FRS -> การโยกย้าย DFS และฉันเสี่ยงที่จะบอกว่ามีแนวทางปฏิบัติที่ดีที่สุดสามัญสำนึกหรือความคิดที่มีเหตุผลอาจไม่ได้ติดตาม แต่เราใช้ DFS (ซึ่งตรงกันข้ามกับ FRS) ค่อนข้างนาน ฉันสงสัยเล็กน้อยว่าเหตุผลที่ทำงานได้ไม่ดีนั้นเป็นเพราะวิธีการตั้งค่าเริ่มแรกเช่นเดียวกับวิธีการย้ายถิ่น การอัพเกรดในคำถามคือการอัพเกรดเวอร์ชันเนมสเปซไม่ใช่การอัพเกรด FRS -> DFS ฉันจะแก้ไขคำที่ข้ามไปในขณะนี้
HopelessN00b
หากคุณทำการจำลองแบบใด ๆ ใน DFS ภายใต้ 2000/2003 จะมีการใช้จะต้องมีการใช้ FRS เพื่อทำแบบจำลอง DFS-R สำหรับการจำลองแบบ DFS ไม่สามารถใช้งานได้จนถึง 2003 R2 DFS บน 2008 R2 ไม่สนับสนุน FRS สำหรับการจำลองแบบและเซิร์ฟเวอร์ 2008 R2 ไม่สามารถทำซ้ำกับเนมสเปซ DFS ที่ใช้รุ่นเก่ากว่า 2003 เว้นแต่คุณจะอัปเกรดเซิร์ฟเวอร์ทั้งหมดเป็น 2003 R2 (หรือใหม่กว่า) และย้ายไปยัง DFS-R สำหรับการจำลองแบบ
เร็กซ์

คำตอบ:

9

เธรดบน technet นี้บอกว่า SYSTEM ต้องการการควบคุมเต็มรูปแบบ ไม่ได้เป็นแหล่งที่มาอย่างเป็นทางการมาก แต่และการทดสอบต่อไปพิสูจน์ให้เห็นว่ามันเป็นความผิด

บริการการจำลองแบบ DFS

ฉันดูบริการ DFS บนเครื่อง Server 2008R2 ด้วย Process Explorer dfsrs.exe บริการการจำลองแบบระบบไฟล์แจกจ่ายทำงานเป็น "NT Authority \ SYSTEM" อย่างไรก็ตามมีSeBackupPrivilegeและSeRestorePrivilege :

สกรีนช็อตของสิทธิ์ dfsrs.exe

จากค่าคงที่ของ Microsoft Privilege :

SeBackupPrivilege - จำเป็นสำหรับการดำเนินการสำรองข้อมูล สิทธิ์นี้ทำให้ระบบให้สิทธิ์การควบคุมการเข้าถึงเพื่ออ่านไฟล์ใด ๆ โดยไม่คำนึงถึงรายการควบคุมการเข้าถึง (ACL) ที่ระบุสำหรับไฟล์ คำร้องขอเข้าถึงใด ๆ นอกเหนือจากการอ่านจะถูกประเมินด้วย ACL 3

SeRestorePrivilege - จำเป็นเพื่อดำเนินการกู้คืน สิทธิ์นี้ทำให้ระบบให้สิทธิ์การควบคุมการเข้าถึงการเขียนทุกไฟล์โดยไม่คำนึงถึง ACL ที่ระบุสำหรับไฟล์ การร้องขอการเข้าถึงใด ๆ นอกเหนือจากการเขียนยังคงได้รับการประเมินด้วย ACL นอกจากนี้สิทธิ์นี้ช่วยให้คุณสามารถตั้งค่าผู้ใช้หรือกลุ่ม SID ที่ถูกต้องเป็นเจ้าของไฟล์

ด้วยสิทธิ์เหล่านั้นบริการการจำลองแบบ DFS สามารถละเว้นสิทธิ์การใช้งานไฟล์ใด ๆ - ได้รับสิทธิ์ในการอ่านเขียนและตั้งค่าการอนุญาตในไฟล์ใดก็ได้ที่ต้องการ

การทดสอบ

ฉันสร้างโฟลเดอร์ในหนึ่งใน DFS ที่ใช้ร่วมกันโดยมีไฟล์ไม่กี่ไฟล์ตั้งค่าบัญชีของฉันเป็นเจ้าของและลบสิทธิ์ทั้งหมดยกเว้นบัญชีของฉัน

DFS จำลองแบบไปยังเซิร์ฟเวอร์อื่น ๆ ทั้งหมดโดยไม่มีปัญหาและแบบจำลองทั้งหมดมีสิทธิ์เหมือนกัน

ดังนั้น DFS จะไม่ขึ้นอยู่กับการอนุญาตให้ทำซ้ำระบบไฟล์ใด ๆ

ฉันสงสัยว่าในกรณีของคุณเพียงแค่ทำการเปลี่ยนแปลงใด ๆ กับไฟล์จะทำให้ DFS ตื่นขึ้นมาและเห็นว่าพวกเขาต้องการจำลองแบบ ไม่รู้ว่าอะไรจะทำให้เกิดสถานการณ์นั้นตั้งแต่แรก

แกรนท์
แหล่งที่มา
1
คำตอบที่โดดเด่น ฉันจะให้เครื่องหมายถูกและเงินรางวัลของคุณใน 5 วันหากมีโอกาสที่ใครบางคนสามารถเข้ามาเป็นผู้นำได้
HopelessN00b
2
Dangit ฉันควรใช้รูปในโพสต์ของฉัน! :(
3

ตามบทความนี้จาก Microsoft http://support.microsoft.com/kb/120929 "บัญชีระบบและบัญชีผู้ดูแลระบบ (กลุ่มผู้ดูแลระบบ) มีสิทธิ์ใช้งานไฟล์เหมือนกัน แต่มีฟังก์ชั่นต่างกัน"

ซึ่งหมายความว่าบัญชีระบบเหมือนกันกับผู้ดูแลระบบในท้องที่และมีอยู่เพื่อวัตถุประสงค์ในการใช้บริการระบบด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องใช้รหัสผ่าน กระบวนการจำลองแบบใน DFS-R ดำเนินการกับบัญชีนี้

ผู้ใช้ระบบไม่มีความสำคัญเป็นพิเศษในระบบไฟล์หรือในการตั้งค่า DFS ใด ๆ ที่แตกต่างจากผู้ดูแลระบบปกติ อย่างไรก็ตามมันอาจทำให้เกิดความสับสนได้เนื่องจากผู้ดูแลระบบ Windows ไม่ได้ทำงานด้วยสิทธิ์ระดับผู้ดูแลระบบเสมอไปขึ้นอยู่กับว่าโปรแกรมหรือเชลล์ถูกเรียกใช้อย่างไร ฉันเดาว่าการตั้งค่า DFS ของคุณเพิ่งจะบั๊กและการแก้ไข ACLs อาจทำให้ syscalls บางส่วนถูกสร้างขึ้นหรือการจัดการไฟล์ที่จะเปิด / รีเฟรชที่สั่นคลอนใยแมงมุมออก

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.