Как обойти недостатки дизайна NTFS Move / Copy?

Как известно любому, кто имел дело с разрешениями файлового сервера, NTFS обладает интересной особенностью / недостатком дизайна, известной как проблема перемещения / копирования.

Как объясняется в этой статье MS KB , разрешения для папки или файла не наследуются автоматически от родительского объекта, если папка перемещена, а источник и место назначения находятся на одном и том же томе NTFS. Разрешения наследуются, если папка копируется или если источник и место назначения находятся на разных томах.

Вот быстрый пример:

У вас есть две общие папки на одном и том же томе NTFS, которые называются «Техники» и «Менеджеры». Группа Техников имеет доступ RW к папке Техников, а группа Менеджеров имеет доступ RW к папке «Менеджеры». Если у кого-то есть доступ к обоим, и они перемещают подпапку из папки «Менеджеры» в папку «Техники», перемещаемая папка по-прежнему доступна только пользователям в группе «Менеджеры». Группа «Техники» не может получить доступ к подпапке, даже если она находится в папке «Техники» и должна наследовать разрешения сверху.

Как вы можете себе представить, это вызывает обращения в службу поддержки, тикеты и бесполезные циклы при решении этих проблем с конечным пользователем, не говоря уже о гнезде разрешений для крыс, которое вы можете получить, если пользователи часто перемещают папки между различными защищенными папками / областями в тот же объем.

Вопросы:

Каков наилучший способ обойти этот недостаток дизайна NTFS и как вы справляетесь с ним в вашей среде?

Я знаю, что в связанной статье базы знаний говорится о некоторых разделах реестра для изменения поведения Windows Explorer по умолчанию, но они на стороне клиента и требуют, чтобы пользователи имели возможность изменять разрешения, которые, как я думаю, в большинстве сред не являются начальными, если вы хотите сохранить контроль над разрешениями вашего файлового сервера (и ваше здравомыслие как системного администратора).

Мой подход заключается в том, чтобы не использовать файловые / каталоговые права доступа; используйте разрешения на уровне общего файлового ресурса и установите для диска данных файловой системы всего сервера «Полный доступ для каждого» (который становится спорным).

За эти годы (10+) я обнаружил, что разрешения NTFS более сложны и приводят к большему количеству ошибок. Если права доступа установлены неправильно или наследование нарушено, вы открываете данные, и их сложно найти и увидеть. Кроме того, как вы говорите, вы столкнулись с проблемой перемещения / копирования.

Места, где вы должны использовать ACL на уровне каталогов / файлов; Я не знаю другого решения, кроме проверки здоровья на регулярной основе.

Ну, это не совсем недостаток. Это правило для обработки разрешений при перемещении файлов существовало со времен по крайней мере бета 2 NT3.1 (хотя, очевидно, не наследование, поскольку это было добавлено только в Windows 2000). Это так же хорошо, как и любая другая функция Windows. Я очень сочувствую вашей точке зрения, так как мало кто из нас не сгорел на этом этапе. Но это то, что сисадмин быстро усваивает.

JR

Мы использовали NTFS начиная с NT 3.51, и хотя мы видели эту «проблему» (как и почти все), она не доставила нам особых проблем:

• Мы всегда советуем людям копировать файлы, если им нужно переместить их из одного общего каталога в другой. «Удерживайте нажатой клавишу CTRL при перетаскивании и убедитесь, что маленький + показывает», - это обычная фраза.
• Наши общие папки имеют довольно простую структуру, и общие папки, которые мы создаем, не слишком часто пересекаются между группами, поэтому люди с большей вероятностью захотят скопировать файлы.
• Мы видим проблему главным образом в нашем «общем» пространстве - папках, где каждый может читать / писать, но эти каталоги в основном недолговечны, поэтому проблема исчезает, когда они очищаются.

Обходные пути, которые я могу придумать:

• найти способ сделать папки с разными разрешениями на разных томах NTFS
• Создайте запланированное задание (один раз в час или один раз в день, в зависимости от частоты запросов поддержки), которое будет проходить через папки и сбрасывать все разрешения, чтобы они были такими же, как и у верхнего уровня. Это не идеально, тем более, если в папках много файлов, но это исправит проблему, если не будет хорошего решения, такого как исправление реестра на стороне сервера. Команда, которую вы захотите посмотреть, называется «cacls», которую вы затем можете добавить в командный файл.

Отказ от ответственности - я пришел из Unix-фона (и реализовал последний, чтобы исправить различные недостатки разрешений - это кажется странным, но делает работу), так что может быть гораздо лучше исправить.

При переходе от имени администратора я использую xcopy / s / e / c / h / r / k / y - все, кроме владения файлами и ACL, это означает, что наследование ACL включается автоматически. Никогда не приходилось сталкиваться с ситуацией, когда пользователь хотя переехал

Я использую групповую политику / политики безопасности / файловую систему, чтобы отслеживать сложные разрешения. (НИКОГДА не используйте «заменить разрешения» в политике).

Запланируйте CACLS для сброса всех разрешений в течение ночи, после чего следует gpupdate / force для повторного применения разрешения из политики. Работает как шарм.

Начиная с Windows 7 (или, возможно, Windows Vista), разрешения для папки или файла DO наследуются от родителя, если папка перемещена, а источник и место назначения находятся на одном и том же томе NTFS - если файл или папка копируются через Проводник. В более ранних ОС вы можете использовать Far manager - он позволяет включить наследование разрешений от места назначения (наряду с множеством других функций). Хотя Far может показаться не дружелюбным для обычного пользователя.

Очень простой обходной путь - просто заархивировать файлы и распаковать их в каталог назначения.