Назад | Перейти на главную страницу

Каков наиболее эффективный способ предоставить пользователю разрешение только на чтение для всех папок и файлов на файловом сервере?

В настоящее время у нас работает около четырех файловых серверов, все под управлением Windows Server 2008 R2.

До сих пор мы использовали внутренний поиск файлов Windows (он же «Параметры индексирования»), и он работал нормально и без проблем находил все файлы. Теперь развернут новый универсальный поиск, что означает, что все файловые серверы будут удаленно сканироваться сканером с использованием пользователя. DaCrawler. На файловом сервере не будет установлен локальный искатель.

Сканер подключается к данному пользователю к нашему файловому серверу и ему требуется доступ только для чтения ко всем файлам и папкам для созданных нами общих ресурсов. Однако только на нашем основном сервере имеется около 350 тыс. Папок с 2,7 млн ​​файлов, и существует множество настраиваемых DACL. В частности, отсутствует корневой DACL, который применяется ко всем папкам или файлам.

Единственная идея, которая у меня есть, - это дать DaCrawler доступ только для чтения с помощью SetACL и добавить его к каждому любому DACL, который может существовать (я игнорирую ICACLS потому что я думаю, что SetACL проще в использовании).

Сначала я установил DACL для всех папок, чтобы включить разрешения READ_EX для DaCrawler

SetACL -on C:\Test -ot file -actn ace -ace "n:ACME\DaCrawler;p:read_ex;i:so,sc;m:grant" -rec cont

Это прекрасно работает, и нет явные разрешения создаются, если они не нужны:

Если есть файлы с явные разрешения, их DACL не изменяется, поэтому я повторяю команду, на этот раз только для файлов:

SetACL -on C:\Test -ot file -actn ace -ace "n:ACME\DaCrawler;p:read_ex;i:so,sc;m:grant" -rec obj

Однако это заставляет SetACL создавать явные разрешения для каждый файл даже если раньше у файла не было явного разрешения, и разрешения папки было бы достаточно:

Это означает, что я могу либо применить изменения только к папкам, которые могут сделать некоторые файлы недоступными для сканера, либо создать 2,7M явных разрешений.

Есть способ сделать это лучше? Является ли мой подход к изменению списков DACL неправильным и существует ли более эффективный способ?

Ваше решение по установке явных разрешений будет работать - около недели, пока кто-то не создаст новый файл с явными разрешениями.

Думали ли вы о добавлении своей учетной записи сканера в группу операторов резервного копирования домена? это должно получить доступ для чтения к любому файлу на файловом сервере домена.