Назад | Перейти на главную страницу

Безопасно ли изменять списки ACL NTFS в активной файловой системе?

Мы добавляем много новых групп к разрешениям на общих дисках нашей компании. Некоторые деревья папок могут содержать миллионы файлов и ТБ данных. Как есть, изменение списков ACL для этих папок может занять от секунд до часов, в зависимости от количества файлов в текущем дереве.

Мы хотели бы иметь возможность вносить эти изменения в течение рабочего дня, но только если это безопасно.

Несколько вопросов,

Если вы измените разрешения для папки, дочерние элементы которой наследуют разрешения, сохраняется ли согласованность, если файл создается в дереве во время изменения ACL?
Нужно ли уделять больше внимания открытым файлам, если вы никогда не удаляете доступ, а только добавляете новые группы в ACL?
Командлет Set-ACL Powershell ведет себя так же, как страница Свойства> Безопасность> Дополнительно?

Например, если есть дерево с 20 000 файлов и сказать, что для изменения всех разрешений NTFS требуется десять минут ... Что произойдет, если пользователь создаст файл в подпапке во время этого окна? Могут ли разрешения на этот файл отсутствовать для новой группы, которой мы предоставляем доступ?

Спасибо за любые советы или предложения!

Наверное, все будет хорошо. Наследование течет вниз. Сначала каталог обновляется новыми ACL, затем файлы в нем обновляются.

Когда пользователь переходит к созданию файла, если каталог уже унаследовал новый ACL, файл будет создан с этим новым ACL. Если каталог еще не унаследован, файл будет автоматически обновлен, как только наследование достигнет этой папки.

Это не объясняет никаких ошибок или причуд в программном обеспечении Microsoft. Я не переделывал ACL достаточно часто, чтобы быть уверенным, что каждый раз он будет работать идеально.

Если вы измените разрешения для папки, дочерние элементы которой наследуют разрешения, сохраняется ли согласованность, если файл создается в дереве во время изменения ACL?

Насколько я понимаю, эта операция не является транзакционной, что означает, что разрешения меняются последовательно. Таким образом, если вы запустите обновление, корневой каталог будет иметь несовместимые разрешения с его потомками, и в течение этого времени они будут вести себя иначе. Я. Последовательность не сохраняется.

Нужно ли уделять больше внимания открытым файлам, если вы никогда не удаляете доступ, а только добавляете новые группы в ACL?

Не думаю, особенно если вы только добавляете разрешения.

Командлет Set-ACL Powershell ведет себя так же, как страница Свойства> Безопасность> Дополнительно?

Опять же, насколько я понимаю, они будут вести себя так же.