Назад | Перейти на главную страницу

Тома Windows Server и NSS

Кто-нибудь знает, есть ли способ смонтировать том NSS (novell) на сервере 2003/2007? Очевидно, он нужен нам для сохранения прав пользователей, а что нет. Даже место для начала поиска (в Google нет ничего, что я мог бы найти) (и новелл, когда TID существуют, они великолепны, но вероятность их существования очень мала ...)

Спасибо.

edit: мы ищем способ миграции.

Мы сейчас это переживаем. Насколько мне известно, драйверов файловой системы для NSS нет ни на одной платформе Windows. В ближайшее время мы загружаем стек CIFS на наши серверы NetWare, который позволяет нашим серверам Windows взаимодействовать с ними, не перегружая сетевой стек клиентом Novell. Затем мы запускаем серию сценариев для миграции опекунов.

Загрузка TRUSTEE.NLM на сервер предоставит вам очень удобный дамп прав назначенных опекунов на том.

trustee /edt save DATA1: sys:/tmp/metadata.log

Это сбрасывает данные о доверенном лице и о квотах каталога в файл журнала, который затем можно использовать для выполнения сценариев. Что это за сценарии, решать вам. Что вам понадобится:

  • Надежный способ преобразования групп Novell в группы AD. Это может быть какая-то таблица поиска или предсказуемое имя
    • Есть возможность перенести все ваши группы Novell в AD и заняться преобразованием имен ваших групп в нечто более стандартизованное «позже».
  • Структура каталогов на месте. ROBOCOPY предлагает для этого очень хорошие возможности. Пока не копируйте файлы, сделайте это в последнюю очередь.
  • Сценарий читает файл metadata.log и применяет разрешения NTFS к нужным каталогам. Помните, что разрешения NTFS и NSS не совпадают (см. Примерное руководство ниже).
  • Молитесь, чтобы вы не сильно использовали фильтры унаследованных прав.
  • Копируйте файлы только после того, как будет создана ваша структура прав. Это НАМНОГО быстрее.
  • ROBOCOPY имеет опцию синхронизации, которая будет поддерживать синхронизацию файловых данных, пока вы ждете рабочего дня. Он НЕ БУДЕТ копировать данные опекунов / acl, поэтому установка моратория на изменение прав, пока вы находитесь в этом состоянии, - очень хорошая идея.

Права NSS на права NTFS. Обратите внимание: разрешения для каталога не совпадают с разрешениями для файлов, даже если они используют одни и те же биты ACL. Переводы являются вариантами icacls. Например...

icacls Directory /grant NW-IT-Guys:(rx)

Предоставляет группе «NW-IT-Guys» право на чтение / выполнение для этого каталога без наследования.

icacls Directory /grant NW-IT-Guys:(oi)(ci)(rx)

Делает то же самое, но они также смогут читать файлы (oi) и каталоги (ci), созданные ниже этой точки.

  • р - (Подразумевается "F" ниже, Windows не позволяет читать без сканирования файлов) (RX)
  • W - (wd) только для файлов. Помещение его в каталог означает C по NSS.
  • E - (d) для файлов, (dc) для каталогов, если вы хотите, чтобы пользователи с таким правом могли удалять файлы в каталоге
  • M - (реклама) для файлов. Когда предоставляется каталогам, позволяет создавать подкаталоги.
  • C - (wd) только для каталогов. Помещение в файл означает W по NSS.
  • F - (rd) только для каталогов. Нет эквивалента для файлов. Если вы используете перечисление на основе доступа, нет возможности «видеть файлы, но не читать их».
  • А - Точно сказать не могу
  • S - (F), но в отличие от NetWare это можно заблокировать.

Эта таблица предназначена для тех случаев, когда вы не предоставляете каталогу права [rwemcf] (также известные как чтение / запись) или [rf] (также известные как чтение). В этих простых случаях используйте ярлыки (rx) для чтения и (m) для чтения / записи. Для тех пользователей, которым необходимо иметь возможность вносить изменения в права, ярлык (f) - это ярлык. Для специальных каталогов, таких как dropbox или каталоги только для записи, приведенное выше может помочь разобраться.

Некоторые примеры назначения прав с помощью icacls:

Создайте каталог, который невозможно удалить / переместить, с правами на изменение

icacls AcctReports /grant NW-Acct-Techs:(io)(oi)(ci)(m)
icacls AcctReports /grant NW-Acct-Techs:(rx)

(io) means 'inherit only', or only applies to child objects.

Создайте стандартный каталог чтения / записи в стиле NSS

icacls AcctReports /grant NW-Acct-Techs:(oi)(ci)(m)

Создать стандартный каталог только для чтения

icacls AcctReports /grant NW-Acct-Auditors:(oi)(ci)(rx)

Создайте каталог, содержащий файлы журнала, добавленные конечными пользователями. Возможно, журналы установки приложений и т.п.

icacls AppLogs /grant Everyone:(rx)
icacls AppLogs\FirefoxInstall.Log /grant Everyone:(rx,ad)

Если вы похожи почти на все установки NetWare, которые я видел, ваши корневые тома имеют очень мало разрешений на них, и вы предоставляете разрешения для своих каталогов верхнего уровня и ниже. Это не очень совместимо с Windows, но есть способы заставить его работать. Я предполагаю, что вы используете «перечисление на основе доступа», потому что NetWare всегда это делала именно так, и вы не хотите шокировать ваших пользователей тем, сколько каталогов действительно существует.

  • «Всем» потребуется право (rx) на «только эту папку» для верхнего каталога ваших общих ресурсов. В противном случае сопоставление не удастся.
  • В случаях, когда пользователям придется пройти по нескольким каталогам, прежде чем они доберутся до того, на который у них есть права, NTFS не позволит вам просмотреть вниз. Вы можете подделать это, используя трюк «(rx) to this-folder-only» для этого объекта доступа в каждом каталоге от корневого каталога до каталога. Да, это отстой. Но это работает.
  • Прямой доступ будет работать. Сопоставление с "\\ server \ share \ dir1 \ dir2 \ dir3 \" будет работать, даже если "\\ server \ share \ dir1 \" не сработает. Вам решать, будет ли обучать пользователей этому легче, чем предыдущему пункту.

И я еще даже не про ShadowCopies vs. Salvage.

Насколько мне известно, монтировать тома NSS могут только OES Linux и OES NetWare.

Если проблема в том, что у вас возникла проблема с аварийным восстановлением и вы не можете запустить NetWare, вам следует сначала попробовать стратегию OES Linux. Если это миграция, то мы решили скопировать данные на новый сервер, переназначить разрешения и со временем исправить ошибки.