Мы находимся в процессе перехода с Novell Netware на инфраструктуру Windows 2K8 R2 (AD, файловый сервер, сервер печати и т. Д.)
У меня вопрос по ACL. Хотя Netware и Windows совершенно разные, я хочу убедиться, что у меня все хорошо, прежде чем все испортить!
Есть сценарий:
F:
|
+-- DATA <= Shared as DATA with Access based enumeration
|
+-- Folder 1
+-- Team 1's Folder
+-- Team 2's Folder
...
В этом случае по умолчанию права наследуются от F: до самых глубоких папок.
Что мы хотим :
Насколько я понимаю, в DATA я удаляю все передаваемые ACL NTFS (например, группу пользователей), обязательно сохраните группу администраторов и пользователя SYSTEM.
После этого предоставьте Полный доступ (или любое необходимое право) к каждой папке Группам или Пользователям, у которых должен быть доступ.
Я ошибаюсь? О чем я должен позаботиться?
Любая помощь в моем понимании будет очень признательна.
С уважением.
Одна вещь, которую я определенно сделал бы, - это включить ограничение глубины папки, для которой применяется ABE. Без этого ограничения могут возникнуть серьезные проблемы с производительностью. Фактический подходящий предел может быть определен только вами, пример для глубины 3 ниже. Для этого требуется файл srv2.sys версии 6.1.7601.22055 или выше.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
"ABELevel"=dword:00000003
Больше информации:
Высокая загрузка ЦП в Windows Server 2008 R2 с включенным ABE
http://support.microsoft.com/kb/2732618
[...]
Значение вышеуказанного ключа устанавливается следующим образом:
Значение = 0: ABE включен для всех уровней (поведение по умолчанию также без ключа)
Значение = 1: ABE включен для глубины 1 (\ server \ share)
Значение = 2: ABE включен для глубины 2 (\ server \ share \ folder)
И так на нескольких уровнях.
Верный.
я, как правило не предоставить пользователям Full Control
, хотя из-за того, что у меня было слишком много испорченных разрешений. Поэтому я даю им все разрешения, кроме Take Ownership
и Change Permissions
разрешения.
И я бы, вероятно, посоветовал создать две группы для каждой папки, к которой вы предоставляете доступ: одну для доступа только для чтения и одну для доступа на изменение, поскольку, как показывает мой опыт, это часто возникает, и меньшее количество людей могут случайно удаляю все файлы, тем реже приходится делать восстановление из резервной копии.