Назад | Перейти на главную страницу

Как настроить NTFS ACL с перечислением на основе доступа

Мы находимся в процессе перехода с Novell Netware на инфраструктуру Windows 2K8 R2 (AD, файловый сервер, сервер печати и т. Д.)

У меня вопрос по ACL. Хотя Netware и Windows совершенно разные, я хочу убедиться, что у меня все хорошо, прежде чем все испортить!

Есть сценарий:

F:
|
+-- DATA <= Shared as DATA with Access based enumeration
     |
     +-- Folder 1
     +-- Team 1's Folder
     +-- Team 2's Folder
     ...

В этом случае по умолчанию права наследуются от F: до самых глубоких папок.

Что мы хотим :

Насколько я понимаю, в DATA я удаляю все передаваемые ACL NTFS (например, группу пользователей), обязательно сохраните группу администраторов и пользователя SYSTEM.

После этого предоставьте Полный доступ (или любое необходимое право) к каждой папке Группам или Пользователям, у которых должен быть доступ.

Я ошибаюсь? О чем я должен позаботиться?

Любая помощь в моем понимании будет очень признательна.

С уважением.

Одна вещь, которую я определенно сделал бы, - это включить ограничение глубины папки, для которой применяется ABE. Без этого ограничения могут возникнуть серьезные проблемы с производительностью. Фактический подходящий предел может быть определен только вами, пример для глубины 3 ниже. Для этого требуется файл srv2.sys версии 6.1.7601.22055 или выше.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]  
"ABELevel"=dword:00000003  

Больше информации:

Высокая загрузка ЦП в Windows Server 2008 R2 с включенным ABE
http://support.microsoft.com/kb/2732618

[...]
Значение вышеуказанного ключа устанавливается следующим образом:
Значение = 0: ABE включен для всех уровней (поведение по умолчанию также без ключа)
Значение = 1: ABE включен для глубины 1 (\ server \ share)
Значение = 2: ABE включен для глубины 2 (\ server \ share \ folder)
И так на нескольких уровнях.

Верный.

я, как правило не предоставить пользователям Full Control, хотя из-за того, что у меня было слишком много испорченных разрешений. Поэтому я даю им все разрешения, кроме Take Ownership и Change Permissions разрешения.

И я бы, вероятно, посоветовал создать две группы для каждой папки, к которой вы предоставляете доступ: одну для доступа только для чтения и одну для доступа на изменение, поскольку, как показывает мой опыт, это часто возникает, и меньшее количество людей могут случайно удаляю все файлы, тем реже приходится делать восстановление из резервной копии.