Тома Windows Server и NSS
Кто-нибудь знает, есть ли способ смонтировать том NSS (novell) на сервере 2003/2007? Нам, очевидно, нужно, чтобы сохранить права пользователя, а что нет. Даже место, где можно начать поиск (в Google нет ничего, что я могу найти) (и, конечно, когда TID существуют, они велики, но вероятность их существования очень мала...)
Благодарю.
редактировать: мы ищем способ миграции.
2 ответа
Мы проходим через это только сейчас. Насколько я знаю, на любой платформе Windows нет драйверов файловой системы для NSS. В ближайшем будущем мы загружаем стек CIFS на наши серверы NetWare, что позволяет нашим серверам Windows общаться с ними без необходимости использования клиентом Novell сетевого стека. Затем мы запускаем серию скриптов для миграции опекунов.
Загрузка "TRUSTEE.NLM" на сервер даст вам очень и очень удобный дамп прав назначенных опекунов на томе.
trustee /edt save DATA1: sys:/tmp/metadata.log
Это приведет к сбросу данных о доверенных лицах и квотах каталогов в файл журнала, который затем можно будет выполнить Обряды сценариев. Что это за сценарии, решать вам. То, что вам нужно:
- Надежный способ перевести группы Novell в группы AD. Это может быть таблица поиска или предсказуемое имя
- Можно перенести все ваши группы Novell в AD и заняться преобразованием имен групп во что-то более стандартизированное "позже".
- Структура каталогов на месте. ROBOCOPY имеет очень хорошие варианты для этого. Пока не копируйте файлы, делайте это последним.
- Сценарий читает файл metadata.log и применяет разрешения NTFS к правильным каталогам. Помните, что разрешения NTFS и NSS не совпадают (примерное руководство см. Ниже).
- Прошу вас не использовать фильтры наследуемых прав.
- Копируйте файлы только после того, как ваша структура прав построена. Так намного быстрее.
- ROBOCOPY имеет опцию синхронизации, которая будет синхронизировать данные файла, пока вы ждете выходной день. Он НЕ БУДЕТ копировать данные доверенного лица / acl, поэтому очень неплохо будет ввести мораторий на изменение прав, пока вы находитесь в этом состоянии.
Права NSS на права NTFS. Обратите внимание, что разрешения каталога не совпадают с разрешениями файла, даже если они используют одни и те же биты ACL. Переводы являются вариантами icacls. Например...
icacls Directory /grant NW-IT-Guys:(rx)
Предоставляет группе "NW-IT-Guys" право на чтение / исполнение для этого каталога без наследования.
icacls Directory /grant NW-IT-Guys:(oi)(ci)(rx)
Делает то же самое, но они также смогут читать файлы (oi) и каталоги (ci), созданные ниже этой точки.
- R - (подразумевается буква "F" ниже, Windows не позволяет читать без сканирования файла) (rx)
- W - (wd) только для файлов. Поместить его в каталог означает C на NSS.
- E - (d) для файлов, (dc) для каталогов, если вы хотите, чтобы пользователи с этим правом могли удалять файлы в каталоге
- М - (объявление) для файлов. Когда предоставляется каталогам, позволяет создавать подкаталоги.
- C - (wd) только для каталогов. Поместить его в файл означает W на NSS.
- F - (rd) только для каталогов. Нет эквивалента для файлов. Если вы используете перечисление на основе Access, нет способа "видеть файлы, но не читать их".
- A - Не уверен
- S - (F), но в отличие от NetWare это может быть заблокировано.
Эта таблица предназначена для тех случаев, когда вы не предоставляете права [rwemcf] (иначе чтение / запись) или [rf] (чтение) каталогу. Для этих простых случаев используйте (rx) для чтения и (m) ярлыки для чтения / записи. Для тех пользователей, которые должны иметь возможность вносить изменения в права, ярлык для этого (f). Для специальных каталогов, таких как выпадающие списки или директории только для записи, вышеприведенное может помочь понять это.
Некоторые примеры назначения прав с помощью icacls:
Создайте не удаляемый / перемещаемый каталог с правами на изменение
icacls AcctReports /grant NW-Acct-Techs:(io)(oi)(ci)(m)
icacls AcctReports /grant NW-Acct-Techs:(rx)
(io) means 'inherit only', or only applies to child objects.
Создать стандартный каталог чтения / записи в стиле NSS
icacls AcctReports /grant NW-Acct-Techs:(oi)(ci)(m)
Создать стандартный каталог только для чтения
icacls AcctReports /grant NW-Acct-Auditors:(oi)(ci)(rx)
Создайте каталог, содержащий лог-файлы, добавленные конечными пользователями. Возможно, журналы установки приложений или тому подобное
icacls AppLogs /grant Everyone:(rx)
icacls AppLogs\FirefoxInstall.Log /grant Everyone:(rx,ad)
Если вы похожи почти на каждую установку NetWare, которую я видел, у ваших корневых томов очень мало разрешений, и вы предоставляете разрешения для каталогов верхнего уровня и ниже. Это не очень совместимо с Windows, но есть способы заставить его работать. Я предполагаю, что вы используете "перечисление на основе доступа", потому что именно так NetWare всегда делал это, и вы не хотите шокировать своих пользователей тем, сколько там действительно каталогов.
- "Все" должны иметь право (rx) на "только эту папку" для верхнего каталога ваших общих ресурсов. В противном случае сопоставление не удастся.
- В тех случаях, когда пользователям придется просматривать несколько каталогов, прежде чем они попадут в тот, на который у них есть права, NTFS не позволит вам просмотреть их. Вы можете подделать его, используя трюк "(rx) to this-folder-only" для этого объекта доступа в каждом каталоге от корневого ресурса общего доступа до каталога. Да, это отстой. Но это работает.
- Прямой доступ будет работать. Сопоставление с \\server\share\dir1\dir2\dir3\"будет работать, даже если произойдет сбой \\server\share\dir1\". Это зависит от вас, чтобы выяснить, легче ли обучить своих пользователей этому, чем предыдущий пункт.
И я даже не имею отношения к ShadowCopies vs. Salvage.
Насколько я знаю, только OES Linux и OES NetWare могут монтировать тома NSS.
Если проблема в том, что у вас проблема с аварийным восстановлением и вы не можете запустить NetWare, вам следует сначала попробовать стратегию OES Linux. Если это миграция, мы перешли на копирование данных на новый сервер, переназначение разрешений и исправление ошибок с течением времени.