Как настроить ACL NTFS с перечислением на основе доступа

Мы находимся в процессе перехода от Novell Netware к инфраструктуре Windows 2K8 R2 (AD, файловый сервер, сервер печати... и т. Д.)

Мой вопрос о ACL. В то время как Netware и Windows совершенно разные, я хочу быть уверенным, что у меня все хорошо, прежде чем все испортить!

Есть сценарий:

F:
|
+-- DATA <= Shared as DATA with Access based enumeration
     |
     +-- Folder 1
     +-- Team 1's Folder
     +-- Team 2's Folder
     ...

В этом случае по умолчанию права наследуются от F: до самых глубоких папок.

Что мы хотим:

  • Администраторы группы имеют полный контроль сверху вниз.
  • Из ДАННЫХ ABE перечисляет только папки, к которым у пользователей есть доступ. (напр.: я в группе Team 2, я вижу папку Team 2).

Из того, что я понимаю, в DATA я удаляю все NTFS ACL для наследования (например, Users Group), обязательно сохраняю группу администраторов и SYSTEM пользователя.

После этого предоставьте Полный контроль (или любое необходимое право) для каждой папки Группам или Пользователям, которым необходим доступ.

Я не прав? Что-нибудь, о чем я должен позаботиться?

Любая помощь в моем понимании будет очень признательна.

С уважением.

Источник

2 ответа

Решение

Правильный.

Я склонен не предоставлять пользователям Full ControlХотя, потому что я слишком много испортил разрешения. Поэтому я даю им все разрешения, кроме Take Ownership а также Change Permissions разрешения.

И я бы, вероятно, посоветовал бы создать две группы для каждой папки, к которой вы предоставляете доступ: одну для доступа только для чтения и одну для доступа к изменениям, поскольку в моем опыте это часто встречается, и меньше людей могут это сделать. случайно удалить все файлы, тем реже мне приходится делать восстановление из резервной копии.

Источник

Одна вещь, которую я определенно хотел бы сделать, это включить ограничение глубины папки, для которой применяется ABE. Без этого ограничения могут возникнуть серьезные проблемы с производительностью. Фактический соответствующий лимит может быть определен только вами, пример для глубины 3 ниже. Для этого требуется файл версии srv2.sys 6.1.7601.22055 или выше.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]  
"ABELevel"=dword:00000003

Дополнительная информация:

Высокая загрузка ЦП в Windows Server 2008 R2 с включенной ABE
http://support.microsoft.com/kb/2732618

[...]
Значение вышеуказанного ключа устанавливается следующим образом:
Значение = 0: ABE включен для всех уровней (поведение по умолчанию без ключа)
Значение = 1: ABE включен для глубины 1 (\ сервер \ общий ресурс)
Значение = 2: ABE включен для глубины 2 (\server\share\folder)
И так далее для нескольких уровней.

Источник
Другие вопросы по тегам