Какой самый эффективный способ предоставить пользователю доступ только для всех папок и файлов на файловом сервере?

Question

Какой самый эффективный способ предоставить пользователю доступ только для всех папок и файлов на файловом сервере?

В настоящее время мы используем около четырех файловых серверов, все из которых работают под управлением Windows Server 2008 R2.

До сих пор мы использовали внутренний поиск файлов в Windows (он же "Параметры индексирования"), и это работало нормально, и все файлы были найдены без проблем. Теперь запущен новый универсальный поиск, что означает, что все файловые серверы будут сканироваться удаленным сканером с использованием пользователя DaCrawler. На файловом сервере не будет установлен локальный сканер.

Сканер соединяется с данным пользователем на нашем файловом сервере и нуждается в доступе только для чтения ко всем файлам и папкам для общих ресурсов, которые мы создали. Тем не менее, на нашем главном сервере находится около 350 тыс. Папок с 2,7 млн. Файлов, и имеется множество пользовательских DACL. В частности, отсутствует корневой DACL, который применяется ко всем папкам или файлам.

Единственная идея, которую я имею до сих пор, - предоставить DaCrawler доступ только для чтения с помощью SetACL и добавлять его к каждому любому DACL, который может существовать (я игнорирую ICACLS, потому что я думаю, что SetACL проще в использовании).

Сначала я установил DACL всех папок, чтобы включить разрешения READ_EX для DaCrawler

SetACL -on C:\Test -ot file -actn ace -ace "n:ACME\DaCrawler;p:read_ex;i:so,sc;m:grant" -rec cont

Это работает нормально, и никакие явные разрешения не создаются, если они не нужны:

Снимок экрана разрешения папки

Если есть файлы с явными разрешениями, их DACL не изменяется, поэтому я повторяю команду, на этот раз только для файлов:

SetACL -on C:\Test -ot file -actn ace -ace "n:ACME\DaCrawler;p:read_ex;i:so,sc;m:grant" -rec obj

Однако это заставляет SetACL создавать явные разрешения для каждого файла, даже если у файла ранее не было явного разрешения, а разрешения для папки было бы достаточно:

скриншот разрешений

Это означает, что я могу либо принять изменения только к папкам, которые могут сделать некоторые файлы недоступными для сканера, либо создать 2,7M явных разрешений.

Есть ли лучший способ сделать это? Является ли мой подход с изменением DACL неправильным и существует ли более эффективный способ?

0

windows-server-2008-r2 permissions file-permissions ntfs

Источник

Tex Hex 24 окт '12 в 13:04

1 ответ

Другие вопросы по тегам windows-server-2008-r2 permissions file-permissions ntfs

smithian 24 окт '12 в 13:31 2012-10-24 13:31 · Answer 1 · 2012-10-24 13:31

Ваше решение установки явных разрешений будет работать - около недели, пока кто-то не создаст новый файл с явными разрешениями.

Рассматривали ли вы добавление своей учетной записи сканера в группу операторов резервного копирования домена? это должно получить доступ для чтения к любому файлу на файловом сервере домена.