Đây có phải là một cách tiếp cận được đề xuất / hợp lệ cho các quyền của máy chủ tệp không?

Máy chủ tệp là một thực tế của CNTT và tôi tò mò liệu có bất kỳ thực tiễn nào được chấp nhận chung không (tôi ngại sử dụng từ "tốt nhất" ở đây) cho cách bạn tạo nhóm và áp dụng quyền để quản lý quyền truy cập của khách hàng vào thư mục dùng chung một máy chủ tập tin.

Ở công việc hiện tại, cuối cùng tôi đã thừa hưởng khá nhiều cách khác nhau để thực hiện việc này, từ hàng chục nhóm trên ACL đến việc đưa người dùng cá nhân trực tiếp vào hệ thống tệp. Nhiệm vụ của tôi là dọn dẹp mớ hỗn độn và đưa ra một số cách tiếp cận tiêu chuẩn này trong toàn công ty (môi trường rộng lớn, nhân sự 150k, máy tính khách 90 nghìn, máy chủ tệp 100).

Từ hiểu biết của tôi về vấn đề này, có vẻ như bạn ở mức tối thiểu cần một nhóm cho mỗi cấp truy cập được yêu cầu cho mỗi tài nguyên được bảo mật. Mô hình này dường như mang lại sự linh hoạt nhất ở chỗ bạn không cần phải chạm lại các quyền của hệ thống tập tin trừ khi bạn cần hỗ trợ một cấp truy cập khác. Nhược điểm là bạn sẽ tạo nhiều nhóm hơn là sử dụng lại cùng một nhóm trên nhiều tài nguyên được chia sẻ.

Đây là một ví dụ cho thấy những gì tôi muốn nói:

Có một chia sẻ gọi là "Kết quả kiểm tra" trên một máy chủ tệp có tên FILE01 và bạn có những người cần truy cập chỉ đọc, truy cập đọc và ghi toàn quyền. 1 tài nguyên được bảo mật * 3 cấp truy cập = 3 nhóm bảo mật. Trong môi trường AD của chúng tôi, chúng tôi tạo các nhóm này dưới dạng các nhóm phổ quát để chúng tôi có thể dễ dàng thêm người dùng / nhóm từ bất kỳ miền nào trong rừng. Vì mỗi nhóm chỉ liên quan đến một thư mục dùng chung và cấp truy cập, nên tên nhóm kết hợp các phần dữ liệu "chính" đó và do đó, các quyền là:

"FILE01-Test Results-FC"  --  Full Control
"FILE01-Test Results-RW"  --  Read & Write
"FILE01-Test Results-RO"  --  Read Only

Thông thường, chúng tôi cũng sẽ bao gồm tài khoản HỆ THỐNG tích hợp và Quản trị viên tích hợp với quyền truy cập Kiểm soát hoàn toàn. Mọi thay đổi đối với những người thực sự có quyền truy cập vào chia sẻ này giờ đây có thể được xử lý bằng cách sử dụng tư cách thành viên nhóm thay vì phải chạm vào ACL (bằng cách thêm các nhóm "Vai trò" đại diện cho các vai trò kinh doanh cụ thể như Người quản lý, Kỹ thuật viên, Nhà phân tích QA, v.v. người dùng để truy cập một lần).

Hai câu hỏi:

1) Đây thực sự là một cách tiếp cận được đề xuất hoặc hợp lệ để xử lý các quyền hoặc tôi đang thiếu một số giải pháp đơn giản, thanh lịch hơn? Tôi đặc biệt quan tâm đến bất kỳ giải pháp nào sử dụng tính kế thừa nhưng vẫn giữ được tính linh hoạt khi không phải thực hiện lại ACL phần lớn các hệ thống tệp khi mọi thứ thay đổi.

2) Bạn xử lý các quyền của máy chủ tệp và cấu trúc nhóm trong môi trường của bạn như thế nào? Điểm thưởng cho những người cũng đang làm việc trong môi trường lớn.

Cách tiếp cận của tôi là không sử dụng quyền cấp tệp / thư mục cấp; sử dụng quyền cấp độ chia sẻ tệp và đặt toàn bộ ổ dữ liệu của hệ thống tệp máy chủ thành Mọi người kiểm soát hoàn toàn (trở thành moot).

Trong nhiều năm (10+), tôi đã thấy rằng các quyền NTFS phức tạp hơn và dẫn đến nhiều lỗi hơn. Nếu các quyền được đặt sai hoặc thừa kế bị hỏng, bạn sẽ lộ dữ liệu và rất khó để tìm và xem nó. Thêm vào đó, bạn gặp phải vấn đề di chuyển / sao chép ... người dùng di chuyển tệp cũng di chuyển ACL của tệp, trong khi sao chép thừa hưởng ACL đích.

Sử dụng các nhóm đọc / ghi của bạn giống nhau, nhưng trên toàn bộ chia sẻ tệp bằng Comp Mgmt MMC. Đừng làm đầy đủ ... người dùng sẽ tự bắn mình với kiến ​​thức một phần / ý định tốt nhất.

Cách tiếp cận đó không tệ. Như một quy tắc không bao giờ sử dụng người dùng cá nhân để thêm quyền - sử dụng một nhóm. Tuy nhiên, các nhóm có thể được sử dụng trên các tài nguyên. Ví dụ: HR có thể có quyền truy cập RW vào các tệp trong khi QUẢN LÝ có thể có R. Bạn cũng có thể thiết lập Bảng liệt kê truy cập. Hãy xem webcast sau:

TechNet Webcast: Dòng quản trị Windows Server 2003 (Phần 4 của 12): Quản lý nhóm (Cấp 200)

Truy cập dựa trên liệt kê có thể làm cho cuộc sống dễ dàng hơn nhìn thấy:

Bảng liệt kê truy cập

ABE có thể giúp giảm số lượng cổ phần khác nhau mà bạn phải quản lý.

Cách tiếp cận của bạn về cơ bản là cách tôi sẽ tiếp cận nó.
Những điều duy nhất tôi sẽ thêm là:

1) Tôi sẽ thêm vào sơ đồ "vai trò" của bạn bằng cách đánh giá những gì họ cần trên các máy chủ không chỉ trên một máy chủ mà bạn có thể sẽ chạy ra ngoài các điều này, nhưng lý thuyết của tôi với những người đó là khi bạn chạy vào chúng, tạo một nhóm khác. theo kinh nghiệm của tôi, nơi có một ngoại lệ có rất nhiều.

2) Tôi chắc chắn sẽ đánh giá lại nhu cầu của các nhóm Universal cho mọi thứ khi bạn thực hiện sao chép với họ khi các thành viên và nhóm trong nhóm Universal được sao chép vào các máy chủ Danh mục Toàn cầu trong khi với nhóm Local Local và Global thì chỉ có nhóm nhân rộng đến các máy chủ cửa hàng toàn cầu. Vì vậy, nếu bạn thực hiện một thay đổi trong một nhóm phổ quát, nó sẽ khởi động một bản sao, trong khi với toàn cầu và tên miền cục bộ thì không.

Phương pháp sử dụng nhóm tài nguyên của bạn cho từng cấp truy cập là chính xác. Điều duy nhất tôi sẽ xem xét là sử dụng Domain Local Groups cho tài nguyên. Bạn không nhất thiết phải sử dụng Nhóm chung nếu bạn đang tạo các nhóm tài nguyên dành riêng cho máy chủ.

Nhược điểm của việc sử dụng Miền cục bộ cho các tài nguyên là bạn kết thúc với tổng số nhóm nhiều hơn. Ưu điểm là bạn ít gặp vấn đề với việc nhân rộng, như Zypher lưu ý.

Cách tiếp cận đề xuất có vẻ khá vững chắc. Một điều cần chú ý là cách ban đầu bạn thiết lập chia sẻ tệp. Thực hành được đề xuất là có một chia sẻ cấp cao nhất, chứa các thư mục con mà sau đó bạn gán quyền cho nhóm. Sau đó, NTFS có thể bỏ qua "Thư mục truy cập / tệp thực thi" trên thư mục cấp cao nhất và cấp quyền truy cập cho thư mục con.

Cấu trúc sau đó sẽ trông giống như \ servername \ sharename \ group-thư mục, với các quyền chia sẻ chỉ cần được đặt trên thư mục "sharename" và các quyền NTFS thực tế được đặt trên thư mục "thư mục nhóm".

Máy chủ tệp của bạn cũng sẽ có thể hoạt động tốt hơn với loại thiết lập này.

Nói chung, những việc khác tôi sẽ làm là có một quy ước đặt tên cho các nhóm sao cho tên nhóm giống với tên thư mục nhóm (với FC / RW / RO được nối thêm nếu muốn) và dán UNC vào thư mục vào mô tả nhóm (để tập lệnh đăng nhập của bạn có thể đọc lại và thiết lập ánh xạ ổ đĩa theo cách đó và cũng để bạn có thể dễ dàng xem các thư mục được chia sẻ áp dụng cho nhóm nào).

Cách thực hành tiêu chuẩn mà tôi đã sử dụng cho máy chủ tệp Windows kể từ Windows 2000 (được trình bày trong sê-ri Máy chủ Windows của Mark Minasi, vì vậy hãy tìm thêm thông tin) là sử dụng các nhóm cục bộ của chính máy chủ tệp để lồng.

Ví dụ: hãy xem xét một máy chủ tệp có tên KERMIT trong một tên miền MUPPETS.

Nói rằng KERMIT có một vài chia sẻ tệp:

\\KERMIT\Applications
\\KERMIT\Finance
\\KERMIT\Sales
\\KERMIT\Manufacturing

Tạo các nhóm cục bộ để KERMIT để truy cập và cấp cho họ quyền trên hệ thống tệp chính xác như bạn đã chỉ định (tức là một nhóm cho mỗi cấp truy cập trên mỗi chia sẻ)

KERMIT\Applications-RO
KERMIT\Applications-RW
KERMIT\Applications-FC
KERMIT\Finance-RO
[...]

Vì đây là các nhóm cục bộ, bạn có thể đặt bất kỳ nhóm nào hoặc người dùng nào bạn muốn vào chúng - các nhóm cục bộ miền, nhóm toàn cầu, nhóm phổ quát, tài khoản người dùng từ bất kỳ tên miền nào trong khu rừng của bạn. Quản lý quyền hiện là cục bộ đối với các nhóm của máy chủ tệp chứ không phải hệ thống tệp hoặc AD.

Điều này không thêm một lớp bổ sung vào quản lý nhóm của bạn, nhưng nó có lợi ích là cho phép (nói) quản trị viên trang cục bộ quản lý các máy chủ tệp của riêng họ mà không cần bất kỳ thứ gì ngoài quyền của Quản trị viên đối với máy chủ tệp đó. Nếu bạn có một loại cấu trúc văn phòng chi nhánh được liên kết, trong đó mỗi loại văn phòng làm việc riêng với máy chủ của mình, đây có thể là một lợi ích thực sự. Bạn có thể không muốn phải trao quyền quản trị viên AD cho vài chục quản trị viên trang địa phương.

Nó cũng giữ cho AD của bạn không bị lộn xộn với rất nhiều nhóm (một nhóm trên mỗi cấp truy cập trên mỗi cổ phần có thể tăng lên rất nhanh) và giảm thiểu sao chép nhóm giữa các GC. Nó cho phép bạn dự trữ các nhóm AD của mình cho các vai trò thay vì quyền.

Nếu môi trường của bạn được chuẩn hóa nghiêm ngặt và tất cả các máy chủ tệp giống hệt nhau và được sao chép, thì đây rõ ràng là một lớp nữa của các nhóm bạn không cần. Ngoài ra, nếu bạn biết bạn cần một nhóm AD cụ thể để có cùng quyền đối với một chia sẻ tồn tại trên mỗi máy chủ tệp duy nhất, bạn sẽ cần một số tự động hóa để duy trì điều đó.

Tóm lại, các máy chủ tệp của bạn càng khác nhau, các nhóm máy cục bộ sử dụng càng có ý nghĩa. Chúng càng giống nhau, bạn càng muốn sử dụng hệ thống bạn hiện đang sử dụng.

Tôi đang xem xét một quá trình di chuyển từ NetWare sang Windows Server 2008 vì vậy điều này đã xuất hiện trong tâm trí tôi gần đây. Server 2008 (và ở một mức độ nào đó Server 2003R2) có một số tính năng rất hay giúp thực sự dễ dàng chuyển đổi này. Server 2008 đi kèm với liệt kê truy cập dựa trên hộp. Đây là một tính năng rất hay cho phép người dùng chỉ nhìn thấy các thư mục mà họ có quyền. Nếu bạn có một chia sẻ như ...

\ người dùng-nhà-srv \ homes \

Nếu không có ABE, người dùng cuối sẽ thấy hàng chục / hàng trăm / nghìn thư mục. Với ABE, người dùng cuối sẽ chỉ nhìn thấy một. Điều tương tự cũng đúng với cổ phiếu được chia sẻ. Với ABE, bạn có thể có một khối lượng lớn duy nhất cho tất cả các thư mục bộ phận của mình nếu bạn muốn và không spam người dùng của bạn với các thư mục mà họ không thể truy cập. Mặc dù không phải là vấn đề ACL, nhưng nó có liên quan phần nào nên tôi đưa nó lên.

Một điều nữa mà Server 2008 dường như làm tốt hơn các phiên bản trước đó là kế thừa ACL. Nó dường như nhanh hơn trong việc truyền xuống lá thay đổi ACL ở ngọn cây lớn.

Do di sản Netware của chúng tôi, chúng tôi có một số lượng lớn các nhóm được đặt tên dựa trên những người trong đó, với một số ít được đặt tên cho những gì họ cung cấp quyền truy cập. Đối với các thư mục có quyền truy cập trung tâm, chúng tôi cũng sử dụng danh pháp "RO" "Đầy đủ".

Chúng tôi có một khối lượng "chia sẻ" nguyên khối (vẫn trên NetWare, nhưng chúng tôi dự định sẽ có khối lượng nguyên khối khi chúng tôi chuyển sang Windows), đó là khối lượng được chia sẻ duy nhất cho tất cả 4.400 công nhân và có hơn 3,5 triệu tệp trên đó. Các thư mục cấp cao nhất là tất cả các tên bộ phận và mỗi bộ phận quy định những gì diễn ra bên trong chúng. Có một vài trường hợp ngoại lệ cho các phòng ban thực sự lớn, những phòng ban có thư mục cấp 2 với ACL.

Ở công việc cuối cùng của chúng tôi, chúng tôi thậm chí có thể thiết lập quyền để nhân viên nhân sự xin việc sẽ không thể xem dữ liệu ứng dụng của họ trên máy chủ của họ. Phải mất một số bộ lọc quyền thừa kế để thực hiện, tương tự như thẻ "kế thừa khối" trên Windows. Phần khó khăn ở đó là ghi lại tất cả, nhưng nó đã hoạt động .

Một tình huống tốt nhất là mỗi người dùng được thêm vào một nhóm bảo mật cho vai trò công việc của người dùng. Vai trò sau đó được ủy quyền truy cập khi cần thiết.

Tương tự, một thư mục dùng chung phải được cấp quyền truy cập bằng cách sử dụng các nhóm bảo mật "tài nguyên", như ví dụ "FILE01-Test results-RW" của bạn. Điều này sẽ chứa các vai trò công việc, vai trò bộ phận hoặc các nhóm áp dụng khác.

Ưu điểm của thiết kế này là bạn ủy quyền truy cập trên cơ sở từng nhóm (nhóm, bộ phận, v.v.) và không truy cập một lần có thể khó theo dõi. Khi người dùng chuyển sang bộ phận khác, bạn cần dọn sạch tất cả các quyền truy cập cũ.

Nhược điểm là các nhóm có thể bị lạm dụng. Tạo sự khác biệt rõ ràng về việc các nhóm được sử dụng để làm gì, để các nhóm tài nguyên được gán cho một chia sẻ không được sử dụng lại như thể chúng là các nhóm bộ phận, tạo ra một mớ hỗn độn truy cập.