Bản sao DFS và người dùng HỆ THỐNG (quyền NTFS)


10

Câu hỏi mà tôi gặp khó khăn khi tìm câu trả lời trên Google hoặc Technet ...

Việc cấp quyền SYSTEMngười dùng cho các tệp và thư mục chia sẻ DFS có ảnh hưởng gì đến việc sao chép DFS không? (Và trong khi chúng ta đang ở đó, có lý do chính đáng nào để không cho SYSTEMphép các tệp được chia sẻ DFS không?)

Nó xuất hiện bởi vì tôi có một bộ sưu tập các không gian tên và thư mục DFS mà tôi không thể gây ra sự cố cho người khác và trong khi khắc phục sự cố trong đó một bản sao DFS không sao chép với một bản sao khác mà không có lý do rõ ràng, tôi đã quan sát thấy rằng SYSTEMtài khoản không có bất kỳ quyền nào được cấp cho bất kỳ tệp hoặc thư mục nào trong thư mục được đề cập.

Vì vậy, tôi đã thiết lập SYSTEMđể có toàn quyền kiểm soát và tuyên truyền nó xuống, và các báo cáo chẩn đoán sức khỏe DFS của chúng tôi đã chuyển từ tồn đọng ~ 80 tệp thành tồn đọng ~ 100.000 ... và mọi thứ bắt đầu sao chép, bao gồm một số tệp bị thiếu trên một máy chủ hoặc máy chủ khác (không chỉ thay đổi quyền bắt đầu sao chép).

Đương nhiên, điều này khiến tôi tò mò về việc liệu DFS có cần SYSTEMtài khoản để có quyền thực hiện công việc của mình hay không, hoặc có lẽ đó chỉ là bất kỳ thay đổi nào đối với cây thư mục trong câu hỏi đã khiến DFS nhảy vào hành động. Nếu có vấn đề, các không gian tên DFS của chúng tôi đã được thiết lập vào năm 2000/2003 và tôi mới hoàn thành việc nâng cấp tất cả các máy chủ lên 2008 R2 hoặc 2012 (đã bật UAC, blech), nhưng vẫn chưa thể nâng cao chức năng không gian tên DFS cấp độ cho Máy chủ 2008.

(Và điểm thưởng nếu bất kỳ ai có bài viết chính thức của Microsoft về quyền truy cập tệp NTFS và SYSTEMtài khoản khi liên quan đến DFS hoặc tệp mạng.)


Khi bạn nâng cấp máy chủ, bạn có làm theo hướng dẫn di chuyển FRS-sang DFS không? microsoft.com/en-us/doad/conf Confirmation.aspx?id=580
Rex

@Rex Tôi đã không thực hiện FRS -> Di chuyển DFS và tôi đoán rằng mọi hướng dẫn, cách thực hành tốt nhất hoặc suy nghĩ hợp lý có thể không được tuân theo, nhưng chúng tôi đã sử dụng DFS (trái ngược với FRS) trong một thời gian khá dài. Tôi có chút nghi ngờ rằng lý do nó hoạt động kém như vậy là do cách nó được thiết lập ban đầu, cũng như cách nó được di chuyển. Nâng cấp trong câu hỏi là nâng cấp phiên bản không gian tên , không phải nâng cấp FRS -> DFS. Tôi sẽ sửa từ bị bỏ qua ngay bây giờ.
HoplessN00b

nếu bạn đang thực hiện bất kỳ loại sao chép nào trong DFS dưới 2000/2003, thì nó đã được sử dụng sẽ phải sử dụng FRS để thực hiện sao chép. DFS-R để sao chép DFS không có sẵn cho đến 2003 R2. DFS trên 2008 R2 không còn hỗ trợ FRS để sao chép và máy chủ 2008 R2 không thể sao chép với các không gian tên DFS cũ hơn 2003 trừ khi bạn nâng cấp tất cả các máy chủ lên 2003 R2 (hoặc mới hơn) và di chuyển sang DFS-R để sao chép.
Rex

Câu trả lời:


9

Chủ đề này trên Technet cho biết HỆ THỐNG cần kiểm soát hoàn toàn. Tuy nhiên, không phải là một nguồn chính thức, và thử nghiệm thêm chứng minh rằng đó là sai .


Dịch vụ nhân rộng DFS

Tôi đã xem qua các dịch vụ DFS trên máy chủ Server 2008R2 của tôi với Process Explorer. dfsrs.exe, dịch vụ sao chép hệ thống tệp phân tán, chạy dưới dạng "NT Author \ HỆ THỐNG". Tuy nhiên, nó có SeBackupPriv đặc biệtSeRestorePriv đặc biệt :

Ảnh chụp màn hình của quyền dfsrs.exe

Từ hằng số đặc quyền của Microsoft :

SeBackupPriv đặc quyền - Cần thiết để thực hiện các hoạt động sao lưu. Đặc quyền này khiến hệ thống cấp tất cả quyền kiểm soát truy cập đọc cho bất kỳ tệp nào, bất kể danh sách kiểm soát truy cập (ACL) được chỉ định cho tệp. Bất kỳ yêu cầu truy cập nào khác ngoài đọc vẫn được đánh giá bằng ACL. 3

SeRestorePriv đặc quyền - Cần thiết để thực hiện các hoạt động khôi phục. Đặc quyền này khiến hệ thống cấp tất cả quyền kiểm soát truy cập ghi vào bất kỳ tệp nào, bất kể ACL được chỉ định cho tệp. Bất kỳ yêu cầu truy cập nào khác ngoài ghi vẫn được đánh giá bằng ACL. Ngoài ra, đặc quyền này cho phép bạn đặt bất kỳ người dùng hoặc nhóm SID hợp lệ nào làm chủ sở hữu của một tệp.

Với các quyền đó, Dịch vụ sao chép DFS có thể bỏ qua mọi quyền của tệp - nó được cấp quyền đọc, ghi và đặt quyền trên bất kỳ tệp nào mà nó yêu cầu.


Kiểm tra

Tôi đã tạo một thư mục trong một trong các chia sẻ DFS của mình với một vài tệp trong đó, đặt tài khoản của tôi làm chủ sở hữu và xóa tất cả các quyền ngoại trừ tài khoản của tôi.

DFS đã sao chép nó tới tất cả các máy chủ khác mà không gặp sự cố và tất cả các bản sao đều có cùng quyền.

Do đó, DFS không phụ thuộc vào bất kỳ quyền hệ thống tệp nào để sao chép.


Tôi nghi ngờ trong trường hợp của bạn chỉ cần thực hiện bất kỳ thay đổi nào đối với các tệp sẽ khiến DFS thức dậy và thấy rằng chúng cần sao chép. Không biết điều gì sẽ gây ra tình huống đó ngay từ đầu.


1
Câu trả lời nổi bật. Tôi sẽ cung cấp cho bạn dấu kiểm và tiền thưởng trong 5 ngày, nếu có ai đó có thể đi cùng và đứng đầu điều này.
HoplessN00b

2
Đáng tiếc, tôi nên sử dụng một hình ảnh trong bài viết của mình! :(

3

Theo bài viết này của Microsoft http://support.microsoft.com/kb/120929 "Tài khoản hệ thống và tài khoản quản trị viên (nhóm Quản trị viên) có cùng đặc quyền tệp, nhưng chúng có các chức năng khác nhau."

Điều này có nghĩa là Tài khoản hệ thống giống như quản trị viên cục bộ và nó tồn tại cho mục đích chạy các dịch vụ hệ thống với các đặc quyền của Quản trị viên mà không yêu cầu mật khẩu. Quá trình sao chép trong DFS-R được thực hiện với tài khoản này.

Người dùng hệ thống không có ý nghĩa đặc biệt trong Hệ thống tệp hoặc trong thiết lập DFS khác với Quản trị viên thông thường. Tuy nhiên, điều này có thể trở nên khó hiểu vì Quản trị viên Windows không phải lúc nào cũng hoạt động với các đặc quyền Quản trị tùy thuộc vào cách chương trình hoặc trình bao được gọi, trong khi tài khoản hệ thống có thể sẽ luôn hoạt động với mã thông báo leo thang / quản trị viên. Tôi đoán rằng thiết lập DFS của bạn chỉ là lỗi và sửa đổi ACL có thể khiến một số tòa nhà được tạo ra hoặc xử lý tệp được mở / làm mới để tắt các mạng nhện hoạt động.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.