क्या यह फ़ाइल सर्वर अनुमतियों के लिए अनुशंसित / मान्य दृष्टिकोण है?

फ़ाइल सर्वर आईटी में जीवन का एक तथ्य है और अगर कोई सामान्य रूप से स्वीकृत प्रथाएं हैं, तो मैं उत्सुक हूं (मैं यहां "सर्वश्रेष्ठ" शब्द का उपयोग करने में संकोच करता हूं) कि आप समूह कैसे बनाते हैं और साझा फ़ोल्डर पर क्लाइंट एक्सेस के प्रबंधन के लिए अनुमतियाँ लागू करते हैं एक फ़ाइल सर्वर।

अपनी वर्तमान नौकरी में, मैंने ACL पर दर्जनों समूहों से लेकर अलग-अलग उपयोगकर्ताओं को सीधे फाइलसिस्टम पर डालने के लिए अलग-अलग तरीकों से ऐसा करने में काफी गड़बड़ की है। मेरा काम गंदगी को साफ करना था और कंपनी (बड़े पर्यावरण, 150k कर्मियों, 90k क्लाइंट कंप्यूटर, 100 के फ़ाइल सर्वरों) में इस तरह के दृष्टिकोण के कुछ मानकीकृत तरीके के साथ आना था।

इस मुद्दे की मेरी समझ से, ऐसा लगता है कि आपको कम से कम एक समूह प्रति आवश्यक पहुँच स्तर प्रति सुरक्षित संसाधन की आवश्यकता है। यह मॉडल सबसे अधिक लचीलापन देने के लिए लगता है कि आपको फाइल सिस्टम अनुमतियों को फिर से छूने की आवश्यकता नहीं है जब तक कि आपको एक अलग पहुँच स्तर का समर्थन करने की आवश्यकता न हो। नकारात्मक पक्ष यह है कि आप एक से अधिक साझा संसाधनों पर एक ही समूह का पुनः उपयोग करने की तुलना में अधिक समूह बनाएंगे।

यहाँ एक उदाहरण दिखाया गया है जिसका मेरा मतलब है:

FILE01 नामक फ़ाइल सर्वर पर "परीक्षण के परिणाम" नामक एक हिस्सा है और आपके पास ऐसे लोग हैं जिन्हें केवल-पढ़ने के लिए उपयोग, पढ़ने-लिखने और पूर्ण नियंत्रण की आवश्यकता है। 1 सुरक्षित संसाधन * 3 पहुँच स्तर = 3 सुरक्षा समूह। हमारे AD वातावरण में, हम इन्हें सार्वभौमिक समूह बनाते हैं ताकि हम जंगल के किसी भी डोमेन से उपयोगकर्ताओं / समूहों को आसानी से जोड़ सकें। चूंकि प्रत्येक समूह विशिष्ट रूप से एक साझा फ़ोल्डर और एक्सेस स्तर को संदर्भित करता है, समूह के नाम उन "कुंजी" डेटा के टुकड़ों को शामिल करते हैं और अनुमतियाँ इस प्रकार हैं:

"FILE01-Test Results-FC"  --  Full Control
"FILE01-Test Results-RW"  --  Read & Write
"FILE01-Test Results-RO"  --  Read Only

आमतौर पर, हम बिल्ट-इन सिस्टम अकाउंट और बिल्ट-इन एडमिनिस्ट्रेटर को भी फुल कंट्रोल एक्सेस के साथ शामिल करेंगे। वास्तव में किसको क्या मिलता है, इसके लिए कोई भी परिवर्तन अब ACL को छूने के बजाय समूह सदस्यता (या तो "भूमिका" समूहों को जोड़कर प्रबंधित किया जा सकता है, जो प्रबंधकों, तकनीशियनों, क्यूए विश्लेषकों जैसे विशिष्ट व्यावसायिक भूमिकाओं का प्रतिनिधित्व करते हैं, या केवल व्यक्तिगत हैं) वन-ऑफ एक्सेस के लिए उपयोगकर्ता)।

दो सवाल:

1) क्या यह वास्तव में अनुमतियों को संभालने के लिए अनुशंसित या मान्य दृष्टिकोण है या मैं कुछ सरल, अधिक सुरुचिपूर्ण समाधान याद कर रहा हूं? मैं विशेष रूप से किसी भी समाधान में दिलचस्पी लेता हूँ जो विरासत का उपयोग करते हैं लेकिन फिर भी जब चीजें बदलती हैं तो फाइल सिस्टम के बड़े हिस्सों को फिर से एसीएल में न रखने में लचीलापन बनाए रखते हैं।

2) आप अपने वातावरण में फ़ाइल सर्वर अनुमतियों और समूह संरचना को कैसे संभाल रहे हैं? उन लोगों के लिए बोनस अंक जो बड़े वातावरण में भी काम कर रहे हैं।

मेरा दृष्टिकोण फ़ाइल / निर्देशिका स्तर फ़ाइल अनुमतियों का उपयोग नहीं करना है; फ़ाइल शेयर स्तर की अनुमतियों का उपयोग करें, और सभी सर्वर फ़ाइल सिस्टम डेटा ड्राइव को सभी पूर्ण नियंत्रण (जो मूट हो जाता है) पर सेट करें।

इन वर्षों में (10+), मैंने पाया है कि NTFS अनुमतियां अधिक जटिल हैं और अधिक त्रुटियों की ओर ले जाती हैं। यदि अनुमतियाँ गलत हैं, या वंशानुक्रम टूट गया है, तो आप डेटा और इसे खोजने और इसे देखने के लिए कड़ी मेहनत को उजागर करते हैं। साथ ही, आपको मूव / कॉपी समस्या से अवगत कराया जाता है ... फाइल को स्थानांतरित करने वाले उपयोगकर्ता फ़ाइल के ACL को भी स्थानांतरित करते हैं, जबकि प्रतिलिपि गंतव्य ACL को इनहेरिट करती है।

अपने पढ़ने / लिखने वाले समूहों का उपयोग करें, लेकिन संपूर्ण फ़ाइल शेयर पर Comp Mgmt MMC का उपयोग करें। पूर्ण मत करो ... उपयोगकर्ता आंशिक-ज्ञान / सर्वश्रेष्ठ इरादों के साथ खुद को गोली मार लेंगे।

यह दृष्टिकोण बुरा नहीं है। एक नियम के रूप में अनुमतियों को जोड़ने के लिए व्यक्तिगत उपयोगकर्ताओं का उपयोग कभी न करें- एक समूह का उपयोग करें। हालाँकि समूहों का उपयोग संसाधनों में किया जा सकता है। उदाहरण के लिए, मानव संसाधन में आरडब्ल्यू की फाइलों तक पहुंच हो सकती है, जबकि प्रबंधकों के पास आर हो सकती है। आप एक्सेस आधारित गणना भी स्थापित कर सकते हैं। निम्नलिखित वेबकास्ट पर एक नज़र डालें:

TechNet वेबकास्ट: विंडोज सर्वर 2003 प्रशासन श्रृंखला (12 का भाग 4): समूह प्रबंधन (स्तर 200)

अभिगम आधारित अभिगम जीवन को आसान भी बना सकता है:

अभिगम आधारित अभिगम

ABE आपके द्वारा प्रबंधित किए जाने वाले विभिन्न शेयरों की संख्या को कम करने में मदद कर सकता है।

आपका दृष्टिकोण मूल रूप से मैं जिस तरह से यह दृष्टिकोण होगा।
केवल एक चीज जो मैं जोड़ूंगा वो ये हैं:

1) मैं आपकी "भूमिकाओं" योजना में यह मूल्यांकन करके जोड़ूंगा कि उन्हें उन सर्वरों की क्या आवश्यकता है जो केवल एक सर्वर पर नहीं हैं जो आप शायद आउटलेयर में चलाने जा रहे हैं, लेकिन मेरा सिद्धांत उन लोगों के साथ है जब आप उनमें भाग लेते हैं, एक और समूह बनाते हैं। मेरे अनुभव में जहाँ एक से एक बहार है वहाँ कई हैं।

2) मैं हर चीज के लिए सार्वभौमिक समूहों की आवश्यकता को फिर से स्पष्ट करूँगा क्योंकि आप उनके साथ एक हिट हिट लेते हैं क्योंकि यूनिवर्सल समूह के अंदर सदस्यों और समूहों को ग्लोबल कैटलॉग सर्वरों के लिए दोहराया जाता है जबकि डोमेन लोकल और ग्लोबल केवल समूह के साथ होता है। वैश्विक कैटलॉग सर्वर के लिए दोहराया गया। इसलिए यदि आप एक सार्वभौमिक समूह में बदलाव करते हैं तो यह एक प्रतिकृति को बंद कर देता है, जबकि वैश्विक और डोमेन स्थानीय के साथ ऐसा नहीं करता है।

प्रत्येक एक्सेस स्तर के लिए संसाधन समूह का उपयोग करने का आपका तरीका सही है। केवल एक चीज जिस पर मैं विचार करूंगा वह है संसाधनों के लिए डोमेन स्थानीय समूहों का उपयोग करना। यदि आप सर्वर-विशिष्ट संसाधन समूह बना रहे हैं तो आपको सार्वभौमिक समूहों का उपयोग करने की आवश्यकता नहीं है।

संसाधनों के लिए डोमेन स्थानीय समूहों का उपयोग करने का नकारात्मक पक्ष यह है कि आप अधिक कुल समूहों के साथ समाप्त होते हैं। उल्टा यह है कि आपके पास प्रतिकृति के साथ समस्या कम है, जैसा कि ज़ीफ़र ने नोट किया है।

प्रस्तावित दृष्टिकोण काफी ठोस लगता है। एक बात के लिए बाहर देखने के लिए हालांकि आप शुरू में फ़ाइल शेयर सेट है जिस तरह से है। अनुशंसित अभ्यास में एक एकल शीर्ष-स्तरीय हिस्सा होता है, जिसमें सबफ़ोल्डर्स होते हैं जिन्हें आप तब समूह की अनुमतियाँ असाइन करते हैं। NTFS तब शीर्ष स्तर के फ़ोल्डर पर "ट्रैवर्स फ़ोल्डर / एक्सक्यूट फाइल" को बायपास कर सकता है और सबफ़ोल्डर को एक्सेस दे सकता है।

संरचना तब \ Servername \ sharename \ group-folder की तरह दिखेगी, जिसमें शेयर अनुमतियों के साथ केवल "sharename" फ़ोल्डर पर सेट करने की आवश्यकता होती है, और "समूह-फ़ोल्डर" फ़ोल्डर पर सेट वास्तविक NTFS अनुमतियाँ।

आपका फ़ाइल सर्वर इस तरह के सेटअप के साथ बेहतर प्रदर्शन करने में सक्षम होगा।

सामान्य अन्य चीजें जो मैं करता हूं, उन समूहों के लिए एक नामकरण सम्मेलन होगा जैसे कि समूह का नाम समूह फ़ोल्डर नाम के समान है (एफसी / आरडब्ल्यू / आरओ के साथ यदि वांछित है), और समूह विवरण में फ़ोल्डर में यूएनसी चिपका दें (ताकि आपकी लॉगऑन स्क्रिप्ट इसे वापस पढ़ सके और उस तरह से एक ड्राइव मैपिंग सेट कर सके, और यह भी कि आप अधिक आसानी से देख सकें कि कौन सा साझा फ़ोल्डर किन समूहों पर लागू होता है)।

विंडोज 2000 के बाद से मैं विंडोज फाइल सर्वर के लिए जो मानक अभ्यास कर रहा हूं, (मार्क मिनसी की मास्टरिंग विंडोज सर्वर श्रृंखला में रखा गया है, इसलिए वहां अधिक जानकारी के लिए देखें) उन समूहों का उपयोग करना है जो फ़ाइल सर्वर के लिए स्थानीय हैं।

उदाहरण के लिए, MUPPETS नामक डोमेन में KERMIT नामक फ़ाइल सर्वर पर विचार करें।

कहो किर्मिट में कुछ फ़ाइल शेयर हैं:

\\KERMIT\Applications
\\KERMIT\Finance
\\KERMIT\Sales
\\KERMIT\Manufacturing

उपयोग के लिए KERMIT के लिए स्थानीय समूह बनाएं और उन्हें फ़ाइल सिस्टम पर ठीक वैसे ही अनुमति दें जैसे आपने निर्दिष्ट किया है (यानी प्रति शेयर प्रति एक्सेस स्तर)

KERMIT\Applications-RO
KERMIT\Applications-RW
KERMIT\Applications-FC
KERMIT\Finance-RO
[...]

क्योंकि ये स्थानीय समूह हैं, आप जो भी अन्य समूह या उपयोक्ता चाहें, उनमें डाल सकते हैं - डोमेन स्थानीय समूह, वैश्विक समूह, सार्वभौमिक समूह, आपके जंगल में किसी भी डोमेन के उपयोगकर्ता खाते। अधिकार प्रबंधन अब फ़ाइल सिस्टम या AD के बजाय फ़ाइल सर्वर के समूहों के लिए स्थानीय है।

इससे आपके समूह प्रबंधन में एक अतिरिक्त परत जुड़ जाती है, लेकिन इसमें उस फ़ाइल सर्वर के लिए व्यवस्थापक अधिकारों से अधिक आवश्यकता के बिना अपने स्वयं के फ़ाइल सर्वरों को प्रबंधित करने की अनुमति (कहना) साइट-स्थानीय व्यवस्थापक को लाभ होता है। यदि आपके पास शाखा कार्यालय संरचना का एक संघबद्ध प्रकार है, जहां हर कार्यालय का प्रकार अपने सर्वरों के साथ अपनी बात करता है, तो यह एक वास्तविक लाभ हो सकता है। आप कुछ दर्जन स्थानीय साइट व्यवस्थापक को AD व्यवस्थापक अधिकार देना नहीं चाह सकते हैं।

यह आपके AD को बहुत सारे समूहों (एक समूह प्रति एक्सेस स्तर प्रति सर्वर प्रति शेयर बहुत तेज़ी से जोड़ सकता है) से क्लू किया जा रहा है, और GCs के बीच समूह प्रतिकृति को कम करता है। यह आपको अनुमतियों के बजाय भूमिकाओं के लिए अपने विज्ञापन समूहों को आरक्षित करने की अनुमति देता है।

यदि आपका वातावरण कठोरता से मानकीकृत है और सभी फ़ाइल सर्वर समान और प्रतिकृति हैं, तो यह स्पष्ट रूप से उन समूहों की एक और परत है जिनकी आपको आवश्यकता नहीं है। इसके अलावा, यदि आप जानते हैं कि आपको प्रत्येक शेयर फ़ाइल सर्वर पर मौजूद समान अधिकारों के लिए एक विशेष AD समूह की आवश्यकता है, तो आपको इसे बनाए रखने के लिए कुछ स्वचालन की आवश्यकता होगी।

संक्षेप में, आपके फ़ाइल सर्वर एक दूसरे से जितने अलग हैं, मशीन स्थानीय समूहों का उपयोग करने में उतना ही अधिक अर्थ है। जितना अधिक वे समान हैं, जितना अधिक आप उस सिस्टम का उपयोग करना चाहते हैं जो आप वर्तमान में उपयोग कर रहे हैं।

मैं NetWare से Windows Server 2008 के माइग्रेशन को देख रहा हूं इसलिए यह हाल ही में मेरे दिमाग में आया है। सर्वर 2008 (और कुछ हद तक सर्वर 2003R2) में कुछ बहुत अच्छी विशेषताएं हैं जो वास्तव में इस संक्रमण को कम करती हैं। सर्वर 2008 बॉक्स के बाहर प्रवेश आधारित अभिगम के साथ आता है। यह एक बहुत अच्छी सुविधा है जो उपयोगकर्ताओं को केवल उन निर्देशिकाओं को देखने की अनुमति देती है जिनके पास उनके अधिकार हैं। यदि आपके पास एक शेयर है ...

\\ उपयोगकर्ता के घर SRV \ घरों \

ABE के बिना अंतिम उपयोगकर्ता को दसियों / सैकड़ों / हजारों निर्देशिकाएं दिखाई देंगी। ABE के साथ अंतिम उपयोगकर्ता को केवल एक ही दिखाई देगा। साझा शेयरों का भी यही हाल है। ABE के साथ यदि आप चाहें तो अपने सभी विभागीय निर्देशिकाओं के लिए एक ही बड़ी मात्रा में हो सकते हैं, और अपने उपयोगकर्ताओं को उन निर्देशिकाओं से बाहर नहीं भेज सकते हैं जिन्हें वे प्राप्त नहीं कर सकते। हालांकि ACL मुद्दा नहीं है, यह कुछ हद तक संबंधित है इसलिए मैं इसे लाता हूं।

एक और चीज जो सर्वर 2008 को लगता है कि वह अपने पहले के संस्करणों से बेहतर है, एसीएल इनहेरिटेंस है। यह सिर्फ एक बड़े पेड़ के शीर्ष पर एक एसीएल परिवर्तन के पत्ते को फैलाने में तेजी से लगता है।

हमारी नेटवेयर विरासत के कारण, हमारे पास बड़ी संख्या में ऐसे समूह हैं, जो उन पर आधारित हैं, जो उनमें से कुछ के साथ हैं, जिनके नाम पर वे उन लोगों के लिए नाम रखते हैं जो उन्हें एक्सेस देते हैं। उन निर्देशिकाओं के लिए, जिनके पास पुन: पहुंच है, हम "RO" "पूर्ण" नामकरण का भी उपयोग करते हैं।

हमारे पास एक मोनोलिथिक "साझा" वॉल्यूम है (अभी भी नेटवेअर पर है, लेकिन हमारी योजना है कि जब हम विंडोज पर जाते हैं तो यह अखंड है) जो सभी 4,400 श्रमिकों के लिए एकल साझा वॉल्यूम है, और इस पर 3.5 मिलियन से अधिक फाइलें हैं। शीर्ष स्तर की निर्देशिकाएं सभी विभाग के नाम हैं, और प्रत्येक विभाग उनके अंदर क्या चलता है, को नियंत्रित करता है। वास्तव में बड़े विभागों के लिए कुछ अपवाद हैं, एसीएल के साथ निर्देशिकाओं का दूसरा स्तर है।

मेरी पिछली नौकरी में हम अनुमतियाँ सेट करने में सक्षम थे, इसलिए नौकरियों के लिए आवेदन करने वाले एचआर कर्मचारी अपने सर्वर पर अपने स्वयं के आवेदन डेटा नहीं देख पाएंगे। इसे करने के लिए कुछ वंशानुक्रम-अधिकार-फ़िल्टर लगे, जो विंडोज़ पर "ब्लॉक इनहेरिटेंस" टैग के समान है। मुश्किल हिस्सा वहाँ यह सब दस्तावेज था, लेकिन यह काम किया ।

एक सर्वोत्तम स्थिति यह है कि प्रत्येक उपयोगकर्ता को उपयोगकर्ता की नौकरी की भूमिका के लिए सिर्फ एक सुरक्षा समूह में जोड़ा जाता है। इसके बाद भूमिका को जरूरत पड़ने पर पहुँच प्रदान की जाती है।

समान रूप से, एक साझा फ़ोल्डर को आपके "FILE01-Test Results-RW" उदाहरण की तरह "संसाधन" सुरक्षा समूहों का उपयोग करके पहुंच दी जानी चाहिए। इसमें नौकरी की भूमिका, विभाग की भूमिका या अन्य लागू समूह होंगे।

इस डिज़ाइन का उल्टा यह है कि आप प्रति-समूह आधार (टीम, विभाग, इत्यादि) तक पहुंच को सौंपते हैं, न कि एक-बंद पहुंच को जिसे ट्रैक करना मुश्किल हो सकता है। जब उपयोगकर्ता किसी अन्य विभाग में स्थानांतरित होता है, तो आपको सभी पुराने एक्सेस को साफ करने की आवश्यकता होती है।

नकारात्मक पक्ष यह है कि समूहों का दुरुपयोग किया जा सकता है। समूहों के लिए क्या उपयोग किया जाता है, इस बारे में स्पष्ट रूप से बताएं, ताकि एक हिस्से को सौंपे गए संसाधन समूहों का पुन: उपयोग न किया जाए जैसे कि वे विभागीय समूह थे, जिससे पहुंच में गड़बड़ हो गई थी।