DFS प्रतिकृति और सिस्टम उपयोगकर्ता (NTFS अनुमतियाँ)


10

प्रश्न जिसके लिए मुझे Google या Technet पर उत्तर खोजने में समस्या हो रही है ...

क्या SYSTEMDFS द्वारा साझा की गई फ़ाइलों और फ़ोल्डरों को उपयोगकर्ता की अनुमति देने से DFS प्रतिकृति पर कोई प्रभाव पड़ता है? (और जब हम इस पर हैं, तो क्या डीएफएस-साझा फ़ाइलों को अनुमति नहीं देने का कोई अच्छा कारण है SYSTEM?)

यह इसलिए हुआ क्योंकि मेरे पास डीएफएस नेमस्पेस और फ़ोल्डरों का एक संग्रह है जो मैं किसी और की समस्या को बनाने में सक्षम नहीं हूं, और एक समस्या का निवारण करते समय जहां एक डीएफएस प्रतिकृति केवल किसी अन्य के साथ कोई स्पष्ट कारण के लिए प्रतिकृति नहीं थी, मैंने देखा कि SYSTEMखाते में किसी भी फ़ाइल या फ़ोल्डर में फ़ोल्डर की अनुमति नहीं दी गई है।

इसलिए मैंने SYSTEMपूर्ण नियंत्रण स्थापित किया और इसे नीचे प्रचारित किया, और हमारी डीएफएस स्वास्थ्य निदान रिपोर्ट ~ 80 फ़ाइलों के बैकलॉग को ~ 100,000 के बैकलॉग को दिखाने से चली गई ... और चीजें दोहराई जाने लगीं, जिनमें कई फाइलें गायब थीं। एक सर्वर या दूसरे पर (ताकि केवल अनुमतियों से अधिक प्रतिकृति बदलने लगे)।

स्वाभाविक रूप से, इसने मुझे उत्सुक किया कि क्या DFS को SYSTEMअपना काम करने के लिए अनुमति की आवश्यकता है या नहीं , या यदि यह प्रश्न में केवल फ़ोल्डर ट्री में कोई बदलाव था, जिसने DFS को कार्रवाई में कूदने के लिए प्रेरित किया। अगर यह मायने रखता है, तो हमारे डीएफएस नामस्थान 2000/2003 के तहत स्थापित किए गए थे, और मैंने अभी हाल ही में सभी सर्वरों को 2008 R2 या 2012 (यूएसी सक्षम, ब्लीच के साथ) को अपग्रेड किया है, लेकिन अभी तक डीएफएस नेमस्पेस कार्यात्मक बढ़ाने के लिए चारों ओर नहीं देखा है। सर्वर 2008 के स्तर।

(और बोनस अंक अगर किसी के पास एनटीएफएस फाइल की अनुमति पर आधिकारिक Microsoft लेख है और SYSTEMयह डीएफएस या नेटवर्क फाइलों से संबंधित है।)


जब आप सर्वरों को अपग्रेड करते हैं, तो क्या आपने FRS-to DFS माइग्रेशन गाइड का अनुसरण किया था? microsoft.com/en-us/download/confirmation.aspx?id=580
Rex

@Rex मैंने FRS -> DFS माइग्रेशन नहीं किया, और मुझे यह कहने के लिए एक अनुमान लगाने का खतरा है कि किसी भी गाइड, सामान्य ज्ञान या तर्कसंगत सोच का पालन शायद नहीं किया गया था, लेकिन हम DFS का उपयोग कर रहे हैं (जैसा कि विरोध किया गया है) FRS) काफी समय से। मुझे इसमें कोई संदेह नहीं है कि जिस कारण से यह इतनी खराब तरीके से काम करता है, वह इसलिए है क्योंकि यह शुरू में स्थापित किया गया था, साथ ही जिस तरह से इसे माइग्रेट किया गया था। प्रश्न में अपग्रेड एक नेमस्पेस वर्जन अपग्रेड था , FRS -> DFS अपग्रेड नहीं था। मैं उस लोप किए गए शब्द को अब ठीक करूँगा।
होपलेस

यदि आप 2000/2003 के तहत DFS में किसी भी प्रकार की प्रतिकृति कर रहे हैं, तो यह प्रतिकृति का उपयोग करने के लिए FRS का उपयोग कर रहा होगा। DFS प्रतिकृति के लिए DFS-R 2003 R2 तक उपलब्ध नहीं था। 2008 R2 पर DFS प्रतिकृति के लिए FRS का समर्थन नहीं करता है और 2008 R2 सर्वर पुराने 2003 पर आधारित DFS नामस्थान के साथ प्रतिकृति नहीं कर सकता, जब तक कि आपने सभी सर्वरों को 2003 R2 (या बाद में) में अपग्रेड नहीं किया और प्रतिकृति के लिए DFS-R पर माइग्रेट नहीं किया।
रेक्स

जवाबों:


9

टेक्नेट पर यह सूत्र कहता है कि सिस्टम को पूर्ण नियंत्रण की आवश्यकता है। हालांकि, बहुत आधिकारिक स्रोत नहीं है, और आगे का परीक्षण यह साबित करता है कि यह गलत है


डीएफएस प्रतिकृति सेवा

मैंने अपने सर्वर 2008R2 मशीन पर DFS सेवाओं पर प्रोसेस एक्सप्लोरर के साथ नज़र डाली। वितरित फ़ाइल सिस्टम प्रतिकृति सेवा dfsrs.exe, "NT Authority \ System" के रूप में चलती है। हालाँकि, इसमें SeBackupPrivilege और SeRestorePrivilege है :

Dfsrs.exe अनुमतियों का स्क्रीनशॉट

Microsoft विशेषाधिकार स्थिरांक से :

SeBackupPrivilege - बैकअप संचालन करने के लिए आवश्यक है। यह विशेषाधिकार किसी भी फ़ाइल को सभी रीड एक्सेस कंट्रोल प्रदान करने का कारण बनता है, भले ही एक्सेस कंट्रोल लिस्ट (ACL) फ़ाइल के लिए निर्दिष्ट हो। रीड के अलावा किसी भी एक्सेस अनुरोध का अभी भी एसीएल के साथ मूल्यांकन किया जाता है। 3

SeRestorePrivilege - संचालन बहाल करने के लिए आवश्यक है। यह विशेषाधिकार सिस्टम को किसी भी फ़ाइल के लिए सभी लेखन अभिगम नियंत्रण प्रदान करने का कारण बनता है, भले ही फ़ाइल के लिए निर्दिष्ट ACL हो। लिखने के अलावा किसी भी पहुँच अनुरोध का अभी भी ACL के साथ मूल्यांकन किया जाता है। इसके अतिरिक्त, यह विशेषाधिकार आपको किसी मान्य उपयोगकर्ता या समूह SID को फ़ाइल के स्वामी के रूप में सेट करने में सक्षम बनाता है।

उन अनुमतियों के साथ, डीएफएस प्रतिकृति सेवा किसी भी फ़ाइल अनुमतियों को अनदेखा कर सकती है - इसे किसी भी फ़ाइल पर अनुमतियों को पढ़ने, लिखने और सेट करने की अनुमति दी जाती है।


परिक्षण

मैंने अपने डीएफएस शेयरों में से एक में कुछ फ़ाइलों के साथ एक फ़ोल्डर बनाया, मेरे खाते को मालिक के रूप में सेट किया, और मेरे खाते को छोड़कर सभी अनुमतियों को हटा दिया।

DFS ने इसे सभी अन्य सर्वरों को बिना किसी समस्या के दोहराया, और सभी प्रतिकृतियों की एक ही अनुमति थी।

इस प्रकार DFS को दोहराने के लिए किसी भी फाइल सिस्टम अनुमति पर निर्भर नहीं है।


मुझे आपके मामले में संदेह है कि बस फाइलों में कोई बदलाव करने से डीएफएस जाग जाएगा और देखेगा कि उन्हें प्रतिकृति की आवश्यकता है। हालांकि इस स्थिति में पहली बार उस स्थिति का क्या कारण रहा होगा, इसका कोई अंदाजा नहीं है।


1
बकाया जवाब। मैं आपके चेक मार्क और इनाम को 5 दिनों में दूंगा, इस बंद मौके पर कि कोई भी साथ आ सकता है और इसे टॉप कर सकता है।
HopelessN00b

2
खतरे, मुझे अपनी पोस्ट में एक छवि का उपयोग करना चाहिए था! :(

3

Microsoft http://support.microsoft.com/kb/120929 के इस लेख के अनुसार "सिस्टम खाता और व्यवस्थापक खाता (व्यवस्थापक समूह) में एक ही फ़ाइल विशेषाधिकार हैं, लेकिन उनके अलग-अलग कार्य हैं।"

इसका मतलब है कि सिस्टम खाता स्थानीय व्यवस्थापक के समान है, और यह एक पासवर्ड की आवश्यकता के बिना एक प्रशासक के विशेषाधिकारों के साथ सिस्टम सेवाओं को चलाने के उद्देश्य से मौजूद है। DFS-R में प्रतिकृति प्रक्रिया इस खाते के साथ की जाती है।

सिस्टम यूजर का फाइल सिस्टम में या किसी डीएफएस सेटअप में रेगुलर एडमिन से अलग कोई खास महत्व नहीं है। हालाँकि यह भ्रामक हो सकता है क्योंकि Windows Admins हमेशा प्रशासनिक विशेषाधिकारों के साथ काम नहीं कर रहा होता है, यह इस बात पर निर्भर करता है कि प्रोग्राम या शेल को कैसे बुलाया गया था, जबकि एक सिस्टम खाता संभवतः एस्केलेटेड / एडमिन टोकन के साथ काम करेगा। मुझे लगता है कि आपका डीएफएस सेटअप सिर्फ छोटी गाड़ी थी, और एसीएल को संशोधित करने के कारण शायद कुछ सिस्कोल्स बने, या फ़ाइल हैंडल को खोला / ताज़ा किया गया जिसने लौकिक कोबवे को हिला दिया।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.