Replikasi DFS dan pengguna SISTEM (izin NTFS)

10

Pertanyaan yang saya mengalami kesulitan menemukan jawaban di Google atau Technet ...

Apakah pemberian SYSTEMizin pengguna ke file dan folder yang dibagikan DFS berdampak pada replikasi DFS? (Dan sementara kami berada di sana, apakah ada alasan bagus untuk tidak membiarkan SYSTEMmemiliki izin untuk file yang dibagikan DFS?)

Itu muncul karena saya memiliki koleksi ruang nama dan folder DFS yang saya tidak dapat membuat masalah orang lain, dan sementara pemecahan masalah masalah di mana satu replika DFS hanya tidak mereplikasi dengan yang lain tanpa alasan yang jelas, saya mengamati bahwa SYSTEMakun tidak memiliki izin apa pun yang diberikan ke file atau folder dalam folder yang dimaksud.

Jadi saya menetapkan SYSTEMuntuk memiliki kontrol penuh dan menyebarkannya, dan laporan diagnostik kesehatan DFS kami berubah dari menunjukkan backlog ~ 80 file menjadi backlog ~ 100.000 ... dan banyak hal mulai direplikasi, termasuk sejumlah file yang telah hilang pada satu server atau yang lain (jadi lebih dari sekadar perubahan izin mulai mereplikasi).

Tentu saja, ini membuat saya penasaran, apakah DFS memerlukan SYSTEMakun untuk memiliki izin untuk melakukan tugasnya, atau apakah mungkin itu hanya perubahan pada folder tree yang dipertanyakan yang mendorong DFS untuk segera bertindak. Jika itu penting, ruang nama DFS kami didirikan pada 2000/2003, dan saya baru saja selesai memutakhirkan semua server ke 2008 R2 atau 2012 (dengan UAC diaktifkan, blech), tetapi belum sempat untuk meningkatkan fungsionalitas namespace DFS level ke Server 2008.

(Dan bonus poin jika ada yang memiliki artikel Microsoft resmi tentang izin file NTFS dan SYSTEMakun yang berkaitan dengan DFS atau file jaringan.)

HopelessN00b
sumber
Ketika Anda memutakhirkan server, apakah Anda mengikuti panduan migrasi FRS-ke DFS? microsoft.com/en-us/download/confirmation.aspx?id=580
Rex
@Rex Saya tidak melakukan FRS -> migrasi DFS, dan saya berani menebak bahwa panduan apa pun, praktik terbaik akal sehat, atau pemikiran rasional mungkin tidak diikuti, tetapi kami telah menggunakan DFS (sebagai lawan dari FRS) untuk beberapa waktu. Saya memiliki sedikit keraguan bahwa alasan kerjanya sangat buruk adalah karena cara awalnya dibuat, serta cara itu dimigrasi. Pemutakhiran yang dimaksud adalah pemutakhiran versi namespace , bukan FRS -> pemutakhiran DFS. Saya akan memperbaiki kata yang dihilangkan sekarang.
HopelessN00b
jika Anda melakukan segala jenis replikasi dalam DFS di bawah 2000/2003, itu akan menggunakan harus menggunakan FRS untuk melakukan replikasi. DFS-R untuk replikasi DFS tidak tersedia hingga 2003 R2. DFS pada 2008 R2 tidak lagi mendukung FRS untuk replikasi dan 2008 R2 server tidak dapat mereplikasi dengan ruang nama DFS berbasis 2003 yang lama kecuali Anda memutakhirkan semua server ke 2003 R2 (atau lebih baru) dan bermigrasi ke DFS-R untuk replikasi.
Rex

Jawaban:

9

Utas pada technet ini mengatakan SYSTEM perlu kontrol penuh. Namun bukan sumber yang sangat resmi, dan pengujian lebih lanjut membuktikan bahwa itu salah .


Layanan Replikasi DFS

Saya melihat layanan DFS pada mesin Server 2008R2 saya dengan Process Explorer. dfsrs.exe, layanan Replikasi Sistem File Terdistribusi, berjalan sebagai "NT Authority \ SYSTEM". Namun, ia memiliki SeBackupPrivilege dan SeRestorePrivilege :

Cuplikan layar izin dfsrs.exe

Dari Microsoft Privilege Constants :

SeBackupPrivilege - Diperlukan untuk melakukan operasi pencadangan. Hak istimewa ini menyebabkan sistem memberikan semua kontrol akses baca ke file apa pun, apa pun daftar kontrol akses (ACL) yang ditentukan untuk file tersebut. Setiap permintaan akses selain dari baca masih dievaluasi dengan ACL. 3

SeRestorePrivilege - Diperlukan untuk melakukan operasi pemulihan. Hak istimewa ini menyebabkan sistem untuk memberikan semua kontrol akses tulis ke file apa pun, terlepas dari ACL yang ditentukan untuk file tersebut. Setiap permintaan akses selain penulisan masih dievaluasi dengan ACL. Selain itu, hak istimewa ini memungkinkan Anda untuk menetapkan SID pengguna atau grup apa pun sebagai pemilik file.

Dengan izin itu, Layanan Replikasi DFS dapat mengabaikan izin file apa pun - diberikan izin untuk membaca, menulis, dan mengatur izin pada file apa pun yang diinginkan.


Pengujian

Saya membuat folder di salah satu share DFS saya dengan beberapa file di dalamnya, mengatur akun saya sebagai pemilik, dan menghapus semua izin kecuali untuk akun saya.

DFS mereplikasi ke semua server lain tanpa masalah, dan semua replika memiliki izin yang sama.

Dengan demikian DFS tidak tergantung pada izin sistem file apa pun untuk ditiru.


Saya menduga dalam kasus Anda hanya membuat perubahan pada file akan menyebabkan DFS terbangun dan melihat bahwa mereka perlu direplikasi. Tidak tahu apa yang akan menyebabkan situasi itu sejak awal.

Hibah
sumber
1
Jawaban yang luar biasa. Saya akan memberikan tanda centang dan hadiah Anda dalam 5 hari, jika ada seseorang yang bisa datang dan mengatasi ini.
HopelessN00b
2
Dangit, saya seharusnya menggunakan gambar di posting saya! :(
3

Menurut artikel ini dari Microsoft http://support.microsoft.com/kb/120929 "Akun sistem dan akun administrator (grup Administrator) memiliki hak file yang sama, tetapi mereka memiliki fungsi yang berbeda."

Ini berarti bahwa Akun Sistem sama dengan admin lokal, dan ada untuk tujuan menjalankan layanan sistem dengan hak istimewa Administrator tanpa memerlukan kata sandi. Proses replikasi di DFS-R dilakukan dengan akun ini.

Pengguna sistem tidak memiliki arti khusus dalam Sistem File atau dalam pengaturan DFS yang berbeda dari Admin biasa. Namun hal itu dapat membingungkan karena Admin Windows tidak selalu beroperasi dengan hak administratif yang tergantung pada bagaimana program atau shell dipanggil, sedangkan akun sistem kemungkinan akan selalu beroperasi dengan eskalasi / token admin. Saya akan menebak bahwa pengaturan DFS Anda hanya menjadi buggy, dan memodifikasi ACL mungkin menyebabkan beberapa syscalls dibuat, atau file menangani dibuka / disegarkan yang mengguncang sarang laba-laba pepatah mati.


sumber