Pertanyaan yang saya mengalami kesulitan menemukan jawaban di Google atau Technet ...
Apakah pemberian SYSTEM
izin pengguna ke file dan folder yang dibagikan DFS berdampak pada replikasi DFS? (Dan sementara kami berada di sana, apakah ada alasan bagus untuk tidak membiarkan SYSTEM
memiliki izin untuk file yang dibagikan DFS?)
Itu muncul karena saya memiliki koleksi ruang nama dan folder DFS yang saya tidak dapat membuat masalah orang lain, dan sementara pemecahan masalah masalah di mana satu replika DFS hanya tidak mereplikasi dengan yang lain tanpa alasan yang jelas, saya mengamati bahwa SYSTEM
akun tidak memiliki izin apa pun yang diberikan ke file atau folder dalam folder yang dimaksud.
Jadi saya menetapkan SYSTEM
untuk memiliki kontrol penuh dan menyebarkannya, dan laporan diagnostik kesehatan DFS kami berubah dari menunjukkan backlog ~ 80 file menjadi backlog ~ 100.000 ... dan banyak hal mulai direplikasi, termasuk sejumlah file yang telah hilang pada satu server atau yang lain (jadi lebih dari sekadar perubahan izin mulai mereplikasi).
Tentu saja, ini membuat saya penasaran, apakah DFS memerlukan SYSTEM
akun untuk memiliki izin untuk melakukan tugasnya, atau apakah mungkin itu hanya perubahan pada folder tree yang dipertanyakan yang mendorong DFS untuk segera bertindak. Jika itu penting, ruang nama DFS kami didirikan pada 2000/2003, dan saya baru saja selesai memutakhirkan semua server ke 2008 R2 atau 2012 (dengan UAC diaktifkan, blech), tetapi belum sempat untuk meningkatkan fungsionalitas namespace DFS level ke Server 2008.
(Dan bonus poin jika ada yang memiliki artikel Microsoft resmi tentang izin file NTFS dan SYSTEM
akun yang berkaitan dengan DFS atau file jaringan.)
sumber
Jawaban:
Utas pada technet ini mengatakan SYSTEM perlu kontrol penuh. Namun bukan sumber yang sangat resmi, dan pengujian lebih lanjut membuktikan bahwa itu salah .
Layanan Replikasi DFS
Saya melihat layanan DFS pada mesin Server 2008R2 saya dengan Process Explorer. dfsrs.exe, layanan Replikasi Sistem File Terdistribusi, berjalan sebagai "NT Authority \ SYSTEM". Namun, ia memiliki SeBackupPrivilege dan SeRestorePrivilege :
Dari Microsoft Privilege Constants :
Dengan izin itu, Layanan Replikasi DFS dapat mengabaikan izin file apa pun - diberikan izin untuk membaca, menulis, dan mengatur izin pada file apa pun yang diinginkan.
Pengujian
Saya membuat folder di salah satu share DFS saya dengan beberapa file di dalamnya, mengatur akun saya sebagai pemilik, dan menghapus semua izin kecuali untuk akun saya.
DFS mereplikasi ke semua server lain tanpa masalah, dan semua replika memiliki izin yang sama.
Dengan demikian DFS tidak tergantung pada izin sistem file apa pun untuk ditiru.
Saya menduga dalam kasus Anda hanya membuat perubahan pada file akan menyebabkan DFS terbangun dan melihat bahwa mereka perlu direplikasi. Tidak tahu apa yang akan menyebabkan situasi itu sejak awal.
sumber
Menurut artikel ini dari Microsoft http://support.microsoft.com/kb/120929 "Akun sistem dan akun administrator (grup Administrator) memiliki hak file yang sama, tetapi mereka memiliki fungsi yang berbeda."
Ini berarti bahwa Akun Sistem sama dengan admin lokal, dan ada untuk tujuan menjalankan layanan sistem dengan hak istimewa Administrator tanpa memerlukan kata sandi. Proses replikasi di DFS-R dilakukan dengan akun ini.
Pengguna sistem tidak memiliki arti khusus dalam Sistem File atau dalam pengaturan DFS yang berbeda dari Admin biasa. Namun hal itu dapat membingungkan karena Admin Windows tidak selalu beroperasi dengan hak administratif yang tergantung pada bagaimana program atau shell dipanggil, sedangkan akun sistem kemungkinan akan selalu beroperasi dengan eskalasi / token admin. Saya akan menebak bahwa pengaturan DFS Anda hanya menjadi buggy, dan memodifikasi ACL mungkin menyebabkan beberapa syscalls dibuat, atau file menangani dibuka / disegarkan yang mengguncang sarang laba-laba pepatah mati.
sumber