파일 서버 권한을 처리 한 사람은 누구나 알고 있듯이 NTFS에는 이동 / 복사 문제라는 흥미로운 디자인 기능 / 결함이 있습니다.
이 MS KB 기사에 설명 된 대로 폴더가 이동되고 소스와 대상이 동일한 NTFS 볼륨에있는 경우 폴더 또는 파일에 대한 권한이 상위에서 자동으로 상속되지 않습니다. 폴더가 복사되거나 소스와 대상이 다른 볼륨에있는 경우 권한이 상속됩니다.
다음은 간단한 예입니다.
동일한 NTFS 볼륨에 “기술자”및 “관리자”라는 두 개의 공유 폴더가 있습니다. Technicians 그룹은 Technicians 폴더에 대한 RW 액세스 권한을 가지며 Managers 그룹은 “Managers”폴더에 대한 RW 액세스 권한을 갖습니다. 누군가 둘 다 액세스 할 수 있고 하위 폴더를 “Managers”폴더에서 “Technicians”폴더로 이동 한 경우 이동 된 폴더는 여전히 “Managers”그룹의 사용자 만 액세스 할 수 있습니다. “Technicians”그룹은 “Technicians”폴더 아래에 있어도 하위 폴더에 액세스 할 수 없으며 맨 위에서 권한을 상속 받아야합니다.
아시다시피, 이로 인해 최종 사용자 문제를 해결하는 데 지원 전화, 티켓 및 낭비되는주기가 발생합니다. 사용자가 다른 보안 폴더 / 영역 사이에서 폴더를 자주 이동하는 경우 발생할 수있는 권한의 중첩은 말할 것도 없습니다. 같은 양.
질문은 :
이 NTFS 설계 결함을 해결하는 가장 좋은 방법은 무엇이며 환경에서 어떻게 처리합니까?
링크 된 KB 기사는 Windows 탐색기의 기본 동작을 변경하기 위해 일부 레지스트리 키에 대해 이야기하지만 클라이언트 측이며 사용자가 대부분의 환경에서 내가 생각할 수있는 권한을 변경하는 기능이 필요하다는 것을 알고 있습니다. 파일 서버 권한 (및 sysadmin으로서의 온전함)을 계속 제어하려고합니다.
답변
내 접근 방식은 파일 / 디렉토리 레벨 파일 권한을 사용하지 않는 것입니다. 파일 공유 레벨 권한을 사용하고 전체 서버 파일 시스템 데이터 드라이브를 Everyone Full Control (무엇이 될지)로 설정하십시오.
몇 년 동안 (10+) NTFS NTFS 권한이 더 복잡하고 더 많은 오류가 발생한다는 것을 알았습니다. 권한이 잘못 설정되거나 상속이 중단되면 데이터를 찾기 어렵습니다. 또한 말한대로 이동 / 복사 문제에 노출됩니다.
디렉토리 / 파일 레벨 ACL을 사용해야하는 장소; 나는 건강 상태를 정기적으로 점검하는 것 외에 다른 해결책을 알고 있습니다.
답변
글쎄, 그것은 실제로 결함이 아닙니다. 파일을 이동할 때 권한을 처리하기위한이 규칙은 NT3.1의 베타 2 이상 (Windows 2000에서만 추가 된 상속은 아니지만) 이후에 적용되었습니다. 그것은 Windows의 모든 기능만큼이나 잘 알려져 있습니다. 한 번에 불에 타지 않은 우리가 거의 없기 때문에 나는 당신의 견해에 대해 많은 동정심을 가지고 있습니다. 그러나 그것은 sysadmin이 빠르게 배우는 것입니다.
JR
답변
우리는 NT 3.51부터 NTFS를 사용해 왔으며 (거의 모든 사람들처럼)이 “문제”를 보았지만 많은 문제를 일으키지 않았습니다.
- 공유 디렉토리에서 다른 디렉토리로 파일을 이동해야 할 경우 항상 파일을 복사하도록 지시합니다. “끌 때 CTRL 키를 누른 상태에서 작은 +가 표시되는지 확인하십시오.”는 일반적인 문구입니다.
- 우리의 공유 폴더는 구조가 매우 단순하며 우리가 만든 공유 폴더는 그룹간에 너무 자주 교차하지 않으므로 사람들은 처음에 파일을 복사하려고 할 것입니다.
- 모든 사람들이 읽고 쓸 수있는 폴더 인 “공통”공간에서 대부분 문제가 발생하지만 해당 디렉토리는 수명이 짧기 때문에 제거 할 때 문제가 사라집니다.
답변
내가 생각할 수있는 해결 방법 :
- 다른 권한을 가진 폴더를 다른 NTFS 볼륨에 두는 방법을 찾으십시오.
- 폴더를 통해 실행되는 예약 된 작업 (지원 요청 빈도에 따라 한 시간에 한 번 또는 하루에 한 번)을 만들고 모든 권한을 최상위 수준의 권한과 동일하게 재설정합니다. 이는 폴더에 많은 파일이있는 경우 이상적이지 않으며 서버 측 레지스트리 수정과 같은 적절한 솔루션이없는 경우 문제를 해결하는 것입니다. 보려는 명령을 ‘cacls’라고하며 배치 파일에 추가 할 수 있습니다.
면책 조항-나는 유닉스 배경에서 왔으며 (다른 권한 결함을 수정하기 위해 마지막 것을 구현했습니다-별난 느낌이지만 작업을 수행합니다) 훨씬 더 나은 수정이있을 수 있습니다.
답변
관리자로 이동할 때 xcopy / s / e / c / h / r / k / y-파일 소유권 및 ACL을 제외한 모든 것을 사용합니다. 즉, ACL 상속이 자동으로 시작됩니다. 사용자가 실제로 상황을 처리 할 필요가 없었습니다. 그래도 물건을 옮겼습니다.
답변
그룹 정책 / 보안 정책 / 파일 시스템을 사용하여 복잡한 권한을 추적합니다. 정책에서 “권한 바꾸기”를 사용하지 마십시오.
밤 동안 모든 권한을 재설정하도록 CACLS를 예약 한 다음 gpupdate / force로 정책의 권한을 다시 적용하십시오. 매력처럼 작동합니다.
답변
Windows 7 (또는 Windows Vista) 이후, 폴더 또는 파일이 폴더를 이동하고 소스 및 대상이 동일한 NTFS 볼륨에있는 경우 (파일 또는 폴더가 탐색기를 통해 복사되는 경우) 폴더 또는 파일에 대한 권한이 상위에서 상속됩니다. 이전 OS에서는 Far manager를 사용할 수 있습니다. 수많은 다른 기능과 함께 대상에서 권한 상속을 활성화 할 수 있습니다. Far는 일반 사용자에게는 친숙하지 않을 수 있습니다.