DFS 복제 및 SYSTEM 사용자 (NTFS 권한) SYSTEMDFS 공유 파일에 대한 권한이는?) 다른

Google 또는 Technet에서 답변을 찾는 데 문제가있는 질문 …

SYSTEMDFS 공유 파일 및 폴더에 사용자 권한을 부여해도 DFS 복제에 영향을 줍니까? (우리가 그것에 인 동안, 어떤 좋은 이유가 되지 수 있도록 SYSTEMDFS 공유 파일에 대한 권한이는?)

다른 사람의 문제를 만들 수없는 DFS 네임 스페이스 및 폴더 모음이 있기 때문에 하나의 DFS 복제본이 다른 이유로 복제 할 수없는 문제를 해결하는 동안 문제가 발생하지 않습니다. SYSTEM계정에 해당 폴더의 파일 또는 폴더에 대한 권한이 부여되지 않았습니다.

그래서 나는 SYSTEM모든 권한을 갖도록 설정 하고 전파했으며, DFS 상태 진단 보고서는 ~ 80 파일 백 로그를 ~ 100,000 백 로그로 표시하는 데 실패했습니다. 그리고 누락 된 여러 파일을 포함하여 복제가 시작되었습니다. 하나의 서버 또는 다른 서버에서 (권한 변경 이상의 것만으로 복제가 시작되었습니다).

당연히 이것은 DFS가 SYSTEM계정 작업을 수행 할 수있는 권한을 보유 해야하는지 또는 DFS가 조치를 취하게했던 문제를 폴더 트리로 변경 한 것인지 궁금합니다. 중요한 경우, DFS 네임 스페이스는 2000/2003에서 설정되었으며 최근에 모든 서버를 2008 R2 또는 2012 (UAC 활성화, blech)로 업그레이드를 완료했지만 아직 DFS 네임 스페이스 기능을 높이는 데 어려움을 겪지 않았습니다. Server 2008 수준

( SYSTEMDFS 또는 네트워크 파일과 관련된 NTFS 파일 권한 및 계정 에 대한 공식 Microsoft 기사가있는 사람은 보너스 포인트를 받습니다.)



답변

technet의이 스레드 는 SYSTEM에 모든 권한이 필요하다고 말합니다. 그러나 매우 공식적인 출처는 아니며 추가 테스트를 통해 잘못되었음을 증명합니다 .


DFS 복제 서비스

Process Explorer를 사용하여 Server 2008R2 시스템의 DFS 서비스를 살펴 보았습니다. 분산 파일 시스템 복제 서비스 인 dfsrs.exe는 “NT Authority \ SYSTEM”으로 실행됩니다. 그러나 SeBackupPrivilegeSeRestorePrivilege가 있습니다 .

dfsrs.exe 권한의 스크린 샷

Microsoft Privilege Constants에서 :

SeBackupPrivilege- 백업 작업을 수행하는 데 필요합니다. 이 권한으로 인해 시스템은 파일에 대해 지정된 ACL (액세스 제어 목록)에 관계없이 모든 읽기 액세스 제어를 파일에 부여합니다. 읽기 이외의 액세스 요청은 여전히 ​​ACL로 평가됩니다.

SeRestorePrivilege- 복원 작업을 수행하는 데 필요합니다. 이 권한으로 인해 시스템은 파일에 지정된 ACL에 관계없이 모든 쓰기 액세스 제어를 파일에 부여합니다. 쓰기 이외의 액세스 요청은 여전히 ​​ACL로 평가됩니다. 또한이 권한을 통해 유효한 사용자 또는 그룹 SID를 파일 소유자로 설정할 수 있습니다.

이러한 권한을 통해 DFS 복제 서비스는 모든 파일 권한을 무시할 수 있습니다. 파일 권한은 원하는 파일에 대한 읽기, 쓰기 및 설정 권한이 부여됩니다.


테스팅

DFS 공유 중 하나에 몇 개의 파일이 포함 된 폴더를 만들고 내 계정을 소유자로 설정하고 내 계정을 제외한 모든 권한을 제거했습니다.

DFS는이를 문제없이 다른 모든 서버에 복제했으며 모든 복제본은 동일한 권한을 가졌습니다.

따라서 DFS는 복제 할 파일 시스템 권한에 의존하지 않습니다.


귀하의 경우 단순히 파일을 변경하면 DFS가 깨어나 복제가 필요한 것으로 의심됩니다. 처음에 그 상황을 일으킨 원인이 무엇인지 모릅니다.


답변

Microsoft의이 기사에 따르면 http://support.microsoft.com/kb/120929 “시스템 계정과 관리자 계정 (관리자 그룹)은 동일한 파일 권한을 갖지만 기능이 다릅니다.”

즉, 시스템 계정은 로컬 관리자와 동일하며 암호 없이도 관리자 권한으로 시스템 서비스를 실행하기 위해 존재합니다. DFS-R의 복제 프로세스는이 계정으로 수행됩니다.

시스템 사용자는 파일 시스템이나 DFS 설정에서 일반 관리자와 다른 특별한 의미가 없습니다. 그러나 Windows 관리자는 프로그램이나 셸의 호출 방식에 따라 항상 관리 권한으로 작동하지는 않지만 시스템 계정은 항상 에스컬레이션 / 관리 토큰으로 작동하기 때문에 혼동 될 수 있습니다. 귀하의 DFS 설정이 단지 버그 였고 ACL을 수정하면 일부 syscall이 발생하거나 파일 핸들이 열리거나 새로 고쳐 져서 속담 거미줄이 흔들릴 수 있습니다.


답변