Вопрос, на который у меня возникают проблемы с поиском ответа в Google или Technet ...
Влияет ли предоставление SYSTEM
пользовательских разрешений на файлы и папки общего доступа DFS на репликацию DFS? (И в то время как мы находимся в этом, есть ли веская причина не давать SYSTEM
разрешения на файлы, совместно используемые DFS?)
Это происходит потому, что у меня есть набор пространств имен и папок DFS, которые я не могу создать для кого-то другого, и во время устранения проблемы, когда одна реплика DFS просто не реплицировалась с другой без видимой причины, я заметил, что SYSTEM
У учетной записи не было разрешений для файлов или папок в рассматриваемой папке.
Таким образом, я установил SYSTEM
полный контроль и распространил его, и наши отчеты о диагностике работоспособности DFS перешли от отображения отставания в ~ 80 файлов к отставанию в ~ 100 000 ... и начали реплицироваться, в том числе несколько файлов, которые отсутствовали. на одном сервере или другом (так что больше, чем просто изменения разрешений начали реплицироваться).
Естественно, это заставило меня задуматься о том, нужна ли DFS SYSTEM
учетная запись, чтобы иметь разрешения для выполнения своей работы, или, возможно, это было просто какое-либо изменение рассматриваемого дерева папок, которое побудило DFS перейти в действие. Если это имеет значение, наши пространства имен DFS были настроены в соответствии с 2000/2003, и я только недавно закончил обновление всех серверов до 2008 R2 или 2012 (с включенным UAC, blech), но еще не дошел до повышения функциональности пространства имен DFS уровни до Server 2008.
(И бонусные баллы, если у кого-то есть официальная статья Microsoft о правах доступа к файлам NTFS и SYSTEM
учетной записи, относящейся к файлам DFS или сети.)
источник
Ответы:
В этой теме на technet говорится, что SYSTEM нужен полный контроль. Однако это не очень официальный источник, и дальнейшее тестирование доказывает, что это неправильно .
Служба репликации DFS
Я посмотрел на службы DFS на моем компьютере Server 2008R2 с помощью Process Explorer. dfsrs.exe, служба репликации распределенной файловой системы, работает как «NT Authority \ SYSTEM». Тем не менее, он имеет SeBackupPrivilege и SeRestorePrivilege :
Из констант привилегий Microsoft :
С этими разрешениями служба репликации DFS может игнорировать любые разрешения для файлов - ей предоставляется разрешение на чтение, запись и установку разрешений для любого файла, который она пожелает.
тестирование
Я создал папку в одном из моих общих ресурсов DFS с несколькими файлами в ней, назначил свою учетную запись владельцем и удалил все разрешения, кроме моей учетной записи.
DFS реплицировал его на все остальные серверы без проблем, и все реплики имели одинаковые разрешения.
Таким образом, DFS не зависит от разрешений на репликацию файловой системы.
Я подозреваю, что в вашем случае простое внесение каких-либо изменений в файлы привело бы к тому, что DFS проснулся и увидел, что им нужна репликация. Понятия не имею, что вызвало бы эту ситуацию в первую очередь.
источник
Согласно этой статье от Microsoft http://support.microsoft.com/kb/120929 «Системная учетная запись и учетная запись администратора (группа« Администраторы ») имеют одинаковые права доступа к файлам, но имеют разные функции».
Это означает, что системная учетная запись такая же, как у локального администратора, и она существует для целей запуска системных служб с привилегиями администратора, не требуя пароля. Процесс репликации в DFS-R выполняется с этой учетной записью.
Пользователь системы не имеет особого значения в файловой системе или в настройке DFS, отличающейся от обычного администратора. Однако это может сбить с толку, потому что администраторы Windows не всегда работают с правами администратора в зависимости от того, как была вызвана программа или оболочка, тогда как системная учетная запись, скорее всего, всегда будет работать с маркером escalated / admin. Я полагаю, что ваша установка DFS просто глючила, и изменение ACL, возможно, приводило к созданию некоторых системных вызовов или открытию / обновлению файловых дескрипторов, которые потрясли общеизвестную паутину.
источник