Архив рубрики: Server 2012

#RuTeched: Отвечаю на вопросы. Будет ли работать Dynamic Access Control при использовании репликации?

imageКак я уже сказал, мои лабы на TechEd вполне удались, но все же я не смог ответить на ряд вопросов и пообещал сделать это позже, когда разберусь. Что ж, время пришло. Один из посетителей сказал мне, что в его опыте был случай, когда какое-то свойство файла не было отреплицировано через DFSR и поинтересовался, не поломается ли от репликации DAC. Я, разумеется мог поставить эксперимент (и сделаю это, на самом деле), но он только ответил бы на вопрос: “да” или “нет”. Ну или “возможно”. Но вряд ли бы он дал мне ответ на вопрос “почему?”. Так как я вовсе не на короткой ноге с репликацией файлов, мне пришлось просить помощи и я знал точное место, где ее можно было найти: блог AskDS.

Ответ пришел весьма быстро. Вкратце: “все будет супер”. Длинный ответ (в моем переводе) идет дальше:

“Позвольте мне уточнить некоторые аспекты вашего вопроса и ответить на каждую часть

При включении Dynamic Access Control для папок и файлов, следует рассматривать несколько аспектов.

Resource Properties

— Resource Properties определены в AD и используются в качестве шаблонов, чтобы проставить на файлы и папки дополнительные метаданные, которые могут использоваться в принятии решений об авторизации доступа. Эта информация хранится в дополнительных потоках данных (alternate data stream) папки или файла. И эта информация будет отреплицирована так же, как и дескриптор безопасности.

Security Descriptor

Как уже было сказано, они реплицируются вместе с файлом, так что все условия будут отреплицированы вместе с ними.

Все это никак не привязано к Dynamic Access Control—это просто результат репликации, к примеру, в случае репликации DFSR DAC не имеет никакого отношения к этим результатам.

Central Access Policy

Central Access Policy это способ распространить разрешения без внедрения их нпрямую в DACL дескриптора безопасности. Так что, когда Central Access Policy развернута на сервере, администратор должен прилинковать политику к папке на файловой системе. Это линкование осуществляется вставлением специального ACE в часть дескриптора безопасности, отвечающую за аудит и говорит Windows, что этот файл или папка защищены с помощью Central Access Policy.  Вследствии этого разрешения в Central Access Policy комбинируются с разрешениями Share и NTFS, чтобы получить итоговые разрешения.

Если файл или папка реплицируются на файловый сервер, который не имеет развернутой Central Access Policy, то DAC, очевидно, не применяется и разрешения так же не будут применяться.

Спасибо ребятам из этого блога: они лучшие Winking smile

Реклама

Groundswell, запускаем 2012!

image

22 августа в Московском офисе MS пройдет микромероприятие по запуску Windows Server 2012. Микро – по сравнению с лончем 2008, когда запуск был сродни маленькой Платформе. Всего 4 сессии и все закончится сразу после обеда. Зато рассказывать будут сполшные MVP, которых хоть и попросили выданные презентации не менять, но вы ж нас знаете Winking smile Моё – 4е.

В общем, пропустят туда народу не много, но приглашаем всех. Официальный текст приглашения:

 

Приглашаем вас присоединиться к мероприятию посвященному Windows Server 2012, на котором Вы узнаете об основных изменениях и нововведениях Windows Server 2012, а именно:

1. Вариантах виртуализации, предлагаемых в рамках решений Microsoft, а также их возможности оптимизации производительности, управления, безопасности, эффективности приложений и других нагрузок.

2. Инновационных функциях и возможностях расширения функциональности хранения данных.

3. Сетевой инфраструктуре. Ключевых функциях.

4. Улучшениях в управлении

Мероприятие состоится в головном офисе Microsoft 22го августа 2012г начало в 10:00

Ссылка для регистрации — https://msevents.microsoft.com/CUI/InviteOnly.aspx?EventID=98-3D-7F-3A-CD-75-98-59-FD-5B-2D-E0-85-1C-8D-15&Culture=ru-RU&community=0