Архив рубрики: Windows8

#MCPClub: 4 апреля

4 апреля в офисе Microsoft на крылатском состоится мой очередной доклад. Тема: Dynamic Access Control.

Более подробный анонс тут: http://ineta.ru/moscowmcp/Meeting/2013-04-04-19-00

Регистрация там же.

Так как я тут немного болел, то презентация будет предельно короткая, зато я повторю несколько проагрейженную версию лабы с #RutechEd. А если у кого-то есть конкретные пожалания к показу, то высказывайте: постараюсь исполнить.

Реклама

#RutechEd: Отвечаю на вопросы, часть II

imageНу и последние два заданные мне вопроса.

1) Один из участников лабораторной работы прочитал где-то о том, чтотеперь классификацией может заниматься пользователь без полномочий администратора, однако у этого посетителя TechEd ничего не вышло. Вот результаты моих изысканий:

i. Любой пользователь не может менять классификацию удаленно через Explorer. (ну или я не смог этого добиться)

ii. Любой пользователь, имеющий права на файлы и папки, сможет править классификацию локально или через терминальную сессию. Насколько я понял, “неадминистратор может править классификацию” относится к работе инструментария, предназначенного для автоматической классификации файлов: этим инструментам теперь права администратора и впрямь ни к чему.

2) Ну и последний для меня вопрос этого TechEd (кроме не затихающего в twitter уже два месяца “а какие рюкзаки будут?”): можно ли для классификации файлов использовать Orchestrator?

Я задал вопрос Васе Гусеву. Слегка купированный ответ:

“1. Оркестратором можно всё (что можно как то еще ;)). Это ведь можно делать с помощью PowerShell’а? Тогда просто добавляем активность Run .NET Script, и в неё запихиваем скрипт на пошике.

——-

лирика

———
3. А вообще, мне кажется это лучше делать с помощью фичи сервера, которая постоянно мониторит шары, не помню как она там называется. Оркестратор при большом объеме файлов (и даже при среднем) будет очень узким местом в плане производительности и скорости установки этих атрибутов.”

Так что ответ: “да, но нафиг нужно” =)

З.Ы. Фича, которой не помнит Вася, называется Data Classification Toolkit Winking smile

#RuTeched: Отвечаю на вопросы. Будет ли работать Dynamic Access Control при использовании репликации?

imageКак я уже сказал, мои лабы на TechEd вполне удались, но все же я не смог ответить на ряд вопросов и пообещал сделать это позже, когда разберусь. Что ж, время пришло. Один из посетителей сказал мне, что в его опыте был случай, когда какое-то свойство файла не было отреплицировано через DFSR и поинтересовался, не поломается ли от репликации DAC. Я, разумеется мог поставить эксперимент (и сделаю это, на самом деле), но он только ответил бы на вопрос: “да” или “нет”. Ну или “возможно”. Но вряд ли бы он дал мне ответ на вопрос “почему?”. Так как я вовсе не на короткой ноге с репликацией файлов, мне пришлось просить помощи и я знал точное место, где ее можно было найти: блог AskDS.

Ответ пришел весьма быстро. Вкратце: “все будет супер”. Длинный ответ (в моем переводе) идет дальше:

“Позвольте мне уточнить некоторые аспекты вашего вопроса и ответить на каждую часть

При включении Dynamic Access Control для папок и файлов, следует рассматривать несколько аспектов.

Resource Properties

— Resource Properties определены в AD и используются в качестве шаблонов, чтобы проставить на файлы и папки дополнительные метаданные, которые могут использоваться в принятии решений об авторизации доступа. Эта информация хранится в дополнительных потоках данных (alternate data stream) папки или файла. И эта информация будет отреплицирована так же, как и дескриптор безопасности.

Security Descriptor

Как уже было сказано, они реплицируются вместе с файлом, так что все условия будут отреплицированы вместе с ними.

Все это никак не привязано к Dynamic Access Control—это просто результат репликации, к примеру, в случае репликации DFSR DAC не имеет никакого отношения к этим результатам.

Central Access Policy

Central Access Policy это способ распространить разрешения без внедрения их нпрямую в DACL дескриптора безопасности. Так что, когда Central Access Policy развернута на сервере, администратор должен прилинковать политику к папке на файловой системе. Это линкование осуществляется вставлением специального ACE в часть дескриптора безопасности, отвечающую за аудит и говорит Windows, что этот файл или папка защищены с помощью Central Access Policy.  Вследствии этого разрешения в Central Access Policy комбинируются с разрешениями Share и NTFS, чтобы получить итоговые разрешения.

Если файл или папка реплицируются на файловый сервер, который не имеет развернутой Central Access Policy, то DAC, очевидно, не применяется и разрешения так же не будут применяться.

Спасибо ребятам из этого блога: они лучшие Winking smile

MCP-Клуб 13 декабря: DirectAccess 2012

MCP Club moscow

Олег Ржевский уговорил меня на авантюру: выступить на MCP-в Москве практически без подготовки. К счастью, я вел лабораторную работу на TechEd по этой теме, так что хоть что-то рассказать да смогу, ну и блокнот возьму с собой: записывать вопросы, на которые не знаю ответа Winking smile

Координаты и анонс тут и еще в куче мест.

Ну и тут на всякий случай:

Точный адрес: Microsoft Россия, Бизнес-центр Крылатские холмы (Москва, ул. Крылатская, д. 17, корп. 1, ближайшая ст. метро – Крылатское)

13 декабря в 19.00. Я постараюсь не опаздывать 8)

Халява: Introducing Windows 8: An Overview for IT Professionals

0160.image_5186E8A3Просто еще одна книга для нас, IT Pro.

Развертывание, управление, безопасность, восстановление… Все, что может Вам понадобиться, чтобы Ваши пользователи полюбили новую ОС.

Ссылки на закачку внизу.

PDF Introducing Windows 8- An Overview for IT Professionals — PDF ebook
Mobi Introducing Windows 8-An Overview for IT Professionals – Mobi format for Kindle
ePub Introducing Windows 8-An Overview for IT Professionals – ePub format

FeedDemon + Windows 8: превозмогая сложности

Кого-нибудь удивит, что я пытаюсь на данный момент обжить W8? Нет? Ну и правильно: пытаюсь. На данный момент есть пара проблем, которые делают мою жизнь в этой ОС затруднительной и один, который делает ее провто невозможной:

  • У меня все еще нет нормального драйвера для eToken или я не умею его готовить.
  • Evernote в новом интерфейсе (мы больше не используем термин “Metro”, да) – отстой. Дело не в интерфейсе, а в изменившейся логике некоторых вещей и в ряде пропавших фишек. Сегодня попробую поставить нормальную версию.
  • И, наконец, FeedDemon продолжает выдавать мне огромные количества сообщений об ошибках.

Ну и, кажется, последняя ошибка, наконец, перестанет меня беспокоить. Перво наперво, сама ошибка:

Untitled picture0

ну или в тексте: “Error saving file: The process cannot access the file because it is being used by another process (32)” и потом указание на какой-то файл в папке Temp.

Я честно не представляю, какова взаимосвязь между такими симптомами и решением проблемы (хотя, это все же обходное решение), но оно работает: 

1. Сначала идем в настройки персонализации

2. И меняем цветовую схему с автоматической (верхний левый вариант) на любую другую:

Untitled picture

Voila! Больше никаких сообщений об ошибке.

Очередное выступление

image

Как и было обещано, я и еще двое MVP (Михаил Комаров и Станислав Булдаков) рассказали все, что от нас желал MS и еще больше. Миша жЁг аж два раза, очень продуктивно. Я и Станислав отстрелялись по разу, но тоже, вроде бы, никого не обидели Winking smile Народу было мало (стыд и позор!), но мы все равно старались =)

Я, как всегда, пришел не подготовленным и без бумажки, потому из кучи вопросов, на которые не смог с ходу ответить, помню только один: почему по-умолчанию установленный 2012 ругается на BPA. Отвечу. Если кто помнит остальные вопросы – отпишитесь.