Архив рубрики: Community

MS MVP Community Day

MVP_750x300

Хоть я уже и не MVP, рекомендую сходить. Там классный кофе из автоматов будут выступать лучшие эксперты в стране. Без преувеличения. И при этом реальные спецы, а не мальчики-теоретики.

На выбор два места регистрации:

MVP: Всё

MVP_Horizontal_BlackOnlyУвы, всему приходит пушной зверь. В 2013 году не было TechEd Russia, я не участвовал в работе MCP Club, я даже забросил свой блог. Результат очевиден: кредит доверия исчерпан, и я более не MVP.

Впрочем, это были хорошие 7 лет. Я надеюсь, что многим помог. Я абсолютно точно узнал массу хороших людей и в процессе даже некоторых из них нанял Winking smile

Но так как я уже почти три года являюсь руководителем группы IT Pro, то крутить что-то руками мне уже противопоказано, что было доказано неоднократными опытами, а вот думать об управлении, напротив, показано.

Так что и блог на самом деле со временем переквалифицируется в соответствии с этим фактом. Технические посты, все еще будут появляться (с тегом, скажем, Техническое), но вряд ли они будут составлять большой процент публикаций. Так что те, кому интересна только техника, могут сберечь несколько байт и отписаться от фида. Но лучше не нужно: вдруг я что умное скажу.

И спасибо за то, что все это время вы меня поддерживали, читали и слушали, надеюсь, мы с вами никуда не денемся.

#MCPClub: DAC

Тут просили фоточки. Получите =)

С учетом того, что запись я фатальной судорогой пальцев убил, больше ничего не будет. Но вроде бы все прошло нормально =)

#MCPClub: 4 апреля

4 апреля в офисе Microsoft на крылатском состоится мой очередной доклад. Тема: Dynamic Access Control.

Более подробный анонс тут: http://ineta.ru/moscowmcp/Meeting/2013-04-04-19-00

Регистрация там же.

Так как я тут немного болел, то презентация будет предельно короткая, зато я повторю несколько проагрейженную версию лабы с #RutechEd. А если у кого-то есть конкретные пожалания к показу, то высказывайте: постараюсь исполнить.

#RutechEd: Отвечаю на вопросы, часть II

imageНу и последние два заданные мне вопроса.

1) Один из участников лабораторной работы прочитал где-то о том, чтотеперь классификацией может заниматься пользователь без полномочий администратора, однако у этого посетителя TechEd ничего не вышло. Вот результаты моих изысканий:

i. Любой пользователь не может менять классификацию удаленно через Explorer. (ну или я не смог этого добиться)

ii. Любой пользователь, имеющий права на файлы и папки, сможет править классификацию локально или через терминальную сессию. Насколько я понял, “неадминистратор может править классификацию” относится к работе инструментария, предназначенного для автоматической классификации файлов: этим инструментам теперь права администратора и впрямь ни к чему.

2) Ну и последний для меня вопрос этого TechEd (кроме не затихающего в twitter уже два месяца “а какие рюкзаки будут?”): можно ли для классификации файлов использовать Orchestrator?

Я задал вопрос Васе Гусеву. Слегка купированный ответ:

“1. Оркестратором можно всё (что можно как то еще ;)). Это ведь можно делать с помощью PowerShell’а? Тогда просто добавляем активность Run .NET Script, и в неё запихиваем скрипт на пошике.

——-

лирика

———
3. А вообще, мне кажется это лучше делать с помощью фичи сервера, которая постоянно мониторит шары, не помню как она там называется. Оркестратор при большом объеме файлов (и даже при среднем) будет очень узким местом в плане производительности и скорости установки этих атрибутов.”

Так что ответ: “да, но нафиг нужно” =)

З.Ы. Фича, которой не помнит Вася, называется Data Classification Toolkit Winking smile

#RuTeched: Отвечаю на вопросы. Будет ли работать Dynamic Access Control при использовании репликации?

imageКак я уже сказал, мои лабы на TechEd вполне удались, но все же я не смог ответить на ряд вопросов и пообещал сделать это позже, когда разберусь. Что ж, время пришло. Один из посетителей сказал мне, что в его опыте был случай, когда какое-то свойство файла не было отреплицировано через DFSR и поинтересовался, не поломается ли от репликации DAC. Я, разумеется мог поставить эксперимент (и сделаю это, на самом деле), но он только ответил бы на вопрос: “да” или “нет”. Ну или “возможно”. Но вряд ли бы он дал мне ответ на вопрос “почему?”. Так как я вовсе не на короткой ноге с репликацией файлов, мне пришлось просить помощи и я знал точное место, где ее можно было найти: блог AskDS.

Ответ пришел весьма быстро. Вкратце: “все будет супер”. Длинный ответ (в моем переводе) идет дальше:

“Позвольте мне уточнить некоторые аспекты вашего вопроса и ответить на каждую часть

При включении Dynamic Access Control для папок и файлов, следует рассматривать несколько аспектов.

Resource Properties

— Resource Properties определены в AD и используются в качестве шаблонов, чтобы проставить на файлы и папки дополнительные метаданные, которые могут использоваться в принятии решений об авторизации доступа. Эта информация хранится в дополнительных потоках данных (alternate data stream) папки или файла. И эта информация будет отреплицирована так же, как и дескриптор безопасности.

Security Descriptor

Как уже было сказано, они реплицируются вместе с файлом, так что все условия будут отреплицированы вместе с ними.

Все это никак не привязано к Dynamic Access Control—это просто результат репликации, к примеру, в случае репликации DFSR DAC не имеет никакого отношения к этим результатам.

Central Access Policy

Central Access Policy это способ распространить разрешения без внедрения их нпрямую в DACL дескриптора безопасности. Так что, когда Central Access Policy развернута на сервере, администратор должен прилинковать политику к папке на файловой системе. Это линкование осуществляется вставлением специального ACE в часть дескриптора безопасности, отвечающую за аудит и говорит Windows, что этот файл или папка защищены с помощью Central Access Policy.  Вследствии этого разрешения в Central Access Policy комбинируются с разрешениями Share и NTFS, чтобы получить итоговые разрешения.

Если файл или папка реплицируются на файловый сервер, который не имеет развернутой Central Access Policy, то DAC, очевидно, не применяется и разрешения так же не будут применяться.

Спасибо ребятам из этого блога: они лучшие Winking smile

#RutechEd: Результаты лабораторных работ.

techEdHeaderLogo

Я только что получил результаты опроса по своим лабораторным работам с TechEd Russia. И результаты меня даже не удивили, они меня шокировали! Обе мои лабы в Топ5, а одна просто первая!

«Очуметь!!!» (с) =)

Так что огромное спасибо за такие высокие оценки посетителям. Вы мне задали такую высокую планку на следующий год, что я уже начинаю готовиться =)

Не меньшее спасибо организаторам и людям, которые создавали сами лабораторные работы: одна из двух оценок, формирующих мою итоговую – ваша. Мои оценки за мастерство:

DirectAccess: 9 из 9

Dynamic Access Control: 8.55 из 9