File-Permissions

DFS 複製和 SYSTEM 使用者(NTFS 權限)

  • July 2, 2014

我在 Google 或 Technet 上找不到答案的問題…

授予SYSTEM使用者對 DFS 共享文件和文件夾的權限是否對 DFS 複製有任何影響?(當我們這樣做的時候,有什麼好的理由不讓擁有SYSTEMDFS 共享文件的權限嗎?)

出現它是因為我有一組 DFS 命名空間和文件夾,我無法給其他人帶來問題,並且在解決一個 DFS 副本無緣無故無法與另一個副本複制的問題時,我觀察到SYSTEM帳戶沒有對相關文件夾中的任何文件或文件夾授予任何權限。

因此,我設置SYSTEM了完全控制並將其向下傳播,我們的 DFS 健康診斷報告從顯示約 80 個文件的積壓變為約 100,000 個的積壓……事情開始複製,包括許多失去的文件在一台伺服器或另一台伺服器上(因此不僅僅是權限更改開始複製)。

自然地,這讓我很好奇 DFS 是否需要該SYSTEM帳戶具有執行其工作的權限,或者是否只是對相關文件夾樹的任何更改才促使 DFS 採取行動。如果重要的話,我們的 DFS 命名空間是在 2000/2003 下設置的,我最近剛剛完成將所有伺服器升級到 2008 R2 或 2012(啟用了 UAC,blech),但還沒有開始提高 DFS 命名空間的功能級別為 Server 2008。

(如果有人有關於 NTFS 文件權限和SYSTEM與 DFS 或網路文件相關的帳戶的官方 Microsoft 文章,則可以加分。)

technet 上的這個文章說 SYSTEM 需要完全控制。然而,這不是一個非常官方的消息來源,進一步的測試證明它是錯誤的


DFS 複製服務

我使用 Process Explorer 查看了我的 Server 2008R2 機器上的 DFS 服務。dfsrs.exe,分佈式文件系統複製服務,作為“NT Authority\SYSTEM”執行。但是,它有SeBackupPrivilegeSeRestorePrivilege

dfsrs.exe 權限截圖

來自 Microsoft 特權常量

SeBackupPrivilege - 需要執行備份操作。此特權使系統授予對任何文件的所有讀取訪問控制權,而不管為該文件指定的訪問控制列表 (ACL) 為何。除讀取之外的任何訪問請求仍使用 ACL 進行評估。3

SeRestorePrivilege - 需要執行還原操作。此特權使系統授予對任何文件的所有寫訪問控制權,而不管為該文件指定的 ACL 是什麼。除寫入之外的任何訪問請求仍會使用 ACL 進行評估。此外,此權限使您能夠將任何有效的使用者或組 SID 設置為文件的所有者。

有了這些權限,DFS 複製服務可以忽略任何文件權限——它被授予讀取、寫入和設置牠喜歡的任何文件的權限。


測試

我在其中一個 DFS 共享中創建了一個文件夾,其中包含一些文件,將我的帳戶設置為所有者,並刪除了除我的帳戶之外的所有權限。

DFS 將其複製到所有其他伺服器沒有問題,並且所有副本都具有相同的權限。

因此,DFS 不依賴於任何文件系統的複制權限。


我懷疑在您的情況下,簡單地對文件進行任何更改都會導致 DFS 喚醒並看到它們需要複製。不知道首先是什麼導致了這種情況。

引用自:https://serverfault.com/questions/527050