Windows-Server-2003

Windows Server 和 NSS 卷

  • October 30, 2009

有誰知道是否有辦法在伺服器 2003/2007 上安裝 NSS 卷(小說)?我們顯然需要它來維護使用者權利,而不是什麼。甚至是一個開始尋找的地方(Google沒有我能找到的東西)(和 Novell,當 TID 存在時它們很棒,但它們存在的機會非常小……)

謝謝。

編輯:我們正在尋找一種遷移方法。

我們正在經歷這個。據我所知,在任何 Windows 平台上都沒有 NSS 的文件系統驅動程序。在短期內,我們將在 NetWare 伺服器上傳入 CIFS 堆棧,這允許我們的 Windows 伺服器與它們通信,而 Novell 客戶端不會破壞網路堆棧。然後我們執行一系列腳本來遷移受託人。

在伺服器上傳入“TRUSTEE.NLM”將為您提供非常非常方便的捲上分配受託人的權限轉儲。

trustee /edt save DATA1: sys:/tmp/metadata.log

這會將 Trustee 和目錄配額數據轉儲到一個日誌文件中,然後您可以在該文件上執行 Rites of Scripting。這些腳本是什麼,取決於你。你需要的東西:

  • 將 Novell 組轉換為 AD 組的可靠方法。這可以是某種查找表,也可以是可預測的名稱

    • 一種可能性是將您的所有 Novell 組遷移到 AD,並處理將您的組名稱轉換為“以後”更標準化的名稱。
  • 目錄結構到位。ROBOCOPY 對此有很好的選擇。不要復製文件,最後再做。

  • 該腳本讀取 metadata.log 文件並將 NTFS 權限應用於正確的目錄。請記住,NTFS 和 NSS 權限是不同的(請參閱下面的粗略指南)。

  • 祈禱你沒有大量使用繼承權過濾器。

  • 僅在建構您的權限結構後復製文件。這樣快很多。

  • ROBOCOPY 有一個同步選項,可以在您等待切換日時保持文件數據同步。它不會複製受託人/acl 數據,因此在您處於這種狀態時暫停權利更改是一個非常好的主意。

NSS 權限對 NTFS 權限。請注意,目錄權限與文件權限不同,即使它們使用相同的 ACL 位。翻譯是 icacls 選項。例如…

icacls Directory /grant NW-IT-Guys:(rx)

授予“NW-IT-Guys”組對該目錄的讀取/執行權限,沒有繼承。

icacls Directory /grant NW-IT-Guys:(oi)(ci)(rx)

做同樣的事情,但他們也將能夠讀取在該點下創建的文件 (oi) 和目錄 (ci)。

  • R - (在下面暗示“F”,Windows 不允許在沒有文件掃描的情況下讀取)(rx)
  • W - (wd) 僅適用於文件。將其放在目錄上意味著 NSS上的C。
  • E - (d) 用於文件,(dc) 用於目錄,如果您希望具有該權限的使用者能夠刪除目錄中的文件
  • M - (ad) 用於文件。當授予目錄時,允許創建子目錄。
  • C - (wd) 僅在目錄上。把它放在一個文件上意味著 NSS上的W。
  • F - (rd) 僅在目錄上。文件沒有等價物。如果您使用的是基於訪問的列舉,則無法“查看文件但不讀取文件”。
  • A - 不確定
  • S - (F),但與 NetWare 不同,它可以被阻止。

此表適用於您不授予的情況

$$ rwemcf $$(又名讀/寫)或$$ rf $$對目錄的權限(又名讀取)。對於這些簡單的情況,使用 (rx) 進行讀取,使用 (m) 快捷方式進行讀/寫。對於那些需要能夠更改權限的使用者,(f) 是其快捷方式。對於特殊目錄,例如投遞箱或只寫目錄,以上內容可能有助於弄清楚。 使用 icacls 分配權限的一些範例:

創建具有修改權限的不可刪除/可移動目錄

icacls AcctReports /grant NW-Acct-Techs:(io)(oi)(ci)(m)
icacls AcctReports /grant NW-Acct-Techs:(rx)

(io) means 'inherit only', or only applies to child objects.

創建標準 NSS 樣式的讀/寫目錄

icacls AcctReports /grant NW-Acct-Techs:(oi)(ci)(m)

創建標準只讀目錄

icacls AcctReports /grant NW-Acct-Auditors:(oi)(ci)(rx)

創建一個目錄,其中包含最終使用者附加的日誌文件。也許應用程序安裝日誌等

icacls AppLogs /grant Everyone:(rx)
icacls AppLogs\FirefoxInstall.Log /grant Everyone:(rx,ad)

如果您像我見過的幾乎所有 NetWare 安裝一樣,您的捲根對它們的權限很少,並且您授予對頂級目錄及以下目錄的權限。這與 Windows 不太兼容,但有一些方法可以讓它工作。我假設您正在使用“基於訪問的列舉”,因為這就是 NetWare 一直這樣做的方式,而且您不想讓您的使用者驚訝於那裡確實有多少目錄。

  • 對於共享的頂級目錄,“每個人”都需要“僅此文件夾”的 (rx) 權限。否則,映射將失敗。
  • 對於使用者在到達他們有權訪問的目錄之前必須遍歷多個目錄的情況,NTFS 不會讓您向下瀏覽。您可以通過對從共享根目錄到目錄的每個目錄上的訪問實體使用“(rx)僅此文件夾”技巧來偽造它。是的,這很糟糕。但它有效。
  • 直接訪問將起作用。映射到 “\server\share\dir1\dir2\dir3" 將起作用,即使 “\server\share\dir1" 失敗。由您決定在這方面教育您的使用者是否比上一點更容易。

而且我什至還沒有談到 ShadowCopies vs. Salvage。

引用自:https://serverfault.com/questions/79711