Replicação DFS e o usuário SYSTEM (permissões NTFS)

10

Pergunta para a qual estou com dificuldades em encontrar uma resposta no Google ou na Technet ...

A concessão das permissões de usuário SYSTEM aos arquivos e pastas compartilhados pelo DFS tem algum efeito na replicação do DFS? (E enquanto estamos nisso, existe alguma boa razão não para deixar SYSTEM ter permissões para arquivos compartilhados DFS?)

Ele aparece porque eu tenho uma coleção de namespaces e pastas do DFS que não sou capaz de criar o problema de outra pessoa e, enquanto resolvia um problema em que uma réplica do DFS não estava replicando com outra por nenhuma razão aparente, observou que a conta SYSTEM não tinha permissões concedidas a nenhum dos arquivos ou pastas na pasta em questão.

Por isso, defini SYSTEM para ter controle total e o divulguei, e nossos relatórios de diagnóstico de integridade DFS passaram de um backlog de ~ 80 para um backlog de ~ 100.000 ... e as coisas começaram a ser replicadas, incluindo um número de arquivos que estavam faltando em um servidor ou outro (portanto, mais do que apenas as mudanças de permissões começaram a ser replicadas).

Naturalmente, isso me deixou curiosa para saber se o DFS precisa ou não da conta SYSTEM para ter permissões para fazer seu trabalho, ou se talvez tenha sido qualquer alteração na árvore de pastas em questão que levou o DFS a entrar em ação. Se isso importa, nossos namespaces DFS foram configurados em 2000/2003, e recentemente acabei de atualizar todos os servidores para 2008 R2 ou 2012 (com o UAC habilitado, blech), mas ainda não consegui elevar o espaço para nome DFS funcional níveis para o Server 2008.

(E pontos de bônus se alguém tiver um artigo oficial da Microsoft sobre permissões de arquivo NTFS e a conta SYSTEM no que se refere a DFS ou arquivos de rede.)

    
por HopelessN00b 29.07.2013 / 17:14

2 respostas

9

Este tópico sobre technet diz que o SYSTEM precisa de controle total. Não é uma fonte muito oficial, no entanto, e mais testes comprovam que está errado .

Serviço de Replicação DFS

Eu dei uma olhada nos serviços DFS na minha máquina Server 2008R2 com o Process Explorer. dfsrs.exe, o serviço de Replicação de Sistema de Arquivos Distribuídos, é executado como "Autoridade NT \ SYSTEM". No entanto, tem SeBackupPrivilege e SeRestorePrivilege :

Das constantes de privilégio da Microsoft :

SeBackupPrivilege - Required to perform backup operations. This privilege causes the system to grant all read access control to any file, regardless of the access control list (ACL) specified for the file. Any access request other than read is still evaluated with the ACL.3

SeRestorePrivilege - Required to perform restore operations. This privilege causes the system to grant all write access control to any file, regardless of the ACL specified for the file. Any access request other than write is still evaluated with the ACL. Additionally, this privilege enables you to set any valid user or group SID as the owner of a file.

Com essas permissões, o Serviço de Replicação DFS pode ignorar qualquer permissão de arquivo - ela recebe permissão para ler, gravar e definir permissões em qualquer arquivo que agrade.

Teste

Eu criei uma pasta em um dos meus compartilhamentos DFS com alguns arquivos, defini minha conta como proprietária e removi todas as permissões, exceto minha conta.

O DFS replicou para todos os outros servidores sem problemas e todas as réplicas tinham as mesmas permissões.

Assim, o DFS não depende de nenhuma permissão do sistema de arquivos para replicar.

Suspeito que, no seu caso, fazer alterações nos arquivos faria com que o DFS despertasse e visse que eles precisavam ser replicados. Não faço ideia do que teria causado essa situação em primeiro lugar.

    
por 02.08.2013 / 15:33
3

De acordo com este artigo da Microsoft link "A conta do sistema e a conta de administrador (grupo Administradores) têm o mesmo arquivo privilégios, mas eles têm funções diferentes. "

Isso significa que a conta do sistema é igual a um administrador local e existe com a finalidade de executar serviços do sistema com os privilégios de um administrador sem exigir uma senha. O processo de replicação no DFS-R é executado com essa conta.

O usuário do sistema não tem significado especial no sistema de arquivos ou em uma configuração de DFS diferente de um administrador normal. No entanto, ele pode se tornar confuso porque os administradores do Windows nem sempre estão operando com privilégios administrativos, dependendo de como o programa ou shell foi chamado, enquanto uma conta do sistema provavelmente sempre operaria com token escalado / admin. Eu diria que sua configuração de DFS estava apenas com problemas, e a modificação de ACLs talvez tenha feito alguns syscalls ou alças de arquivos abertas / atualizadas que sacudiram as teias de aranha proverbiais.

    
por 01.08.2013 / 23:27