É seguro alterar as ACLs do NTFS em um sistema de arquivos ativo?

6

Estamos adicionando muitos novos grupos às permissões nas unidades compartilhadas de nossas empresas. Algumas das árvores de pastas podem conter milhões de arquivos e TBs de dados. Assim como alterar as ACLs nessas pastas pode variar de segundos a horas, dependendo de quantos arquivos estão na árvore atual.

Gostaríamos de poder fazer essas alterações durante o dia de trabalho, mas somente se for seguro.

Algumas perguntas,

  • Se você alterar as permissões em uma pasta cujos filhos herdam permissões, a consistência será mantida se um arquivo for criado na árvore durante a alteração da ACL?
  • Algum cuidado adicional precisa ser tomado para arquivos abertos, supondo que você nunca esteja removendo o acesso, apenas adicionando novos grupos à ACL?
  • O commandlet Set-ACL Powershell se comporta da mesma forma que as propriedades > Segurança > Página avançada?

Por exemplo, se houver uma árvore com 20.000 arquivos e disser que isso leva dez minutos para alterar todas as permissões NTFS ... O que acontece se um usuário criar um arquivo em uma subpasta durante essa janela? As permissões deste arquivo podem estar faltando no novo grupo ao qual estamos concedendo acesso?

Obrigado por qualquer conselho ou sugestão!

    
por Caesar Kabalan 01.09.2015 / 22:31

2 respostas

0

If you change the permissions on a folder whose children inherit permissions, is consistency maintained if a file is created in the tree during the ACL change?

Entendo que essa operação não é transacional, o que significa que as permissões são alteradas em série. Dessa forma, se você iniciar a atualização, o diretório raiz terá permissões inconsistentes com seus descendentes e, durante esse período, elas se comportarão de maneira diferente. Eu tenho. Consistência não é mantida.

Does any additional care need to be taken for open files, assuming you're never removing access, only adding new groups to the ACL?

Eu não acho, especialmente se você só estiver adicionando permissões.

Does the Set-ACL Powershell commandlet behave in the same way as the Properties > Security > Advanced page?

Novamente, entendo que eles se comportarão da mesma maneira.

    
por 03.09.2015 / 16:15
0

Provavelmente ficará bem. A herança flui para baixo. Primeiro, o diretório é atualizado com as novas ACLs e, em seguida, os arquivos dentro dele são atualizados.

Quando um usuário vai criar o arquivo, se o diretório já herdou a nova ACL, o arquivo será criado com essa nova ACL. Se o diretório ainda não tiver sido herdado, o arquivo será atualizado automaticamente quando a herança chegar a essa pasta.

Isso não conta com nenhum erro ou peculiaridade no software da Microsoft. Eu não refiz as ACLs com freqüência suficiente para ter certeza de que funcionará perfeitamente todas as vezes.

    
por 19.03.2018 / 18:11