Сергей Дубовский писал(а):Год назад осуществил аналогичную процедуру, до сих пор плююсь от многих вещей... Хотя и плюсы тоже есть, но некоторые вещи бесят конкретно. Поделюсь некоторыми моментами. Может и для себя что новое узнаю.
1) у статичного назначения прав есть еще один побочный эффект, который для новелиста будет совсем неочевидным (по крайней мере для меня это было неожиданностью). Дело в том, что при переносе папки с файлами или файлов в рамках одного тома, права не обновляются в соответствии с правами папки назначения. Т.е. тупо переносится ссылка, а все права на папки/файлы остаются без изменений, в итоге возможна ситуация, когда вы перенесли файлы из доступной всем папки в папку с ограниченными правами доступа, но перенесенные файлы/папки будут по прежнему доступны всем.
Либо вы решили перенести файлы из домашней папки одного пользователя в домашнюю папку другого, хозяин парки назначения не будет иметь к ним доступа. При копировании создаются копии файлов с правами папки назначения. Так что рекомендуется не злоупотреблять командой Move. Для меня на уровне рефлексов было сложно принять что права файлов в папке живут отдельно от прав папки.
Угу, я про это чуть выше писал - когда столкнулся с этим впервые (давно уже дело было) - долго соображал, почему юзеры по-прежнему имеют доступ к папке, которую я перенёс в корень тома
Сергей Дубовский писал(а):3) Для просмотра инфы о том, кто открыл тот или иной файл я нашел три способа, и все с недостатками:
fsmgmt.msc - выдает все открытые файлы на сервере, нет никаких возможностей фильтрации по имени пользователя или файлу
net files - консольная утилита - не показывает полный путь, если он длинный (в середину вставляет троеточие)
psfiles - консольная утилита от Sysinternals - не корректно отображает пути с русскими буквами.
Есть еще команды PowerShell, но проблемы те же, что и с NET FILES. Ничего стороннего найти не удалось, если кто-то что-то посоветует буду признателен!
Рекомендую свою любимую контору JRBSoftware, они уже несколько лет делают утилита и для AD. Конкретно:
http://www.jrbsoftware.com/jrbutils_ad/ ... Adopenfile- Код: Выделить всё
Adopenfile
Adopenfile displays the files held open on a server by network connections. It can do the following:
List all open files in and below a given network path.
List all files on a server held open by network connections.
Display open files for a given user or for objects selected via wildcards.
Close open files.
Display the number of locks on each file and the permissions used to open it.
Has flexible output options allowing fields to be displayed in any combination and order, and optionally in csv format.
The results may be sorted on any field.
Утилиты, как и их же утилиты для Novell - сильно небесплатные, но они того стОят (сейчас цены заметно снижены, 600$ на год за 53 утилиты + документация, в позапрошлом году было 900$). Плюс автор очень отзывчивый и приятный в общении человек, в утилитах для Новела (мы их покупали с 1998-го года) он делал несколько серьёзных изменений, исправлений конкретно по моим просьбам, в частности, полностью решил проблемы с кодировками для файлов с русскими именами (н-р, в openfile).
Сергей Дубовский писал(а):4) Корзина на вин-сервере не восстанавливает файлы, удаленные по сети через сетевую шару с этого сервера. Заменой служит создание теневых копий.
http://interface31.ru/tech_it/2012/07/windows-server-nastraivaem-tenevye-kopii-dlya-obshhih-papok.html Плюсом то что можно восстановить не только удаленные но и измененные файлы, минусы - расход места для копий и выполнение их по расписанию, т.е. если файл был создан, заполнен и удален между созданием теневых копий, то восстановить его никак не удастся. Ну и эту службу надо настроить, хотя это и не сложно. По умолчанию она отключена.
Shadow copy, это конечно, здорово, но мне пришлось несколько раз сталкиваться с серьёзными проблемами, связанными с этой технологией. Недавний пример: бэкапил MAC OS X (штатная Time Machine) на Win-сервер (Windows Home Server 2011 - это подпиленный Windows 2008 R2), используя sparse-файлы (почти штатная процедура, требует для инициализации немного ручной работы). Sparse-файл, который видит MAC OS X, на вендовой файловой системе превращался в кучу пронумерованных файлов размером (chunk) 8 МБайт. Бэкапилось всё, бэкапилось, потом - ба-бах - ошибка, говорит, давай заново инициализируем. Не, думаю, у меня же теневая копия есть. Захожу в свойства папки, выбираю нужную теневую копию, говорю восстанавливай все файлы (chunk-и) в ней. Началось восстановление и... через пять-десять минут - "Фатальная ошибка, восстановление невозможно". И, что особенно прелестно - исчезли ВСЕ теневые копии. Просто шикарно!
После повторных отказов теневого копирования (точнее, восстановления) в третий или четвёртый раз, я его (shadow copy) выключил совсем, полностью, по причине невозможности реального использования. Бэкаплю акронисом на внешний диск. Кстати,
выключение shadow copy заняло несколько часов, со 100% занятыми обоими ядрами CPU (массив 6ТБ, занято около 1.5Тб). И теневое копирования - использовалось умолчание, 6:00 и 13:00 - кроме занятого места на дисках, ощутимо подтормаживало машину, так, что даже видеопотоок с неё начинал заикаться.
Подобные проблемы при восстановление, с использованием теневых копий, я наблюдал в своей практике несколько раз, включая "залёт" уже в этом году, на Win2012 R2. С тех пор у меня стойкое ощущение недоверия к этой технологии. И, как гласит мудрость сисадмина: "Неважно, какой у тебя бэкап, главное - какой у тебя restore"
...
Сергей Дубовский писал(а):7) При использовании WinVista и старше со включенным UAC, при работе под пользователем с правами локального админа будут разнообразные траблы с работой логин-скриптов. Связано это с особенностями работы UAC. Одна из статей на эту тему
https://support.microsoft.com/ru-ru/kb/937624. Нормального решения, как я понял нет. Либо отключать UAC либо отрубать права локального админа (что в принципе MS и рекомендует) и вводить имя пароль другого пользователя с правами, при запросе UAC, либо запускать логин скрипт в ручную.
О, да, секас с правами при работе логин-скриптов - это ещё одна песня. И, действительно, нормального решения до сих пор нет - такая модель безопасности.