права доступа на файлы

[Dimerson]

А как с нашим главным козырем : eDir vs AD ?

[Antikwar]

С тех пор, как сетевые карты разных (нормальных) производителей стали показывать примерно одинаковую скорость пересылки данных, в разных ОС стала нивелироваться разница в скорости работы с сетевыми файлами. Про опережение виндой пока ничего сказать не могу - не проверял со свечкой, тьфу, секундомером Но в 2008 и Висте сделали новый (тот, что обещали в NT 3.1) стек TCP/IP и новый протокол - SMB2. Вот они в паре и дают повышение скорости (я полагаю, что как раз должно быть до уровня NetWare). Работает это только между Вистой и 2008 (Виста-Виста, Виста-2008, 2008-2008). Причем для Висты еще хорошо бы SP1 поставить.

Вы говорите, что заметное улечшение скорости идет тока между Win 2008 и Vista, но Виста довольно прожорливая в плане железа, а корпоративным стандартом обычно являеться либо ХР, либо Win2000 (не будем брать Линух), поскольку более выгодная вмеру своей недорогостоимости железа. У меня стоит Файловый сервак на 2000 Сервер и рабочие станции на ХР и Win2000, щас внедряю Новелл (NW SP7) - скорость работы, да вообще доступа к серверу, выше, особенно это заметно на машинах с невысокими параметрами железа (1,6/256,40), и это без каких-то особых дополнительных настроек, и работа на удаленных уфисах тоже заметно выросла. Возможно Майкрософт и придумала что-то быстрее Нетварэ, но это требует вложение серьезных ресурсов, представьте какие затраты будут как на железо, так и на ПО, что бы перейти на следующий уровень скорости, а Эта версия Нетварэ вполне подходит для эконочных предприятий.

P.S. Это лично мое мнение изходя из последнего опыта внедрения Новелла, возможно я и не прав.

[Павел Гарбар]

МС всегда любил сравнивать свои еще не вышедшие продукты с устаревшими продуктами конкурентов Типа: "А вот в нашей (будущей) WinXX вот это в n-цать раз лучше, чем в NW 3.11" И выдавали это за факт, хотя самой WinXX еще и в бете не было... А журналюги потом это растрезвонивали... Они б еще с 1913 годом сравнивали.
SP не всегда кардинально все меняют. Чаще они все же для исправления и улучшения.
По мне так 2008 сервер (за вычетом виртуализации и терминального доступа) - это где-то на уровне NW 5.0, 5.1.
Да, NW практически сдала позиции и не вчера. И все же сначала Новелл програл маркетинг, а потом на NW в техническом плане забили - то явой увлеклись, то вэб-технологиями, потом в линух ударились.
Про iSCSI Target - зато в NW он появился раньше!

[Сергей Дубров]

А как с нашим главным козырем : eDir vs AD ?

Тут ничего не поменялось - eDir кроет AD практически по всем показателям - и по скорости работы и по возможности масштабирования и пр. Но и в AD есть кое-что, чего, к сожалению, нет в eDir-е, и это тоже касается системы прав. Помнишь, я тут как-то жаловался, что назначение в iManager-е Help Desk-а даёт этим ролям слишком большие права? Хотя в этом конкретном случае как раз-таки можно было сработать тонко, разрешив [W] только в нужные атрибуты. НО! Вот что невозможно в eDir, так это разрешить создание только объектов определённого класса, н-р, только User. Если у тебя есть [C]reate в eDir-е - значит ты можешь создать объект любого типа. А в AD это можно сделать - и все штатные инструменты дадут тебе создавать только объекты класса User. Или группа. И ничего другого. Удобно? Да. Безопасно? Конечно. Тут, кстати, в AD опять работает механизм Создатель-Владелец - можно разрешить создавать объекты, но ограничить (квотировать) количество объектов, владельцем которых ты можешь являться. Создал 100 юзеров - дальше обломись. Мелочь, а приятно, от дурных субадминов защита.

Основной недостаток AD с точки зрения безопасности - завязка на домен (домен == граница безопасности), т.е., в домене, несмотря на все иерархии, н-р, закрыться от администратора домена невозможно. Даже такая простая вещь, как политика паролей у M$ до выхода 2008 была одной и единой на весь домен (только сейчас появились костылики, обходящие этот момент). А M$-домен всё-таки достаточно тяжеловесная штука, чтобы их плодить много с целью сделать то, что в eDir легко и просто делается на уровне OU.

[Сергей Дубров]

Кстати, ещё немножко про права: старая проблема в NW - какие права нужны, чтобы иметь возможность модифицировать содержимое группы (добавлять/удалять)? И вот здесь в новеловской kb обнаруживаются противоречащие друг-другу TID-ы. В частности TID10057330 утверждает, что:

The following are the minimum rights an Organizational Role or User needs to a Container in order to manage members of a Group (where the group exists in the container or below):

Object Rights:

Browse, Inheritable

Selected Property Rights:

Members - Read, Write, Inheritable
Object Trustees (ACL) - Read, Write, Inheritable
Security Equal To Me - Read, Write, Inheritable

Проверяем - работает. Известно, что при изменении списка группы ещё нужно модифицировать 'Group Membership' у добавляемого пользователя. Это делает за нас DS:

NOTE: The Organizational Role will be able to add any user they can browse to as a member of the group, even if they only have the Browse object right to the user. This is because DS will write the double-link for the user if the link for the group is successfully made (double link refers to the fact you can view the members of a group or view the groups a user is a member of; each entry is a separate link).

Практически то же самое написано в старом TID2918959. Но давать запись в ACL объекта как-то не очень хорошо. И тут на глаза попадается TID10064960, в котором написано немного по-другому:

Make the User, Group, or Organizational Role object a trustee of the target Group objects, either directly or via inheritance, such that they have Compare/Read/Write effective rights to the MEMBER and EQUIVALENT_TO_ME attributes. This can be done with a direct assignment of rights to the Group object, or via inherited rights from a parent container object. The User will also require Browse effective rights to the target User objects to be managed (this is present by default).

Т.е., утверждается, что достаточно прав R/W на атрибуты Members и 'Security Equal to Me' группы, без права записи в её ACL. Проверяем - НЕ работает. Точнее, работает, но странно. В NWADMIN-е с такими правами кнопка Добавить/Удалить в свойствах группы неактивна, а в C1 - АКТИВНА! Это чудо номер раз. Чудо номер два: с помощью C1 добавляем-таки пользователя в группу - и он благополучно появляется в списке членов группы. Но при этом у самого пользователя в его атрибуте 'Group Membership' НЕ появляется имя группы, в которую его только что включили. От так вот.

Получается, что [W] на ACL группы всё-таки необходим, но у меня с древних времён отложилось, что [W] на ACL объекта == [S] на сам объект (что логично - если я могу писАть в access list объекта, значит я могу вписать туда любой объект-опекун с любыми правами).

[Сергей Дубров]

Получается, что [W] на ACL группы всё-таки необходим, но у меня с древних времён отложилось, что [W] на ACL объекта == [S] на сам объект (что логично - если я могу писАть в access list объекта, значит я могу вписать туда любой объект-опекун с любыми правами).

Сорри, был не очень внимателен, в упомянутом TID10064960 всё написано - в общем, НЕ требуется давать прав на запись в ACL группы. Привожу решение полностью:

На группу:

Object Rights:
Browse

Selected Property Rights:
Members - Read, Write
Security Equal To Me - Read, Write

На OU, пользователей которого вы хотите добавлять/удалять в/из нужной группы:

Selected Property Rights:
Group Membership - Compare, Read, Write, Inheritable
Security Equals - Compare, Read, Write, Inheritable

Для меня лично во всей этой истории с правами на группы было открытием, что если дать право записи в ACL группы, то это позволяет модифицировать атрибуты Group Membership и Security Equals у пользователей, добавляемых в эту группу, даже если у вас таких прав нет! Как-то не очень осознаю сей факт. Вариант без права записи в ACL группы более строг и безопасен, но приходится дополнительно давать права (с наследованием) на Group Membership и Security Equals того OU, где расположены пользователи. Но в этом варианте нельзя пользоваться NWadmin-ом, ему, видимо, не хватает прав записи в ACL, а консольодину - хватает. Неконсистентно

[Андрей Тр. aka RH]

Не хочется разводить очередной холивар на тему M$ vs Novell, но добавлю свои 5 коп.

Касаемо прозводительности файл-сервера - ИМХО одним хорошим стеком не победишь. Мистическая сила NW кроме того была в алгоритмах кэширования ( сам не замерял ) - так и мерять надо при разных нагрузках, на соответствующих стендах. Вот несколько сотен юзеров погоняют у вас на сервере всяких разных файлов с неделю - тогда и посмотрим.

Кроме того, статичные ACL в NTFS ( да и в AD, подозреваю, тоже ) ещё никто не отменял, и не отменит никогда. Вот пару месяцев назад у одного из клиентов на 2003 сервере вдруг слетели пермишены на содержимое домашних каталогов пользователей. То есть одним утром они стали жаловаться, что пропали все файлы. Файлы-то в каталогах лежат - и пермишены все на каталоги назначены, но похерились ACL на все файлы с подкаталогами унутри. Есть подозрение, что это дело рук shadow copies, но не об том речь. И вот пришлось сооружать скрипты с icacls ( или xcacls, уже сейчас не помню - любит M$ всякие долбанные утилиты, поскольку без них там никак ), чтобы передернуть ACL на всех пользовательских файлах .. это 1500 пользователей, а уж сколько там файлов .. короче, процесс это небыстрый.

А что RBS назначает много прав - так еДир тут ни при чём, это "заслуга" собсно дизайнеров RBS.

Кстати, iPrint по своей архитектуре и возможностям всяко лучше Вендозной печати. И это уже не только моё мнение, но и некоторых других достаточно уважаемых джентельменов. Осталось только его доделать, чтобы он стабильно работал на Линуксе Xen тоже лучше Hyper-V.

[Сергей Дубров]

Кроме того, статичные ACL в NTFS ( да и в AD, подозреваю, тоже ) ещё никто не отменял, и не отменит никогда. Вот пару месяцев назад у одного из клиентов на 2003 сервере вдруг слетели пермишены на содержимое домашних каталогов пользователей. То есть одним утром они стали жаловаться, что пропали все файлы. Файлы-то в каталогах лежат - и пермишены все на каталоги назначены, но похерились ACL на все файлы с подкаталогами унутри. Есть подозрение, что это дело рук shadow copies, но не об том речь. И вот пришлось сооружать скрипты с icacls ( или xcacls, уже сейчас не помню - любит M$ всякие долбанные утилиты, поскольку без них там никак ), чтобы передернуть ACL на всех пользовательских файлах .. это 1500 пользователей, а уж сколько там файлов .. короче, процесс это небыстрый.

Хе, статика в правах (они действительно статические и в файловой системе и в AD) - это отдельная песня. И я сталкивался с похожими ситуациями, так что мне это очень знакомо. С другой стороны, статика - это быстрая проверка доступа, не надо никуда по деревьям вверх бегать. Но эта скорость нивелируется в многодоменной конфигурации, когда пользователь идёт к ресурсу в "чужом" домене - перепасовка от одного kdc к другому (по иерархии) - вот это реальный супертормоз.

А что RBS назначает много прав - так еДир тут ни при чём, это "заслуга" собсно дизайнеров RBS.

Это так, согласен. Но никакой дизайн не даёт возможности разрешить создавать объекты только определённого класса, как это легко и просто делается в AD.

Кстати, iPrint по своей архитектуре и возможностям всяко лучше Вендозной печати. И это уже не только моё мнение, но и некоторых других достаточно уважаемых джентельменов. Осталось только его доделать, чтобы он стабильно работал на Линуксе

Андрей, я говорил, что таблицу сравнения могу очень подробную составить. Так вот вендовая печать в этой таблице в сравнении с любым вариантом от Новела - полный ужас. Падучесть этого сервиса просто песня - три-четыре-пять сетевых принтеров с приличной нагрузкой - и готово, спулер будет практически гарантированно вылетать в самый неподходящий момент.

Xen тоже лучше Hyper-V.

VMWare ESXi - круче

[Андрей Тр. aka RH]

Это так, согласен. Но никакой дизайн не даёт возможности разрешить создавать объекты только определённого класса, как это легко и просто делается в AD.

Возможно, но в чём глубинный смысл ограничения на создание объектов определенного типа ? Что я, хелпдеск, не смог бы создать объект типа сервер ?

Xen тоже лучше Hyper-V.

VMWare ESXi - круче

Круче - не значит лучше, а чем ESXi круче - тем, что бесплатно ( хотя Xen тоже бесплатен ) ? в ESXi, насколько я знаю, не входит VMotion, SAN boot и пр. - надо покупать ESX. ИМХО VMWare вообще лучше только тем, что она постарее остальных, ну и в результате более "причёсана". А как там в ESXi с паравиртуализацией ? Под неё до сих пор надо покупать только серверы из специального списка, а под остальные дорабатывать напильником ?

[Сергей Дубров]

А как там в ESXi с паравиртуализацией ? Под неё до сих пор надо покупать только серверы из специального списка, а под остальные дорабатывать напильником ?

Прекрасно у ESXi с паравиртуализацией - у нас она работает на формально не сертифицированном железе (супермикры), в 64-разрядной моде - никаких напильников не потребовалось, всё поднялось и работает просто на ура. Ну, и всякие бонусы типа VMotion тоже прикручиваются не особо сложно (и у нас они давно работают).

По управляемости ESX намного более продвинутая на сегодня вещь. 29 апреля у нас проводилась конференция HP (презентовались новые Proliant G6 сервера), у них есть сервис - предустановленные на флешку Xen (цитриксовский) или ESXi по цене носителя (можно скачать образы и совсем бесплатно). Так вот все HP-инженеры, с которыми я пообщался по этому поводу, в голос говорят, что Xen - это вариант попроще и попримитивнее, а ESXi - это гораздо более продвинутое решение, особенно для больших инсталляций. Причём, заметь, это было сравнение с XenServer от Citrix-а (он стал бесплатным только в конце марта), который намного более наворочен по управлению в сравнению с просто Xen.

[Antikwar]

По поводу прав - заметил серьезный недостаток, который пока еще не придумал как побороть: у Нетварэ нельзя поставить логон-скрипты в группы, а пользователям можно только один профиль ставить, то есть если есть группа людей, которые учавствуют во многих сферах - то каждому приходиться дополнять его персональные скрипты пользователя (в общие скрипты вешать параметр set, который будет выберать конкретную группу не очень хочеться, поскольку таких скриптов будет много, а эта проверка затронет всех пользователей и замедлит процедуру регистрации). Было бы гораздо удобнее создавать группу и вешать на нее скрипты.

[Музалёв Николай]

в чём глубинный смысл ограничения на создание объектов определенного типа ?

Предполагается, что позволяет развернуть в относительно большой конторе институт хм... скажем так- админчиков ( в общем случае - из числа слегка проинструктированных пользователей).

Получив, к примеру, права создавать ТОЛЬКО пользователей ( и в последствии - сопровождать их ) такие "помощники шерифов" берут на себя рутину, а вы существенно разгружаете себя от неё.

[Сергей Дубров]

По поводу прав - заметил серьезный недостаток, который пока еще не придумал как побороть: у Нетварэ нельзя поставить логон-скрипты в группы, а пользователям можно только один профиль ставить, то есть если есть группа людей, которые учавствуют во многих сферах - то каждому приходиться дополнять его персональные скрипты пользователя (в общие скрипты вешать параметр set, который будет выберать конкретную группу не очень хочеться, поскольку таких скриптов будет много, а эта проверка затронет всех пользователей и замедлит процедуру регистрации). Было бы гораздо удобнее создавать группу и вешать на нее скрипты.

А документацию повнимательнее изучить? В новеловских логин-скриптах есть замечательная конструкция, IF MEMBER OF называется. Делаете в общем скрипте (обычно OU) проверку на членство в определенной группе и выполняете в зависимости от этого нужную ветку. У меня, например, есть вот такой код в общем скрипте (для юзеров, которым не делается стандартное мэпирование-назначение букв дисков при логоне):

Код: Выделить всё

IF MEMBER OF ".Nomap.BINP" THEN GOTO NOMAP

MAP ROOT H:=...
MAP      I:=...
MAP ROOT J:=...
END

NOMAP:
...


[Андрей Тр. aka RH]

Прекрасно у ESXi с паравиртуализацией

Прекрасно - в том смысле, что :

Support for paravirtualization. VMware ESX and ESXi support para-virtualized Linux guest operating systems (Linux kernel 2.6.21 onwards) to improve virtual machine performance.

И всё ? Или раз есть поддержка hardware virtualization, то пара- как бы дело десятое ? ( В моём "А как там в ESXi с паравиртуализацией ? Под неё до сих пор надо покупать .." это было два разных вопроса, не в том смысле что под пара- надо покупать сертифицированное железо, а под их гипервизор вообще .

Кстати, а какой тип стораджа у ваших ВМ ? Просто я сейчас смотрю и в сторону ESX тоже, отсюда и вопросы Я согласен, что ESX ( и даже бесплатный ESXi ) сейчас в плане управляемости, пожалуй, будет получше всего.

[Сергей Дубров]

Прекрасно у ESXi с паравиртуализацией

Прекрасно - в том смысле, что :

Support for paravirtualization. VMware ESX and ESXi support para-virtualized Linux guest operating systems (Linux kernel 2.6.21 onwards) to improve virtual machine performance.

И всё ?

У нас 2008 на ESX работает в паравиртуализации. Замерянные потери производительности - не более нескольких процентов, включая ввод-вывод.

Кстати, а какой тип стораджа у ваших ВМ ?

iSCSI от Falcon, target на Win2008.