এটি কি ফাইল সার্ভারের অনুমতিগুলির জন্য প্রস্তাবিত / বৈধ পদ্ধতির?

ফাইল সার্ভারগুলি আইটি-তে জীবনের একটি বাস্তব বিষয় এবং আপনি কীভাবে গ্রুপ তৈরি করেন এবং কোনও ভাগ করা ফোল্ডারে ক্লায়েন্ট অ্যাক্সেস পরিচালনার জন্য অনুমতি প্রয়োগ করেন তার জন্য যদি কোনও সাধারণভাবে গৃহীত অনুশীলন (আমি এখানে "সেরা" শব্দটি ব্যবহার করতে দ্বিধা করি) আমি আগ্রহী I'm একটি ফাইল সার্ভার।

আমার বর্তমান চাকরিতে, এসিএলগুলিতে কয়েক ডজন গ্রুপ থেকে শুরু করে ব্যক্তিগত ব্যবহারকারীদের সরাসরি ফাইল সিস্টেমে সরাসরি রাখার জন্য বিভিন্ন উপায়ে এটি করার বিভিন্ন উপায়ের উত্তেজনা শেষ করেছি। আমার কাজটি ছিল এই জগাখিচুড়িটি পরিষ্কার করা এবং পুরো কোম্পানির (বৃহত পরিবেশ, 150 কে কর্মী, 90 কে ক্লায়েন্ট কম্পিউটার, 100 ফাইল ফাইলগুলির 100) এর কাছে পৌঁছানোর কোনও ধরণের মানসম্মত উপায় নিয়ে আসা।

এই বিষয়টি সম্পর্কে আমার বোঝাপড়া থেকে, মনে হচ্ছে সুরক্ষিত উত্স প্রতি আপনার অ্যাক্সেস স্তরের প্রতি কমপক্ষে একটি গ্রুপ প্রয়োজন। এই মডেলটি সর্বাধিক নমনীয়তা দেয় বলে মনে হচ্ছে যে আপনি যদি অন্য কোনও অ্যাক্সেস স্তরের সমর্থন না চান তবে আপনাকে আবার ফাইল সিস্টেমের অনুমতিগুলির স্পর্শ করতে হবে না। খারাপ দিকটি হ'ল আপনি একাধিক ভাগ ভাগ করা সংস্থানগুলিতে একই গ্রুপটিকে পুনরায় ব্যবহারের চেয়ে আরও গোষ্ঠী তৈরি করবেন।

এখানে আমি কী বোঝাতে চাইছি তার একটি উদাহরণ এখানে দেওয়া হয়েছে:

FILE01 নামের একটি ফাইল সার্ভারে "পরীক্ষার ফলাফল" নামে একটি ভাগ রয়েছে এবং আপনার ভাবেন যাদের কেবল পঠনযোগ্য অ্যাক্সেস, পঠন-লেখার অ্যাক্সেস এবং সম্পূর্ণ নিয়ন্ত্রণ প্রয়োজন। 1 সুরক্ষিত সংস্থান * 3 অ্যাক্সেসের স্তর = 3 সুরক্ষা গোষ্ঠী। আমাদের এডি পরিবেশে, আমরা এগুলি সর্বজনীন গোষ্ঠী হিসাবে তৈরি করি যাতে আমরা সহজেই বনের যে কোনও ডোমেন থেকে ব্যবহারকারী / গোষ্ঠী যুক্ত করতে পারি। যেহেতু প্রতিটি গ্রুপ পৃথকভাবে একটি ভাগ করা ফোল্ডার এবং অ্যাক্সেস স্তরকে বোঝায়, গোষ্ঠীর নামগুলি সেই "কী" ডেটার টুকরোকে অন্তর্ভুক্ত করে এবং অনুমতিগুলি এইভাবে:

"FILE01-Test Results-FC"  --  Full Control
"FILE01-Test Results-RW"  --  Read & Write
"FILE01-Test Results-RO"  --  Read Only

সাধারণত, আমরা অন্তর্নির্মিত SYSTEM অ্যাকাউন্ট এবং সম্পূর্ণ নিয়ন্ত্রণ অ্যাক্সেস সহ বিল্ট-ইন প্রশাসকদেরও অন্তর্ভুক্ত করব। কে এই অংশে আসলে কী অ্যাক্সেস পায় সে সম্পর্কে এসিএল স্পর্শ না করে গ্রুপ সদস্যতা ব্যবহার করে এখন পরিচালনা করা যেতে পারে (ম্যানেজার, টেকনিশিয়ানস, কিউএ অ্যানালিস্টস ইত্যাদি নির্দিষ্ট ব্যবসায়ের ভূমিকা উপস্থাপনকারী "ভূমিকা" গোষ্ঠীগুলিকে যুক্ত করে বা কেবল ব্যক্তিগতভাবে) ওয়ান-অফ অ্যাক্সেসের জন্য ব্যবহারকারীগণ)।

দুটি প্রশ্ন:

1) এটি কি অনুমতি পরিচালনার জন্য প্রস্তাবিত বা বৈধ পদ্ধতির বা আমি কিছু সহজ, আরও মার্জিত সমাধান মিস করছি? আমি উত্তরাধিকার ব্যবহার করে এমন কোনও সমাধানগুলিতে বিশেষভাবে আগ্রহী কিন্তু তবুও জিনিসগুলি পরিবর্তিত হলে ফাইল সিস্টেমের বড় অংশগুলিকে পুনরায় এসিএল না করার ক্ষেত্রে নমনীয়তা বজায় রাখতে পারি।

2) আপনি কীভাবে আপনার পরিবেশে ফাইল সার্ভারের অনুমতি এবং গোষ্ঠী কাঠামো পরিচালনা করছেন? যারা বড় পরিবেশে কাজ করছেন তাদের জন্য বোনাস পয়েন্ট।

আমার পদ্ধতিটি ফাইল / ডিরেক্টরি স্তরের ফাইল অনুমতি ব্যবহার না করা; ফাইল ভাগ স্তর স্তরের অনুমতি ব্যবহার করুন এবং পুরো সার্ভারের ফাইল সিস্টেম ডেটা ড্রাইভকে প্রত্যেকের পুরো নিয়ন্ত্রণে সেট করুন (যা মোট হয়ে যায়)।

বছরের পর বছর ধরে (10+), আমি খুঁজে পেয়েছি যে এনটিএফএস অনুমতিগুলি আরও জটিল এবং আরও ত্রুটির দিকে পরিচালিত করে। যদি অনুমতিগুলি ভুলভাবে সেট করা থাকে, বা উত্তরাধিকার ভেঙে যায়, আপনি ডেটা এবং এটি খুঁজে পাওয়া ও দেখতে পাওয়া শক্ত করে। এছাড়াও, আপনি সরানো / অনুলিপি সমস্যার মুখোমুখি হয়ে গেছেন ... ব্যবহারকারীরা সরানো ফাইলগুলিও ফাইলটির এসিএল স্থানান্তর করে, অন্যদিকে অনুলিপিটি এসিএল গন্তব্য হিসাবে উত্তরাধিকার সূত্রে প্রাপ্ত হয়।

আপনার পঠন / লেখার গোষ্ঠীগুলি একই ব্যবহার করুন, তবে কম এমজিএমটি এমএমসি ব্যবহার করে পুরো ফাইল শেয়ার করুন। পূর্ণ করবেন না ... ব্যবহারকারীরা আংশিক জ্ঞান / সেরা উদ্দেশ্য নিয়ে নিজেকে গুলি করবে।

এই পদ্ধতির খারাপ না। একটি নিয়ম হিসাবে পৃথক ব্যবহারকারীদের অনুমতি যোগ করতে কখনও ব্যবহার করবেন না - একটি গ্রুপ ব্যবহার করুন। গ্রুপগুলি তবে সংস্থানগুলি জুড়ে ব্যবহার করা যেতে পারে। উদাহরণস্বরূপ, এইচআর এর ফাইলগুলিতে আরডাব্লু অ্যাক্সেস থাকতে পারে এবং ম্যানেজারগুলির আর থাকতে পারে You আপনি অ্যাক্সেস ভিত্তিক গণনাও সেট আপ করতে পারেন। নিম্নলিখিত ওয়েবকাস্টটি একবার দেখুন:

টেকনেট ওয়েবকাস্ট: উইন্ডোজ সার্ভার 2003 অ্যাডমিনিস্ট্রেশন সিরিজ (12 এর অংশ 4): গ্রুপ ম্যানেজমেন্ট (200 স্তর)

অ্যাক্সেস ভিত্তিক গণনা জীবনকে আরও সহজ করে তুলতে পারে দেখুন:

অ্যাক্সেস-ভিত্তিক গণনা

আপনার পরিচালনা করতে হবে এমন বিভিন্ন শেয়ারের সংখ্যা হ্রাস করতে এবিই সহায়তা করতে পারে।

আপনার দৃষ্টিভঙ্গিটি মূলত আমি যেভাবে এটির কাছে যাব।
কেবলমাত্র আমি যুক্ত করব:

1) আমি আপনার "রোলস" স্কিমটি যুক্ত করে কেবলমাত্র একটি সার্ভারেই নয় যা আপনি সম্ভবত এটির বহিরাগতদের মধ্যে চালাতে যাচ্ছেন না কেবল সার্ভারগুলিতে তাদের কী প্রয়োজন তা মূল্যায়নের মাধ্যমে আমি যুক্ত করব, তবে তাদের সাথে আমার তত্ত্বটি যখন আপনি তাদের মধ্যে চলে যান তখন অন্য একটি গ্রুপ তৈরি করুন। আমার অভিজ্ঞতায় যেখানে একজন বহিরাগত রয়েছে সেখানে অনেক রয়েছে।

2) আমি সর্বদা সর্বজনীন গোষ্ঠীগুলির প্রয়োজনীয়তার জন্য পুনরায় ব্যাখ্যা করতে চাই কারণ আপনি যখন তাদের সাথে একটি প্রতিলিপি গ্রহণ করেন তবে ইউনিভার্সাল গ্রুপের অভ্যন্তরীণ সদস্য এবং গোষ্ঠীগুলি গ্লোবাল ক্যাটালগ সার্ভারে প্রতিলিপি করা হয় যখন ডোমেন লোকাল এবং গ্লোবাল কেবলমাত্র গ্রুপে থাকে গ্লোবাল ক্যাটালগ সার্ভারে প্রতিলিপি করা। সুতরাং আপনি যদি সর্বজনীন গোষ্ঠীতে কোনও পরিবর্তন করেন তবে এটি একটি প্রতিলিপি তৈরি করে, বৈশ্বিক এবং ডোমেন স্থানীয় সহ এটি ব্যবহার করে না।

প্রতিটি অ্যাক্সেস স্তরের জন্য আপনার সংস্থান গ্রুপ ব্যবহার করার পদ্ধতিটি সঠিক। কেবলমাত্র আমি বিবেচনা করব সম্পদগুলির জন্য ডোমেন স্থানীয় গ্রুপগুলি ব্যবহার করা Grou আপনি যদি সার্ভার-নির্দিষ্ট সংস্থাগুলি তৈরি করে থাকেন তবে অগত্যা ইউনিভার্সাল গ্রুপগুলি ব্যবহার করার দরকার নেই।

সংস্থানসমূহের জন্য ডোমেন স্থানীয় গ্রুপগুলি ব্যবহার করার ক্ষতিটি হ'ল আপনি আরও মোট গ্রুপের সমাপ্তি। উল্টোটি হ'ল জাইফার উল্লেখ করেছেন যে প্রতিলিপিটি নিয়ে আপনার সমস্যা কম।

প্রস্তাবিত পদ্ধতিটি মোটামুটি শক্ত বলে মনে হচ্ছে। তবে প্রথমে আপনি যেভাবে ফাইল শেয়ার সেট আপ করেছেন তা হ'ল। প্রস্তাবিত অনুশীলনটি এমন একটি একক শীর্ষ স্তরের ভাগ থাকে যার মধ্যে সাবফোল্ডার থাকে যার পরে আপনি গোষ্ঠীর অনুমতিগুলি নির্ধারণ করেন। এরপরে এনটিএফএস শীর্ষ স্তরের ফোল্ডারে "ট্র্যাভার্স ফোল্ডার / এক্সিকিউট ফাইল" বাইপাস করতে পারে এবং সাবফোল্ডারে অ্যাক্সেস দিতে পারে।

এর পরে কাঠামোটি \ সারওয়ারনেম ren শেরেনাম-গ্রুপ-ফোল্ডারের মতো দেখাবে, কেবল ভাগের অনুমতিগুলির সাথে "শেরেনাম" ফোল্ডারে সেট করা দরকার এবং প্রকৃত এনটিএফএস অনুমতিগুলি "গ্রুপ-ফোল্ডার" ফোল্ডারে সেট করা থাকে।

আপনার ফাইল সার্ভারও এই ধরণের সেটআপ দিয়ে আরও ভাল পারফর্ম করতে সক্ষম হবে।

আমি অন্যান্য সাধারণ কাজগুলি করতাম গ্রুপগুলির জন্য নামকরণের কনভেনশন যেমন গ্রুপ নামটি গ্রুপ ফোল্ডারের নামের সাথে সমান (এফসি / আরডাব্লু / আরও চাইলে সংযুক্ত করা হয়), এবং ইউএনসিটিকে গ্রুপের বিবরণে ফোল্ডারে আটকে দিন (যাতে আপনার লগন স্ক্রিপ্টটি এটি আবার পড়তে পারে এবং সেভাবে ম্যাপিংয়ের জন্য একটি ড্রাইভ সেট করতে পারে এবং যাতে ভাগ করা ফোল্ডারগুলি কোন গ্রুপে প্রযোজ্য তা আপনি আরও সহজেই দেখতে পারেন)।

উইন্ডোজ 2000 সাল থেকে আমি উইন্ডোজ ফাইল সার্ভারের জন্য যে স্ট্যান্ডার্ড অনুশীলনটি ব্যবহার করে আসছি (মার্ক মিনাসির মাস্টারিং উইন্ডোজ সার্ভার সিরিজের মধ্যে বিস্তৃত তাই আরও তথ্যের জন্য দেখুন) নীড় নেওয়ার জন্য ফাইল সার্ভারে স্থানীয় এমন গ্রুপগুলি ব্যবহার করা।

উদাহরণস্বরূপ, MUPPETS নামে একটি ডোমেনে KERMIT নামে একটি ফাইল সার্ভার বিবেচনা করুন।

বলুন KERMIT এর কয়েকটি ফাইল শেয়ার রয়েছে:

\\KERMIT\Applications
\\KERMIT\Finance
\\KERMIT\Sales
\\KERMIT\Manufacturing

অ্যাক্সেসের জন্য কেআরমিটিতে স্থানীয় গোষ্ঠী তৈরি করুন এবং আপনার যেমন নির্দিষ্ট করা হয়েছে ঠিক তেমন ফাইল সিস্টেমে তাদের অনুমতি দিন (যেমন প্রতি শেয়ারের অ্যাক্সেস স্তরের প্রতি এক গ্রুপ)

KERMIT\Applications-RO
KERMIT\Applications-RW
KERMIT\Applications-FC
KERMIT\Finance-RO
[...]

যেহেতু এগুলি স্থানীয় গোষ্ঠী, আপনি অন্য যে কোন গোষ্ঠী বা ব্যবহারকারীদের সেগুলিতে রাখতে পারেন - ডোমেন স্থানীয় গ্রুপ, গ্লোবাল গ্রুপ, সর্বজনীন গোষ্ঠী, আপনার বনের যে কোনও ডোমেন থেকে ব্যবহারকারী অ্যাকাউন্ট। রাইটস ম্যানেজমেন্ট এখন ফাইল সিস্টেম বা AD এর পরিবর্তে ফাইল সার্ভারের গ্রুপগুলিতে স্থানীয়।

এটি আপনার গোষ্ঠী পরিচালনায় একটি অতিরিক্ত স্তর যুক্ত করে, তবে এতে সাইট-স্থানীয় প্রশাসকদের সেই ফাইল সার্ভারের অ্যাডমিন অধিকারের চেয়ে বেশি কিছু না বলে নিজের ফাইল সার্ভার পরিচালনা করার অনুমতি দেওয়ার সুবিধা রয়েছে। আপনার যদি একটি সংঘবদ্ধ শাখা অফিস কাঠামো থাকে, যেখানে প্রতিটি অফিস ধরণের নিজস্ব সার্ভারগুলির সাথে নিজস্ব কাজ করে, তবে এটি আসল উপকার হতে পারে। আপনি কয়েক ডজন স্থানীয় সাইট অ্যাডমিনদের AD অ্যাডমিনের অধিকার দিতে চাইবেন না।

এটি আপনার এডিটিকে প্রচুর গোষ্ঠীগুলির সাথে বিশৃঙ্খলাবদ্ধ থেকে বাঁচায় (সার্ভারের জন্য প্রতি শেয়ার প্রতি অ্যাক্সেস লেভেলের একটি গ্রুপ খুব দ্রুত যুক্ত করতে পারে), এবং জিসিগুলির মধ্যে গ্রুপের প্রতিলিপি হ্রাস করে। এটি আপনাকে অনুমতিগুলির পরিবর্তে আপনার AD গোষ্ঠীগুলি ভূমিকার জন্য সংরক্ষণ করতে দেয়।

যদি আপনার পরিবেশটি কঠোরভাবে প্রমিত করা হয় এবং সমস্ত ফাইল সার্ভারগুলি অভিন্ন এবং প্রতিলিপিযুক্ত হয়, তবে এটি সম্ভবত আপনার প্রয়োজন নেই এমন আরও একটি স্তর। এছাড়াও, আপনি যদি জানেন যে প্রতিটি ফাইল সার্ভারে থাকা একটি ভাগের উপর একই অধিকার পেতে আপনার একটি নির্দিষ্ট এডি গ্রুপ প্রয়োজন, তবে এটি বজায় রাখতে আপনার কিছু অটোমেশন প্রয়োজন to

সংক্ষেপে, আপনার ফাইল সার্ভারগুলি একে অপরের থেকে যত বেশি পৃথক, মেশিন স্থানীয় গ্রুপগুলি তত বেশি ব্যবহার করে তা বোঝায় makes এগুলির পরিমাণ যত বেশি ততই আপনি বর্তমানে ব্যবহার করা সিস্টেমটি তত বেশি ব্যবহার করতে চান।

আমি নেটওয়্যার থেকে উইন্ডোজ সার্ভার ২০০৮ এ মাইগ্রেশন খুঁজছি তাই ইদানীং এটি আমার মনে পড়েছে। সার্ভার 2008 (এবং কিছুটা হলেও সার্ভার 2003R2) এর কিছু খুব সুন্দর বৈশিষ্ট্য রয়েছে যা সত্যিই এই রূপান্তরটি সহজ করে দেয়। সার্ভার ২০০৮ অ্যাক্সেস ভিত্তিক গণনাটি বাক্সের বাইরে চলে আসে। এটি একটি দুর্দান্ত বৈশিষ্ট্য যা ব্যবহারকারীদের কেবলমাত্র তাদের ডিরেক্টরিতে থাকা ডিরেক্টরিগুলি দেখতে দেয়। আপনার যদি ভাগ থাকে ...

\\ ব্যবহারকারী-বাড়িতে SRV \ ঘরবাড়ি \

ABE ছাড়া শেষ ব্যবহারকারী দশ / শত / হাজার হাজার ডিরেক্টরি দেখতে পাবেন। এবিইয়ের সাথে শেষ ব্যবহারকারী কেবল একটি দেখতে পাবেন। একই শেয়ার শেয়ারের সত্য। ABE এর সাহায্যে আপনার সমস্ত বিভাগীয় ডিরেক্টরিগুলির জন্য আপনার একক বিশাল পরিমাণের ভলিউম থাকতে পারে এবং আপনার ব্যবহারকারীরা যে ডিরেক্টরিতে প্রবেশ করতে পারবেন না সেগুলি দিয়ে তিনি স্প্যাম না রেখে স্প্যাম নাও করতে পারেন। এসিএল সমস্যা না হলেও এটি কিছুটা সম্পর্কিত যার ফলে আমি এটিকে সামনে আনি।

সার্ভার ২০০৮ এর আগের সংস্করণগুলির তুলনায় আরও ভাল কাজ করা মনে হচ্ছে এটি হ'ল ACL উত্তরাধিকার। এটি কেবল বড় গাছের শীর্ষে একটি এসিএল পরিবর্তনের পাতায় প্রচার করার পক্ষে দ্রুত বলে মনে হয়।

আমাদের নেটওয়্যার উত্তরাধিকারের কারণে, আমাদের মধ্যে প্রচুর গোষ্ঠী রয়েছে যে তাদের মধ্যে কে রয়েছে তার উপর ভিত্তি করে নামকরণ করা হয়েছে, সেখানে কিছু লোক রয়েছে যা তারা অ্যাক্সেস দেয় তার জন্য নামকরণ করেছে। যে ডিরেক্টরিগুলি অ্যাক্সেসের পুনঃনির্মাণ করেছে তাদের জন্য আমরা "আরও" "পূর্ণ" নামকরণও ব্যবহার করি।

আমাদের একটি মনোলিথিক "শেয়ারড" ভলিউম রয়েছে (এখনও নেটওয়ারে রয়েছে, তবে আমরা উইন্ডোজ চলাকালীন এটি একতরফা করার পরিকল্পনা করি) যা সমস্ত 4,400 কর্মীর জন্য একক অংশীদারি ভলিউম এবং এতে 3.5 মিলিয়ন ফাইল রয়েছে। শীর্ষ স্তরের ডিরেক্টরিগুলি সমস্ত বিভাগের নাম এবং প্রতিটি বিভাগ তাদের ভিতরে কী ঘটে তা নিয়ন্ত্রণ করে। সত্যিকারের বৃহত বিভাগগুলির জন্য কয়েকটি ব্যতিক্রম রয়েছে, যাদের এসিএল সহ একটি দ্বিতীয় স্তরের ডিরেক্টরি রয়েছে।

আমার শেষ চাকরিতে আমরা এমনকি অনুমতি সেট আপ করতে সক্ষম হয়েছি যাতে চাকরীর জন্য আবেদন করা এইচআর কর্মীরা তাদের সার্ভারে নিজের অ্যাপ্লিকেশন ডেটা দেখতে সক্ষম না হয়। এটি করতে কিছু উত্তরাধিকার-অধিকার-ফিল্টার নিয়েছিল যা উইন্ডোজের "ব্লক উত্তরাধিকার" ট্যাগের মতো। চতুর অংশ এটা সব দলিল করা হয়েছে, কিন্তু এটা কাজ ।

প্রত্যেকটি ব্যবহারকারীর কাজের ভূমিকার জন্য প্রতিটি ব্যবহারকারীকে কেবল একটি সুরক্ষা গোষ্ঠীতে যুক্ত করা একটি সর্বোত্তম কেস দৃশ্যাবলী। তারপরে ভূমিকাটি যেখানে প্রয়োজন সেখানে অ্যাক্সেস প্রেরণ করা হয়।

একইভাবে, একটি "ভাগ করা" সুরক্ষা গোষ্ঠী যেমন আপনার "FILE01- পরীক্ষার ফলাফল-আরডাব্লু" উদাহরণ ব্যবহার করে একটি ভাগ করা ফোল্ডার অ্যাক্সেস দেওয়া উচিত। এটিতে কাজের ভূমিকা, বিভাগের ভূমিকা বা অন্যান্য প্রযোজ্য গোষ্ঠীগুলি থাকবে।

এই নকশার বিপরীতটি হ'ল আপনি প্রতি গ্রুপ ভিত্তিতে (দল, বিভাগ, ইত্যাদি) অ্যাক্সেসের প্রতিনিধিত্ব করেছেন এবং ট্র্যাক করা কঠিন হতে পারে এমন এক-অ্যাক্সেস অ্যাক্সেস নয়। যখন কোনও ব্যবহারকারী অন্য বিভাগে স্থানান্তর করে, তখন আপনাকে পুরানো সমস্ত অ্যাক্সেস পরিষ্কার করতে হবে।

ক্ষতি হ'ল গ্রুপগুলি অপব্যবহার করা যায়। গ্রুপগুলি কীসের জন্য ব্যবহার করা হচ্ছে সে সম্পর্কে স্পষ্ট পার্থক্য তৈরি করুন, যাতে কোনও অংশে অর্পিত সংস্থান গোষ্ঠীগুলি আবার বিভাগীয় গোষ্ঠীগুলির মতো পুনরায় ব্যবহার না করা হয়, যাতে অ্যাক্সেসের জঞ্জাল সৃষ্টি হয়।