web-dev-qa-db-ja.com

DFSレプリケーションとSYSTEMユーザー(NTFSアクセス許可)

GoogleまたはTechnetで回答を見つけるのに問題がある質問...

SYSTEMユーザーにDFS共有のファイルとフォルダーへのアクセス許可を付与すると、DFSレプリケーションに影響がありますか? (そして、私たちがそこにいる間、SYSTEMにDFS共有ファイルへのアクセス許可を与えるために、何か適切な理由notがありますか?)

DFS名前空間とフォルダーのコレクションがあるため、他のユーザーの問題を解決することができず、1つのDFSレプリカが識別可能な理由なしに別のDFSレプリカで複製されなかった問題をトラブルシューティングしているときに、 SYSTEMアカウントには、問題のフォルダー内のファイルまたはフォルダーのいずれにも付与された権限がありませんでした。

したがって、SYSTEMをフルコントロールに設定し、それを伝達しました。DFSヘルス診断レポートは、約80のファイルのバックログから約100,000のバックログを表示しました。いずれかのサーバーで欠落していたファイルの数(つまり、権限の変更だけで複製が開始されたわけではありません)。

当然のことながら、これにより、DFSがSYSTEMアカウントに作業を実行するためのアクセス許可を必要とするかどうか、または問題のフォルダーツリーへの変更だけがDFSの動作を促す原因になったかどうかについて知りました。問題が発生した場合、DFS名前空間は2000/2003の下に設定され、最近すべてのサーバーを2008 R2または2012(UACが有効になっている状態でブリーチ)にアップグレードしましたが、DFS名前空間を機能させることはまだできていませんレベルはServer 2008です。

(そして、DFSまたはネットワークファイルに関連するNTFSファイルのアクセス許可とSYSTEMアカウントに関するMicrosoftの公式記事を誰かが持っている場合のボーナスポイント。)

10
HopelessN00b

technetのこのスレッド SYSTEMはフルコントロールを必要としています。ただし、それほど公式なソースではありません。さらにテストを行うと、それが間違っていることがわかります


DFSレプリケーションサービス

Server 2008R2マシンのDFSサービスをProcess Explorerで確認しました。分散ファイルシステムレプリケーションサービスであるdfsrs.exeは、「NT Authority\SYSTEM」として実行されます。ただし、SeBackupPrivilegeおよびSeRestorePrivilegeがあります。

Screenshot of dfsrs.exe permissions

Microsoft特権定数から

SeBackupPrivilege-バックアップ操作を実行するために必要です。この特権により、システムは、ファイルに指定されたアクセス制御リスト(ACL)に関係なく、すべてのファイルへのすべての読み取りアクセス制御を許可します。読み取り以外のアクセス要求は、引き続きACLで評価されます。

SeRestorePrivilege-復元操作を実行するために必要です。この特権により、システムは、ファイルに指定されたACLに関係なく、すべてのファイルへのすべての書き込みアクセス制御を許可します。書き込み以外のアクセス要求は、引き続きACLで評価されます。また、この権限により、有効なユーザーまたはグループのSIDをファイルの所有者として設定できます。

これらのアクセス許可を使用すると、DFSレプリケーションサービスはファイルのアクセス許可を無視できます。必要なファイルに対する読み取り、書き込み、および設定のアクセス許可が与えられます。


テスト中

いくつかのファイルを含むDFS共有の1つにフォルダーを作成し、自分のアカウントを所有者として設定し、自分のアカウント以外のすべてのアクセス許可を削除しました。

DFSは他のすべてのサーバーに問題なく複製し、すべてのレプリカに同じアクセス許可がありました。

したがって、DFSは複製するファイルシステムのアクセス許可に依存しません。


あなたの場合、ファイルに変更を加えるだけでDFSが起動し、複製が必要であることがわかりました。そもそも何がそのような状況を引き起こしたのかはわかりません。

9
Grant

このMicrosoftの記事によると http://support.Microsoft.com/kb/120929 "システムアカウントと管理者アカウント(Administratorsグループ)は同じファイル権限を持っていますが、機能が異なります。 」

つまり、システムアカウントはローカル管理者と同じであり、パスワードを要求せずに管理者の権限でシステムサービスを実行するために存在します。 DFS-Rのレプリケーションプロセスは、このアカウントで実行されます。

システムユーザーは、ファイルシステムや、通常の管理者とは異なるDFSセットアップでは特別な意味を持ちません。ただし、Windows管理者はプログラムまたはシェルの呼び出し方法によっては常に管理者特権で動作しているわけではないため、混乱する可能性があります。一方、システムアカウントは常にエスカレートされた/管理者トークンで動作する可能性があります。私はあなたのDFSセットアップにバグがあり、ACLを変更するとシステムコールが発生したり、ファイルハンドルが開いたり更新されたりして、ことわざのクモの巣を壊したと思われます。

3
user160910