Windows Server 和 NSS 卷

tag-icon tag-icon windows-server-2003 windows-server-2008 network-share novell nss
Windows Server 和 NSS 卷

有谁知道是否有办法在服务器 2003/2007 上安装 NSS 卷 (novell)?我们显然需要它来维护用户权限等等。甚至是一个开始寻找的地方(谷歌上我什么也找不到)(还有 novell,当 TID 存在时它们很棒,但它们存在的机会非常小……)

谢谢。

编辑:我们正在寻找一种迁移方法。

答案1

我们现在正在经历这个问题。据我所知,任何 Windows 平台上都没有适用于 NSS 的文件系统驱动程序。我们目前正在将 CIFS 堆栈加载到 NetWare 服务器上,这样我们的 Windows 服务器就可以与它们通信,而无需 Novell 客户端破坏网络堆栈。然后,我们正在运行一系列脚本来迁移受托者。

在服务器上加载“TRUSTEE.NLM”将为你提供该卷上指定受托人的非常方便的权限转储。

trustee /edt save DATA1: sys:/tmp/metadata.log

这会将受托人和目录配额数据转储到一个日志文件中,然后您可以根据该文件执行脚本程序。这些脚本是什么,由您决定。您需要以下内容:

  • 将 Novell 组转换为 AD 组的可靠方法。这可以是某种查找表,也可以是可预测的名称
    • 一种可能性是将您的所有 Novell 组迁移到 AD,并在“稍后”将您的组名转换为更标准化的名称。
  • 目录结构已就位。ROBOCOPY 对此有非常好的选项。先不要复制文件,最后再复制。
  • 该脚本读取 metadata.log 文件并将 NTFS 权限应用于正确的目录。请记住,NTFS 和 NSS 权限并不相同(请参阅下面的粗略指南)。
  • 祈祷您没有大量使用继承权利过滤器。
  • 仅在建立权限结构后才可复制文件。这样速度会快很多。
  • ROBOCOPY 有一个同步选项,可以在您等待切换日时保持文件数据同步。它不会复制受托人/acl 数据,因此在您处于这种状态时暂停更改权限是一个非常好的主意。

NSS 权限到 NTFS 权限。请注意,目录权限与文件权限不同,即使它们使用相同的 ACL 位。转换是 icacls 选项。例如...

icacls Directory /grant NW-IT-Guys:(rx)

授予“NW-IT-Guys”组对该目录的读取/执行权限,不具有继承。

icacls Directory /grant NW-IT-Guys:(oi)(ci)(rx)

执行相同操作,但他们也能够读取在该点以下创建的文件(oi)和目录(ci)。

  • R-(下面的“F”表示 Windows 不允许在没有文件扫描的情况下读取)(接收)
  • 西- (wd) 仅适用于文件。将其放在目录中意味着C在 NSS 上。
  • - (d)表示文件,(dc)表示目录,如果您希望具有该权限的用户能够删除目录中的文件
  • - (ad) 适用于文件。授予目录时,允许创建子目录。
  • C- (wd) 仅适用于目录。将其放在文件上意味着西在 NSS 上。
  • F- (rd) 仅适用于目录。文件没有等效项。如果您使用基于访问的枚举,则无法“查看文件但不能读取它们”。
  • A- 没有把握
  • 年代- (F),但与 NetWare 不同的是,这可以被阻止。

此表适用于您未授予目录 [rwemcf](又称读/写)或 [rf] 权限(又称读)的情况。对于这些简单情况,请使用 (rx) 表示读取,使用 (m) 表示读/写快捷方式。对于需要能够更改权限的用户,可以使用 (f) 表示更改权限的快捷方式。对于特殊目录(例如投递箱或只写目录),上述内容可能有助于解决问题。

使用 icacls 分配权限的一些示例:

创建具有修改权限的不可删除/可移动目录

icacls AcctReports /grant NW-Acct-Techs:(io)(oi)(ci)(m)
icacls AcctReports /grant NW-Acct-Techs:(rx)

(io) means 'inherit only', or only applies to child objects.

创建标准 NSS 样式的读/写目录

icacls AcctReports /grant NW-Acct-Techs:(oi)(ci)(m)

创建标准只读目录

icacls AcctReports /grant NW-Acct-Auditors:(oi)(ci)(rx)

创建一个目录,其中包含最终用户附加的日志文件。可能是应用程序安装日志或类似文件

icacls AppLogs /grant Everyone:(rx)
icacls AppLogs\FirefoxInstall.Log /grant Everyone:(rx,ad)

如果您像我见过的几乎所有 NetWare 安装一样,您的卷根目录上只有很少的权限,并且您授予了顶级目录及以下目录的权限。这与 Windows 的兼容性不是很好,但有办法让它工作。我假设您使用“基于访问的枚举”,因为 NetWare 一直都是这样做的,而且您不想让用户对实际存在的目录数量感到震惊。

  • “每个人”都需要对共享的顶级目录的“仅此文件夹”拥有 (rx) 权限。否则,映射将失败。
  • 对于用户必须遍历多个目录才能找到他们有权限的目录的情况,NTFS 不会允许您向下浏览。您可以使用“(rx) 仅到此文件夹”技巧来伪造它,该技巧用于从共享根目录到目录的每个目录上的访问实体。是的,这很糟糕。但它有效。
  • 直接访问将起作用。即使“\\server\share\dir1\”失败,映射到“\\server\share\dir1\dir2\dir3\”也将起作用。您需要确定教育用户这一点是否比上一点更容易。

我甚至还没有比较过 ShadowCopies 和 Salvage。

答案2

据我所知,只有 OES Linux 和 OES NetWare 可以安装 NSS 卷。

如果问题是灾难恢复问题,无法运行 NetWare,则应首先尝试 OES Linux 策略。如果这是迁移,我们切换的方式是将数据复制到新服务器并重新分配权限,然后随着时间的推移修复错误。

相关内容