DFSレプリケーションとSYSTEMユーザー（NTFSアクセス許可）

10

GoogleまたはTechnetで回答を見つけるのに問題がある質問...

SYSTEMユーザーにDFS共有のファイルとフォルダーへのアクセス許可を付与すると、DFSレプリケーションに影響がありますか？（そして、私たちがそれをしている間に、DFS共有ファイルへのアクセス許可を与えないようにする十分な理由はありSYSTEMますか？）

私は他の人の問題を発生させることができないDFS名前空間とフォルダーのコレクションを持っているのでそれが出てきました、そして1つのDFSレプリカが識別可能な理由なしに別のDFSレプリカで複製されなかった問題のトラブルシューティング中に、私はそれを観察しましたSYSTEMアカウントには、問題のフォルダー内のファイルまたはフォルダーに付与されたアクセス許可がありませんでした。

だから私SYSTEMは完全に制御するように設定し、それを伝達しました、そして私たちのDFSヘルス診断レポートは〜80ファイルのバックログを示してから〜100,000のバックログに行きました...そして失われていた多くのファイルを含むものは複製を始めました1つのサーバーまたは他のサーバー（アクセス許可の変更だけで複製が開始されたわけではありません）。

当然のことながら、これにより、DFSがSYSTEMその作業を実行するためのアクセス許可を持つアカウントが必要かどうか、または問題のフォルダーツリーへの変更だけがDFSの動作を促す原因になったかどうかについて知りました。問題が発生した場合、DFS名前空間は2000/2003の下に設定され、最近すべてのサーバーを2008 R2または2012（UACが有効な状態でブリーチ）にアップグレードしましたが、DFS名前空間を機能させることはまだできていませんServer 2008へのレベル。

（そしてSYSTEM、DFSまたはネットワークファイルに関連するNTFSファイルのアクセス許可とアカウントに関するマイクロソフトの公式記事を誰かが持っている場合のボーナスポイント。）

file-permissions dfs

— 絶望的な
ソース

サーバーをアップグレードしたときに、FRSからDFSへの移行ガイドに従っていましたか？microsoft.com/en-us/download/confirmation.aspx?id=580

— Rex

@Rex私はFRSを実行しなかった-> DFSの移行であり、ガイド、ベストプラクティスの常識、または合理的な考え方がおそらく守られなかったと推測して危険を冒すだろうが、DFSを使用している（ FRS）かなり長い間。それがあまりうまく機能しない理由は、それが最初にセットアップされた方法と、それが移行された方法のためであることに、私はほとんど疑いません。問題のアップグレードは、名前空間バージョンのアップグレードであり、FRS-> DFSアップグレードではありませんでした。省略された単語を修正します。

— HopelessN00b 2013

2000/2003のDFSで何らかのレプリケーションを行っている場合は、FRSを使用してレプリケーションを実行する必要がありました。DFSレプリケーション用のDFS-Rは、2003 R2まで利用できませんでした。すべてのサーバーを2003 R2以降にアップグレードしてDFS-Rに移行しない限り、2008 R2上のDFSはレプリケーション用のFRSをサポートしなくなり、2008 R2サーバーは古い2003ベースのDFS名前空間でレプリケートできませんでした。

— レックス

9

technetのこのスレッドは、SYSTEMが完全な制御を必要とすることを示しています。しかし、あまり公式な情報源ではなく、さらにテストを行った結果、誤りであることが判明しました。

DFSレプリケーションサービス

Server 2008R2マシンのDFSサービスをProcess Explorerで確認しました。分散ファイルシステムレプリケーションサービスであるdfsrs.exeは、「NT Authority \ SYSTEM」として実行されます。ただし、SeBackupPrivilegeおよびSeRestorePrivilegeがあります。

dfsrs.exe権限のスクリーンショット

Microsoft Privilege Constantsから：

SeBackupPrivilege-バックアップ操作を実行するために必要です。この権限により、システムは、ファイルに指定されたアクセス制御リスト（ACL）に関係なく、すべてのファイルへのすべての読み取りアクセス制御を許可します。読み取り以外のアクセス要求は、引き続きACLで評価されます。３

SeRestorePrivilege-復元操作を実行するために必要です。この特権により、システムは、ファイルに指定されたACLに関係なく、すべてのファイルへのすべての書き込みアクセス制御を許可します。書き込み以外のアクセス要求は、引き続きACLで評価されます。さらに、この権限により、有効なユーザーまたはグループのSIDをファイルの所有者として設定できます。

これらのアクセス許可を使用すると、DFSレプリケーションサービスはファイルのアクセス許可をすべて無視できます。必要なファイルに対する読み取り、書き込み、および設定のアクセス許可が与えられます。

テスト中

いくつかのファイルを含むDFS共有の1つにフォルダーを作成し、自分のアカウントを所有者として設定し、自分のアカウント以外のすべてのアクセス許可を削除しました。

DFSはそれを他のすべてのサーバーに問題なく複製し、すべてのレプリカに同じアクセス許可がありました。

したがって、DFSは複製するファイルシステムのアクセス許可に依存しません。

あなたの場合、単にファイルに変更を加えるだけでDFSが起動し、複製が必要であることがわかりました。そもそも何がそのような状況を引き起こしていたのかはわかりません。

— 付与
ソース

1

卓越した答え。チェックマークと賞金を5日以内に差し上げます。誰かが来てこれを乗り越えられる可能性があります。

— HopelessN00b 2013

2

ダンギット、私は自分の投稿に画像を使用するべきでした！:(

3

Microsoftのこの記事によると、http：//support.microsoft.com/kb/120929 「システムアカウントと管理者アカウント（Administratorsグループ）は同じファイル権限を持っていますが、機能が異なります。」

つまり、システムアカウントはローカル管理者と同じであり、パスワードを要求せずに管理者の権限でシステムサービスを実行するために存在します。DFS-Rの複製プロセスは、このアカウントで実行されます。

システムユーザーは、ファイルシステムや、通常の管理者とは異なるDFSセットアップでは特別な意味を持ちません。ただし、Windows管理者はプログラムまたはシェルの呼び出し方法によっては常に管理者権限で動作しているわけではないため、混乱する可能性があります。一方、システムアカウントは常にエスカレートされた/管理者トークンで動作する可能性があります。私はあなたのDFSセットアップにバグがあり、ACLを変更するとシステムコールが発生したり、ファイルハンドルが開いたり更新されたりして、ことわざのクモの巣が動かなくなったと思います。