Como qualquer pessoa que tenha lidado com permissões de servidor de arquivos está ciente, o NTFS possui um recurso / falha de design interessante, conhecido como problema de Mover / Copiar.
Conforme explicado neste artigo do MS KB , as permissões para uma pasta ou arquivo não são herdadas automaticamente do pai, se a pasta for movida e a origem e o destino estiverem no mesmo volume NTFS. As permissões são herdadas se a pasta for copiada ou se a origem e o destino estiverem em volumes diferentes.
Aqui está um exemplo rápido:
Você tem duas pastas compartilhadas no mesmo volume NTFS chamado "Técnicos" e "Gerenciadores". O grupo Técnicos tem acesso RW à pasta Técnicos e o grupo Gerentes tem acesso RW à pasta "Gerenciadores". Se alguém tiver acesso a ambos e mover uma subpasta da pasta "Gerenciadores" para a pasta "Técnicos", a pasta movida ainda estará acessível apenas aos usuários do grupo "Gerenciadores". O grupo "Técnicos" não pode acessar a subpasta, mesmo que ela esteja na pasta "Técnicos" e deva estar herdando permissões da parte superior.
Como você pode imaginar, isso causa chamadas de suporte, tíquetes e ciclos desperdiçados na resolução desses problemas do usuário final, sem mencionar o ninho de permissões de ratos que você pode obter se os usuários frequentemente moverem pastas entre diferentes pastas / áreas protegidas no mesmo volume.
As perguntas são:
Qual é a melhor maneira de solucionar essa falha de design do NTFS e como você está lidando com isso em seu ambiente?
Eu sei que o artigo vinculado da KB fala sobre algumas chaves do Registro para alterar o comportamento padrão do Windows Explorer, mas elas são do lado do cliente e exigem que os usuários tenham a capacidade de alterar as permissões que eu pensaria na maioria dos ambientes, se você não deseja manter o controle sobre as permissões do servidor de arquivos (e sua sanidade como administrador de sistemas).
fonte
Respostas:
Minha abordagem é não usar permissões de arquivo no nível de arquivo / diretório; use permissões no nível de compartilhamento de arquivos e defina a unidade de dados do sistema de arquivos do servidor inteiro como Everyone Full Control (que se torna discutível).
Ao longo dos anos (10+), eu descobri que as permissões NTFS são mais complexas e levam a mais erros. Se as permissões estiverem incorretas ou a herança for quebrada, você expõe os dados e é difícil encontrá-los e vê-los. Além disso, você está exposto ao problema de movimentação / cópia, como diz.
Locais onde você deve usar as ACLs no nível de diretório / arquivo; Não conheço outra solução senão verificar a saúde regularmente.
fonte
Bem, não é realmente uma falha. Esta regra para lidar com permissões ao mover arquivos existe desde pelo menos a versão beta 2 do NT3.1 (embora obviamente não seja uma herança, pois ela foi adicionada apenas no Windows 2000). É tão conhecido quanto qualquer recurso do Windows. Eu tenho muita simpatia por sua opinião, pois podem ser poucos de nós que não foram queimados por isso em um estágio. Mas é algo que o administrador do sistema aprende rapidamente.
JR
fonte
Estamos usando o NTFS desde o NT 3.51 e, embora tenhamos visto esse "problema" (como quase todo mundo), não nos causou muitos problemas:
fonte
Soluções alternativas que posso pensar:
Isenção de responsabilidade - venho de um plano de fundo unix (e implementei o último para corrigir falhas de permissões diferentes - parece nojento, mas faz o trabalho), portanto pode haver uma correção muito melhor.
fonte
Ao mudar como administrador, uso xcopy / s / e / c / h / r / k / y - tudo além da propriedade do arquivo e da ACL, o que significa que a herança da ACL entra em ação automaticamente. Nunca realmente tive que lidar com uma situação em que um usuário coisas movidas embora.
fonte
Eu uso a diretiva de grupo / diretivas de segurança / sistema de arquivos para acompanhar permissões complicadas. (NUNCA use a opção "substituir permissões" na política).
Programe um CACLS para redefinir toda a permissão durante a noite, seguido de um gpupdate / force para reaplicar a permissão da política. Funciona como um encanto.
fonte
Desde o Windows 7 (ou talvez o Windows Vista), as permissões para uma pasta ou arquivo herdam do pai, se a pasta for movida e a origem e o destino estiverem no mesmo volume NTFS - se um arquivo ou pasta estiver sendo copiado pelo Explorer. Em um sistema operacional anterior, você pode usar o Far manager - ele permite habilitar a herança de permissões do destino (junto com vários outros recursos). Embora Far possa parecer pouco amigável para um usuário geral.
fonte
Uma solução muito simples é apenas compactar os arquivos e descompactá-los no diretório de destino.
fonte