Bagaimana cara mengatasinya dengan cacat desain Pindahkan / Salin NTFS?

Sebagaimana diketahui oleh siapa pun yang mengetahui izin server file, NTFS memiliki fitur / cacat desain menarik yang dikenal sebagai masalah Pindahkan / Salin.

Sebagaimana dijelaskan dalam artikel MS KB ini , izin untuk folder atau file tidak secara otomatis mewarisi dari induk jika folder dipindahkan dan sumber dan tujuan berada pada volume NTFS yang sama. Izin diwarisi jika folder disalin atau jika sumber dan tujuan berada pada volume yang berbeda.

Ini adalah contoh cepat:

Anda memiliki dua folder bersama pada volume NTFS yang sama yang disebut "Teknisi" dan "Manajer". Grup Teknisi memiliki akses RW ke folder Teknisi dan grup Manajer memiliki akses RW ke folder "Manajer". Jika seseorang memiliki akses ke keduanya dan mereka memindahkan subfolder dari folder "Manajer" ke folder "Teknisi", folder yang dipindahkan masih hanya dapat diakses oleh pengguna di grup "Manajer". Grup "Teknisi" tidak dapat mengakses subfolder meskipun berada di bawah folder "Teknisi" dan harus mewarisi izin dari atas.

Seperti yang dapat Anda bayangkan, ini menyebabkan panggilan dukungan, tiket, dan siklus yang terbuang untuk menyelesaikan masalah pengguna akhir ini, belum lagi sarang tikus izin yang dapat Anda dapatkan jika pengguna sering memindahkan folder di antara folder / area aman yang berbeda di volume yang sama.

Pertanyaannya adalah:

Apa cara terbaik untuk mengatasi cacat desain NTFS ini dan bagaimana Anda menanganinya di lingkungan Anda?

Saya tahu artikel KB yang ditautkan berbicara tentang beberapa kunci registri untuk mengubah perilaku default Windows Explorer tetapi mereka adalah sisi klien dan mengharuskan pengguna untuk memiliki kemampuan untuk mengubah izin yang saya pikir di sebagian besar lingkungan adalah non-starter jika Anda ingin tetap mengontrol izin server file Anda (dan kewarasan Anda sebagai sysadmin).

Pendekatan saya adalah tidak menggunakan izin file tingkat direktori / file; menggunakan izin tingkat berbagi file, dan mengatur seluruh drive data sistem file server untuk Semua Orang Kontrol Penuh (yang menjadi diperdebatkan).

Selama bertahun-tahun (10+), saya telah menemukan bahwa izin NTFS lebih kompleks dan mengarah ke lebih banyak kesalahan. Jika izin ditetapkan salah, atau warisan rusak, Anda mengekspos data dan sulit untuk menemukan dan melihatnya. Plus, Anda terkena masalah pindah / salin seperti yang Anda katakan.

Tempat di mana Anda harus menggunakan tingkat direktori / file ACL; Saya tahu tidak ada solusi lain selain pemeriksaan kesehatan secara teratur.

Yah itu tidak benar-benar cacat. Aturan ini untuk menangani izin ketika memindahkan file telah ada sejak setidaknya beta 2 dari NT3.1 (meskipun jelas bukan warisan karena itu hanya ditambahkan dengan Windows 2000). Ini hampir sama terkenalnya dengan semua fitur Windows. Saya memiliki banyak simpati untuk pandangan Anda, karena mungkin ada beberapa dari kita yang belum terbakar oleh ini pada satu tahap. Tapi itu sesuatu yang sysadmin cepat pelajari.

JR

Kami telah menggunakan NTFS sejak NT 3.51 dan meskipun kami telah melihat "masalah" ini (seperti halnya hampir semua orang), ia tidak menyebabkan banyak masalah bagi kami:

• Kami selalu memberi tahu orang-orang untuk menyalin file jika mereka perlu memindahkannya dari satu direktori bersama ke yang lain. "Tekan dan tahan tombol CTRL saat menyeret dan pastikan tanda + kecil ditampilkan," adalah frasa yang umum.
• Folder bersama kami memiliki struktur yang cukup sederhana, dan folder bersama yang kami buat tidak terlalu sering lintas grup, sehingga orang lebih cenderung ingin menyalin file di tempat pertama.
• Kami melihat masalah sebagian besar di ruang "umum" - folder tempat semua orang dapat membaca / menulis, tetapi direktori tersebut sebagian besar berumur pendek sehingga masalahnya hilang ketika dihapus.

Solusi yang dapat saya pikirkan:

• temukan beberapa cara untuk membuat folder dengan izin berbeda pada volume NTFS yang berbeda
• Buat tugas terjadwal (sekali jam atau sekali sehari tergantung pada frekuensi permintaan dukungan) yang berjalan melalui folder dan mengatur ulang semua izin untuk menjadi sama dengan yang dari tingkat atas. Ini kurang dari ideal, apalagi jika folder memiliki banyak file di dalamnya, tetapi adalah sesuatu yang akan menjaga masalah tetap ada jika tidak ada solusi yang baik seperti memperbaiki registri sisi server. Perintah yang ingin Anda lihat disebut 'cacls' yang kemudian dapat Anda tambahkan ke file batch.

Penafian - Saya berasal dari latar belakang unix (dan telah menerapkan yang terakhir untuk memperbaiki cacat izin yang berbeda - rasanya menjijikkan, tetapi melakukan pekerjaan), jadi mungkin ada perbaikan yang jauh lebih baik.

Ketika pindah sebagai admin saya menggunakan xcopy / s / e / c / h / r / k / y - semuanya selain dari kepemilikan file dan ACL, yang berarti bahwa warisan ACL otomatis masuk. Tidak pernah benar-benar harus berurusan dengan situasi di mana pengguna memindahkan barang.

Saya menggunakan kebijakan grup / kebijakan keamanan / sistem file untuk melacak izin yang rumit. (JANGAN PERNAH menggunakan "ganti izin" dalam kebijakan).

Jadwalkan CACLS untuk mengatur ulang semua izin pada malam hari diikuti oleh gpupdate / force untuk menerapkan kembali izin dari kebijakan. Bekerja seperti pesona.

Sejak Windows 7 (atau mungkin Windows Vista), izin untuk folder atau file DO mewarisi dari orangtua jika folder dipindahkan dan sumber dan tujuan berada pada volume NTFS yang sama - jika file atau folder sedang disalin melalui Explorer. Dalam OS sebelumnya, Anda dapat menggunakan Far manager - memungkinkan untuk memungkinkan izin warisan dari tujuan (bersama dengan banyak fitur lainnya). Meskipun Far mungkin tampak tidak ramah untuk pengguna umum.

Solusi yang sangat sederhana adalah dengan hanya zip file dan membuka kompresi ke direktori tujuan.