Como solucionar a falha de design de Mover / Copiar NTFS?

Como qualquer pessoa que tenha lidado com permissões de servidor de arquivos está ciente, o NTFS possui um recurso / falha de design interessante, conhecido como problema de Mover / Copiar.

Conforme explicado neste artigo do MS KB , as permissões para uma pasta ou arquivo não são herdadas automaticamente do pai, se a pasta for movida e a origem e o destino estiverem no mesmo volume NTFS. As permissões são herdadas se a pasta for copiada ou se a origem e o destino estiverem em volumes diferentes.

Aqui está um exemplo rápido:

Você tem duas pastas compartilhadas no mesmo volume NTFS chamado "Técnicos" e "Gerenciadores". O grupo Técnicos tem acesso RW à pasta Técnicos e o grupo Gerentes tem acesso RW à pasta "Gerenciadores". Se alguém tiver acesso a ambos e mover uma subpasta da pasta "Gerenciadores" para a pasta "Técnicos", a pasta movida ainda estará acessível apenas aos usuários do grupo "Gerenciadores". O grupo "Técnicos" não pode acessar a subpasta, mesmo que ela esteja na pasta "Técnicos" e deva estar herdando permissões da parte superior.

Como você pode imaginar, isso causa chamadas de suporte, tíquetes e ciclos desperdiçados na resolução desses problemas do usuário final, sem mencionar o ninho de permissões de ratos que você pode obter se os usuários frequentemente moverem pastas entre diferentes pastas / áreas protegidas no mesmo volume.

As perguntas são:

Qual é a melhor maneira de solucionar essa falha de design do NTFS e como você está lidando com isso em seu ambiente?

Eu sei que o artigo vinculado da KB fala sobre algumas chaves do Registro para alterar o comportamento padrão do Windows Explorer, mas elas são do lado do cliente e exigem que os usuários tenham a capacidade de alterar as permissões que eu pensaria na maioria dos ambientes, se você não deseja manter o controle sobre as permissões do servidor de arquivos (e sua sanidade como administrador de sistemas).

Minha abordagem é não usar permissões de arquivo no nível de arquivo / diretório; use permissões no nível de compartilhamento de arquivos e defina a unidade de dados do sistema de arquivos do servidor inteiro como Everyone Full Control (que se torna discutível).

Ao longo dos anos (10+), eu descobri que as permissões NTFS são mais complexas e levam a mais erros. Se as permissões estiverem incorretas ou a herança for quebrada, você expõe os dados e é difícil encontrá-los e vê-los. Além disso, você está exposto ao problema de movimentação / cópia, como diz.

Locais onde você deve usar as ACLs no nível de diretório / arquivo; Não conheço outra solução senão verificar a saúde regularmente.

Bem, não é realmente uma falha. Esta regra para lidar com permissões ao mover arquivos existe desde pelo menos a versão beta 2 do NT3.1 (embora obviamente não seja uma herança, pois ela foi adicionada apenas no Windows 2000). É tão conhecido quanto qualquer recurso do Windows. Eu tenho muita simpatia por sua opinião, pois podem ser poucos de nós que não foram queimados por isso em um estágio. Mas é algo que o administrador do sistema aprende rapidamente.

JR

Estamos usando o NTFS desde o NT 3.51 e, embora tenhamos visto esse "problema" (como quase todo mundo), não nos causou muitos problemas:

• Sempre instruímos as pessoas a copiar arquivos, caso precisem movê-las de um diretório compartilhado para outro. "Mantenha pressionada a tecla CTRL ao arrastar e verifique se o pequeno + está aparecendo" é uma frase comum.
• Nossas pastas compartilhadas têm uma estrutura bastante simples, e as pastas compartilhadas que criamos não passam entre grupos com muita frequência; portanto, é mais provável que as pessoas queiram copiar arquivos em primeiro lugar.
• Vemos o problema principalmente em nosso espaço "comum" - pastas nas quais todos podem ler / gravar, mas esses diretórios são de curta duração, portanto o problema desaparece quando são eliminados.

Soluções alternativas que posso pensar:

• encontre uma maneira de tornar as pastas com permissões diferentes em volumes NTFS diferentes
• Faça uma tarefa agendada (uma vez por hora ou uma vez por dia, dependendo da frequência das solicitações de suporte) que percorre as pastas e redefine todas as permissões para que sejam iguais às do nível superior. Isso é menos que o ideal, mais ainda se as pastas tiverem muitos arquivos, mas é algo que manteria o problema corrigido se não houvesse uma boa solução, como uma correção de registro no servidor. O comando que você deseja observar é chamado de 'cacls', que você pode adicionar a um arquivo em lotes.

Isenção de responsabilidade - venho de um plano de fundo unix (e implementei o último para corrigir falhas de permissões diferentes - parece nojento, mas faz o trabalho), portanto pode haver uma correção muito melhor.

Ao mudar como administrador, uso xcopy / s / e / c / h / r / k / y - tudo além da propriedade do arquivo e da ACL, o que significa que a herança da ACL entra em ação automaticamente. Nunca realmente tive que lidar com uma situação em que um usuário coisas movidas embora.

Eu uso a diretiva de grupo / diretivas de segurança / sistema de arquivos para acompanhar permissões complicadas. (NUNCA use a opção "substituir permissões" na política).

Programe um CACLS para redefinir toda a permissão durante a noite, seguido de um gpupdate / force para reaplicar a permissão da política. Funciona como um encanto.

Desde o Windows 7 (ou talvez o Windows Vista), as permissões para uma pasta ou arquivo herdam do pai, se a pasta for movida e a origem e o destino estiverem no mesmo volume NTFS - se um arquivo ou pasta estiver sendo copiado pelo Explorer. Em um sistema operacional anterior, você pode usar o Far manager - ele permite habilitar a herança de permissões do destino (junto com vários outros recursos). Embora Far possa parecer pouco amigável para um usuário geral.

Uma solução muito simples é apenas compactar os arquivos e descompactá-los no diretório de destino.