Augljóslega er karma mitt þetta: að innleiða staðlað verkefni á alls kyns ekki léttvægan hátt. Ef einhver hefur aðra sýn á vandamálið, vinsamlegast ræddu það svo hægt sé að leysa málið.
Einn góðan veðurdag kom upp áhugavert verkefni að dreifa réttindum til notendahópa fyrir mismunandi deilingar sem innihalda undirmöppur verkefna með skjalamöppum. Allt var í lagi og skrifað var handrit til að úthluta rétti á möppurnar. Og svo kom í ljós að hóparnir ættu að innihalda notendur frá mismunandi lénum, frá mismunandi skógum (). Segjum að hlutdeildin sjálf sé staðsett á Synology miðlum, skráð á FB léni PSI skógarins. Verkefni: að leyfa notendum léna í öðrum skógi að hafa aðgang að innihaldi þessa deilingar, og mjög sértækt.
Eftir nokkurn tíma tóku tækniforskriftirnar eftirfarandi form:
- 2 skógar: PSI skógur, TG skógur.
- Hver skógur hefur 3 lén: PSI (ZG, PSI, FB); TG (TG, HU, KC).
- Það er traust samband á milli skóga; Synology sér alla öryggishópa í öllum skógum.
- Hlutabréf og möppur/undirmöppur verða að hafa FB lénsstjórareikninga með FullControl réttindi
- Nöfn möppanna ættu að vera kerfisbundin. Stjórnendur samræmdu verkefnakennin; ég ákvað að tengja nafn öryggishópanna við verkefnakennin.
- Verkefnamöppur í kerfishlutdeild verða að innihalda skipulag sem er útbúið fyrirfram í .xlsx skrá, með viðeigandi aðgangsheimildum (R/RW/NA, þar sem NA – enginn aðgangur)
- Það ætti að vera hægt að takmarka réttindi notenda/hópsmeðlima eins verkefnis við ákveðnar möppur þess verkefnis. Notandinn hefur hugsanlega ekki aðgang að öðrum möppum/verkefnum, allt eftir hópaðild.
- Þegar verkefnamöppu er búið til ætti að búa til hópa eins sjálfvirkt og hægt er á viðeigandi lénum með nöfnum sem samsvara verkefnaauðkennum.
Athugasemdir við tækniforskriftir
- Að setja upp traustsambönd er ekki innifalið í tækniforskriftunum
- Verkefnakenni inniheldur tölur og latneska stafi
- Verkefnanotendahlutverk fyrir öll lén hafa staðlað nöfn
- .xlsx skrá með möppum og aðgangsréttindum (aðgangsfylki) er útbúin áður en allt verkefnið hefst
- Við útfærslu verkefna er hægt að búa til notendahópa á samsvarandi lénum
- Sjálfvirkni er náð með því að nota staðlað MS Windows stjórnunarverkfæri
Innleiðing tækniforskrifta
Eftir að þessar kröfur hafa verið formfestar var tekið taktískt hlé til að prófa aðferðir til að búa til möppur og úthluta þeim réttindum. Það var ætlað að nota aðeins PowerShell, til að flækja ekki verkefnið. Eins og ég skrifaði áðan virtist skriftaralgrímið frekar einfalt:
- við skráum hópa með nafni sem er dregið af auðkenni verkefnisins (til dæmis KC40587) og samsvarandi hlutverkum sem tilgreind eru í aðgangsfylki: KC40587-EN- fyrir verkfræðing; KC40587-PM – fyrir vörustjóra o.fl.
- við fáum SID fyrir stofnuðu hópana
- skrá verkefnamöppuna og samsvarandi safn af möppum (listinn yfir undirmöppur fer eftir hlutdeild sem hún er búin til og skilgreind í aðgangsfylki)
- úthluta rétti til hópa fyrir nýjar undirskrár verkefnisins í samræmi við aðgangsfylki.
Erfiðleikar sem komu upp á stigi 1:
- misskilningur á aðferðinni við að tilgreina aðgangsfylki í forskriftinni (fjölvíddarfylki er nú útfært, en leitað er leiðar að því að fylla það út frá innihaldi .xlsx skráar/aðgangsfylkis)
- ómögulegt að stilla aðgangsrétt í SMB hlutdeildum á samstillingardrifum með PoSH (https://social.technet.microsoft.com/Forums/en-US/3f1a949f-0919-46f1-9e10-89256cf07e65/error-using-setacl-on- nas -share?forum=winserverpowershell), þar af leiðandi tapaðist mikill tími og allt þurfti að laga að forskriftum með því að nota icacls aðgangsrétta klippiforritið, sem krafðist þess að búa til milligeymsla fyrir texta og cmd skrár.
Í núverandi ham er framkvæmd cmd skráa stjórnað handvirkt, allt eftir þörfinni á að skrá möppu fyrir verkefnið.
Það kom líka í ljós að handritið ætti líka að vera keyrt til að skrá hópa í öðrum skógum (hugtakið Cross-domains var notað), og getur hlutfallið ekki aðeins verið 1 á móti einum, heldur einnig 1 á móti mörgum.
Þetta þýðir að hópar frá öðrum þverlénum, þar á meðal nærliggjandi skógi, geta nú krafist aðgangs að auðlindum hvaða léna sem er. Til að ná einsleitni var ákveðið að búa til samhverfa uppbyggingu í OU allra þjónuðu lénum allra skóga (svartar lóðréttar sporöskjulaga). Eins og þeir segja, í hernum ætti allt að vera ljótt, en einsleitt:
Þannig, þegar verkefni 80XXX er skráð á TG lénið, keyrir handritið:
1. stofnun samsvarandi OU (rauðra lárétta sporöskjulaga) á þessu léni og þvert á lén, það er þeim lénum sem starfsmenn verða að hafa aðgang að þessari auðlind.
2. að fylla út OE með hópum með nöfnum eins og -, þar sem:
- SRC_ domain – yfir lén þar sem starfsmenn munu hafa aðgang að DST lénsauðlindum
- DST_domain – lénið sem í rauninni ætti að veita aðgang að auðlindum, það er að segja vegna þess að allt var byrjað
- — verkefnisnúmer
- Hlutverk – nöfn hlutverkanna sem eru skráð í aðgangsfylki.
3. að lesa fjölda SID allra hópa allra hlutaðeigandi léna og vista það fyrir síðari gagnaflutning í skrá sem skilgreinir réttindi tiltekinnar verkefna undirmöppu
4. kynslóð frumskráa (færibreyta /endurheimta) með safni réttinda til notkunar fyrir icacKC tólið í keyranlegum skráarham "icacKC "as-nasNNKCProjects" /restore C:TempKCKC40XXKC40XX.txt"
5. búa til CMD skrá sem sameinar allar ræstar icacls fyrir allar verkefnamöppur
Eins og skrifað var áðan er keyrsla á keyrsluskránni gerð handvirkt og mat á framkvæmdarniðurstöðum er einnig gert handvirkt.
Erfiðleikar sem við þurftum að takast á við á endanum:
- ef verkefnamöppan er þegar fyllt með miklum fjölda skráa, þá getur keyrsla icacls skipunarinnar á núverandi bindi tekið töluverðan tíma og í sumum tilfellum leitt til bilunar (til dæmis þegar það eru langar skráarleiðir);
- til viðbótar við /restore færibreytuna þurftum við að bæta við línum með /reset færibreytunni ef möppurnar voru ekki búnar til, heldur voru fluttar úr áður núverandi möppum, með erfðarétt frá rótinni óvirkan;
- Hluta af handritinu til að búa til hópa þurfti að keyra á handahófskenndum dc í hverjum skógi, vandamálið varðar stjórnsýslureikninga fyrir hvert tré.
Almenn niðurstaða: það er mjög undarlegt að það eru engin tól með svipaða virkni á markaðnum ennþá. Það virðist vera hægt að innleiða svipaða virkni byggt á Sharepoint gáttinni.
Það er líka óskiljanlegt að það sé ekki hægt að nota PoSH tól til að stilla möppuréttindi á sinology tækjum.
Ef þess er óskað er ég tilbúinn að deila handritinu með því að búa til verkefni á github ef einhver hefur áhuga.
Heimild: www.habr.com