ProHoster > Блог > Захиргаа > Төрөл бүрийн ойн домайн хэрэглэгчдэд томоохон хэмжээний эрх олгох

Төрөл бүрийн ойн домайн хэрэглэгчдэд томоохон хэмжээний эрх олгох

Миний үйлийн үр бол стандарт даалгаврыг бүх төрлийн энгийн бус аргаар хэрэгжүүлэх явдал юм. Хэрэв хэн нэгэн асуудлын талаар өөр үзэл бодолтой байгаа бол асуудлыг шийдэхийн тулд ярилцана уу.

Нэгэн сайхан өглөө, нэгэн сонирхолтой ажил гарч, хэрэглэгчдийн бүлэгт баримт бичгийн хавтас бүхий төслийн дэд хавтас агуулсан өөр өөр хувьцааны эрхийг хуваарилах болов. Бүх зүйл сайхан байсан бөгөөд хавтаснуудад эрх олгох скрипт бичсэн. Дараа нь бүлгүүд нь өөр өөр домэйн, өөр өөр ойн хэрэглэгчдийг агуулсан байх ёстой нь тодорхой болсон (Энэ нь юу болохыг мартсан хүмүүст зориулав). Хувьцаа нь PSI ойн FB домэйнд бүртгэлтэй Synology медиа дээр байрладаг гэж бодъё. Даалгавар: өөр ойд байгаа домэйн хэрэглэгчдэд энэ хувьцааны агуулгад маш сонгомол хандахыг зөвшөөрөх.

Хэсэг хугацааны дараа техникийн үзүүлэлтүүд дараах хэлбэртэй болсон.

  • 2 ой: PSI ой, TG ой.

    Төрөл бүрийн ойн домайн хэрэглэгчдэд томоохон хэмжээний эрх олгох

  • Ой бүр 3 домэйнтэй: PSI (ZG, PSI, FB); TG (TG, HU, KC).
  • Ойн хооронд итгэлцлийн харилцаа байдаг; Synology нь бүх ойд аюулгүй байдлын бүх бүлгийг хардаг.
  • Хувьцаа болон хавтас/дэд хавтас нь FullControl эрхтэй FB домайн администраторын бүртгэлтэй байх ёстой
  • Хавтасны нэрийг системчилсэн байх ёстой. Удирдлага нь төслийн ID-г зохицуулсан; Би Аюулгүй байдлын бүлгүүдийн нэрийг төслийн ID-тай холбохоор шийдсэн.
  • Системийн хуваалцсан төслийн хавтаснууд нь зохих хандалтын эрхтэй (R/RW/NA, NA – хандалт байхгүй) .xlsx файлд урьдчилан бэлтгэсэн бүтцийг агуулсан байх ёстой.

    Төрөл бүрийн ойн домайн хэрэглэгчдэд томоохон хэмжээний эрх олгох

  • Нэг төслийн хэрэглэгчид/бүлгийн гишүүдийн эрхийг зөвхөн тухайн төслийн тодорхой лавлахуудад хязгаарлах боломжтой байх ёстой. Хэрэглэгч бүлгийн гишүүнчлэлээс хамааран бусад лавлах/төсөлд хандах эрхгүй байж болно.
  • Төслийн хавтас үүсгэх үед бүлгүүдийг аль болох автоматаар тохирох домайнуудад төслийн ID-д тохирох нэрээр үүсгэнэ.

Техникийн үзүүлэлтүүдийн тэмдэглэл

  • Итгэлцлийн харилцааг бий болгох нь техникийн тодорхойлолтод ороогүй болно
  • Төслийн ID нь тоо болон латин тэмдэгтүүдийг агуулна
  • Бүх домэйны төслийн хэрэглэгчийн үүрэг стандарт нэртэй байдаг
  • Фолдерууд болон хандалтын эрх бүхий .xlsx файлыг (хандах матриц) төслийг бүхэлд нь эхлүүлэхийн өмнө бэлтгэдэг.
  • Төсөл хэрэгжүүлэхдээ холбогдох домайнуудад хэрэглэгчийн бүлгүүдийг үүсгэх боломжтой
  • Автоматжуулалтыг стандарт MS Windows удирдлагын хэрэгслийг ашиглан хийдэг

Техникийн тодорхойлолтыг хэрэгжүүлэх

Эдгээр шаардлагыг албан ёсоор болгосны дараа лавлах үүсгэх, тэдэнд эрх олгох аргуудыг туршихын тулд тактикийн түр зогсолт хийсэн. Энэ нь төслийг хүндрүүлэхгүйн тулд зөвхөн PowerShell-ийг ашиглах зорилготой байсан. Би өмнө нь бичсэнчлэн скриптийн алгоритм нь маш энгийн мэт санагдсан:

  • бид бүлгүүдийг төслийн ID (жишээ нь KC40587) болон хандалтын матрицад заасан харгалзах үүрэг бүхий нэрээр бүртгэдэг: KC40587-EN- инженерийн хувьд; KC40587-PM – бүтээгдэхүүний менежер гэх мэт.
  • Бид үүсгэсэн бүлгүүдийн SID-г авдаг
  • төслийн хавтас болон холбогдох сангуудыг бүртгэх (дэд хавтаснуудын жагсаалт нь түүнийг үүсгэсэн болон хандалтын матрицад тодорхойлсон хувь хэмжээнээс хамаарна)
  • хандалтын матрицын дагуу төслийн шинэ дэд сангуудын бүлгүүдэд эрх олгох.

1-р үе шатанд тулгарч буй бэрхшээлүүд:

  • скрипт дэх хандалтын матрицыг тодорхойлох аргын буруу ойлголт (олон хэмжээст массив одоо хэрэгжиж байгаа боловч үүнийг бөглөх замыг .xlsx файл/хандалтын матрицын агуулгад үндэслэн хайж байна)

    Төрөл бүрийн ойн домайн хэрэглэгчдэд томоохон хэмжээний эрх олгох

  • PoSH ашиглан синологийн хөтчүүд дээрх SMB хувьцаанд хандах эрхийг тохируулах боломжгүй (https://social.technet.microsoft.com/Forums/en-US/3f1a949f-0919-46f1-9e10-89256cf07e65/error-using-setacl-on- nas -share?forum=winserverpowershell), үүний улмаас маш их цаг алдаж, бүх зүйлийг icacls хандалтын эрхийг засварлах хэрэгслийг ашиглан скриптэд тохируулах шаардлагатай болсон бөгөөд энэ нь текст болон cmd файлуудын завсрын агуулах үүсгэх шаардлагатай болсон.

Одоогийн горимд cmd файлуудын гүйцэтгэлийг төсөлд хавтас бүртгүүлэх хэрэгцээ шаардлагаас хамааран гараар удирддаг.

Төрөл бүрийн ойн домайн хэрэглэгчдэд томоохон хэмжээний эрх олгох

Бусад ойд байгаа бүлгүүдийг бүртгэхийн тулд скриптийг бас гүйцэтгэх ёстой (Cross-domains гэсэн нэр томъёог ашигласан) бөгөөд харьцаа нь зөвхөн 1-ээс нэг биш, бас 1-ээс олон байж болно.

Төрөл бүрийн ойн домайн хэрэглэгчдэд томоохон хэмжээний эрх олгох

Энэ нь хөрш зэргэлдээх ойг оруулаад бусад хөндлөн домайнуудын бүлгүүд одоо ямар ч домэйны нөөцөд хандах эрхээ авах боломжтой гэсэн үг юм. Нэгдмэл байдалд хүрэхийн тулд бүх ойн (хар босоо зууван) үйлчилдэг бүх домайнуудын OU-д тэгш хэмтэй бүтцийг бий болгохоор шийдсэн. Тэдний хэлснээр армид бүх зүйл муухай, гэхдээ жигд байх ёстой.

Төрөл бүрийн ойн домайн хэрэглэгчдэд томоохон хэмжээний эрх олгох

Тиймээс 80XXX төслийг TG домэйнд бүртгүүлэх үед скрипт нь:

1. харгалзах OU (улаан хэвтээ зууван) энэ домэйн болон хөндлөн домэйн, өөрөөр хэлбэл, ажилтнууд нь энэ нөөцөд хандах ёстой тэдгээр домэйн бий болгох.

2. OU-г - гэх мэт нэртэй бүлгүүдээр дүүргэх, үүнд:

  • SRC_ домэйн – ажилчид нь DST домэйны нөөцөд хандах эрхтэй хөндлөн домайн
  • DST_domain - нөөцөд нь хандах, өөрөөр хэлбэл бүх зүйлийг эхлүүлсэн домэйн.
  • — төслийн дугаар
  • ROLES – хандалтын матрицад жагсаасан дүрүүдийн нэрс.

3. холбогдох бүх домэйны бүх бүлгийн SID массивыг уншиж, дараа нь төслийн тодорхой дэд хавтасны эрхийг тодорхойлсон файл руу өгөгдөл дамжуулах зорилгоор хадгалах.

4. "icacKC "as-nasNNKCProjects" /сэргээх C:TempKCKC40XXKC40XX.txt" гүйцэтгэх файлын горимд icacKC хэрэгслээр ашиглах эрх бүхий эх файлуудыг үүсгэх (параметр /сэргээх)

5. Төслийн бүх хавтсанд зориулсан бүх эхлүүлсэн icacls-ийг нэгтгэсэн CMD файл үүсгэх

Төрөл бүрийн ойн домайн хэрэглэгчдэд томоохон хэмжээний эрх олгох

Өмнө нь бичсэнчлэн, гүйцэтгэх файлыг эхлүүлэх нь гараар хийгддэг бөгөөд гүйцэтгэлийн үр дүнгийн үнэлгээг гараар хийдэг.

Эцсийн эцэст бидэнд тулгарч байсан бэрхшээлүүд:

  • хэрэв төслийн хавтас аль хэдийн олон тооны файлаар дүүрсэн бол одоо байгаа боть дээр icacls командыг ажиллуулахад ихээхэн цаг хугацаа шаардагдах бөгөөд зарим тохиолдолд бүтэлгүйтэлд хүргэдэг (жишээлбэл, урт файлын зам байгаа үед);
  • / Restore параметрээс гадна фолдерууд үүсгээгүй, харин эхээс өвлөх эрхийг хаасан, өмнө нь байсан фолдеруудаас шилжүүлсэн тохиолдолд бид /reset параметртэй мөрүүдийг нэмэх шаардлагатай болсон;
  • Бүлэг үүсгэх скриптийн нэг хэсэг нь ой бүрийн дур мэдэн тогтмол гүйдэлтэй байх ёстой бөгөөд асуудал нь мод бүрийн захиргааны данстай холбоотой юм.

Ерөнхий дүгнэлт: Зах зээл дээр ижил төстэй ажиллагаатай хэрэгсэл байхгүй байгаа нь маш хачирхалтай юм. Sharepoint портал дээр суурилсан ижил төстэй функцийг хэрэгжүүлэх боломжтой юм шиг санагдаж байна.
Синологийн төхөөрөмж дээр хавтасны эрхийг тохируулахын тулд PoSH хэрэгслүүдийг ашиглах боломжгүй байгаа нь бас ойлгомжгүй юм.

Хэрэв хүсвэл би github дээр ямар нэгэн төсөл үүсгэн скриптийг хуваалцахад бэлэн байна.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх