ظاهرا زما کار دا دی: په هر ډول غیر معمولي لارو کې د معیاري کارونو پلي کول. که څوک د ستونزې په اړه بل نظر لري، مهرباني وکړئ په دې اړه بحث وکړئ ترڅو مسله حل شي.
یو ښه سهار یو په زړه پوری دنده رامینځته شوه چې د مختلف ونډو لپاره د کاروونکو ډلو حقونه توزیع کړي چې د اسنادو فولډرونو سره د پروژو فرعي فولډرونه لري. هرڅه سم وو او یو سکریپټ لیکل شوی و ترڅو فولډرو ته حقونه ورکړي. او بیا دا معلومه شوه چې ډلې باید د مختلف ډومینونو څخه کاروونکي ولري، د مختلفو ځنګلونو څخه (
د یو څه وخت وروسته، تخنیکي مشخصات لاندې بڼه ونیوله:
- 2 ځنګلونه: PSI ځنګل، د TG ځنګل.
- هر ځنګل درې ډومینونه لري: PSI (ZG, PSI, FB)؛ TG (TG, HU, KC).
- د ځنګلونو ترمنځ د باور اړیکه شتون لري؛ Synology په ټولو ځنګلونو کې ټولې امنیتي ډلې ګوري.
- ونډې او فولډرونه / فرعي فولډر باید د FB ډومین مدیر حسابونه د بشپړ کنټرول حقونو سره ولري
- د فولډرو نومونه باید په سیستماتیک ډول ترتیب شي. مدیریت د پروژې IDs همغږي کړي؛ ما پریکړه وکړه چې د امنیتي ډلو نومونه د پروژې IDs سره ونښلوم.
- د سیسټم ونډو کې د پروژې فولډرونه باید یو جوړښت ولري چې مخکې له مخکې په .xlsx فایل کې چمتو شوی وي، د مناسب لاسرسي امتیازاتو سره (R/RW/NA، چیرته چې NA - هیڅ لاسرسی نلري)
- دا باید ممکنه وي چې د یوې پروژې د کاروونکو / ګروپ غړو حقونه یوازې د پروژې ځینې لارښودونو پورې محدود کړي. کارونکي ممکن د ګروپ غړیتوب پورې اړه لري نورو لارښودونو/پروژو ته لاسرسی ونلري.
- کله چې د پروژې فولډر رامینځته کړئ ، ډلې باید د امکان تر حده په مناسبو ډومینونو کې د پروژې IDs سره ورته نومونو سره رامینځته شي.
تخنیکي مشخصاتو ته یادونه
- د باور اړیکو تنظیم کول د تخنیکي مشخصاتو په ساحه کې شامل ندي
- د پروژې ID شمیرې او لاتیني حروف لري
- د ټولو ډومینونو لپاره د پروژې کارونکي رولونه معیاري نومونه لري
- د .xlsx فایل د فولډرو او لاسرسي حقونو سره (د لاسرسي میټریکس) د ټولې پروژې له پیل دمخه چمتو شوی
- کله چې د پروژې پلي کول، دا ممکنه ده چې په اړونده ډومینونو کې د کاروونکو ګروپونه جوړ کړئ
- اتوماتیک د معیاري MS وینډوز ادارې وسیلو په کارولو سره ترلاسه کیږي
د تخنیکي مشخصاتو پلي کول
د دې اړتیاو د رسمي کولو وروسته، یو تاکتیکي وقفه د لارښوونو د جوړولو او دوی ته د حقونو د ورکولو لپاره د میتودونو آزموینې لپاره ونیول شوه. دا یوازې د PowerShell کارولو لپاره و، ترڅو پروژه پیچلې نه کړي. لکه څنګه چې ما مخکې لیکلي، د سکریپټ الګوریتم خورا ساده ښکاري:
- موږ ګروپونه د پروژې ID څخه اخیستل شوي نوم سره ثبت کوو (د مثال په توګه KC40587) او اړونده رولونه چې د لاسرسي میټریکس کې مشخص شوي: KC40587-EN- د انجینر لپاره؛ KC40587-PM - د محصول مدیر لپاره، او داسې نور.
- موږ د جوړ شوي ګروپونو SIDs ترلاسه کوو
- د پروژې فولډر او د لارښودونو اړونده سیټ راجستر کړئ (د فرعي فولډرونو لیست په هغه برخه پورې اړه لري چې پکې رامینځته کیږي او د لاسرسي میټریکس کې تعریف شوي)
- د لاسرسي میټریکس مطابق د پروژې نوي فرعي لارښودونو لپاره ډلو ته حقونه ورکړئ.
هغه ستونزې چې په لومړي پړاو کې ورسره مخ شوي:
- په سکریپټ کې د لاسرسي میټریکس مشخص کولو میتود په اړه غلط فهم (یو څو اړخیز سرې اوس پلي کیږي ، مګر د ډکولو لاره د .xlsx فایل / لاسرسي میټریکس مینځپانګې پراساس لټول کیږي)
- د PoSH په کارولو سره په SMB ونډو کې د SMB ونډو کې د لاسرسي حقونو تنظیم کول ناممکن دي (https://social.technet.microsoft.com/Forums/en-US/3f1a949f-0919-46f1-9e10-89256cf07e65/error-using-setacl-on- nas -share?forum=winserverpowershell)، چې له امله یې ډیر وخت ضایع شوی و او هرڅه باید د icacls د لاسرسي حقونو ترمیم کارولو په کارولو سره سکریپټونو ته تطبیق شي، کوم چې د متن او cmd فایلونو منځمهاله ذخیره رامینځته کولو ته اړتیا درلوده.
په اوسني حالت کې، د cmd فایلونو اجرا کول په لاسي ډول کنټرول کیږي، د پروژې لپاره د فولډر راجستر کولو اړتیا پورې اړه لري.
دا هم معلومه شوه چې سکریپټ باید په نورو ځنګلونو کې د ګروپونو راجستر کولو لپاره هم اجرا شي (د کراس ډومینونو اصطلاح کارول شوې وه)، او تناسب کیدای شي نه یوازې له 1 څخه یو، بلکې له 1 څخه ډیری وي.
دا پدې مانا ده چې د ګاونډیو ځنګلونو په ګډون د نورو کراس ډومینونو ډلې اوس کولی شي د هر ډومین سرچینو ته د لاسرسي ادعا وکړي. د یووالي د لاسته راوړلو لپاره، پریکړه وشوه چې د ټولو ځنګلونو د ټولو خدمت شوي ډومینونو (تور عمودی اوولونو) په OU کې یو متقابل جوړښت رامینځته کړي. لکه څنګه چې دوی وايي، په اردو کې هرڅه باید بدمرغه وي، مګر یونیفورم:
په دې توګه، کله چې په TG ډومین کې د پروژې 80XXX راجستر کول، سکریپټ اجرا کوي:
1. په دې ډومین او کراس ډومینونو کې د اړونده OU (سرخ افقی اوول) رامینځته کول ، دا هغه ډومینونه دي چې کارمندان یې باید دې سرچینې ته لاسرسی ولري.
2. د ګروپونو سره د OU ډکول لکه -، چیرته چې:
- SRC_ ډومین - کراس ډومین چې کارمندان به یې د DST ډومین سرچینو ته لاسرسی ولري
- DST_domain - هغه ډومین چې سرچینې ته یې په حقیقت کې لاسرسی باید چمتو شي، دا د دې لپاره چې هرڅه پیل شوي
- - د پروژې شمیره
- ROLES - د هغه رولونو نومونه چې د لاسرسي میټرکس کې لیست شوي.
3. د ټولو ښکیلو ډومینونو د ټولو ګروپونو د SIDs سرې لوستل او د یوې فایل ته د راتلونکي ډیټا لیږد لپاره خوندي کول چې د ځانګړي پروژې فرعي فولډر حقونه تعریفوي.
4. د سرچینې فایلونو نسل (پیرامیټ / بیا رغونه) د icacKC یوټیلیټ لخوا د اجرا وړ فایل حالت "icacKC" as-nasNNKCprojects" / restore C:TempKCKC40XXKC40XX.txt" کې د کارولو لپاره د حقونو سیټ سره.
5. د CMD فایل رامینځته کول چې د پروژې ټولو فولډرونو لپاره ټول پیل شوي icacls سره یوځای کوي
لکه څنګه چې مخکې لیکل شوي و، د اجرا وړ فایل پیل کول په لاسي ډول ترسره کیږي او د اعدام پایلو ارزونه هم په لاسي ډول ترسره کیږي.
هغه ستونزې چې موږ یې په پای کې ورسره مخ وو:
- که چیرې د پروژې فولډر دمخه د ډیری فایلونو څخه ډک شوی وي ، نو په موجوده حجمونو کې د icacls کمانډ چلول د پام وړ وخت نیسي ، او په ځینو مواردو کې د ناکامۍ لامل کیږي (د مثال په توګه ، کله چې د فایل اوږده لارې شتون ولري)؛
- د /Restore پیرامیټر سربیره، موږ باید د /reset پیرامیټر سره لینونه اضافه کړو که چیرې فولډرونه نه وي رامینځته شوي، مګر د پخوانیو موجود فولډرونو څخه لیږدول شوي، د ریښې څخه د میراث حقونو سره غیر فعال شوي؛
- د ګروپونو جوړولو لپاره د سکریپټ یوه برخه باید د هر ځنګل په خپل سري DC کې اجرا شي، ستونزه د هرې ونې لپاره اداري حسابونو پورې اړه لري.
عمومي پایله: دا خورا عجیب دی چې لاهم په بازار کې د ورته فعالیت سره هیڅ اسانتیاوې شتون نلري. داسې ښکاري چې د SharePoint پورټل پراساس ورته فعالیت پلي کول ممکن وي.
دا هم د پوهیدو وړ نه ده چې په سینولوژي وسیلو کې د فولډر حقونو تنظیم کولو لپاره د PoSH اسانتیاو کارول ممکن ندي.
که وغواړي، زه چمتو یم چې په ګیتوب کې د یوې پروژې په جوړولو سره سکریپټ شریک کړم که څوک علاقه ولري.
سرچینه: www.habr.com