ProHoster > బ్లాగ్ > పరిపాలన > వివిధ అడవుల నుండి డొమైన్ వినియోగదారులకు పెద్ద ఎత్తున హక్కుల కేటాయింపు

వివిధ అడవుల నుండి డొమైన్ వినియోగదారులకు పెద్ద ఎత్తున హక్కుల కేటాయింపు

సాధారణ సమస్యలను అన్ని రకాల క్లిష్టమైన పద్ధతులలో పరిష్కరించడం నా కర్మఫలంలా ఉంది. ఈ సమస్యపై ఎవరికైనా భిన్నమైన దృక్పథం ఉంటే, దయచేసి చర్చలో చేరండి, తద్వారా మనం దానిని పరిష్కరించుకోవచ్చు.

ఒక మంచి ఉదయం, ఒక ఆసక్తికరమైన పని ఎదురైంది: ప్రాజెక్ట్ సబ్ ఫోల్డర్‌లు మరియు డాక్యుమెంట్ ఫోల్డర్‌లను కలిగి ఉన్న వివిధ షేర్‌లపై యూజర్ గ్రూపులకు అనుమతులు కేటాయించడం. అంతా సవ్యంగానే సాగుతోంది, మరియు ఫోల్డర్‌లకు అనుమతులు కేటాయించడానికి ఒక స్క్రిప్ట్ వ్రాయబడింది. అప్పుడు, ఆ గ్రూపులలో వేర్వేరు డొమైన్‌లకు, వేర్వేరు ఫారెస్ట్‌లకు చెందిన యూజర్లు ఉండాలని తేలింది (అది ఏమిటో మర్చిపోయిన వారి కోసం) ఆ షేర్, PSI ఫారెస్ట్‌లోని FB డొమైన్‌లో రిజిస్టర్ చేయబడిన ఒక సైనాలజీ డ్రైవ్‌లో ఉందని అనుకుందాం. వినియోగదారులను అనుమతించడమే ఇక్కడ పని. డొమైన్‌లు ఈ బంతిలోని వస్తువులను చాలా ఎంపికగా పొందడానికి మరో అడవికి అవకాశం కల్పించాలి.

కొంత కాలం తర్వాత, సాంకేతిక నిర్దేశాలు ఈ క్రింది రూపాన్ని తీసుకున్నాయి:

  • 2 అడవులు: PSI అడవి, TG అడవి.

    వివిధ అడవుల నుండి డొమైన్ వినియోగదారులకు పెద్ద ఎత్తున హక్కుల కేటాయింపు

  • ప్రతి ఫారెస్ట్‌లో 3 డొమైన్‌లు ఉంటాయి: PSI (ZG, PSI, FB); TG (TG, HU, KC).
  • ఫారెస్ట్‌ల మధ్య విశ్వాస సంబంధం ఉంది, సైనాలజీ అన్ని ఫారెస్ట్‌లలోని అన్ని సెక్యూరిటీ గ్రూపులను చూస్తుంది.
  • షేర్లు మరియు ఫోల్డర్‌లు/సబ్ ఫోల్డర్‌లకు ఫుల్‌కంట్రోల్ హక్కులతో కూడిన FB డొమైన్ అడ్మిన్ ఖాతాలు తప్పనిసరిగా ఉండాలి.
  • షేర్ ఫోల్డర్ పేర్లను క్రమబద్ధం చేయాలి. యాజమాన్యం ప్రాజెక్ట్ ఐడీలను సమన్వయం చేసింది, మరియు నేను సెక్యూరిటీ గ్రూప్ పేర్లను ప్రాజెక్ట్ ఐడీలకు అనుసంధానించాలని నిర్ణయించుకున్నాను.
  • సిస్టమ్ షేర్‌లలోని ప్రాజెక్ట్ ఫోల్డర్‌లు తప్పనిసరిగా ఒక .xlsx ఫైల్‌లో ముందుగా సిద్ధం చేసిన నిర్మాణాన్ని కలిగి ఉండాలి, దానికి అనుగుణమైన యాక్సెస్ అధికారాలతో (R/RW/NA, ఇక్కడ NA అంటే యాక్సెస్ లేదు).

    వివిధ అడవుల నుండి డొమైన్ వినియోగదారులకు పెద్ద ఎత్తున హక్కుల కేటాయింపు

  • ఒకే ప్రాజెక్ట్‌లోని వినియోగదారులు/గ్రూప్ సభ్యుల హక్కులను ఆ ప్రాజెక్ట్‌లోని నిర్దిష్ట డైరెక్టరీలకు మాత్రమే పరిమితం చేయడం సాధ్యపడాలి. వారి గ్రూప్ సభ్యత్వం ఆధారంగా వినియోగదారులకు ఇతర డైరెక్టరీలు/ప్రాజెక్ట్‌లకు యాక్సెస్ ఉండకపోవచ్చు.
  • ప్రాజెక్ట్ ఫోల్డర్‌ను సృష్టించేటప్పుడు, సంబంధిత డొమైన్‌లలో ప్రాజెక్ట్ IDలకు అనుగుణమైన పేర్లతో గ్రూపులు వీలైనంత స్వయంచాలకంగా సృష్టించబడాలి.

విధివిధానాలకు గమనికలు

  • విశ్వాస సంబంధాలను ఏర్పాటు చేయడం సాంకేతిక నిర్దేశాల పరిధిలో చేర్చబడలేదు.
  • ప్రాజెక్ట్ ఐడిలో సంఖ్యలు మరియు లాటిన్ అక్షరాలు ఉంటాయి.
  • అన్ని డొమైన్‌ల కోసం ప్రాజెక్ట్ యూజర్ రోల్స్‌కు ప్రామాణిక పేర్లు ఉంటాయి.
  • మొత్తం ప్రాజెక్ట్ ప్రారంభానికి ముందు ఫోల్డర్‌లు మరియు యాక్సెస్ హక్కులతో (యాక్సెస్ మ్యాట్రిక్స్) కూడిన ఒక .xlsx ఫైల్ సిద్ధం చేయబడుతుంది.
  • ప్రాజెక్ట్‌లను అమలు చేసేటప్పుడు, సంబంధిత డొమైన్‌లలో వినియోగదారు సమూహాలను సృష్టించడం సాధ్యమవుతుంది.
  • ప్రామాణిక MS పరిపాలన సాధనాలను ఉపయోగించడం ద్వారా ఆటోమేషన్ సాధించబడుతుంది. Windows

సాంకేతిక నిర్దేశాల అమలు

ఈ అవసరాలను అధికారికంగా ఖరారు చేసిన తర్వాత, డైరెక్టరీలను సృష్టించడం మరియు వాటికి అనుమతులను కేటాయించడం వంటి పద్ధతులను పరీక్షించడానికి వ్యూహాత్మక విరామం తీసుకోబడింది. ప్రాజెక్ట్‌ను సరళంగా ఉంచడానికి కేవలం పవర్‌షెల్‌ను మాత్రమే ఉపయోగించాలనేది ప్రణాళిక. నేను ఇంతకు ముందు వ్రాసినట్లుగా, స్క్రిప్ట్ యొక్క అల్గోరిథం చాలా సరళంగా అనిపించింది:

  • మేము ప్రాజెక్ట్ ID (ఉదాహరణకు, KC40587) నుండి పొందిన పేరుతో మరియు యాక్సెస్ మ్యాట్రిక్స్‌లో పేర్కొన్న సంబంధిత పాత్రలతో సమూహాలను నమోదు చేస్తాము: KC40587-EN - ఒక ఇంజనీర్ కోసం; KC40587-PM - ఒక ఉత్పత్తి నిర్వాహకుడి కోసం, మొదలైనవి.
  • సృష్టించబడిన సమూహాల SIDలను మనం పొందుతాము
  • మేము ప్రాజెక్ట్ ఫోల్డర్‌ను మరియు దానికి సంబంధించిన డైరెక్టరీల సముదాయాన్ని నమోదు చేస్తాము (సబ్ ఫోల్డర్‌ల జాబితా అది సృష్టించబడిన షేర్‌పై ఆధారపడి ఉంటుంది మరియు యాక్సెస్ మ్యాట్రిక్స్‌లో నిర్వచించబడుతుంది).
  • యాక్సెస్ మ్యాట్రిక్స్ ప్రకారం మేము కొత్త ప్రాజెక్ట్ సబ్ డైరెక్టరీల కోసం గ్రూపులకు హక్కులను కేటాయిస్తాము.

మొదటి దశలో ఎదురైన ఇబ్బందులు:

  • స్క్రిప్ట్‌లో యాక్సెస్ మ్యాట్రిక్స్‌ను ఎలా నిర్వచించాలనే దానిపై అపార్థం (ప్రస్తుతం ఒక బహుమితీయ శ్రేణి అమలు చేయబడింది, కానీ .xlsx ఫైల్/యాక్సెస్ మ్యాట్రిక్స్ యొక్క కంటెంట్‌ల ఆధారంగా దానిని నింపే మార్గం కోసం అన్వేషణ జరుగుతోంది)

    వివిధ అడవుల నుండి డొమైన్ వినియోగదారులకు పెద్ద ఎత్తున హక్కుల కేటాయింపు

  • PoSH (https://social.technet.microsoft.com/Forums/en-US/3f1a949f-0919-46f1-9e10-89256cf07e65/error-using-setacl-on-nas-share?forum=winserverpowershell) ఉపయోగించి Synology డ్రైవ్‌లలోని SMB షేర్‌లలో యాక్సెస్ హక్కులను సెట్ చేయడం అసాధ్యం కావడం వల్ల, చాలా సమయం వృధా అయ్యింది మరియు icacls యాక్సెస్ హక్కుల ఎడిటింగ్ యుటిలిటీని ఉపయోగించే స్క్రిప్ట్‌లకు అన్నింటినీ మార్చవలసి వచ్చింది, దీని కోసం టెక్స్ట్ మరియు cmd ఫైల్‌లతో కూడిన ఒక మధ్యంతర రిపోజిటరీని సృష్టించాల్సి వచ్చింది.

ప్రస్తుత మోడ్‌లో, ప్రాజెక్ట్ కోసం ఒక ఫోల్డర్‌ను నమోదు చేయవలసిన అవసరాన్ని బట్టి, cmd ఫైళ్ల అమలు మాన్యువల్‌గా నియంత్రించబడుతుంది.

వివిధ అడవుల నుండి డొమైన్ వినియోగదారులకు పెద్ద ఎత్తున హక్కుల కేటాయింపు

ఇతర ఫారెస్ట్‌లలో గ్రూపులను నమోదు చేయడంతో సహా (క్రాస్-డొమైన్స్ అనే పదాన్ని ఉపయోగించారు) ఈ స్క్రిప్ట్‌ను తప్పనిసరిగా అమలు చేయాలని, మరియు నిష్పత్తి 1కి ఒకటి మాత్రమే కాకుండా, 1కి అనేకం కూడా ఉండవచ్చని తేలింది.

వివిధ అడవుల నుండి డొమైన్ వినియోగదారులకు పెద్ద ఎత్తున హక్కుల కేటాయింపు

దీని అర్థం ఏమిటంటే, పొరుగున ఉన్న ఫారెస్ట్‌లతో సహా ఇతర క్రాస్-డొమైన్‌లకు చెందిన సమూహాలు ఇప్పుడు ఏ డొమైన్‌లోని వనరులకైనా యాక్సెస్‌ను క్లెయిమ్ చేయగలవు. స్థిరత్వాన్ని నిర్ధారించడానికి, అన్ని ఫారెస్ట్‌లలోని అన్ని సర్వ్డ్ డొమైన్‌ల OUలలో ఒక సుష్ట నిర్మాణాన్ని (నలుపు నిలువు ఓవల్స్) సృష్టించాలని నిర్ణయం తీసుకున్నారు. ఒక సామెత చెప్పినట్లుగా, సైన్యంలో ప్రతిదీ వికారంగా ఉండాలి, కానీ ఏకరీతిగా ఉండాలి:

వివిధ అడవుల నుండి డొమైన్ వినియోగదారులకు పెద్ద ఎత్తున హక్కుల కేటాయింపు

అందువల్ల, TG డొమైన్‌లో ప్రాజెక్ట్ 80XXXని నమోదు చేసేటప్పుడు, స్క్రిప్ట్ ఈ క్రింది విధంగా అమలు అవుతుంది:

1. ఇచ్చిన డొమైన్ మరియు క్రాస్-డొమైన్‌లలో, అంటే ఏ డొమైన్‌ల ఉద్యోగులకు అయితే ఇచ్చిన రిసోర్స్‌కు యాక్సెస్ ఉండాలో, ఆ డొమైన్‌లలో సంబంధిత OU (ఎరుపు రంగు క్షితిజ సమాంతర ఓవల్స్) ను సృష్టించడం.

2. OUని ఈ రకమైన పేర్లతో గ్రూపులతో నింపడం -, ఎక్కడ:

  • SRC_ డొమైన్ – క్రాస్-డొమైన్, దీని ఉద్యోగులకు DST డొమైన్ వనరులకు యాక్సెస్ ఉంటుంది
  • DST_domain – వాస్తవానికి, ఏ డొమైన్ యొక్క వనరులకు యాక్సెస్ అందించాలో, అనగా దేనికోసం ఇదంతా ప్రారంభించబడిందో ఆ డొమైన్.
  • ప్రాజెక్ట్ సంఖ్య
  • పాత్రలు – యాక్సెస్ మ్యాట్రిక్స్‌లో జాబితా చేయబడిన పాత్రల పేర్లు.

3. పాల్గొన్న అన్ని డొమైన్‌ల యొక్క అన్ని సమూహాల SID శ్రేణిని చదివి, ఒక నిర్దిష్ట ప్రాజెక్ట్ సబ్‌ఫోల్డర్‌కు హక్కులను నిర్వచించే ఫైల్‌కు తదుపరి డేటా బదిలీ కోసం దానిని సేవ్ చేయడం

4. ఎగ్జిక్యూటబుల్ ఫైల్ మోడ్‌లో icacKC యుటిలిటీ ఉపయోగం కోసం హక్కుల సమితితో సోర్స్ ఫైల్‌లను ( /restore పారామీటర్) రూపొందించడం "icacKC "as-nasNNKCProjects" /restore C:TempKCKC40XXKC40XX.txt"

5. అన్ని ప్రాజెక్ట్ ఫోల్డర్‌ల కోసం అన్ని icacls రన్‌లను కలిపి ఒక CMD ఫైల్‌ను సృష్టించడం

వివిధ అడవుల నుండి డొమైన్ వినియోగదారులకు పెద్ద ఎత్తున హక్కుల కేటాయింపు

ముందుగా వ్రాసినట్లుగా, ఎగ్జిక్యూటబుల్ ఫైల్ మాన్యువల్‌గా ప్రారంభించబడుతుంది మరియు అమలు ఫలితాల మూల్యాంకనం కూడా మాన్యువల్‌గా నిర్వహించబడుతుంది.

చివరికి ఎదుర్కోవలసి వచ్చిన ఇబ్బందులు:

  • ఒకవేళ ప్రాజెక్ట్ ఫోల్డర్ ఇప్పటికే పెద్ద సంఖ్యలో ఫైళ్లతో నిండి ఉంటే, అప్పుడు ఉన్న వాల్యూమ్‌లపై icacls కమాండ్‌ను ప్రాసెస్ చేయడానికి గణనీయమైన సమయం పట్టవచ్చు, మరియు కొన్ని సందర్భాల్లో వైఫల్యానికి దారితీయవచ్చు (ఉదాహరణకు, ఫైల్ పాత్‌లు పొడవుగా ఉంటే);
  • /restore పారామీటర్‌కు అదనంగా, ఫోల్డర్‌లు సృష్టించబడకుండా, రూట్ నుండి వారసత్వ హక్కులు నిలిపివేయబడి, గతంలో ఉన్న ఫోల్డర్‌ల నుండి బదిలీ చేయబడిన సందర్భంలో /reset పారామీటర్‌తో పంక్తులను జోడించడం అవసరం;
  • గ్రూపులను సృష్టించే స్క్రిప్ట్‌లోని కొంత భాగాన్ని ప్రతి ఫారెస్ట్‌లోని ఒక యాదృచ్ఛిక DCలో అమలు చేయాల్సి వచ్చింది; సమస్య ప్రతి ట్రీకి సంబంధించిన అడ్మినిస్ట్రేటివ్ ఖాతాలకు సంబంధించినది.

మొత్తం మీద ముగింపు: మార్కెట్‌లో ఇప్పటివరకు ఇలాంటి కార్యాచరణతో కూడిన యుటిలిటీలు ఏవీ లేకపోవడం చాలా ఆశ్చర్యకరం. షేర్‌పాయింట్ పోర్టల్‌ను ఉపయోగించి ఇలాంటి కార్యాచరణను అమలు చేయడం సాధ్యమేనని అనిపిస్తోంది.
సైనాలజీ పరికరాలలో ఫోల్డర్ అనుమతులను సెట్ చేయడానికి PoSH యుటిలిటీలను ఉపయోగించడం సాధ్యం కాదనే విషయం కూడా అస్పష్టంగా ఉంది.

ఎవరికైనా ఆసక్తి ఉంటే, నేను గిట్‌హబ్‌లో ఒక ప్రాజెక్ట్‌ను సృష్టించి స్క్రిప్ట్‌ను పంచుకోవడానికి సిద్ధంగా ఉన్నాను.

మూలం: www.habr.com

DDoS రక్షణ, VPS VDS సర్వర్‌లతో సైట్‌ల కోసం నమ్మకమైన హోస్టింగ్‌ను కొనుగోలు చేయండి 🔥 DDoS రక్షణతో కూడిన నమ్మకమైన వెబ్‌సైట్ హోస్టింగ్, VPS VDS సర్వర్‌లను కొనండి | ProHoster