Turli o'rmonlardan domen foydalanuvchilariga huquqlarning keng miqyosda berilishi

Ko'rinishidan, mening karma bu: standart vazifalarni har qanday noaniq usullarda amalga oshirish. Agar kimdir muammo haqida boshqacha fikrda bo'lsa, iltimos, muammoni hal qilish uchun uni muhokama qiling.

Yaxshi tongda, foydalanuvchilar guruhlariga hujjatlar papkalari bo'lgan loyihalarning pastki papkalarini o'z ichiga olgan turli aktsiyalarga bo'lgan huquqlarni taqsimlash bo'yicha qiziqarli vazifa paydo bo'ldi. Hamma narsa yaxshi edi va papkalarga huquqlarni belgilash uchun skript yozildi. Va keyin ma'lum bo'ldiki, guruhlarda turli domenlardan, turli o'rmonlardan foydalanuvchilar bo'lishi kerak (nima ekanligini unutganlar uchun). Aytaylik, ulushning o'zi PSI o'rmonining FB domenida ro'yxatdan o'tgan Synology media-da joylashgan. Vazifa: boshqa o'rmondagi domen foydalanuvchilariga ushbu ulush tarkibiga va juda tanlab kirishga ruxsat berish.

Biroz vaqt o'tgach, texnik xususiyatlar quyidagi shaklni oldi:

• 2 o'rmon: PSI o'rmoni, TG o'rmoni.

  

• Har bir o'rmonda 3 ta domen mavjud: PSI (ZG, PSI, FB); TG (TG, HU, KC).
• O'rmonlar o'rtasida ishonchli munosabatlar mavjud; Synology barcha o'rmonlardagi barcha xavfsizlik guruhlarini ko'radi.
• Ulanishlar va papkalar/papkalar FullControl huquqlariga ega FB domen administrator hisoblariga ega bo'lishi kerak
• Papkalarning nomlari tizimlashtirilgan bo'lishi kerak. Rahbariyat loyiha identifikatorlarini muvofiqlashtirdi; Men Xavfsizlik guruhlari nomini loyiha identifikatorlari bilan bog'lashga qaror qildim.
• Tizim ulushlaridagi loyiha papkalari .xlsx faylida oldindan tayyorlangan tuzilmani o'z ichiga olishi kerak, tegishli kirish imtiyozlari (R/RW/NA, bu erda NA - kirish yo'q)

  

• Bitta loyihaning foydalanuvchilari/guruh a'zolari huquqlarini faqat shu loyihaning ma'lum kataloglari bilan cheklash mumkin bo'lishi kerak. Guruh a'zoligiga qarab, foydalanuvchi boshqa katalog/loyihalarga kira olmasligi mumkin.
• Loyiha papkasini yaratishda guruhlar imkon qadar avtomatik ravishda tegishli domenlarda loyiha identifikatorlariga mos nomlar bilan yaratilishi kerak.

Texnik spetsifikatsiyalar uchun eslatmalar

• Ishonchli munosabatlarni o'rnatish texnik shartlar doirasiga kiritilmagan
• Loyiha identifikatorida raqamlar va lotin belgilar mavjud
• Barcha domenlar uchun loyiha foydalanuvchi rollari standart nomlarga ega
• Papkalar va kirish huquqlariga ega .xlsx fayli (kirish matritsasi) butun loyiha boshlanishidan oldin tayyorlanadi.
• Loyihalarni amalga oshirishda tegishli domenlarda foydalanuvchilar guruhlarini yaratish mumkin
• Avtomatlashtirish standart MS Windows boshqaruv vositalari yordamida amalga oshiriladi

Texnik spetsifikatsiyalarni amalga oshirish

Ushbu talablarni rasmiylashtirgandan so'ng, kataloglarni yaratish va ularga huquqlarni berish usullarini sinab ko'rish uchun taktik pauza qilindi. Loyihani murakkablashtirmaslik uchun u faqat PowerShell-dan foydalanishga mo'ljallangan edi. Avval yozganimdek, skript algoritmi juda oddiy ko'rinardi:

• biz guruhlarni loyiha identifikatoridan (masalan, KC40587) olingan nom va kirish matritsasida ko'rsatilgan tegishli rollar bilan ro'yxatdan o'tkazamiz: KC40587-EN- muhandis uchun; KC40587-PM - mahsulot menejeri va boshqalar uchun.
• yaratilgan guruhlarning SIDlarini olamiz
• loyiha papkasini va tegishli kataloglar to'plamini ro'yxatdan o'tkazing (papkalar ro'yxati u yaratilgan va kirish matritsasida aniqlangan ulushga bog'liq)
• kirish matritsasi bo'yicha loyihaning yangi kichik kataloglari uchun guruhlarga huquqlarni tayinlash.

1-bosqichda duch keladigan qiyinchiliklar:

• skriptdagi kirish matritsasini ko'rsatish usulini noto'g'ri tushunish (hozirda ko'p o'lchovli massiv amalga oshirilmoqda, lekin uni to'ldirish yo'li .xlsx fayli/kirish matritsasi mazmuni asosida qidirilmoqda)

  

• PoSH (https://social.technet.microsoft.com/Forums/en-US/3f1a949f-0919-46f1-9e10-89256cf07e65/error-using-setacl-on-) yordamida sinologik drayvlardagi SMB aktsiyalariga kirish huquqlarini o'rnatishning mumkin emasligi nas -share?forum=winserverpowershell), shuning uchun ko'p vaqt yo'qotildi va hamma narsa matn va cmd fayllarining oraliq omborini yaratishni talab qiladigan icacls kirish huquqlarini tahrirlash yordam dasturidan foydalangan holda skriptlarga moslashtirilishi kerak edi.

Joriy rejimda cmd fayllarining bajarilishi loyiha uchun papkani ro'yxatdan o'tkazish zarurligiga qarab qo'lda boshqariladi.

Bundan tashqari, skript boshqa o'rmonlardagi guruhlarni ro'yxatdan o'tkazish uchun ham bajarilishi kerakligi ma'lum bo'ldi (Kross-domenlar atamasi ishlatilgan) va nisbat nafaqat 1ga, balki 1ga ko'p bo'lishi mumkin.

Bu shuni anglatadiki, boshqa o'zaro faoliyat domenlardagi guruhlar, shu jumladan qo'shni o'rmon, endi istalgan domen resurslariga kirishga da'vo qilishlari mumkin. Bir xillikka erishish uchun barcha o'rmonlarning (qora vertikal ovallar) barcha xizmat ko'rsatuvchi domenlarining OUda nosimmetrik strukturasini yaratishga qaror qilindi. Ular aytganidek, armiyada hamma narsa xunuk, ammo bir xil bo'lishi kerak:

Shunday qilib, 80XXX loyihasini TG domenida ro'yxatdan o'tkazishda skript quyidagilarni bajaradi:

1. ushbu domenda va o'zaro faoliyat domenlarda, ya'ni xodimlari ushbu resursga kirish huquqiga ega bo'lishi kerak bo'lgan domenlarda tegishli OU (qizil gorizontal ovallar) yaratish.

2. kabi nomli guruhlar bilan OUni to'ldirish -, Qaerda:

• SRC_ domeni - xodimlari DST domen resurslariga kirish huquqiga ega bo'lgan o'zaro faoliyat domen
• DST_domain - resurslariga kirish ta'minlanishi kerak bo'lgan, ya'ni hamma narsa boshlangan domen.
• - loyiha raqami
• ROLLAR - kirish matritsasida keltirilgan rollarning nomlari.

3. barcha jalb qilingan domenlarning barcha guruhlari SID massivini o'qish va uni keyinchalik ma'lumotlarni ma'lum bir loyiha pastki papkasiga bo'lgan huquqlarni belgilaydigan faylga uzatish uchun saqlash

4. "icacKC "as-nasNNKCProjects" / C:TempKCKC40XXKC40XX.txtni tiklash" bajariladigan fayl rejimida icacKC yordam dasturi tomonidan foydalanish uchun huquqlar to'plamiga ega manba fayllarini yaratish (parametr / tiklash)

5. barcha loyiha papkalari uchun barcha ishga tushirilgan icaclslarni birlashtirgan CMD faylini yaratish

Yuqorida yozilganidek, bajariladigan faylni ishga tushirish qo'lda amalga oshiriladi va bajarilish natijalarini baholash ham qo'lda amalga oshiriladi.

Oxir-oqibat biz duch keladigan qiyinchiliklar:

• agar loyiha papkasi allaqachon ko'p sonli fayllar bilan to'ldirilgan bo'lsa, u holda mavjud jildlarda icacls buyrug'ini ishga tushirish ancha vaqt talab qilishi va ba'zi hollarda muvaffaqiyatsizlikka olib kelishi mumkin (masalan, uzoq fayl yo'llari mavjud bo'lganda);
• /restore parametriga qo'shimcha ravishda, agar papkalar yaratilmagan bo'lsa, lekin ildizdan meros huquqi o'chirilgan, ilgari mavjud papkalardan o'tkazilgan bo'lsa, /reset parametri bilan qatorlarni qo'shishimiz kerak edi;
• Guruhlarni yaratish uchun skriptning bir qismi har bir o'rmonning o'zboshimchalik bilan to'g'ridan-to'g'ri to'g'ridan-to'g'ri bajarilishi kerak edi, muammo har bir daraxt uchun ma'muriy hisoblarga tegishli.

Umumiy xulosa: bozorda shunga o'xshash funktsiyalarga ega yordamchi dasturlar hali mavjud emasligi juda g'alati. Sharepoint portali asosida bunday funksiyani amalga oshirish mumkin ko'rinadi.
Sinologiya qurilmalarida papka huquqlarini o'rnatish uchun PoSH yordam dasturlaridan foydalanish mumkin emasligi ham tushunarsiz.

Agar xohlasangiz, agar kimdir qiziqsa, men github-da biron bir loyiha yaratib, skriptni baham ko'rishga tayyorman.

Manba: www.habr.com