Estratégia para servidor de arquivos – Parte I Distributed File System + Access-Based Enumeration (pt-BR)

Introdução

Este artigo tem como objetivo demonstrar a instalação e configuração do serviço Distributed File System integrado com Access Based-Enumeration utilizando os recursos do Windows Server 2008 R2. A integração DFS Namespaces junto com Access Based-Enumeration proporciona uma rica experiência ao usuário no acesso a diretórios compartilhados em rede.

O Windows Server 2008 R2 apresenta o Access Based-Enumeration integrado, sem a necessidade de instalação de qualquer programa adicional, como ocorria com o Windows Server 2003.

Cenário tradicional de compartilhamento de diretórios em rede.

Você é o administrador de rede responsável pela administração dos diretórios compartilhados (Network Shares) disponibilizados para os usuários em sua rede.

Cada usuário possui direito de acesso a vários diretórios compartilhados. Abaixo será demonstrada uma estrutura normalmente utilizada para criação e administração de diretórios compartilhados.

Estrutura de diretórios compartilhados

• - Diretório de acesso exclusivo do usuário (Home Directory)
• - Diretório de acesso á todos os usuários de um Departamento (Departamental)
• - Diretório de acesso á todos os usuários da empresa (Público)
• - Diretório de acesso á todos os usuários envolvidos em certo assunto ou projeto (Específico)

Quando o usuário executa um novo logon, cada diretório que ele possui direito de acesso é mapeado com uma letra referenciando-se uma nova unidade no computador que esta sendo utilizado. Este mapeamento pode ser realizado manualmente, através de uma Group Policy Preference(GPP) ou por um Script de logon.

Desta maneira é criada a seguinte estrutura de mapeamento para cada usuário.

Desta maneira é criada a seguinte estrutura de mapeamento para cada usuário.

http://leandrofarom.files.wordpress.com/2011/03/clip_image002.gif?w=113

Figura 1 – Estrutura de diretório compartilhado

O cenário descrito acima funciona bem em pequenas redes, com poucos diretórios compartilhados, disponibilizados em um ou mais servidores.

Em grandes redes onde o número de diretórios compartilhados é grande, o uso de uma unidade de rede para acessar cada pasta compartilhada pode tornar-se de difícil implementação ou até mesmo impossível, quando existirem mais diretórios compartilhados do que o número de letras disponíveis no nosso alfabeto.

Em grandes ou pequenas redes a solução de utilizar uma unidade de rede para cada diretório compartilhado não é a melhor solução, pois é extremamente difícil administrar de acordo com a visão do administrador de rede e difícil de utilizar acordo com a visão do usuário.

Instalação do Distributed File System – Namespaces.

Inicialmente vamos entender o que é o Distributed File System Namespaces:

Trata-se de uma implementação distribuída do modelo clássico de time-sharing de sistemas de arquivos, onde múltiplos usuários compartilham arquivos e recursos. O Distributed File System Namespaces é uma das funções do Distributed File System que permite que sejam agrupados os diretórios compartilhados localizados em diferentes servidores, possibilitando que estes sejam apresentados como uma árvore virtual de diretórios.

Os usuários podem navegar pelos “namespaces virtuais” sem a necessidade de um controle sobre os nomes dos servidores físicos ou diretórios compartilhados que armazenam os dados.

Em uma rede que possui configurado o acesso a diretórios compartilhados através do Distributed File System Namespaces, podemos reduzir as unidades de rede mapeadas (descrito no item anterior) de 4 ou mais para somente uma.

O próximo item terá como objetivo as etapas necessárias para a instalação e configuração do Distributed File System Namespaces.

Instalação:

O Distributed File System Namespaces é uma feature da role File Services no Windows Server 2008 R2. Para habilitar esta feature, inicialmente devemos habilitar a role de File Services.

Inicie o Server Manager e clique com o botão direito em Roles. Selecione a opção “Add Roles”.

http://leandrofarom.files.wordpress.com/2011/03/clip_image002.jpg

Figura 2 – Adicionar Role Windows Server 2008 R2.

Clique em next na tela inicial do assistente de configuração.

Selecione a opção “File Services”. Clique no botão Next

http://leandrofarom.files.wordpress.com/2011/03/clip_image0024.jpg

Figura 3 – Selecionar Feature File Services no Windows Server 2008 R2.

Clique no botão next na tela de “Introduction to File Services” para prosseguir com a instalação

Selecione as opções “Distributed File System” e “DFS Namespaces”. Não selecione a opção “DFS Replication”.

http://leandrofarom.files.wordpress.com/2011/03/clip_image004.jpg

Figura 4 – Adicionar Distributed File System e DFS Namespaces.

A opção DFS Replication será foco de estudo do próximo artigo sobre Estratégia para Servidor de Arquivos.

Clique no botão Next para prosseguir com a configuração

Na tela seguinte você será convidado a configurar o nome dos seus diretórios raiz do DFS Namespaces.

Não iremos configurar o DFS Namespaces neste momento. Selecione a opção “Create a namespace later using the DFS Management snap-in in Server Manager” e clique no botão Next.

http://leandrofarom.files.wordpress.com/2011/03/clip_image006.jpg

Figura 5 – Não configurar DFS Namespaces no setup inicial.

Revise as suas opções de instalação e clique no botão Install.

http://leandrofarom.files.wordpress.com/2011/03/clip_image008.jpg

Figura 6 – Revisão das opções de instalação da Role File Services.

Após o processo de instalação, será solicitado a reinicialização do sistema operacional. Clique no botão Close e reinicialize o sistema operacional.

http://leandrofarom.files.wordpress.com/2011/03/clip_image010.jpg

Figura 7 – Solicitação para reiniciar o sistema operacional.

Após efetuar um novo log on será apresentado o resultado da instalação da role File Services no Windows Server 2008 R2. Clique no botão close.

http://leandrofarom.files.wordpress.com/2011/03/clip_image012.jpg

Figura 8 – Status da configuração da role File Services.

Configuração do Distributed File System – Namespaces.

Vamos iniciar a configuração do Distributed File System Namespaces.

Clique em Start > Administrative Tools > DFS Management para iniciar a console de gerenciamento do Distributed File System.

Clique com o botão direito em Namespaces e selecione a opção “New Namespaces..”

http://leandrofarom.files.wordpress.com/2011/03/clip_image014.jpg

Figura 9 – Como criar um Namespaces.

Será inicializado o Wizard para configuração de um novo Namespaces.

Insira o nome do servidor que onde será armazenado o DFS Namespaces.

De acordo com o nosso laboratório, o nome do servidor será o FS00.article.com. Clique no botão Next

http://leandrofarom.files.wordpress.com/2011/03/clip_image016.jpg

^{Figura 10 – Selecionar servidor para hospedar um Namespaces.}

Após o finalizar o processo de validação do nome do servidor que foi inserido, será apresentado à tela para inserir o nome do diretório onde será armazenado o DFS Namespaces.

Em nosso laboratório, iremos conceder o nome de Workspace para o diretório raiz DFS Namespaces. Clique no botão Edit Settings.

http://leandrofarom.files.wordpress.com/2011/03/clip_image018.jpg

Figura 11 – Editar configurações do diretório DFS Namespaces.

O botão Edit Settings permite acesso às configurações de onde ficará localizado o diretório raiz do DFS Namespaces bem como as permissões de acesso a este diretório.

Selecione a opção “Use Custom permission” e clique no botão “Customize”.

http://leandrofarom.files.wordpress.com/2011/03/clip_image020.jpg

Figura 12 – Selecionar permissões customizadas para o diretório Workspace.

http://leandrofarom.files.wordpress.com/2011/03/clip_image022.jpg

Figura 13 – Alterar a permissão default do diretório root DFS Namespaces.

Verifique que a permissão padrão é Everyone “Read”. Recomendo a alteração desta permissão de acesso, tendo como objetivo prover maior segurança.

Deverá ser excluído o grupo de segurança Everyone e inserido os grupos de segurança Domain Admins e Authenticated Users.

Lembrando que o grupo Domain Admins deverá possuir permissão Full Control e o grupo Authenticated Users deverá possuir permissão Read.

http://leandrofarom.files.wordpress.com/2011/03/clip_image024.jpg

Figura 14 – Incluir grupo de segurança para o diretório root DFS Namespaces.

Clique no botão OK duas vezes para confirmar a nova configuração e clique no botão Next para seguir para próxima tela do Wizard.

Em “Select Namespaces Type” encontramos uma opção chave para a configuração do DFS Namespaces integrado com o Access Based-Enumeration. A opção chave recebe o nome de “Enable Windows Server 2008 Mode”.

http://leandrofarom.files.wordpress.com/2011/03/clip_image026.jpg

Figura 15 – Modo de funcionamento do DFS Namespaces.

Devemos analisar detalhadamente a imagem acima.

De acordo com esta imagem podemos criar um DFS Namespaces com a opção “Domain-based Namespaces”.

A opção Domain-based Namespaces permite escalabilidade ao DFS Namespaces, uma vez que a estrutura de diretórios virtuais é acessada através do endereço \dominio\DFSNamespaces .

O endereço \dominio\DFSNamespaces, em nosso laboratório, \article.com\Workspace é o endereço que deverá ser mapeado como unidade de rede nas estações clientes. Sendo assim não existe referência a um servidor, como ocorre normalmente. Esta configuração adiciona flexibilidade, escalabilidade e redundância ao DFS Namespaces que será criado.

Porém na imagem acima a opção “Enable Windows Server 2008 mode” esta desabilitada.

A opção “Enable Windows Server 2008 mode” é responsável por permitir a configuração do Access Based-Enumeration junto com o DFS Namespaces. Sem está opção, não é possível realizar a integração entre o DFS Namespaces e o Access Based-Enumeration

Em nosso laboratório, não foi possível selecionar a opção “Enable Windows Server 2008 mode”, pois o nível funcional do nosso domínio e da nossa floresta é Windows 2003. Para utilizar esta opção devemos realizar um Raise Domain ou Raise Forest para Windows 2008.

O processo de Raise significa elevar o nível funcional do Active Directory em um domínio ou floresta para fazer uso das novas features oferecidas pelo Windows Server 2008.

Entre estas features podemos relacionar:

• · Fine-grained password policies
• · Read-Only Domain Controllers
• · Advanced Encryption Services
• · Granular auditing
• · Distributed File System Replication
• · Last Interactive logon information

O processo de Raise Domain ou Raise Forest de Windows 2003 para Windows 2008 não poderá ser revertido. Após o processo concluído não será mais possível incluir controladores de domínio baseados em Windows 2000 ou Windows 2003.

Qualquer controlador de domínio baseado em Windows 2000 ou Windows 2003 existente, não funcionara corretamente após o processo de raise. Para evitar problemas, caso exista algum controlador de domínio baseado em Windows 2000 ou Windows 2003 em seu domínio, não será possível prosseguir com o processo de Raise Domain ou Raise Forest.

Para realizar o processo de Raise, o usuário deverá pertencer ao grupo Domain Admins, Enterprise Admins ou equivalente.

Após verificar atentamente as informações sobre o processo de Raise, abaixo será descrito como realizar este processo.

Para fazer uso do “Enable Windows Server 2008 mode”, no mínimo é necessário realizar o processo de Raise no nível funcional do domínio, caracterizando assim um Raise Domain.

Em nosso laboratório, iremos realizar o processo de Raise Domain no nível funcional do domínio article.com.

Efetue o log on em um controlador de domínio PDC Emulator. Normalmente PDC Emulator é o primeiro controlador de domínio criado em um domínio.

Clique em Start > All Programs > Administrative Tools e selecione a opção Active Directory Users and Computers (ADUC).

Na estrutura do Active Directory que será apresentada clique sob o domínio e selecione a opção “Raise Domain Functional Level”

http://leandrofarom.files.wordpress.com/2011/03/clip_image028.jpg

Figura 16 – Raise Domain functional level.

http://leandrofarom.files.wordpress.com/2011/03/clip_image030.jpg

Figura 17 – Seleção do nível funcional do domínio.

http://leandrofarom.files.wordpress.com/2011/03/clip_image032.jpg

Figura 18 – Aviso sobre as conseqüências do processo de raise.

http://leandrofarom.files.wordpress.com/2011/03/clip_image034.jpg

Figura 19 – Mensagem sobre a conclusão do processo de raise.

Após realizar o processo de Raise do nível funcional do domínio article.com, podemos dar continuidade ao processo de criação do DFS Namespaces.

Observe que após a Raise do nível funcional do domínio article.com, a opção “Enable Windows Server 2008 mode” esta disponível para ser selecionada.

http://leandrofarom.files.wordpress.com/2011/03/clip_image036.jpg

Figura 20 – Opção Enable Windows Server 2008 mode após processo de raise domain.

Verifique as configurações e clique no botão Create.

http://leandrofarom.files.wordpress.com/2011/03/clip_image038.jpg

Figura 21 – Revisão das configurações do novo Namespaces.

http://leandrofarom.files.wordpress.com/2011/03/clip_image040.jpg

Figura 22 – Conclusão da criação do novo Namespaces.

A partir deste tópico será exibido o processo de configuração através da interface gráfica do Windows Server bem como a linha de comando respectiva.

O objetivo de demonstrar a execução do processo de configuração através da linha de comando é justamente acelerar o processo de configuração.

Importante - O inicio da linha de comando e o final sempre deve estar na mesma linha de execução. Os quadros demonstrados abaixo apresentam quebras de linhas de comando, que deverão ser tratadas quando os scripts forem criados em qualquer outro ambiente. Salve as linhas de comando em um arquivo com extensão .cmd

Linha de comando:

Para correta execução do script se faz necessário à instalação da ferramenta dos programas "Xcacls.exe" e “Sleep.exe”.

Para efetuar o download do XcaclsClique aqui

Para efetuar o download do Sleep Clique aqui

Observação: Qualquer problema na execução do script, localize os arquivos executáveis Xcacls.exe e Sleep.exe e copie para o diretório C:\Windows\System32.

Rem I - Create DFS Namespace root directory md c:\DFSRoots\Workspace net share Workspace=c:\DFSRoots\Workspace /grant:"authenticated users",read /grant:"Domain Admins",Full /grant:"Administrators",Full echo y| xcacls c:\DFSRoots\Workspace /g "authenticated users":R "Domain Admins":F "Administrators":F Sleep 5

Rem II - Create DFS Namespaces Based-domain Windows 2008 Mode dfsutil root AddDom \\fs00\Workspace "DFS-N Based-Domain" V2 Sleep 5

---

Criação de um novo diretório.

Vamos criar uma estrutura de diretórios visando nas próximas etapas demonstrar as configuração do DFS Namespaces e do Access Based-Enumeration. A correta configuração das permissões de acesso ao compartilhamento e permissões NTFS são fundamentais para o correto funcionando do DFS Namespaces integrado com o Access Based-Enumeration.

1. 1 - Crie um diretório chamado Data em C:\
2. 2 - Crie um subdiretório dentro do diretório Data (C:\Data) chamado Financeiro.
3. 3 – Crie um grupo de segurança de escopo Global no Active Directory chamado Financeiro-GG.

Clique em Start > All Programs > Administrative Tools e selecione a opção Active Directory Users and Computers (ADUC).

Clique com o botão direito do mouse sobre o domínio e seleciona a New > Organization Unit. Crie uma nova Organization Unit chamada Domain Groups.

Clique com o botão direito do mouse na OU Domain Groups e selecione a opção New > Group. Atribua o nome deste grupo como Financeiro-GG e selecione o escopo global.

http://leandrofarom.files.wordpress.com/2011/03/clip_image042.jpg

Figura 23 – Criação do grupo de segurança de escopo Global.

Insira grupo de segurança Financeiro-GG, todos os usuários que deverão possuir direito de acesso ao diretório Financeiro.

Crie um novo grupo de segurança com escopo Domain Local chamado Financeiro-DL.

http://leandrofarom.files.wordpress.com/2011/03/clip_image044.jpg

Figura 24 – Criação do grupo de segurança de escopo domain local.

Insira o grupo Financeiro-GG como membro do grupo Financeiro-DL. O grupo que será configurado com acesso ao diretório Financeiro será o grupo Financeiro-DL. Esta estratégia de acesso é chamada de AGDLP (Account, Global, Domain Local, Permission). Mais informações sobre a estratégia AGDLP – Clique aqui.

4 - Por ultimo compartilhe o subdiretório Financeiro (C:\Data\Financeiro) como Financeiro$. As permissões de acesso ao compartilhamento deverão ser concedidas para “Authenticated Users” como Modify.

http://leandrofarom.files.wordpress.com/2011/03/clip_image046.jpg

Figura 25 – Permissões de acesso ao compartilhamento Financeiro$

Para a configuração da permissão NTFS deverá ser removido todos os demais integrantes, mantendo somente o grupo de segurança Financeiro-DL, grupo de segurança Domain Admins e grupo local do servidor fs00.article.com Administrators.

Para isso, clique no diretório Financeiro > properties > Security > Advanced.

http://leandrofarom.files.wordpress.com/2011/03/clip_image048.jpg

Figura 26– Permissões de acesso NTFS do diretório Financeiro.

Clique no botão Change Permission e remova todos os usuários e grupos do diretório Financeiro. Após a remoção, adicione o grupo de segurança de domínio article.com\Financeiro-DL com permissão Modify, grupo de segurança de domínio article.com\Domain Admins e o grupo de segurança local fs00\administrators com permissão Full Control.

Muita atenção com a configuração de permissões NTFS descritas acima. Um aspecto interessante que deverá ser observado é a permissão modify para o grupo article.com\Financeiro-DL. Isso se deve, pois se proporcionarmos a permissão de Full Control aos integrantes do grupo de domínio article.com\Financeiro-DL, os mesmos poderão alterar as permissões NTFS de diretório e arquivos, podendo assim inviabilizar o uso do DFS Namespaces integrado com o Access Based-Enumeration.* *

Com o objetivo de verificar o acesso, crie dois usuários de domínio. Insira um usuário de domínio como membro do grupo de segurança article.com\Financeiro-GG.

Em nosso laboratório foram criados os usuários luciana e fabricio no domínio article.com.

O usuário article.com\fabricio é um membro do grupo article.com\Financeiro-GG, portanto possui direito de acesso ao diretório \fs00.article.com\Financeiro$.

http://leandrofarom.files.wordpress.com/2011/03/clip_image050.jpg

Figura 27– Permissões atribuídas ao usuário article.com\fabricio.

O usuário article.com\luciana não é membro do grupo de segurança article.com\Financeiro-GG, sendo assim não ira possuir direito de acesso ao diretório Financeiro.

http://leandrofarom.files.wordpress.com/2011/03/clip_image052.jpg

Figura 28– Permissões de acesso atribuídas ao usuário article.com\luciana.

Linha de comando:

Com o objetivo de automatizar o processo de criação e compartilhamento de diretórios descrito anteriormente, segue abaixo um script.

Observação: Qualquer problema na execução do script, localize os arquivos executáveis Xcacls.exe e Sleep.exe e copie para o diretório C:\Windows\System32.

Rem Part III - Create Directory md c:\Data\Financeiro\ net share Financeiro$=c:\Data\Financeiro /grant:"authenticated users",Change /remark:"Financeiro share" echo y| xcacls c:\Data\Financeiro /g "Financeiro-DL":C "Domain Admins":F "Administrators":F

Access-Based Enumeration (ABE)

O que é o ABE ?

Imagine a possibilidade de “ocultar” diretórios ou arquivos aos quais os usuários não possuem permissões de acesso.

Até pouco tempo atrás este tipo de configuração era impossível, os usuários mesmo sem ter acesso aos diretórios podiam visualizá-los e se tentassem verificar seu conteúdo receberiam a mensagem de "Acesso Negado".

Bem, isso ocorria ate pouco tempo atrás, pois é exatamente isso que o ABE faz, impede que os usuários visualizem os diretórios aos quais ele não tem permissão de acesso.

Quando você acessa um diretório compartilhado em um servidor, é como se você solicitasse ao Windows Server "Por favor enumere os arquivos contidos neste diretório". O Windows Server irá executar a enumeração de todos os arquivos contidos naquele diretório compartilhado. Como resposta o Windows Server irá permitir que seja visualizado todo conteúdo existente no diretório compartilhado.

O ABE modifica o método que o serviço de enumeração trabalha, alterando a resposta do Windows Server para:

"Irei enumerar somente os arquivos que você possui permissão de acesso".

As permissões de acesso devem ser no "mínimo" uma das quatro relacionadas abaixo:

· List Folder/Read Data

· Read Attributes

· Read Extended Attributes

· Read Permission

Configuração do ABE:

O ABE somente pode ser habilitado em diretórios compartilhados.

Vamos utilizar o diretório Compartilhado que criamos anteriormente com o nome de financeiro (C:\Data\Financeiro).

Clique Start > Administrative Tools > Share and Storage Management

http://leandrofarom.files.wordpress.com/2011/03/clip_image054.jpg

Figura 29– Acesso a console Share and Storage Management.

Clique com o botão direito no compartilhamento do diretório Financeiro. Selecione a opção de propriedades. Clique no botão Advanced e clique no Check Box “Enable Access Based Enumeration”.

Clique OK duas vezes para efetivar as alterações.

http://leandrofarom.files.wordpress.com/2011/03/clip_image056.jpg

Figura 30– Configuração do Access Based-Enumeration.

Linha de comando:

Ao contrário do que ocorria no Windows Server 2003 e Windows Server 2003 R2 o Access Based-Enumeration não precisa ser instalado no Windows Server 2008 ou Windows Server 2008 R2. Porém nas versões mais recentes do Windows Server a Microsoft removeu um utilitário de linha de comando chamado ABECMD. Este utilitário permite realizar todas as configurações do ABE através de linha de comando sem o uso da interface gráfica.

Para fazermos uso deste utilitário de linha de comando, devemos realizar a instalação do programa ABEUI.MSI em um servidor com o Windows Server 2003 ou Windows Server 2003 R2. Após a instalação, devemos navegar em C:\Windows\System32 e localizar os arquivos ABECMD.exe e ABEUI.dll . Após localizar estes arquivos, devemos realizar a cópia dos mesmos para C:\Windows\Sytem32\ do servidor que esta executando o Windows Server 2008 ou Windows Server 2008 R2.

Para efetuar o download do ABEUI Clique aqui

Rem Part IV - ABE Configuration abecmd /enable Financeiro$

Criação de um diretório virtual

Agora iremos criar um diretório virtual DFS para o nosso diretório Financeiro.

Clique com botão direito do mouse no namespace \article.com\Workspace e selecione a opção “New Folder”.

http://leandrofarom.files.wordpress.com/2011/03/clip_image058.jpg

Figura 31– Criação de um novo diretório virtual.

Atribua o nome do diretório como Financeiro e clique no botão Add.

Localize onde o diretório Financeiro esta criado, em nosso exemplo \fs00\Financeiro$. Clique em no botão OK 3 vezes para efetivar as configurações realizadas.

http://leandrofarom.files.wordpress.com/2011/03/clip_image060.jpg

Figura 31– Localização do diretório compartilhado que estará relacionado com o diretório virtual.

Linha de comando:

Iremos utilizar o dfsutil.exe que foi originalmente introduzido no Windows Server 2003 e melhorado no Windows Server 2008 R2.

O dfsutil permite que seja executado as mesmas ações que são realizadas pela Interface gráfica do DFS Namespaces. O dfsutil é instalado automaticamente quando se adiciona a role File Services em conjunto com o DFS Namespaces ou DFS Replication.

Rem Part V – dfsutil Link dfsutil Link add \\article.com\Workspace\Financeiro \\fs00\Financeiro$ “Criado_em_20/03/11_Leandro”

Integração do DFS Namespaces com o Access Based-Enumeration (ABE).

Para realizar a integração do DFS Namespaces com o Access Based-Enumeration clique com o botão direito no DFS Namespace Workspace e selecione a guia Advanced.

Selecione a opção “Enable access-based enumeration for this namespace” e clique no botão Ok.

http://leandrofarom.files.wordpress.com/2011/03/clip_image062.jpg

Figura 32– Habilitar Access Based-Enumeration no DFS Namespaces Workspace.

Linha de comando:

Rem Part VI – Enable DFS-ABE Configuration dfsutil property abde enable \\article.com\Workspace

http://leandrofarom.files.wordpress.com/2011/03/clip_image064.jpg

Figura 33– Execução da linha de comando para habilitar Access Based-Enumeration no DFS Namespaces Workspace.

Agora devemos configurar novas permissões de acesso ao diretório virtual criado no DFS Namespaces da mesma maneira que realizamos a configuração do diretório real localizado no servidor fs00.article.com

O comando abaixo irá remover o security descriptor do objeto. Em nosso exemplo o diretório virtual Financeiro.

Rem Part VII – Reset ACL=>DFS-N Link dfsutil property acl reset \\article.com\Workspace\Financeiro

O comando abaixo habilitar novamente o security descriptor no diretório virtual Financeiro.

Rem Part VIII – Protect ACL=>DFS-N Link dfsutil property acl control \\article.com\Workspace\Financeiro protect

O comando abaixo irá conceder as permissões de acesso ao diretório virtual Financeiro.

Rem Part VIII – Grant ACL=>DFS-N Link dfsutil property acl grant \\article.com\Workspace\Financeiro "article\Financeiro-DL":R dfsutil property acl grant \\article.com\Workspace\Financeiro "article\Domain Admins":F dfsutil property acl grant \\article.com\Workspace\Financeiro "Administrators":F

O parâmetro :R (Read) permite que os usuários que são membros do grupo de segurança article.com\Financeiro-DL visualizem o diretório virtual Financeiro. Para ser possível visualizar um diretório virtual no DFS Namespaces integrado com o Access Based Enumeration se faz necessário pelo menos direito de leitura no diretório virtual. Os demais usuários que não possuem nenhum direito de acesso neste diretório não poderão visualizá-lo.

http://leandrofarom.files.wordpress.com/2011/03/clip_image066.jpg

Figura 34 – Execução para visualizar o diretório Financeiro com ABE ativado – article.com\luciana.

A usuária article.com\luciana não pertence ao grupo de segurança article.com\Financeiro-GG, sendo assim não é possível à visualização do diretório Financeiro no DFS Namespaces Workspace.

O usuário article.com\fabricio pertence ao grupo de segurança article.com\Financeiro-GG, sendo o grupo article.com\Financeiro-GG pertencente ao grupo de segurança article.com\Financeiro-DL será possível à visualização do diretório Financeiro no DFS Namespaces Workspace.

http://leandrofarom.files.wordpress.com/2011/03/clip_image068.jpg

Figura 35 – Execução para visualizar o diretório Financeiro com ABE ativado – article.com\fabricio.

Apesar de somente possuírem direitos de leitura no diretório Financeiro, os integrantes do grupo de segurança article.com\Financeiro-GG poderão criar, modificar e excluir arquivos e diretórios contidos no diretório Financeiro. Isto é possível, devido às permissões NTFS que foram configuradas anteriormente, assegurando que as permissões efetivas no diretório Financeiro para o grupo de segurança article.com\Financeiro-DL seja modify.

http://leandrofarom.files.wordpress.com/2011/03/clip_image070.jpg

Figura 36 – Teste de acesso e criação de um subdiretório – usuário article.com\fabricio.

O comando abaixo irá demonstrar as permissões de acesso configuradas no diretório virtual Financeiro.

Rem Part X – ACL Properties =>DFS-N Link dfsutil property acl \\article.com\Workspace\Financeiro

http://leandrofarom.files.wordpress.com/2011/03/clip_image072.jpg

Figura 37 – Visualização das permissões NTFS do diretório virtual Financeiro.

Linha de Comando – Roteiro Completo.

A linha de comando é a maneira mais fácil de viabilizar a integração entre o DFS Namespaces e o Access Based-Enumeration em ambientes corporativos. Abaixo segue o roteiro completo para criação de toda a estrutura DFS Namespaces integrado com o Access-Based Enumeration, tendo como pré-requisito a instalação da Role File Services, nível funcional do domínio como Windows 2008, grupos de segurança e usuários já existentes no Active Directory. A ordem de alguns itens de linha comando descritos anteriormente foram alteradas. Esta alteração não interfere no resultado esperado.

Rem I - Create DFS Namespace root directory md c:\DFSRoots\Workspace net share Workspace=c:\DFSRoots\Workspace /grant:"authenticated users",read /grant:"Domain Admins",Full /grant:"Administrators",Full echo y| xcacls c:\DFSRoots\Workspace /g "authenticated users":R "Domain Admins":F "Administrators":F Sleep 5 Rem II - Create DFS Namespaces Based-domain Windows 2008 Mode dfsutil root AddDom \\fs00\Workspace "DFS-N Based-Domain" V2 Sleep 5 Rem III - Enable DFS-ABE Configuration dfsutil property abde enable \\article.com\Workspace Sleep 5 Rem IV - Create Directory md c:\Data\Financeiro\ net share Financeiro$=c:\Data\Financeiro /grant:"authenticated users",Change /remark:"Financeiro share" echo y| xcacls c:\Data\Financeiro /g "Financeiro-DL":C "Domain Admins":F "Administrators":F Sleep 5 Rem Part V - ABE Configuration abecmd /enable Financeiro$ Sleep 5 Rem Part VI – DFSUtil Link dfsutil Link add \\article.com\Workspace\Financeiro \\fs00\Financeiro$ “Criado_em_20/03/11_Leandro” Sleep 5 Rem Part VII – Reset ACL=>DFS-N Link dfsutil property acl reset \\article.com\Workspace\Financeiro Sleep 5 Rem Part VIII – Protect ACL=>DFS-N Link dfsutil property acl control \\article.com\Workspace\Financeiro protect Sleep 5 Rem Part X – Grant ACL=>DFS-N Link dfsutil property acl grant \\article.com\Workspace\Financeiro "article\Financeiro-DL":R dfsutil property acl grant \\article.com\Workspace\Financeiro "article\Domain Admins":F dfsutil property acl grant \\article.com\Workspace\Financeiro "Administrators":F

Links relacionados:

• http://blogs.technet.com/b/askds/archive/2011/02/03/monitoring-and-maintaining-dfs-namespaces.aspx
• http://support.microsoft.com/default.aspx?scid=kb;EN-US;968429 
• http://technet.microsoft.com/en-us/library/dd772681(WS.10).aspx
• http://technet.microsoft.com/en-us/library/dd772681(WS.10).aspx
• http://blog.vmpros.nl/2009/03/17/microsoft-windows-server-2008-access-based-enumeration
• http://technet.microsoft.com/en-us/library/cc736324(WS.10.aspx
• http://support.microsoft.com/kb/244380
• http://support.microsoft.com/kb/322692
• http://technet.microsoft.com/en-us/library/cc754209(WS.10).aspx