lilott8 Asked: 2009-10-30 13:28:43 +0800 CST2009-10-30 13:28:43 +0800 CST 2009-10-30 13:28:43 +0800 CST Windows Server 和 NSS 卷 772 有谁知道是否有办法在服务器 2003/2007 上安装 NSS 卷(小说)?我们显然需要它来维护用户权利,而不是什么。甚至是一个开始寻找的地方(谷歌没有我能找到的东西)(和 Novell,当 TID 存在时它们很棒,但它们存在的机会非常小......) 谢谢。 编辑:我们正在寻找一种迁移方法。 windows-server-2003 2 个回答 Voted Best Answer sysadmin1138 2009-10-30T15:34:53+08:002009-10-30T15:34:53+08:00 我们正在经历这个。据我所知,在任何 Windows 平台上都没有 NSS 的文件系统驱动程序。在短期内,我们将在 NetWare 服务器上加载 CIFS 堆栈,这允许我们的 Windows 服务器与它们通信,而 Novell 客户端不会破坏网络堆栈。然后我们运行一系列脚本来迁移受托人。 在服务器上加载“TRUSTEE.NLM”将为您提供非常非常方便的卷上分配受托人的权限转储。 trustee /edt save DATA1: sys:/tmp/metadata.log 这会将 Trustee 和目录配额数据转储到一个日志文件中,然后您可以在该文件上执行 Rites of Scripting。这些脚本是什么,取决于你。你需要的东西: 将 Novell 组转换为 AD 组的可靠方法。这可以是某种查找表,也可以是可预测的名称 一种可能性是将您的所有 Novell 组迁移到 AD,并处理将您的组名称转换为“以后”更标准化的名称。 目录结构到位。ROBOCOPY 对此有很好的选择。不要复制文件,最后再做。 该脚本读取 metadata.log 文件并将 NTFS 权限应用于正确的目录。请记住,NTFS 和 NSS 权限是不同的(请参阅下面的粗略指南)。 祈祷你没有大量使用继承权过滤器。 仅在构建您的权限结构后复制文件。这样快很多。 ROBOCOPY 有一个同步选项,可以在您等待切换日时保持文件数据同步。它不会复制受托人/acl 数据,因此在您处于这种状态时暂停权利更改是一个非常好的主意。 NSS 权限对 NTFS 权限。请注意,目录权限与文件权限不同,即使它们使用相同的 ACL 位。翻译是 icacls 选项。例如... icacls Directory /grant NW-IT-Guys:(rx) 授予“NW-IT-Guys”组对该目录的读取/执行权限,没有继承。 icacls Directory /grant NW-IT-Guys:(oi)(ci)(rx) 做同样的事情,但他们也将能够读取在该点下创建的文件 (oi) 和目录 (ci)。 R - (在下面暗示“F”,Windows 不允许在没有文件扫描的情况下读取)(rx) W - (wd) 仅适用于文件。将其放在目录上意味着 NSS上的C。 E - (d) 用于文件,(dc) 用于目录,如果您希望具有该权限的用户能够删除目录中的文件 M - (ad) 用于文件。当授予目录时,允许创建子目录。 C - (wd) 仅在目录上。把它放在一个文件上意味着 NSS上的W。 F - (rd) 仅在目录上。文件没有等价物。如果您使用的是基于访问的枚举,则无法“查看文件但不读取文件”。 A - 不确定 S - (F),但与 NetWare 不同,它可以被阻止。 此表适用于您未向目录授予 [rwemcf](又名读/写)或 [rf] 权限(又名读)的情况。对于这些简单的情况,使用 (rx) 进行读取,使用 (m) 快捷方式进行读/写。对于那些需要能够更改权限的用户,(f) 是其快捷方式。对于特殊目录,例如投递箱或只写目录,以上内容可能有助于弄清楚。 使用 icacls 分配权限的一些示例: 创建具有修改权限的不可删除/可移动目录 icacls AcctReports /grant NW-Acct-Techs:(io)(oi)(ci)(m) icacls AcctReports /grant NW-Acct-Techs:(rx) (io) means 'inherit only', or only applies to child objects. 创建标准 NSS 样式的读/写目录 icacls AcctReports /grant NW-Acct-Techs:(oi)(ci)(m) 创建标准只读目录 icacls AcctReports /grant NW-Acct-Auditors:(oi)(ci)(rx) 创建一个目录,其中包含最终用户附加的日志文件。也许应用程序安装日志等 icacls AppLogs /grant Everyone:(rx) icacls AppLogs\FirefoxInstall.Log /grant Everyone:(rx,ad) 如果您像我见过的几乎所有 NetWare 安装一样,您的卷根对它们的权限很少,并且您授予对顶级目录及以下目录的权限。这与 Windows 不太兼容,但有一些方法可以让它工作。我假设您正在使用“基于访问的枚举”,因为这就是 NetWare 一直这样做的方式,而且您不想让您的用户惊讶于那里确实有多少目录。 对于共享的顶级目录,“每个人”都需要“仅此文件夹”的 (rx) 权限。否则,映射将失败。 对于用户在到达他们有权访问的目录之前必须遍历多个目录的情况,NTFS 不会让您向下浏览。您可以通过对从共享根目录到目录的每个目录上的访问实体使用“(rx)仅此文件夹”技巧来伪造它。是的,这很糟糕。但它有效。 直接访问将起作用。映射到 "\\server\share\dir1\dir2\dir3\" 将起作用,即使 "\\server\share\dir1\" 失败。由您决定在这方面教育您的用户是否比上一点更容易。 而且我什至还没有谈到 ShadowCopies vs. Salvage。 Jim Zajkowski 2009-10-30T13:32:08+08:002009-10-30T13:32:08+08:00 据我所知,只有 OES Linux 和 OES NetWare 可以挂载 NSS 卷。 如果问题是您有灾难恢复问题并且无法运行 NetWare,您应该首先尝试 OES Linux 策略。如果这是迁移,我们切换的方式是将数据复制到新服务器并重新分配权限,并随着时间的推移修复错误。
我们正在经历这个。据我所知,在任何 Windows 平台上都没有 NSS 的文件系统驱动程序。在短期内,我们将在 NetWare 服务器上加载 CIFS 堆栈,这允许我们的 Windows 服务器与它们通信,而 Novell 客户端不会破坏网络堆栈。然后我们运行一系列脚本来迁移受托人。
在服务器上加载“TRUSTEE.NLM”将为您提供非常非常方便的卷上分配受托人的权限转储。
这会将 Trustee 和目录配额数据转储到一个日志文件中,然后您可以在该文件上执行 Rites of Scripting。这些脚本是什么,取决于你。你需要的东西:
NSS 权限对 NTFS 权限。请注意,目录权限与文件权限不同,即使它们使用相同的 ACL 位。翻译是 icacls 选项。例如...
授予“NW-IT-Guys”组对该目录的读取/执行权限,没有继承。
做同样的事情,但他们也将能够读取在该点下创建的文件 (oi) 和目录 (ci)。
此表适用于您未向目录授予 [rwemcf](又名读/写)或 [rf] 权限(又名读)的情况。对于这些简单的情况,使用 (rx) 进行读取,使用 (m) 快捷方式进行读/写。对于那些需要能够更改权限的用户,(f) 是其快捷方式。对于特殊目录,例如投递箱或只写目录,以上内容可能有助于弄清楚。
使用 icacls 分配权限的一些示例:
创建具有修改权限的不可删除/可移动目录
创建标准 NSS 样式的读/写目录
创建标准只读目录
创建一个目录,其中包含最终用户附加的日志文件。也许应用程序安装日志等
如果您像我见过的几乎所有 NetWare 安装一样,您的卷根对它们的权限很少,并且您授予对顶级目录及以下目录的权限。这与 Windows 不太兼容,但有一些方法可以让它工作。我假设您正在使用“基于访问的枚举”,因为这就是 NetWare 一直这样做的方式,而且您不想让您的用户惊讶于那里确实有多少目录。
而且我什至还没有谈到 ShadowCopies vs. Salvage。
据我所知,只有 OES Linux 和 OES NetWare 可以挂载 NSS 卷。
如果问题是您有灾难恢复问题并且无法运行 NetWare,您应该首先尝试 OES Linux 策略。如果这是迁移,我们切换的方式是将数据复制到新服务器并重新分配权限,并随着时间的推移修复错误。