nepdev's questions

Windows Server（任何版本），带有子文件夹的共享文件夹，如下所示：

 Department1
     Jim
     John

其中 Department1 是网络共享，Jim / John 是子文件夹。

我想要的是只有Jim 对“Jim”文件夹具有写访问权（即只有Jim 可以在Jim 子文件夹中创建文件和文件夹），并且只有John 对“John”文件夹具有写访问权。

听起来很容易，但我找不到这样做的方法。

以下是权限的设置方式：

 Folder "Department1"
    share permissions: Everyone - Change + Read
    NTFS permissions:  Jim - List Folder Contents
                       John - List Folder Contents

 Subfolder "Jim"
    NTFS permissions: Jim - Full Control

 Subfolder "John"
    NTFS permissions: John - Full Control

会发生什么：

• 在父共享文件夹“Department1”中，Jim 和 John 都可以创建、编辑、修改和读取任何文件和文件夹。
• Jim 可以创建、编辑、修改和读取他自己以及 John 文件夹中的任何文件和文件夹
• John 可以创建、编辑、修改和读取他自己以及 Jim 的文件夹中的任何文件和文件夹

（我从“有效权限”工具以及简单地以 Jim 身份登录并尝试它时都看到了这个结果）。

应该发生的是 - 没有人可以在父文件夹中创建文件，而 Jim 不应该能够在 John 的文件夹中创建/修改文件 + 反之亦然。

如果我从父文件夹中取出“列出文件夹内容”权限，Jim 和 John 都无法访问该共享。但是 - 问题是：仅仅添加 LIST FOLDER 权限似乎赋予了两个用户创建、读取和修改文件和文件夹的权利......？这怎么可能是正确的或合乎逻辑的？

继承似乎与它没有任何关系 - 通常您可以看到继承的用户和属性显示在子文件夹中，并且它们会变灰，因为它们无法更改 - 事实并非如此。（启用继承。）

将 Jim 和 John 作为单独的共享共享可以处理它，但我不希望这样 - 示例已简化，实际上有数百个，它会导致来自网络的“扁平”非分层视图，我必须避免。

为不打算访问该文件夹的所有“其他”用户添加 DENY 条目将非常笨拙 - 有数百个。

所以我的问题：

1. 为什么会这样？这不合逻辑——一旦我授予 NTFS 访问列表文件夹内容的权限，该用户也可以读取、写入、修改文件和文件夹——应该是这样吗？

2. 有没有一种简单的方法来配置它，使其按预期工作？我正在考虑关闭继承 - 但我希望他自己创建的 Jim 的任何子文件夹都继承 Jim 文件夹的权限，即使在共享上关闭了继承，这种情况会发生吗？

编辑

假设访问上述示例中的文件夹总是从客户端计算机通过网络访问文件共享。（我知道如果 Jim / John 会在本地登录文件服务器，情况会有所不同，但这不是我的问题。）

更新

根据 Evan Anderson 的评论，我检查了所有权限，发现一个从磁盘驱动器本身的安全权限继承的条目。这是“服务器\用户”的“特殊权限”条目，我理解它是指该服务器的本地用户。该条目提供“创建文件”和“创建文件夹”访问权限，并继承到我的 Department1 和 Jim/John 文件夹。

我没有创建那个条目。它似乎是 Windows 在我查看的每台服务器上的每个磁盘驱动器上创建的默认条目。

删除该条目会更改 Jim 和 John 在 Department1 文件夹和子文件夹上的有效权限，因此错误的 CreateFolder 和 CreateFile 权限不再适用——这正是我想要的。感谢埃文·安德森。

但是，这提出了两个新问题：

3. server\Users 条目适用于什么？我的理解似乎是错误的，这仅适用于服务器的本地用户。Jim 和 John 是域登录名，并且不作为服务器上的本地用户存在。那么 Server\Users 适用于服务器的任何和所有用户是否正确，无论是从网络登录还是作为服务器上的本地用户存在？

4. 似乎每个磁盘驱动器都有这个特殊权限条目，然后继承到该驱动器上的所有文件夹 - 让每个驱动器都具有默认条目的服务器\用户组的 CreateFile 和 CreateFolders 的目的是什么？对我来说，这听起来像是一个巨大的隐形陷阱，让每个人都试图在 Windows 共享上设置适当的权限。（如果属实，任何教程都应该以“从磁盘驱动器中删除 Server\Users 权限条目”开始。）

更新 2

我在MSDN上找到了有关 Server\Users 组的以下数据

“当计算机加入域时，域用户组被添加到计算机上的用户组中。”

这意味着 Jim 和 John 是 Server\Users 组的一部分，这就是这些权限适用的原因。所以我回答了问题 3，但问题 4 仍然存在——它背后应该有一些意义吗？

将具有 Server 2003 域控制器的域升级到 Server 2016 后，林功能级别默认保持在 2003。

将林功能级别升级到 2016 时，如果该域上仍然有 Windows XP 机器，则可能会出现问题（是的，很久以来应该没有任何机器，但这种情况仍然会发生）。

我看到的问题是：

1. 无法更改域密码
2. 无法将计算机加入域（或起飞并重新加入）
3. 从 XP 工作站看不到新 Server 2016 DC 上的共享文件夹

域上的任何 Windows 10 工作站都没有问题，而所有 XP 工作站都有问题。

这是什么原因以及如何解决这个问题？

作为 FusionPBX GUI 系统的一部分，我们安装了 Freeswitch。FusionPBX 3.7.1 版，Freeswitch 1.4.9 版。FusionPBX 使用的数据库是 Postgres。

安装默认编译最低成本路由模块“mod_lcr”，并在模块配置文件中启用，模块“/usr/local/freeswitch/mod/mod_lcr.so”存在。

但是，我似乎无法使用 mod_lcr。

发出命令

reload mod_lcr

给出以下错误：

2016-10-22 23:22:12.023181 [ERR] mod_lcr.c:1078 Unable to determine database RANDOM function
2016-10-22 23:22:12.023181 [DEBUG] mod_lcr.c:1110 param val is       rate,quality,reliability
2016-10-22 23:22:12.023181 [DEBUG] mod_lcr.c:1113 arg #0/3 is rate
2016-10-22 23:22:12.023181 [DEBUG] mod_lcr.c:1113 arg #1/3 is quality
2016-10-22 23:22:12.023181 [DEBUG] mod_lcr.c:1113 arg #2/3 is reliability
2016-10-22 23:22:12.023181 [ERR] mod_lcr.c:2089 Unable to load lcr  config file
2016-10-22 23:22:12.023181 [CRIT] switch_loadable_module.c:1447 Error Loading module /usr/local/freeswitch/mod/mod_lcr.so
**Module load routine returned an error**

我查看了源代码“mod_lcr.c”，但看不到实际的错误是什么。它清楚地加载配置并执行函数“lcr_load_config”的一部分，从上面记录到控制台的内容可以看出，但在我无法清楚识别的地方出现错误。

这似乎与没有为此模块正确定义数据库有关。在 mod_lcr.c 的第 1056 行，它应该在读取配置的“设置”xml 标签后将数据源名称写入日志，但它没有。设置标签确实存在 - 请参阅下面的配置外观。但它没有设置“globals.odbc_dsn”变量。

“mod_lcr”的 Freeswitch 文档在这一点上非常吝啬，只是说

“编辑配置文件和数据库连接信息的默认配置 /usr/local/freeswitch/conf/autoload_configs/lcr.conf.xml”

但是我需要在该配置文件中添加什么？

默认情况下，在我的安装中它包含：

<settings>
  <param name="odbc-dsn" value="$${dsn_system}"/>
</settings>

我将 lcr、carriers、carrier_gateway 表添加到数据库“freeswitch”和“fusionpbx”中。没有变化，仍然是同样的错误。

任何想法这里可能有什么问题？

ASA 5500 防火墙中的 SIP 检查仅针对端口 5060 上的流量启动是否正确？在 Cisco Docs - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation上有一些暗示，虽然不是 100% 确定的-firewalls/82446-enable-voip-config.html#sip。

当我的 IP PBX 配置为在 5060 以外的另一个端口上接收入站呼叫时，我无法让音频正常工作。我使用的 IP PBX 是具有内置 SBC 的 SIP 代理，它要求将入站流量发送到端口5080. IP PBX 和 ITSP 之间的流量通过 ASA 5505 防火墙（这是老一代）。

呼入电话确实连接，但我有单向音频。RTP 不会从外部流向内部。（出站呼叫没有问题，使用 2 路音频一切正常 - 但它们是通过目标端口 5060 发送的）。如果 ASA 由于端口 5080 不同而无法启动 SIP 检查，这将是有意义的。

但真的是这样吗？如果是这样，我可以在某处配置 ASA 应该寻找的 SIP 端口吗？或者有什么解决方法吗？（我可能可以打开所有入站 RTP 端口......但我想避免这种情况）

为了更清楚地说明这一点-实际上，ITSP 在端口 5060 上尽职地向 ASA 发送入站呼叫。我的静态 NAT 规则将端口从 5060 转换为 5080。根据 Cisco 文档，SIP 检查是在 IP 标头被重写之前完成的，所以“sip 检查”应该看到端口 5060。有人对此有决定性的答案吗？我自己无法测试不同的场景，因为 PBX 根本不允许 5060，所以我没有机会进行反测试。

这是一个古老的数据，在双主模式下的 DRBD 上，不可能在 Linux 上使用像 ext4 这样的非集群感知文件系统。

例如，正如 Linbit 在其手册“Dual Primary - 三思而后行”中所述：

DRBD 将节点 A 的更改复制到节点 B，反之亦然。
它更改物理存储设备的内容。但是 - 由于 DRBD 驻留
在提到的 Ext4 文件系统下，物理磁盘上的文件系统
节点 A 不会注意到来自节点 B 的更改（反之亦然）。
此过程称为并发写入。从现在开始，实际内容
存储设备的大小与那里的文件系统认为的不同。
文件系统已损坏。”

我的问题是 - 为什么会这样？

因为，如果该文件系统的元数据存储在同一个 DRBD 设备上，那么任何像上面描述的变化都会在两个 DRBD 节点之间同步，所以两端的文件系统（由数据 + 元数据组成） ，不是吗？）完全同步。确实，节点 1 写入的内容已被节点 2 覆盖，但如果我在节点 1 上发出“dir”命令，我会看到除了刚刚复制的节点 1 之外还有另一个文件。简单的共享文件夹（例如 Windows CIFS 共享）也会发生同样的情况。这不会导致文件系统损坏。

那么问题出在哪里？为什么每个人都说文件系统会损坏？这是否意味着 ext4 文件系统不会将元数据存储在实际设备本身上，而是将其存储在其他地方，例如根文件系统中？根据我在 ext4 FS 内部的信息，情况并非如此。（我不得不说我还没有深入了解 ext4）。

但它或多或少应该是这样的：

Node1 将一个新文件写入块 34098（并更新目录条目）：

节点 1
 - 目录条目：/data/myfile1.txt 34098
 -----> 块 34098 包含：myfile1.txt

在“同时”，Node2 将以下内容写入块 34098。它永远不会“同时”，所以我们假设是当 DRBD 刚刚完成上述同步时。

节点2
 - 目录条目：/data/other.txt 34098
 -----> 块 34098 包含：other.txt

DRBD 现在应该再次将块 34098 同步回 node1，包括目录条目和块 34098。

除了将文件“other.txt”写入块 34098 之外，node2 上的文件系统还将更新包含指向块 34098 的目录条目（只是另一个文件）的块。所以它应该始终同步，或者不同步?

我有一台 CentOS 服务器，我想在其上设置 NTP 客户端以获得服务器的准确时间。服务器位于本地子网上，NAT 在 ASA 5505 防火墙后面，充当 NAT 路由器，然后直接连接到互联网 DSL 调制解调器，没有其他路由器。

问题是 CentOS 服务器上的 NTP 客户端永远无法与我选择的任何 NTP 服务器同步。但是，将 ASA 5505 设置为 NTP 客户端完全可以正常工作。在 CentOS 服务器上使用相同的 IP 地址仍然无法同步，即使等待数小时也是如此。

ntp.conf 是：

限制 127.0.0.1
限制 -6 :: 1

服务器 127.127.1.0 # 本地时钟
软糖 127.127.1.0 第 10 层

漂移文件/var/lib/ntp/漂移

密钥/etc/ntp/keys

服务器 89.109.251.21
服务器 176.9.47.150
服务器 63.15.238.180

使用 ntpq 告诉我这些服务器都没有被访问（虽然至少有两个服务器可以随时从 ASA 访问，所以它们没问题）：

同行
     remote refid st t when poll reach delay offset 抖动

*本地（0）.LOCL。10升 25 64 377 0.000 0.000 0.001
 89.109.251.21.初始化。16 u - 1024 0 0.000 0.000 0.000
 odin.tuxli.ch .INIT。16 u - 1024 0 0.000 0.000 0.000
 63.15.238.180.初始化。16 u - 1024 0 0.000 0.000 0.000

目前显示.INIT。在 refid 上，大约需要一个小时才能变成其他东西，但“到达”计数器仍然保持在 0。

“as”命令给出以下内容：

ind assID status  conf reach auth condition  last_event cnt

  1 40263 9614 是 是 没有 sys.peer 可达 1
  2 40264 8000 是 是 无 拒绝
  3 40265 8000 是 是 无 拒绝
  4 40266 8000 是 是 无 拒绝

这即使在 24 小时后也不会改变，它总是“拒绝”。

使用“rv”查询总是得到响应“peer_unfit”和“peer_stratum”，这是自然的，因为层一直保持在 16。

听起来像是网络问题，但我没有找到问题所在。

我在 ASA 中没有任何规则限制或允许 NTP 端口 123。但理论上我不需要它——对于 UDP，防火墙应该知道回复数据包是相关的/已建立的，所以它应该让它通过，或者我在这里错了？

或者问题是否与某些身份验证配置有关 - 配置中的 ntp 密钥行是否与它有任何关系？

编辑：防火墙 ASA 5505 配置（缩写）：

ASA 版本 8.2(5)
！
名字
！
接口 Ethernet0/0
 交换端口访问 vlan 2
！
接口 Ethernet0/1
！
接口 Ethernet0/2
！
接口 Ethernet0/3
！
接口 Ethernet0/4
！
接口 Ethernet0/5
 交换端口访问 vlan 3
！
接口 Ethernet0/6
 交换端口访问 vlan 3
！
接口 Ethernet0/7
 交换端口访问 vlan 3
！
接口 Vlan1
 nameif 里面
 安全等级 100
 IP 地址 10.111.11.251 255.255.255.0
！
接口 Vlan2
 名字如果在外面
 安全级别 0
 IP 地址 192.168.1.2 255.255.255.252
！
接口 Vlan3
 无转发接口 Vlan1
 名称如果DMZ
 安全等级 50
 IP 地址 192.168.240.254 255.255.255.0
！
！
ftp模式被动
时钟时区 CEST 1
时钟夏令时 CEST 循环最后一个星期日 3 月 2:00 最后一个星期日 10 月 2:00
对象组网络 XenServer
 网络对象主机 192.168.240.240
 网络对象主机 192.168.240.241
 网络对象主机 192.168.240.242
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq www
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq https
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq smtp
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq ftp
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq ftp 数据
访问列表 MAILSERVER 扩展许可 icmp 任何任何回显回复
访问列表 MAILSERVER 扩展拒绝 ip 任何任何日志
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.231 eq 10000
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.231 eq https
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.253 eq 10000
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.253 eq https
访问列表 NEPLAN 扩展许可 tcp 任何对象组 XenServer eq https
访问列表 NEPLAN 扩展许可 tcp 任何对象组 XenServer eq ssh
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.231 eq www
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.238 eq www
访问列表互联网扩展许可 ip 192.168.240.0 255.255.255.128 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.136 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.230 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.220 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.221 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.222 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.210 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.211 任何
访问列表 INTERNET 扩展许可 icmp 任何任何回显回复
访问列表 INTERNET 扩展许可 ip 对象组 XenServer 任何
访问列表 INTERNET 扩展拒绝 ip 任何任何日志
mtu在1500以内
mtu 1500以外
mtu DMZ 1500
icmp 无法到达的速率限制 1 突发大小 1
arp 超时 14400
全局（外部）91 接口
全局 (dmz) 92 接口
nat（内部）92 10.111.11.0 255.255.255.0
nat (dmz) 91 192.168.240.0 255.255.255.0
静态（dmz，外部）tcp 接口 https 192.168.240.136 https 网络掩码 255.255.255.255
静态（dmz，外部）tcp 接口 smtp 192.168.240.136 smtp 网络掩码 255.255.255.255
静态（dmz，外部）tcp 接口 ftp 192.168.240.136 ftp 网络掩码 255.255.255.255
静态（dmz，外部）tcp 接口 ftp-data 192.168.240.136 ftp-data 网络掩码 255.255.255.255
静态（dmz，外部）tcp 接口 www 192.168.240.136 www 网络掩码 255.255.255.255
access-group NEPLAN in interface inside 里面
外部接口中的访问组 MAILSERVER
接口 dmz 中的访问组互联网
外部路线 0.0.0.0 0.0.0.0 192.168.1.1 1

ntp 服务器 89.109.251.21
ntp 服务器 176.9.47.150
ntp 服务器 63.15.238.180

网络VPN

！
类映射 inspection_default
 匹配默认检查流量
！
！
策略映射类型检查 dns preset_dns_map
 参数
  消息长度最大客户端自动
  最大消息长度 512
政策地图 global_policy
 类检查_default
  检查 dns preset_dns_map
  检查 ftp
  检查 h323 h225
  检查 h323 ras
  检查 ip 选项
  检查 netbios
  检查 rsh
  检查 rtsp
  检查瘦
  检查esmtp
  检查 sqlnet
  检查 sunrpc
  检查 tftp
  检查 sip
  检查 xdmcp
！
服务策略 global_policy global
提示主机名上下文
没有回拨匿名报告
给家里打电话
 简介 CiscoTAC-1
  没有活动
  目的地址 http https://tools.cisco.com/its/service/oddce/services/DDCEService
  目标地址电子邮件 [email protected]
  目的地传输方法 http
  订阅警报组诊断
  订阅警报组环境
  每月定期订阅警报组库存
  每月定期订阅警报组配置
  每天定期订阅警报组遥测
密码校验和：590d5cd7306d6a21eb875098d3b33661
： 结尾
NEP-ASA-SL20-1#

NTP 有问题的服务器是 192.168.240.240 和 192.168.240.241（网络对象组 XenServers - 这是一个 XenServer DomU。已经尝试过另一个独立服务器 - 同样的问题，所以它似乎与 Xen 无关）。