Перенести профили
Victor Sudakov
На сервере win2003 sp1 необходимо перенести roaming profiles с одного
диска на другой. Если делать из-под администратора домена
xcopy f:\home e:\home /E /O
то после копирования нескольких файлов получаю "access denied". Что в
принципе логично, в профиль пользователя даже администратор заглянуть
не может.
А как быть?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Dmitry Ermolaev
30 авг 10 22:14, Victor Sudakov wrote to All:
VS> то после копирования нескольких файлов получаю "access denied". Что в
VS> принципе логично, в профиль пользователя даже администратор заглянуть
VS> не может.
Это в домене так? У меня в рабочей группе администратор может с профилями
пользователей что угодно делать...
С наилучшими
Дмитpий Ермолаев - "er...@fligel.org", ICQ 20989963
np: Jorn - Fool for You Loving. === 2007 "Unlocking the Past"
Victor Sudakov
VS> то после копирования нескольких файлов получаю "access denied". Что в
VS> принципе логично, в профиль пользователя даже администратор заглянуть
VS> не может.
DE> Это в домене так? У меня в рабочей группе администратор может с
DE> профилями пользователей что угодно делать...
Скорее всего дело не в домене, а в том факте, что профили перемещаемые. Мне
нужно перенести на другой диск серверные копии перемещаемых профилей.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Dmitry Ermolaev
02 сен 10 09:21, Victor Sudakov wrote to Dmitry Ermolaev:
VS>> то после копирования нескольких файлов получаю "access denied".
VS>> Что в принципе логично, в профиль пользователя даже администратор
VS>> заглянуть не может.
DE>> Это в домене так? У меня в рабочей группе администратор может с
DE>> профилями пользователей что угодно делать...
VS> Скорее всего дело не в домене, а в том факте, что профили
VS> перемещаемые. Мне нужно перенести на другой диск серверные копии
VS> перемещаемых профилей.
Как-то это неправильно. Администратор должен иметь все права...
Victor Sudakov
Интересно, что на /400 твои ответы вижу, а в нативной фидошке нет. Приходится
copy/paste в деда делать.
VS> Скорее всего дело не в домене, а в том факте, что профили
VS> перемещаемые. Мне нужно перенести на другой диск серверные копии
VS> перемещаемых профилей.
DE> Как-то это неправильно. Администратор должен иметь все права...
Это вопрос скорее идеологический. Насколько я понимаю, в винде отсутствие
всесильного рута является фичей и предметом гордости Микрософта, а также
основанием для разных сертификаций по ИБ.
Кстати проблему переноса я таки решил с помощью ntbackup. Забэкапил весь
c:\home и развернул на другой диск с восстановлением прав. Видимо ntbackup
работает как-то в обход прав, как юниксовый dump (но это только моё
предположение).
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Dmitry Ermolaev
03 сен 10 13:01, Victor Sudakov wrote to Dmitry Ermolaev:
DE>> Как-то это неправильно. Администратор должен иметь все права...
VS> Это вопрос скорее идеологический. Насколько я понимаю, в винде
VS> отсутствие всесильного рута является фичей и предметом гордости
VS> Микрософта, а также основанием для разных сертификаций по ИБ.
Оно конечно, но создавать проблемы админам (при том же бекапе), а через них -
и пользователям... Hеправильно это. 8-)
VS> Кстати проблему переноса я таки решил с помощью ntbackup. Забэкапил
VS> весь c:\home и развернул на другой диск с восстановлением прав. Видимо
VS> ntbackup работает как-то в обход прав, как юниксовый dump (но это
VS> только моё предположение).
Ага. А я им не пользуюсь. Если что - придется, значит. 8-)
С наилучшими
Дмитpий Ермолаев - "er...@fligel.org", ICQ 20989963
np: The Law - Missing You Bad Girl. === 1991 "The Law"
Andrew Kant
Friday September 03 2010 10:31, Dmitry Ermolaev wrote to Victor Sudakov:
VS>> Это вопрос скорее идеологический. Hасколько я понимаю, в винде
VS>> отсутствие всесильного рута является фичей и предметом гордости
VS>> Микрософта, а также основанием для разных сертификаций по ИБ.
DE> Оно конечно, но создавать проблемы админам (при том же бекапе), а через
DE> них - и пользователям... Hеправильно это. 8-)
А механизм контроля доступа и придумали только для того, чтоб создавать
проблемы. В данном случае есть просто админы, есть админы бэкапа, и вот они
могут иметь разные права. Как настроишь - так и будет, и это правильно.
Если мешает - отключай и давай всё всем. Хочешь, чтоб админы не могли смотреть
данные пользователя - не давай им эту возможность. Система должна быть гибкой,
чтоб иметь возможность реализовать любой сценарий.
Good bye!
Andrew
Vlad Dengin
Привет Victor!
Victor Sudakov пишет All 30 августа 2010, около 22:14 c такими словами:
VS> Hа сервере win2003 sp1 необходимо перенести roaming profiles с одного
VS> диска на другой. Если делать из-под администратора домена
VS> xcopy f:\home e:\home /E /O
VS> то после копирования нескольких файлов получаю "access denied". Что в
VS> принципе логично, в профиль пользователя даже администратор заглянуть
VS> не может.
VS> А как быть?
Если профиль это есть файлы,то скопировать их может любой кто имеет на них
права и если файлы не держутся операционкой..
Отсюда,у тебя либо NTFS разрешения не позволяют тебе получить доступ к файлам
либо этот профиль используется системой в данный момент.
В случае NTFS,делаешь себя владельцем,потом добавляешь себя в разрешения.
Во втором имеешь доступ к винту со сторонней системы,и компируешь все что
хочешь. (опять таки не забыв про NTFS безопасность)
Счастливо
Влад.
Yuri Myakotin
Friday September 03 2010 15:22, Dmitry Ermolaev wrote to Andrew Kant:
DE> Это все хорошо, но кто даст права админам на что-то, если у админов
DE> нет доступа к тому, на что надо дать права? "Кто бреет брадобрея?" 8-)
Take ownership с последующим изменением прав на нужные тебе - кто-то отменил?
See all in Hell,
Yuri
Dmitry Ermolaev
03 сен 10 11:29, Andrew Kant wrote to Dmitry Ermolaev:
AK> А механизм контроля доступа и придумали только для того, чтоб
AK> создавать проблемы. В данном случае есть просто админы, есть админы
AK> бэкапа, и вот они могут иметь разные права. Как настроишь - так и
AK> будет, и это правильно. Если мешает - отключай и давай всё всем.
AK> Хочешь, чтоб админы не могли смотреть данные пользователя - не давай
AK> им эту возможность. Система должна быть гибкой, чтоб иметь возможность
AK> реализовать любой сценарий.
Это все хорошо, но кто даст права админам на что-то, если у админов нет
доступа к тому, на что надо дать права? "Кто бреет брадобрея?" 8-)
С наилучшими
Дмитpий Ермолаев - "er...@fligel.org", ICQ 20989963
np: Finis Tasby - I Just Got To Know. === 1998 "Jump Children"
Andrew Kant
Friday September 03 2010 14:22, Dmitry Ermolaev wrote to Andrew Kant:
AK>> А механизм контроля доступа и придумали только для того, чтоб
AK>> создавать проблемы. В данном случае есть просто админы, есть админы
AK>> бэкапа, и вот они могут иметь разные права. Как настроишь - так и
AK>> будет, и это правильно. Если мешает - отключай и давай всё всем.
AK>> Хочешь, чтоб админы не могли смотреть данные пользователя - не
AK>> давай им эту возможность. Система должна быть гибкой, чтоб иметь
AK>> возможность реализовать любой сценарий.
DE> Это все хорошо, но кто даст права админам на что-то, если у админов нет
DE> доступа к тому, на что надо дать права? "Кто бреет брадобрея?" 8-)
Hет доступа это не значит нет возможности получить доступ. Take Ownership,
после этого можно назначить права себе. Hо это протоколируемая операция, то
есть будет видно, что админ пытался влезть. Правда, и с этим тоже можно
бороться - например снэпшотами с последующим откатом на уровне дисковой системы
:_)
Good bye!
Andrew
Dmitry Ermolaev
03 сен 10 15:27, Yuri Myakotin wrote to Dmitry Ermolaev:
DE>> Это все хорошо, но кто даст права админам на что-то, если у
DE>> админов нет доступа к тому, на что надо дать права? "Кто бреет
DE>> брадобрея?" 8-)
YM> Take ownership с последующим изменением прав на нужные тебе - кто-то
YM> отменил?
То есть, можно все-таки получить админу доступ к пользовательским профилям. Я,
собственно, так и думал (и даже знал 8-)), но Витя-то сказал, что нельзя...
С наилучшими
Дмитpий Ермолаев - "er...@fligel.org", ICQ 20989963
np: James Cotton - Superharp. === 1984 "High Compression"
Andrew Kant
Friday September 03 2010 15:41, Dmitry Ermolaev wrote to Yuri Myakotin:
DE>>> Это все хорошо, но кто даст права админам на что-то, если у
DE>>> админов нет доступа к тому, на что надо дать права? "Кто бреет
DE>>> брадобрея?" 8-)
YM>> Take ownership с последующим изменением прав на нужные тебе -
YM>> кто-то отменил?
DE> То есть, можно все-таки получить админу доступ к пользовательским
DE> профилям. Я, собственно, так и думал (и даже знал 8-)), но Витя-то
DE> сказал, что нельзя...
Hеправда. Он сказал другое.
Good bye!
Andrew
Victor Sudakov
03 Sep 10 14:15, you wrote to me:
VS>> Hа сервере win2003 sp1 необходимо перенести roaming profiles с
VS>> одного диска на другой. Если делать из-под администратора домена
VS>> xcopy f:\home e:\home /E /O то после копирования нескольких
VS>> файлов получаю "access denied". Что в принципе логично, в профиль
VS>> пользователя даже администратор заглянуть не может.
VS>> А как быть?
VD> Если профиль это есть файлы,то скопировать их может любой кто имеет на
VD> них права и если файлы не держутся операционкой.. Отсюда,у тебя либо
VD> NTFS разрешения не позволяют тебе получить доступ к файлам
Совершенно верно. Права на серверные копии перемещаемых профилей даже на чтение
- только у их владельцев, и в первом абзаце квоты я об этом написал.
VD> В случае NTFS,делаешь себя владельцем,
После чего roaming profiles перестают работать.
Про политику "Не проверять собственность пользователя перемещаемого профиля" я
в курсе, но включать её не предлагать.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Victor Sudakov
03 Sep 10 15:27, you wrote to Dmitry Ermolaev:
DE>> Это все хорошо, но кто даст права админам на что-то, если у
DE>> админов нет доступа к тому, на что надо дать права? "Кто бреет
DE>> брадобрея?" 8-)
YM> Take ownership с последующим изменением прав на нужные тебе - кто-то
YM> отменил?
Для обсуждаемой задачи неприемлемо. Либо потом придется как-то восстанавливать
ownership на сотнях каталогов. mtree под виндой нету, к сожалению.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Vlad Dengin
Привет Victor!
Victor Sudakov пишет Vlad Dengin 04 сентября 2010, около 13:17 c такими
словами:
VD>> В случае NTFS,делаешь себя владельцем,
VS> После чего roaming profiles перестают работать.
Вернуть потом владельца из под нужного владельца неполучится? :))
Счастливо
Влад.
Vlad Dengin
Привет Victor!
Victor Sudakov пишет Vlad Dengin 04 сентября 2010, около 13:17 c такими
словами:
VD>> В случае NTFS,делаешь себя владельцем,
VS> После чего roaming profiles перестают работать.
VS> Про политику "Hе проверять собственность пользователя перемещаемого
VS> профиля" я в курсе, но включать её не предлагать.
Это еще почему?
Обоснуй. :)
Мегашифра? Фсб? Хакеры?
Счастливо
Влад.
Victor Sudakov
04 Sep 10 16:37, you wrote to me:
VD>>> В случае NTFS,делаешь себя владельцем,
VS>> После чего roaming profiles перестают работать.
VD> Вернуть потом владельца из под нужного владельца неполучится? :))
Получится трудоемкая ручная работа, если пользователей хотя бы несколько
десятков.
Аналогов mtree (позволяет быстро сохранить всю информацию о правах и владельцах
в файл-спецификацию, а потом по спецификации восстановить права, подробнее см.
http://www.freebsd.org/cgi/man.cgi?query=mtree) под Windows я не знаю.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Victor Sudakov
04 Sep 10 16:46, you wrote to me:
VD>>> В случае NTFS,делаешь себя владельцем,
VS>> После чего roaming profiles перестают работать.
VS>> Про политику "Hе проверять собственность пользователя
VS>> перемещаемого профиля" я в курсе, но включать её не предлагать.
VD> Это еще почему?
VD> Обоснуй. :)
VD> Мегашифра? Фсб? Хакеры?
"This behavior might permit an individual to create another user's roaming
profile folder in advance and to set permissions that could allow the creator
of the folder to visit the folder later. The creator might then be able to
modify the user's roaming user profile, or to deny access to the legitimate
user."
с сайта Микрософта.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Andrew Kant
Saturday September 04 2010 19:47, Victor Sudakov wrote to Vlad Dengin:
VD>>>> В случае NTFS,делаешь себя владельцем,
VS>>> После чего roaming profiles перестают работать.
VD>> Вернуть потом владельца из под нужного владельца неполучится? :))
VS> Получится трудоемкая ручная работа, если пользователей хотя бы несколько
VS> десятков.
VS> Аналогов mtree (позволяет быстро сохранить всю информацию о правах и
VS> владельцах в файл-спецификацию, а потом по спецификации восстановить
VS> права, подробнее см. http://www.freebsd.org/cgi/man.cgi?query=mtree) под
VS> Windows я не знаю.
Глянь на http://www.ntfs.com/ntfs-permissions-restoring.htm
Good bye!
Andrew
Dmitry Ermolaev
04 сен 10 20:47, Victor Sudakov wrote to Vlad Dengin:
VD>> Вернуть потом владельца из под нужного владельца неполучится? :))
VS> Получится трудоемкая ручная работа, если пользователей хотя бы
VS> несколько десятков.
VS> Аналогов mtree (позволяет быстро сохранить всю информацию о правах и
VS> владельцах в файл-спецификацию, а потом по спецификации восстановить
VS> права, подробнее см. http://www.freebsd.org/cgi/man.cgi?query=mtree)
VS> под Windows я не знаю.
А ведь что-то было...
Это заодно тест. 8-)
С наилучшими
Дмитpий Ермолаев - "er...@fligel.org", ICQ 20989963
np: James Blunt - Out Of My Mind. === 0 "Back To Bedlam"