Windows server 2003 как ограничить копирование файлов по расширению?

19 ответов на вопрос “Windows server 2003 как ограничить копирование файлов по расширению?”

  1. GOZIC Ответить

    Перед тем, как приступить к практической части нашей статьи, необходимо усвоить немного теории. А именно базовые принципы, которые должны лежать в основе вашей политики резервного копирования. Многие начинающие админы путают резервное копирование с обеспечением отказоустойчивости, думая что наличие “зеркала” или RAID5 избавляет их от необходимости делать резервные копии. Но это не так. Отказоустойчивость предупреждает потерю данных в случае аппаратных сбоев, никак при этом не защищая от программных и человеческого фактора. Сбой в программе способен разрушить БД сразу на всех дисках RAID, то же самое произойдет и с ошибочно удаленными данными.
    Как видим, резервное копирование никоим образом не заменяет и не дополняет необходимость обеспечения отказоустойчивости, а является независимой операцией, преследующей совершенно иные цели. А именно обеспечить сохранность данных от логических ошибок и человеческого фактора.
    Ответом на следующий вопрос должен быть перечень данных подлежащих резервному копированию, частота создания резервных копий и период в течении которого они должны хранится. Для одних данных будет достаточно еженедельного копирования, для других потребуется ежедневное. Для оперативно меняющихся и активно используемых данных вполне хватает одной резервной копии, для других, когда ошибка может быть замечена по прошествии более длительного периода времени желательно иметь резервные копии за период превышающий время обнаружения ошибки. При этом следует соблюдать “золотую середину”, помня что резервные копии “продукт скоропортящийся” и устанавливать разумные сроки. Например, для активно использующейся базы 1С резервная копия месячной давности уже не представляет особой практической ценности, а только занимает место на диске.
    Ну и последний вопрос, где хранить резервные копии. На наш взгляд наиболее оптимально использовать внешний жесткий диск подключенный через USB или eSATA. И безусловно не стоит хранить резервные копии на одном логическом диске с основными данными, хотя ниже, в практическом примере мы поступим именно так. Но одно дело пример, для ознакомления с технологией, а совсем другое ее применение в производственных целях. Будьте благоразумны, не подвергайте себя неоправданным рискам.
    На этом закончим с теорией и перейдем к практике. Для решения поставленной задачи мы будем использовать штатные инструменты предоставляемые нам операционной системой. Это позволит избежать необоснованных расходов на дополнительное ПО и повысит надежность системы в целом (мы считаем что каждое лишнее приложение на сервере вносит дополнительный риск сбоев). Да и зачем изобретать велосипед, когда все уже придумано до нас.
    Пуск – Стандартные – Служебные – Архивация данных. В открывшемся в режиме мастера приложении последовательно выбираем: Архивация файлов и параметров, затем Предоставить возможность выбора объектов для архивации.
    В следующем окне выбираем файлы и папки для которых мы хотим создать резервные копии. Не стоит пытаться объять необъятное и одним махом архивировать все данные. Более разумно создать отдельные задания для каждого типа данных, это позволит более гибко управлять как параметрами архивации, так и восстановления, а также избежать таких ситуаций, когда вместе с нужными документами случайно “восстановили” ненужные, уничтожив результат труда за последний день / несколько дней / неделю. Далее предстоит указать месторасположение и наименование архива, после чего с основными настройками будет закончено.

    Но не спешите жать кнопку Готово. Самое время перейти к настройке дополнительных параметров.
    На этом этапе мы можем выбрать тип архивации в зависимости от типа данных и наших требований. Так как в нашем примере архивируются базы 1С, то мы выбрали Обычный способ, так как при активной работе затрагиваются практически все файлы БД. Для папки с офисными документами более подойдет Добавочный способ, позволяющий архивировать только вновь измененные или созданные файлы. Следующим шагом следует указать: добавить ли данный архив к существующим или перезаписать его. В нашем случае была выбрана опция перезаписать, в активно используемой 1С базе ошибки как правило выявляются сразу и необходимости иметь множество резервных копий как правило нет.

    Наконец мы добрались до логического завершения, настройки расписания для резервного копирования. Мастер архивации предложит нам выполнить архивацию немедленно или создать задание для планировщика. Естественно, что нас интересует последний вариант. Мы настроили ежедневное выполнение задания в 20:00, когда в офисе гарантированно никого не будет. Затем следует перейти в Панель управления – Назначенные задания и щелкнув правой кнопкой мыши выбрать Выполнить.
    Если все сделано правильно мы увидим окно как на рисунке выше и в папке для резервных копий должен появится файл архива.
    Восстановление данных можно выполнить двойным щелчком по файлу архива, либо запустив Архивацию данных и выбрав вручную необходимый файл. Мастер последовательно предложит нам выбрать файлы для восстановления (не обязательно восстанавливать весь архив целиком), место для восстановления (есть возможность восстановить файлы по их изначальному расположению либо в отдельную папку) и, в дополнительных опциях, настройки перезаписи уже существующих файлов. Для баз 1С, во избежание коллизий и разрушения БД, следует выбирать полную перезапись, для архива документов, в случае удаления отдельных файлов можно восстановить только их, не затрагивая существующие.
    Мы рассмотрели самый простой способ, организацию ежедневного копирования с перезаписью архива, попробуем усложнить условия. Допустим нам требуется ежедневное копирование с сохранением архивов за неделю. Ничего сложного в этом нет, все решается на уровне планировщика. Для начала откроем и изменим существующее задание.

  2. love 4aek c limonom Ответить


    Допустим, сотрудник Петя увольняется со скандалом, и вам нужно сделать так, чтобы он ничего напоследок не поломал. Или Вася переводится в другой отдел, и ему не следует больше копаться в файлах своего бывшего подразделения.
    Теперь самое интересное: нужно каким-то образом вспомнить, к каким конкретно данным у этих товарищей был доступ, и что следует прикрыть в первую очередь.
    Если с доступом к приложениям все очевидно и просто, то о файловых ресурсах такого не скажешь.
    Наш корпоративный файловый сервер представлял собой достаточно печальное зрелище. С одной стороны — накопленные за годы объемы данных, а с другой — наследие в виде нигде не учтенных прав доступа, предоставленных предыдущими поколениями администраторов. Все это происходило еще до внедрения системы заявок на доступ и оперативно уже никак не разобраться.
    В то время мы рассмотрели несколько программ для сбора информации о правах доступа. Но они очень долго обрабатывали тонны данных файлового сервера, да и формируемые отчеты требовали дополнительной доработки напильником.
    Вот что мы пробовали:
    Sysinternals AccessEnum (Freeware)
    Netwrix Change Notifier for File Servers (Freeware)
    Netwrix Auditor for File Servers
    ScriptLogic Security Explorer
    Ревизор 1 ХР
    В итоге, на Powershell был написан скрипт для сбора данных через Get-Acl и последующего автоматического формирования отчета по форме, согласованной со службой безопасности. Но сразу всплыл ряд минусов:
    Слишком неудобно каждый раз запускать скрипт и часами ждать, пока сформируется матрица доступов;
    Не подошел вариант ведения учета в виде бумажных заявок. Главным образом, из-за отсутствия механизма автоматического поиска;
    Использование разных систем для ведения учета чревато дополнительной работой по периодической проверке и обновлению данных.
    Лучшим решением проблемы стала организация структурированной системы доступов на основе ресурсных групп.
    О ресурсных группах
    Обычно администраторами применяются два метода предоставления доступа:
    Непосредственно учетной записи пользователя. Если не вести подробный протокол назначения прав, то быстро возникнет неразбериха;
    Права на группу ролевого доступа. Тот же недостаток, что и в предыдущем случае. К тому же, без протокола назначения прав сложно понять, используется ли конкретная группа кем-нибудь, или может быть удалена.
    В качестве альтернативного и более удобного варианта можно использовать модель ресурсных групп. Это обычные группы безопасности, которые отвечают следующим требованиям:
    Предоставляют права доступа только к одному сетевому ресурсу или подкаталогу, которые могут иметь несколько групп доступа с разными правами;
    Могут быть вложенными;
    При необходимости предоставляют права только к каталогам. Желательно избегать назначения прав на отдельные файлы.
    Нарушение этих требований разрушит всю концепцию структурированной системы доступов.
    Копнем чуть глубже
    На первый взгляд, система доступов на основе ресурсных групп избыточна и требует дополнительных манипуляций при создании общих сетевых ресурсов и подкаталогов с собственными правами. Но все это компенсируется простотой управления правами и возможностью делегирования полномочий ответственным сотрудникам без административных прав на сервере или в домене.
    За годы использования такой системы я ни разу не пожалел о потраченном на подготовку времени. Теперь можно в любой момент посмотреть членство пользователя в группах и сразу определить, куда у него есть доступ.
    Структурированная система доступов ориентирована на файловые серверы Windows, но без проблем может быть адаптирована и под другие ОС.

    Структурированная система доступов на основе ресурсных групп — это не вариация на тему ролевого доступа, а его важный элемент
    Как выдаются “пропуска”
    Доступ к общему сетевому ресурсу или подкаталогу предоставляется только соответствующим ресурсным группам — локальным “Administrators” и “System”. Каждый общий каталог должен рассматриваться как корень дерева, в котором все доступы наследуются подкаталогами от родительской папки. Права доступа на подкаталог могут быть предоставлены независимо от прав на родительский каталог. Я буду иллюстрировать основные идеи на примере собственного сервера и его структуры папок.
    Если нужно на каком-то подуровне отключить наследование или установить запрет доступа – значит, с точки зрения информационной безопасности, структура каталогов выбрана неверно. Информация ограниченного доступа не должна размещаться на ресурсе с более широким доступом из-за риска ее компрометации.
    Глубина вложений каталогов на файловом сервере может быть произвольной. Но если часто приходится выдавать права на подкаталоги ниже 3 – 5 уровня, то такая структура станет перегруженной и потребует оптимизации.

    Имя нового файлового сервера “FILESRV1”. На файловом сервере в корне диска для данных создан каталог с именем “Shares”. Отключено наследование прав доступа от родительского каталога и ограничен доступ
    Открываемые в общий доступ каталоги будут создаваться только в папке “Shares”. Имя такого каталога должно совпадать с соответствующим именем общего файлового ресурса – например, “Public”.

    Для упорядоченного размещения данных в Active Directory создана структура организационных единиц “…\Groups\Shares…”. Организационные единицы создаются для каждого файлового сервера и общего файлового ресурса. Для подкаталогов организационные единицы не создаются
    Для примера я создал следующие ресурсные группы:
    FILESRV1-Public
    FILESRV1-Public-R
    FILESRV1-Public-W
    FILESRV1-Public-Новости-2016-R
    FILESRV1-Public-Новости-2016-W
    Последние две нужны для предоставления отдельным сотрудникам расширенных прав на каталог “2016”.

    Теперь нужно включить все это в состав группы “FILESRV1-Public”
    Пара слов о выборе имен
    В организационной единице с именем общего файлового ресурса создаются группы безопасности:
    “имя_сервера-имя_общего_файлового_ресурса” для просмотра дерева каталогов без доступа к данным;
    “имя_сервера-имя_общего_файлового_ресурса-R” для доступа к данным с правами чтения;
    “имя_сервера-имя_общего_файлового_ресурса-W” для доступа к данным с правами на чтение и запись.
    Эти группы обязательны для всех общих файловых ресурсов, в поле “описание” стоит указывать реальный сетевой путь.
    Если нужно предоставить права, начинающиеся с имени подкаталога, то в организационной единице общего файлового ресурса создаются две группы безопасности:
    “имя_сервера-имя_общего_файлового_ресурса-цепочка_имен_каталогов_разделенных_тире-R”
    “имя_сервера-имя_общего_файлового_ресурса-цепочка_имен_каталогов_разделенных_тире-W”
    Когда выдаете права, отличные от “только чтение” или “чтение и запись”, то вместо суффикса “R” или “W” используйте другую букву. Группы безопасности с особыми правами создаются только для тех каталогов, где это реально необходимо.
    Предложенные правила именования ресурсных групп позволяют уже по их именам определить каталог, к которому предоставляется доступ. Создаваемые группы нужно включать в состав общей группы с правами только на просмотр дерева каталогов.
    Для предоставления доступа по сети лучше выдавать права к общим ресурсам группе “Authenticated Users”, но можно использовать и “Domain Users” или “Everyone”. Разрешения на уровне файловой системы не позволяют получить несанкционированный доступ к данным без явного разрешения.

    На уровне файловой системы к каталогу “Public” предоставлены соответствующие права доступа для групп

    Аналогично установлены права доступа для каталога “2016”

    Никаких дополнительных действий с каталогом “Новости” выполнять не требуется
    Теперь члены групп “FILESRV1-Public-Новости-2016-R” и “FILESRV1-Public-Новости-2016-W” получат доступ только к папке “2016”, а пользователи из “FILESRV1-Public-R” и “FILESRV1-Public-W” – к общему сетевому ресурсу “\FILESRV1\Public” и всем его подкаталогам.
    Что в итоге
    Конечно, при создании ресурсов масса времени уходит на подготовку, но зато мы получаем следующие преимущества:
    Освобождаем себя от постоянных работ по предоставлению доступа с помощью делегирования этих функций ответственным сотрудникам;
    Можем в любое время посмотреть, какими правами и на какие папки обладает пользователь.
    Даже если сейчас ваш файловый сервер похож скорее на большую флешку, то через 2 — 3 года он вполне может превратиться в традиционную «файлопомойку» со всеми вытекающими проблемами.
    Если вы знаете более простые методики организации и контроля прав доступа – обязательно делитесь опытом в комментариях.

  3. Kiran Ответить

    Другие темы раздела
    Windows Server Как получать по электронной почте уведомления о сохранении исполняемых файлов в общей папке?
    http://www.cyberforum.ru/windows-server/thread1579291.html
    Здравствуйте, форумчане! Помогите разобраться…
    Я столкнулся с проблемой, настраивая фильтр блокировки файлов на Windows Server 2003 R2:
    Хочу реализовать процесс проверки и получать по электронной…
    Ошибка APPCRASH при запуске gpedit.msc в Server 2012 R2 Windows Server
    Здравствуйте. Пытаюсь зайти в Редактор локальной групповой политики в Windows Server 2012R2, захожу в редактор через команду Выполнить gpedit.msc, после нажатия ОК, открывается окно Редактора…
    Windows Server Резервное копирование рабочих станций
    Добрый день,
    Есть задача делать резервное копирование файлов пользователей с рабочих станций. Мне посоветовали её решить с помощью перемещаемых профилей. Когда я немного поюзал эту возможность -…
    Windows Server Есть ли возможность преобразовать файлы и каталоги в нижний регистр?
    Может кто-нибудь подсказать есть ли возможность в Windows Server 2008 R2 преобразовать файлы и каталоги в нижний регистр или по протоколу FTP чтобы каталоги были в нижнем регистре?
    Необходимо для…
    http://www.cyberforum.ru/windows-server/thread1578415.html
    Windows Server Server 2008 PKI и GOST r34.10-2001
    http://www.cyberforum.ru/windows-server/thread1577178.html
    Уважаемые коллеги, вопрос по PKI и центру сертификации в условиях жёстких российскихреалий.
    Заморочка такая: Windows Server 2008, установлена роль: “Certification Authority” и соответственно Root CA…
    Windows Server Нужна консультация по System Center Configuration Manager
    Уважаемые коллеги, есть ли тут среди вас знатоки систем центра?
    нужна консультация.
    Windows Server Возможно ли пробросить принтер в Windows7 виртуалку Hyper-V, и как это реализовать?
    Всем доброго времени суток.
    Имеется задача: заставить принтер Canon LBP-1120 печатать.
    Имеется инструмент:
    Windows Server 2012 R2
    Hyper-V (Windows 7 Professional x32)
    Теперь вопрос: возможно…
    Windows Server Удаленная авторизация в AD
    Добрый день! Есть серьезная проблема. Появилась потребность в подключении работников компании к корпоративным ресурсам извне с доменной авторизацией. На данный момент не могу найти ничего…
    http://www.cyberforum.ru/windows-server/thread1575912.html
    Windows Server Сервер периодически отваливается
    http://www.cyberforum.ru/windows-server/thread1575641.html
    Здравствуйте. Проблема такая: есть сервер на работе, подключен в локальную сеть, IP статический. На сервере крутятся такие роли: WEB сервер (IIS), файловый сервер и удаленное управление рабочим…
    Windows Server Как ограничить доступ пользователям к конкретным папкам?
    Проблема в следующем в системе 2 раздела:
    – C: стоит ОС
    – D: файловое хранилище (200 различных папок)
    Задача в том чтобы пользователи подключающиеся к серверу могли зайти в те папки к которым у…
    http://www.cyberforum.ru/windows-server/thread1574216.html

  4. MuDa4ok Ответить

    Похожие темы


    Принтер в домене Win 2003 не ставитьс…
    apspb
    WINDOWS
    11
    Пн 22 Янв, 2007 13:10

    Прошу совета. Замена сервера. трабл DNS.
    krilmak
    WINDOWS
    2
    Пн 22 Янв, 2007 13:00

    1c + Сервер Терминалов
    Fmouse

    6
    Пн 22 Янв, 2007 12:51

    Server 2003
    В-мир
    Информационная Безопасность
    4
    Пн 22 Янв, 2007 12:10

    Проблема с SharePoint Portal Server 2…
    WinUser
    WINDOWS
    Пн 22 Янв, 2007 11:17
    Похожие темы

  5. latter toot Ответить

    Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.
    В системах Windows помимо доменных существуют и локальные групповые политики ? управлять ими можно при помощи оснастки gpedit.msc на системах редакции Professional и выше. Часто считается, что без домена можно настраивать локальные групповые политики только для всех пользователей на компьютере. Это не совсем верно ? с выходом Windows Vista появилась возможность использовать множественную локальную групповую политику или MLGPO. Этот механизм позволяет настраивать отдельные политики для разных пользователей.
    Добраться до него можно через вызов консоли mmc: при добавлении оснастки «Управление объектами групповой политики» нажать кнопку «Обзор». Далее на вкладке «Пользователи» уже можно выбрать конкретного пользователя или группу «Администраторы» и «Не администраторы». К сожалению, управление для группы пользователей не реализовано.

    Управление групповой политикой для отдельных пользователей.
    Бывало и так, что на отдельностоящем терминальном сервере разворачивали Active Directory только для того, чтобы отдельному пользователю настроить поведение драйвера для EasyPrint. Не надо так.При добавлении доменных групповых политик стоит помнить про порядок их применения ? политика, примененная последней, будет обладать наивысшим приоритетом (да и на собеседованиях часто спрашивают).
    Итак, предположим, что у нас есть компьютер в домене и четыре групповые политики: локальная на этом компьютере; политика на подразделение, в котором находится компьютер; политика на домен и политика на лес. Порядок их применения будет следующим:
    Локальная групповая политика.
    Групповая политика сайта.
    Групповая политика домена.
    Групповая политика верхнего подразделения.
    Групповая политика дочернего подразделения.
    То есть чем ближе к объекту, тем приоритетнее, за исключением локальной групповой политики. Если надо отключить применение вышестоящих политик, то ставьте блокировку наследования.

    Блокировка наследования.
    Любую групповую политику можно условно разделить на две конфигурации ? пользователя и компьютера. Обычно политики с настройками компьютеров назначаются на подразделение, в котором находятся компьютеры. А политики с настройками пользователей ? на пользователей.
    Если надо применить настройки компьютера к подразделению с пользователями и наоборот, используют так называемое замыкание групповой политики. Например, такая настройка пригодится, когда нужно применить специфические политики к пользователям для работы на терминальных серверах.
    Работа замыкания настраивается непосредственно в политике ? «Настройка компьютера ? Административные шаблоны ? Система ? Режим обработки замыкания пользовательской групповой политики». Подробнее про механизм уже писали в статье про использование Merge\Replace в GPO. Я лишь добавлю, что режим замыкания групповой политики ? тоже частый вопрос на собеседовании.

    Настройка замыкания групповой политики.
    Физически доменные групповые политики находятся в папке SYSVOL на контроллерах домена. Папка реплицируется между контроллерами. Каждая групповая политика выглядит как папка с именем в виде GUID.

    Групповые политики домена.
    Правила фильтрации, настраиваемые через редактор групповой политики, соответствуют настройкам прав NTFS на соответствующую подпапку.
    Говоря о правилах фильтрации, нельзя не упомянуть обновление MS16-072, которое «сломало» групповые политики. Теперь для того чтобы работали правила фильтрации, надо добавлять к каждому фильтру правило «на чтение», но не «на применение» группе Domain Computers.В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:
    В корне папки находится файл GPT.ini с настройками групповой политики, такими как ее название.
    В подпапках Machine и User сидят файлы registry.pol с настройками соответствующих веток реестра.
    По пути Microsoft\Windows NT\SecEdit можно найти шаблон настроек безопасности ? GptTmpl.inf.
    В подпапке Preferences находятся предпочтения групповых политик, представляющие из себя подпапки с файлами xml.
    В подпапке Applications сидят дистрибутивы для развертывания через групповые политики.
    В папке Scripts находятся скрипты на logon\logoff для пользователя и startup\shutdown для компьютера.
    В папке Documents and Settings есть настройки перенаправления пользовательских папок.
    Наконец, в папке Adm находятся устаревшие шаблоны групповой политики.
    Подробнее про структуру можно почитать в материале Group Policy Basics, поэтому перейдем сразу к шаблонам.
    Административные шаблоны
    По сути своей административные шаблоны ? это специальные файлы с инструкциями по изменению клиентского реестра (ветки HKCU или HKLM) и настройками отображения изменяемых параметров через «Управление групповой политикой». В принципе, реестр можно менять и через «Предпочтения групповых политик». Но разница здесь не только в красивом интерфейсе.
    Способ изменения реестра
    Как ведет себя при удалении политики со стандартными настройками
    Можно ли изменить параметр вручную
    Можно ли изменить параметр через приложение
    Шаблоны
    Параметр реестра восстанавливается на значение «по умолчанию», если настройки по умолчанию есть в шаблоне


    Предпочтения политик
    Параметр реестра не изменяется
    +
    +
    Сравнение предпочтения групповых политик и административных шаблонов.
    Другими словами, настройка реестра через шаблоны групповых политик более строгая. Тогда как настройка через предпочтения групповых политик напоминает периодическое применение reg-файла. Конечно, предпочтения позволяют не только менять параметры реестра, но и довольно гибко настраиваются. Тем и ценны.
    Это актуально при изменении ветки Policies, и настраиваемое приложение должно хранить свои настройки в реестре. Простое изменение параметров через Предпочтения и Шаблоны будет работать схожим образом, только шаблоны могут оказаться удобнее.До появления Windows Vista\2008 в качестве шаблона групповых политик брали исключительно стандарт .adm. Будучи с простой структурой, которую было легко редактировать вручную, этот стандарт обладал и рядом недостатков:
    Для каждого языка приходилось создавать отдельный файл шаблона.
    Файл шаблона физически находился в папке с групповой политикой. При использовании одного и того же шаблона он сохранялся в каждую папку, что увеличивало занимаемое место и время репликации.
    Не поддерживались мультистроковые параметры и параметры QWORD.
    На замену устаревшему стандарту появился новый. Новые шаблоны представляют собой два файла: сам шаблон, не зависимый от языка ? .admx и языковой «пакет» к нему ? файл .adml. Теперь шаблоны можно «положить» в центральное хранилище, и обращаться к нему, не плодя одинаковые файлы в папке SYSVOL.
    Не обошлось без ложки дегтя ? теперь содержимое файла представляет собой популярный в индустрии формат XML. И создавать новые шаблоны в блокноте стало уже не так удобно.
    Под большинство параметров, которые могут понадобиться, шаблоны уже существуют. Кроме того, многие производители приложений выпускают свои административные шаблоны. Вот несколько примеров:
    MS Office 2016.
    FireFox и Thunderbird.
    Google Chrome.
    Adobe Acrobat и Reader.
    Каталог шаблонов для различного ПО.
    Если возникает необходимость разработать и внедрить свой административный шаблон, то самый простой вариант ? это создать старый файл .adm и сконвертировать его в admx специальной утилитой. Вариант посложнее ? начинать сразу с .admx.
    Создаем свой шаблон
    Для начала разберем простой пример. Создадим шаблон групповой политики, который позволит нам включать и выключать отображение скрытых и системных файлов, а заодно и отображение расширений.
    Сразу скажу, что это можно провернуть через «Предпочтения групповых политик» ? в параметрах панели управления ? опции папки. Но мы легких путей не ищем и заодно не хотим, чтобы параметры отображения можно было менять вручную.За необходимые нам параметры отвечают три ключа в реестре:
    Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden.
    Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt.
    Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden.

  6. NightRidersYT Ответить

    Как известно за файловым сервером необходимо следить, а что бы облегчит эту задачу, существуют специальные отчеты, которые помогают нам оперативно узнавать о таких значениях файлового сервера как: файлы по группам, файлы по владельцам, большие файлы, файлы дубликаты и другие. Так вот созданием и настройкой этих отчетов мы сегодня и займемся.
    Недавно мы с Вами научились настраивать файловый сервер, а именно настраивать квоту и блокировку файлов и теперь пришло время научиться настраивать отчеты слежения за файловым сервером. Настройка квот и блокировки файлов позволяет следить и соответственно уведомлять администратора о превышении или приближении к установленному пределу места на диске, а также о заблокированных попытках скопировать запрещенный файл, но она не позволяет узнать нам, например, о таких параметрах как: какие самые большие файлы хранит тот или иной пользователь, файлы дубликаты на файловом сервере или какие типы файлов занимают больше всего дискового пространства и много других значений, которые мы, конечно, можем узнать, но на это потребуется достаточно много времени, а с помощью отчетов мы просто ускоряем этот процесс и к тому же автоматизируем его, путем создания расписания, по которому будут создаваться эти отчеты.
    После создания отчетов и задания по их выполнению Вам останется всего лишь периодически просматривать их и все, Вы всегда будете знать, что да как у Вас на файловом сервере.
    Примечание! Настраивать отчеты мы будем на файловом сервере под управлением операционной системе Windows Server 2003.

    Настраиваем отчеты файлового сервера

    Надеюсь, Вы уже знаете, как открыть оснастку управления файловым сервером, если нет, то напомню, открываем
    Пуск->Администрирование->Управление файловым сервером
    Также Вы можете открыть данную оснастку через консоль MMC.
    И сразу чтобы не возвращаться давайте зададим папку, в которую будут складываться все наши отчеты, для этого щелкаем правой кнопкой мыши по «Диспетчер файлового сервера» и выбираем «Настроить параметры»

    Затем переходим на вкладку «Местоположения отчетов» и выбираем нужную нам папку для запланированных отчетов и для отчетов по запросу через «Обзор», для примера я выбрал диск D и там и там, Вы в свою очередь выбираете ту папку, которую Вам удобней, причем Вы можете задать разные папки. После чего жмем «ОК».

  7. Kathri Ответить

    Процессор ? он как сердце сервера, поэтому от него зависит очень много в плане производительности. Благодаря маркетологам мы знаем ? чем больше ядер и мегагерцев, тем круче. На самом деле всё не совсем так:
    Выбирайте 64-битный процессор. Современные серверные Windows не поддерживают 32-битные процессоры, да и памяти он может адресовать намного больше.
    Количество ядер не имеет большого значения. Не все приложения и сервисы могут использовать несколько ядер, и в общем случае одно ядро с большой частотой будет эффективнее, чем два с меньшей.
    Hyperthreading ? гиперпоточность ? когда одно физическое ядро процессора определяется как два логических. Функция процессора позволяет обрабатывать два разных потока на одном ядре, что в общем случае увеличивает производительность. Но бывает, что производительность наоборот снижается из-за того, что кэш процессорного ядра один.
    Кэш процессора. Тут все просто: чем он больше, тем лучше, и часто больший кэш дает большую производительность, чем частота процессора.
    Не нужно сравнивать процессоры разных поколений и производителей по частоте: скорость обработки данных зависит и от многих других факторов вроде кэша и частоты шины.
    Для Hyper-V важно, чтобы процессор поддерживал SLAT (Second Level Address Translation). В терминологии Intel возможность называется Extended Page Tables (EPT), у AMD ? Nested Page Tables (NPT). Проверить наличие этой функции процессора можно с помощью утилиты systeminfo.exe.

    Проверка процессора под требования Hyper-V.
    С оперативной памятью все довольно просто: чем она больше и быстрее, тем лучше. Чуть интереснее становится, если оперативной памяти недостаточно и системе необходимо использовать файл подкачки. Тут можно ограничиться следующими рекомендациями:
    файл подкачки стоит положить на отдельный физический диск. Чем он быстрее, тем лучше. Если такой возможности нет, то лучше разместить его на диске, к которому меньше файловых обращений;
    лучше не хранить файл подкачки на отказоустойчивом массиве вроде RAID1? он проигрывает по скорости одному диску. Хорошей идеей будет поместить файл подкачки на RAID0 или несколько файлов подкачки на разных физических дисках.

    Размещение файла подкачки на системном диске ? не лучший вариант.
    Теперь о сетевых адаптерах. Из интересных особенностей можно отметить:
    Только адаптеры с поддержкой 64-разрядных систем имеют DMA (Direct Memory Access) ? технологию прямого доступа к памяти по сети. Если нужна действительно быстрая сеть между нодами кластера ? на это стоит обратить внимание.
    Многопортовые адаптеры удобны для распределения нагрузки и отказоустойчивости. Но 2 адаптера с одним портом будут быстрее, чем один адаптер с 2 портами. Также нужно иметь в виду, что устанавливать больше сетевых адаптеров, чем ядер в сервере чревато падением быстродействия.

    HPE ProLiant DL360 Gen7 обладает изначально четырьмя сетевыми портами.
    На этом закончу небольшую вводную и перейду непосредственно к оптимизации ролей сервера. Начнем с самого простого ? с файлового сервера.
    Файловый сервер
    Обычно при установке и работе файлового сервера вопрос быстродействия не стоит. Но только до тех пор, пока на обычной файлопомойке на заводятся базы данных, чудовищные файлы Excel и им подобные «интересные» вещи. Расскажу про параметры, которые могут улучшить или ухудшить быстродействие SMB.
    Отдельно отмечу вопрос быстродействия сервера, который обрабатывает не только клиентов внутри локальной сети, но и удаленных ? например, по VPN. Лично я сталкивался с ситуацией, когда в сети на Windows XP\2003 начали появляться компьютеры на Windows 7\2008. Тогда мы столкнулись с тем, что быстродействие сети новых компьютеров оставляет желать лучшего при общении со старыми ОС. Начитавшись интернетов, выполнили на новых машинах следующий скрипт:
    netsh int tcp set global autotuning=disabled
    netsh int tcp set global autotuninglevel=disabled
    netsh int tcp set global rss=disabled chimney=disabled
    Сеть заработала, скрипт был добавлен в разворачиваемые образа систем.
    И все было хорошо, пока в сети не появился удаленный сегмент с повышенным требованием к скорости работы сети. Файлы передавались по VPN не быстрее 2 Мб/с. Проблему локализовали: оказалось, что специально для работы в LAN\WAN сетях в новых операционных системах добавили функцию autotuning. С помощью нее системы определяют скорость соединения и договариваются о размерах кадра TCP для оптимального быстродействия. Чтобы VPN работала быстро, и сервера не тормозили при обращениях к WIndows 2003, достаточно было не отключать autotuning, а ограничить его командой:
    netsh int tcp set global autotuninglevel=highlyrestricted
    Но перейдем к более специализированным параметрам.
    Помним, что изменения параметров реестра и настроек служб могут привести к чему угодно. Поэтому делаем все аккуратно.
    Начнем с тюнинга клиентов файловых серверов. За подключение к серверу SMB отвечает служба LanmanWorkstation. Большинство параметров находятся в следующей ветке реестра:
    HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters
    В большинстве своем параметры имеют тип REG_DWORD. В современных Windows управление частью настроек возможно через командлет Set-SmbClientConfiguration. Просмотреть текущие значения ? соответственно, Get-SmbClientConfiguration.

    Значения параметров клиента SMB.
    Параметры, на которые стоит обратить внимание в первую очередь при вопросах быстродействия:
    Имя параметра
    Значение по умолчанию
    Варианты значений
    За что отвечает
    Комментарий
    DisableBandwidthThrottling
    0?1
    Включение ? отключение троттлинга для сетей с высокой задержкой
    Включение параметра может повысить пропускную способность сетей с высокой задержкой (WAN)
    FileInfoCacheEntriesMax
    64
    1?65536
    Максимальное количество значений в кэше метаданных файлов
    Увеличение параметра уменьшает трафик и повышает пропускную способность сети при обращении к большому количеству файлов
    DirectoryCacheEntrySizeMax
    64
    1?65536
    Максимальный размер кэша для каталогов
    Измеряется в килобайтах
    FileNotFoundCacheEntriesMax
    128
    1?65536
    Максимальное количество значений в кэше информации о файлах
    Увеличение параметра уменьшает трафик и повышает пропускную способность сети при обращении к большому количеству файлов
    MaxCmds
    50
    1?65536
    Максимальное количество команд в сеансе
    Увеличение параметра увеличит расход памяти, но поднимет быстродействие. Только для SMB v1
    DormantFileLimit
    1023
    1?65536
    Максимальное количество файлов, которые могут быть открыты, после того как «отпущены» приложением
    ScavengerTimeLimit
    10
    0?127
    Как часто запускается «мусорщик», очищающий кэш дескрипторов файлов
    Измеряется в секундах, актуально для Windows XP\2003
    В качестве примера тюнинга, можно привести следующие значения:
    DisableBandwidthThrottling = 1;
    FileInfoCacheEntriesMax = 32768;
    DirectoryCacheEntriesMax = 4096;
    FileNotFoundCacheEntriesMax = 32768;
    MaxCmds = 32768;
    DormantFileLimit = 32768;
    ScavengerTimeLimit = 60.
    Разумеется, конкретно эти значения ? не панацея. Параметры должны подбираться индивидуально.

  8. Каменное сердце Ответить

    Ты сделал людям благое дело, но ситуация вышла из под контроля, ибо когда всем всё можно – все делают, что хотят.
    – Ограничения, установленные в прошлый раз не останавливают пользователей и они продолжают засирать файловый сервер “ёлочками” и прочим софтом.
    – Кто-то принес на работу фильм, любезно залил его в общую папку
    – Практически каждый этот фильм скопировал к себе
    – Маркетологи заполнили макетами добрую половину свободного пространства.
    – На призывы разобраться и удалить старое никто не реагирует.
    Эти и многие другие проблемы возникают от того, что зачастую за действиями пользователей на общем ресурсе не ведется наблюдение.
    Диспетчер ресурсов файлового сервера – это служба, позволяющая управлять данными и классифицировать их.
    Она предоставляет нам следующие возможности:
    – Классифицировать файлы для более эффективного управления файлами (об этом потом)
    – Управлять квотами для тома каталогов
    – Управлять файлами при помощи задач (сроки действия, шифрование).Об этом потом.
    – Блокировать файлы при помощи фильтров.
    – Просматривать отчеты хранилища.
    Он подходит для решения интересных задач хранения, например защита от шифровальщиков.
    Следует учитывать, что служба поддерживает только тома, отформатированные в NTFS.
    Управление квотами
    Квота может быть мягкая или жесткая.
    – Жесткая квота при достижении предела запрещает запись данных и формирует уведомление.
    – Мягкая квота только формирует уведомление, не ограничивая запись.
    Теперь создадим квоту на папку Отдел 1 по шаблону: квота жесткая 200мб с предупреждением пользователя.

  9. Богдан_Добрый Ответить

    Похожие темы


    Win7, Права на файл в system32/driver…
    ding
    WINDOWS
    2
    Пн 22 Июл, 2019 13:55

    большое количество статических адресо…
    Diaz.
    WINDOWS
    Пт 19 Июл, 2019 6:43

    Настройка теневого копирования
    DeniTornado
    WINDOWS
    1
    Ср 17 Июл, 2019 11:44

    Резервное копирование windows server …
    G@rry_
    WINDOWS
    19
    Пт 12 Июл, 2019 5:25
    Похожие темы

  10. Bladeraven Ответить

    Обновлено: 05.12.2016
    Опубликовано: 2016 год или раньше
    В качестве примера используется Windows Server 2012 R2. Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.
    Выбор оборудования и подготовка сервера
    Установка Windows и настройка системы
    Базовые настройки файлового сервера
    Тюнинг файлового сервера или профессиональные советы
    Настройка средств обслуживания
    Тестирование

    Шаг 1. Выбор оборудования и подготовка сервера

    В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
    Процессор может быть самый простой;
    Оперативная память также не сильно используется;
    Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.
    Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

    Дополнительные требования

    Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
    Сервер должен быть подключен к источнику бесперебойного питания;
    Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.
    Подробнее о выборе оборудования читайте статью Как выбрать сервер.

    Шаг 2. Установка Windows и настройка системы

    Установка системы

    На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 – 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.

    Настройка системы

    Проверяем правильность настройки времени и часового пояса;
    Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
    Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
    Для удаленного администрирования, включаем удаленный рабочий стол;
    Устанавливаем все обновления системы.

    Шаг 3. Базовые настройки файлового сервера

    Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

    Установка роли и вспомогательных компонентов

    Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.
    Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

    Нажимаем Управление – Добавить роли и компоненты.

    В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

    В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.
    Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:
    Службы хранения;
    Файловый сервер;

    Если данные службы не установлены, выбираем их и нажимаем Далее.
    В окне Выбор компонентов просто нажимаем Далее.
    Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

    Настройка шары (общей папки)

    Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

    В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

    Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

    Предоставляем полный доступ всем пользователям:

    * конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).
    Нажимаем OK и еще раз OK.
    Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

    В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

    Нажимаем OK и Изменить.

    Выставляем необходимые права на папку, например:

    Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!
    Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.

    Шаг 4. Тюнинг файлового сервера или профессиональные советы

    Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

    DFS

    С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
    При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
    Администратор легко сможет создать отказоустойчивую систему при необходимости.
    Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.

    Теневые копии

    Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
    Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.

    Аудит

    Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
    О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.

    Шаг 5. Настройка средств обслуживания

    Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.

    Резервное копирование

    Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.

    Мониторинг

    Мониторить стоит:
    Сетевую доступность сервера;
    Свободное дисковое пространство;
    Состояние жестких дисков.

    Шаг 6. Тестирование

    Тестирование состоит из 3-х основных действий:
    Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
    Выполнить действия анализатора соответствий рекомендациям.
    Провести живой тест работы сервиса с компьютера пользователя.

Добавить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *