среда, 30 июня 2010 г.

Формирование структуры файлового сервера крупной организации

Пару лет назад столкнулись с необходимостью стандартизировать структуру сетевых дисков на наших файловых серверах в Центральном офисе и филиалах. Для стандартизации необходимо было сделать следующее:
  1. стандартизировать директории
  2. стандартизировать права доступа к директориям
  3. закрыть доступ пользователей к изменению структуры и прав доступа к ней до определенного уровня вложенности.
 Долго размышляли над тем, как правильно сделать, и в итоге пришли в выводу что надо это делать следующим образам:
  • Структуру директорий - делать аналогично штатному расписанию до его наименьшей единицы (в нашем случае отдел). Группы и подгруппы у нас не считаются административными единицами, т.к. их руководители не несут в себе административных функций (например, не регулируют уровень заработной платы своих сотрудников).
  • Структуру права доступа к директориям - по сервисной модели, т.е. на одну директорию вложенности отдела создается 4 группы доступа по шаблону местоположение файлового сокращенное название верхнего подразделения_название подразделения_тип доступа_тип группы. 
    • Обычно Типы доступа бывают 2-х видов. Доступ FC - полный доступ с возможностью изменения прав доступа. Сделан только на всю структуру, чтобы ее изменял только ограниченный круг лиц.
      1. RO - только чтение
      2. RW - запись
    • Типы групп бываю так же 2-х видов. Группы типа G включаются в DL и в случае, если необходимо на время прекратить доступ пользователей к ресурсу, можно порвать эту связь.
      1. G - глобальный группы в домене. Предназначены для добавления в них пользователей.
      2. DL - доменные локальные группы. Предназначены для выдачи прав на ресурсы.
    • Группы типа G включаются в DL и в случае, если необходимо на время прекратить доступ пользователей к ресурсу. Можно порвать эту связь.
БОЛЕЕ ДЕТАЛЬНО ОБ ЭТОМ - В ВЫДЕРЖКАХ СТАНДАРТА "НАИМЕНОВАНИЕ ДИРЕКТОРИЙ И ГРУПП ДОСТУПА ФАЙЛОВОГО СЕРВЕРА"

2 Требования Стандарта

2.1 Структура каталогов

Структура каталогов ФС филиала должна соответствовать структуре, описанной в Приложении А. Самостоятельное переименование, изменение, добавление или удаление папок верхнего уровня, описанных в Приложении А, запрещено.
Стандарт не регламентирует и не ограничивает структуру папок уровня ниже описанных в Приложении А.

2.1.1 Структура каталога APP Приложения А

Структура каталога APP не определена и согласуется с Администраторами Windows РЦ.

2.1.2 Структура каталога DEP Приложения А

В случае наличия в филиале отдела, группы или прочей структурной единицы, которая имеет доступ в домен МСК, для неё создается своя папка с кратким названием структурной единицы и подпапками chiefs и public. Форма - Приложение Б.

2.1.3 Структура каталога USERS Приложения А

Самостоятельное создание подпапок в этом каталоге запрещено, все папки создаются средствами Windows.

2.2 Наименование групп доступа

 Для каждого подкаталога общего ресурса файлового сервера, указанного в Приложении А, создаются отдельные группы доступа.
Каждая группа доступа к ФС филиала именуется согласно маске:
pXX-fs_PATH_ACL_G, где
ХХ – номер филиала
PATH – путь папки (относительно папки общего доступа), к которой предоставляется доступ. Подпапки разделяются символом “_”
ACL – права доступа к данной папке. Может принимать значение:
ro – только чтение
rw – чтение/запись
Например,
p13_dep_osh_public_rw_G
Существуют так же специальные группы:
pXX-fs_shared_ro_G                        – доступ на чтение к корневой папке общего ресурса
pXX-fs_FullControlAll_G                – полный доступ ко всем папкам общего ресурса
pXX-fs_ReadAll_G                          – доступ на чтение ко всем папкам общего ресурса

2.3 Назначение прав доступа пользователям

Для назначения прав доступа пользователю на каталог, необходимо включить его в соответствующую группу прав доступа.
Права доступа пользователю назначаются только включением его в группу доступа и только на каталог нижнего уровня стандартной структуры каталогов.
Запрещается выдавать права на каталог или файл конкретному пользователю.
Все дочерние каталоги, находящиеся в каталоге нижнего уровня, наследуют права родительского каталога.
Все группы доступа каталога нижнего уровня включаются в соответствующую  _ro - группу родительского, по отношению к данному, каталога.

Условия применения

Настоящий Стандарт вступает в силу сразу после его утверждения.

Разрешение исключений

Допускаются следующие исключения из Стандарта в случае необходимости. Если нет возможности приведения существующей структуры каталогов ФС филиала к данному стандарту, то предусмотрено расширение стандартной структуры каталогов. Для это необходимо подать заявку на расширение стандартной структуры каталогов (Приложение Б).

Приложение А
Общие ресурсы файлового сервера филиала
Наименование подпапки
Наименование групп
доступа
Назначение
Shared
PXX-fs_Shared_ro_G
Корневой каталог общих ресурсов (все остальные каталоги указаны относительно этого каталога)
App
PXX-fs_App_ro_G
Приложения филиала (индивидуален для каждого филиала, здесь расположены приложения, не требующие локальной инсталляции)
Dep
PXX-fs_Dep_ro_G
папки отделов
Dep\Adm
PXX-fs_Dep_Adm_ro_G
Папки администрации (секретарь, менеджер по персоналу)
Dep\Adm\chiefs
PXX-fs_Dep_Adm_Chiefs_ro_G PXX-fs_Dep_Adm_Chiefs_rw_G
папка руководителей отдела
Dep\Adm\Public
PXX-fs_Dep_Adm_Public_ro_G PXX-fs_Dep_Adm_Public_rw_G
Общая папка администрации
Dep\KS
PXX-fs_Dep_KS_ro_G
Папки коммерческой службы
Dep\KS\chiefs
PXX-fs_Dep_KS_Chiefs_ro_G PXX-fs_Dep_KS_Chiefs_rw_G
папка руководителей отдела (ком. Директор, НГП, и т.д.)
Dep\KS\Public
PXX-fs_Dep_KS_Public_ro_G PXX-fs_Dep_KS_Public_rw_G
Общая папка коммерческой службы
Docs
PXX-fs_Docs_ro_G
Каталог с нормативными документами


Reports
PXX-fs_Reports_ro_G
Документы отчетности



Public
PXX-fs_Public_ro_G 
PXX-fs_Public_rw_G
Публичный общий ресурс для обмена не конфиденциальной информацией в течении дня.
Users

Личные папки пользователей (перемещаемые/терминальные профили, перенаправленные папки my documents, application data)








Приложение Б

Список нестандартных директорий филиала для внесения в стандартную структуру каталогов

№ филиала
Город
Путь
Наименование групп доступа
Размер Mb
 Ответственное подразделение
Описание функционального назначения папки
П-13
Сити
Dep\Apple
PXX-fs_Dep_Apple_ro_G
250
Аутсортинговая компания ООО «Яблоко»
Хранение служебной документации по КМА и принтерам
П-13
Сити
Dep\Apple\ Chiefs
PXX-fs_Dep_Apple_ Chiefs_ro_G
PXX-fs_Dep_Apple_ Chiefs_rw_G
50
Аутсортинговая компания ООО «Яблоко»
Хранение служебной документации по КМА и принтерам
П-13
Сити
Dep\Apple\ public
PXX-fs_Dep_Apple_ public_ro_G
PXX-fs_Dep_Apple_ public _rw_G
200
Аутсортинговая компания ООО «Яблоко»
Хранение служебной документации по КМА и принтерам















10 комментариев:

  1. Серег, а как выглядит процедура создания нового файлового ресурса? Она автоматизирована?

    ОтветитьУдалить
  2. Да процедура автоматизирована vbs скриптами. Данные о структуре берутся из csv файла.
    Если эти скрипты нужны напишите мне об этом, я их вам вышлю по почте либо выложу новым постом в этом блоге.

    ОтветитьУдалить
  3. offtopic:
    Под ником GoodSerg ведь пишет Сергей Щадных?
    Если да, то не понятно почему в профиле пол - женский?
    И опять же зачем меня на вы, когда в прошлый раз были на ты... ;-)

    ОтветитьУдалить
  4. Интересны детали:
    - какие средства использете для управления (выставление квот на размер, запрет выкладывания медиа файлов)
    - чем бакап делаете
    - как организована процедура занесения человека в группу и контроль кто в какой группе должен находится
    - и собственно скрипт тоже очень интересует

    ОтветитьУдалить
  5. Да если можно скрипты посмотреть. Вышлите пожалуйста.

    ОтветитьУдалить
  6. Пример скрипта, накидал ради интереса на коленке...
    СКРИПТ БЕЗ УЧЕТА ПРОБЕЛОВ В НАЗВАНИЯХ ПАПОК
    лень было кавычки вставлять....
    есть плоская структура папок
    Folder1
    Folder2
    Folder...
    в них может быть своя структура
    Folder1\Vasia
    в папках лежат файлики folderinfo
    Folder1\folderinfo
    в файликах структура будушего (в DOS кодировке!!, если есть русские имена)...
    Депатрамент1\отдел3

    ----Code----
    @echo off
    rem надо создать разбор порядка каталогов из файла конфигов
    rem то есть если создается подкаталог раньше каталога
    rem например если отдел создается раньше департамента
    rem департамент\отдел
    rem и обратный алгоритм для удаления
    rem удалять можно по команде dir %target.folder%\folderinfo /b /s -> rmdir
    rem в обратной последовательности (от старшего каталога)

    set start.folder=z:\Тут_у_нас_папки_навалены\
    set target.folder=z:\Тут_у_нас_папки_отсортированы\
    mkdir %target.folder%
    FOR /F %%i IN ('dir %start.folder%folderinfo /b /s') DO call :readconfig %%i
    goto :endprogram

    :readconfig
    rem echo %~p1
    rem FOR /F %%j in (%1) do echo in file %%j in folder %~p1
    FOR /F %%j in (%1) do call :createfolder %~dp1 %%j
    goto :eof

    :createfolder
    set source.folder=%1
    echo create %target.folder%%2 %source.folder:~0,-1%
    rem mkdir %target.folder%\%2
    rem echo mkdir %errorlevel%

    mklink /J %target.folder%%2 %source.folder:~0,-1%
    echo mklink %errorlevel%
    goto :eof

    :endprogram
    ----Code----

    Можно допилить и использовать под разные задачи...
    Основную функцию пока не реализовал, удаление перед созданием предыдущей структуры... Подпапки монтируются не в target.folder а в start.folder... и при просто удалении target.folder жесткие ссылки подмонтированые в start.folder остаються...

    ээээ надеюсь понятно описал...

    ОтветитьУдалить
  7. коллеги в течении 2-х дней здесь появятся скрипты создание такой структуры которую использовали мы при работе.

    ОтветитьУдалить
  8. Добрый день!
    Просьба, по возможности, хотелось бы увидеть скрипты для создания описанной структуры.
    Спасибо!

    ОтветитьУдалить
  9. А скрипты уже выкладывали? Может я пропустил?

    ОтветитьУдалить
  10. Можно скрипты на vbs посмотреть?

    ОтветитьУдалить