Мы проходим это сейчас. Насколько я знаю, что нет никаких драйверов файловой системы для NSS ни на какой платформе Windows. В непосредственном термине мы загружаем стек CIFS на наших серверах NetWare, который позволяет нашим серверам Windows говорить с ними без клиента Novell, превращающего в творог сетевой стек. Затем мы выполняем ряд сценариев для миграции доверенных сторон.
Загрузка "TRUSTEE.NLM" на сервере даст Вам очень, очень удобный дамп прав присвоенных доверенных сторон на объеме.
trustee /edt save DATA1: sys:/tmp/metadata.log
Это выведет и Доверенную сторону и данные квоты каталога в файл журнала, на который можно затем выполнить Обряды Сценариев. Каковы те сценарии, ваше дело. Somethings Вам будет нужно:
Права NSS на права NTFS. Отметьте, полномочия Каталога не являются тем же как полномочиями Файла, даже при том, что они используют те же биты ACL. Переводы являются icacls опциями. Например...
icacls Directory /grant NW-IT-Guys:(rx)
Дает группе 'NW-IT-Guys'' Читать/Выполнять право на тот каталог, без наследования.
icacls Directory /grant NW-IT-Guys:(oi)(ci)(rx)
Делает то же, но они также смогут считать файлы (oi) и каталоги (ci) созданный ниже той точки также.
Эта таблица предназначена для тех случаев, где Вы не предоставляете [rwemcf] (иначе чтение-запись) или [rf] права (иначе чтение) к каталогу. Для этих простых случаев используйте (rx) для чтения и (m) ярлыки для чтения-записи. Для тех пользователей, которые должны смочь внести изменения в права, (f) является ярлыком для этого. Для специальных каталогов, таких как поля отбрасывания или каталоги только для записи, вышеупомянутое может помочь понять это.
Некоторые примеры присваивающихся прав с icacls:
Создайте неудаляемый/подвижный каталог с, изменяют права
icacls AcctReports /grant NW-Acct-Techs:(io)(oi)(ci)(m)
icacls AcctReports /grant NW-Acct-Techs:(rx)
(io) means 'inherit only', or only applies to child objects.
Создайте стандартный каталог чтения-записи NSS-стиля
icacls AcctReports /grant NW-Acct-Techs:(oi)(ci)(m)
Создайте стандартный каталог только для чтения
icacls AcctReports /grant NW-Acct-Auditors:(oi)(ci)(rx)
Создайте каталог, содержащий файлы журнала, добавленные к конечными пользователями. Возможно, установка приложения регистрируется и т.п.
icacls AppLogs /grant Everyone:(rx)
icacls AppLogs\FirefoxInstall.Log /grant Everyone:(rx,ad)
Если Вы похожи почти на каждую установку NetWare, я видел, Ваши корни объема имеют очень немного полномочий на них, и Вы даете разрешения на своих высокоуровневых каталогах и ниже. Это не ужасно совместимо с Windows, но существуют пути к клуджу он в работу. Я предполагаю, что Вы используете 'основанное на доступе перечисление', потому что это - то, как NetWare всегда делал его, и Вы не хотите потрясать своих пользователей тем, сколько каталоги там действительно там.
И я еще даже не нахожусь на ShadowCopies по сравнению со Спасением.
Если Вы хотите предотвратить определенный исполняемый файл, то политика Локальной защиты могла бы быть самым легким маршрутом. Выполненный secpol.msc
от Запуска | Выполнение. Перейдите к политикам Ограничения программного обеспечения и щелчку правой кнопкой по древовидному узлу для создания нового. (Это - локальная версия групповой политики, которая имела бы приоритет в домене.)
В политике по дополнительным правилам щелкают правой кнопкой для создания нового правила пути. Введите путь исполняемого и уровня безопасности запрещенных.
Два протеста: