пятница, 28 декабря 2012 г.

#RuTeched: Отвечаю на вопросы. Будет ли работать Dynamic Access Control при использовании репликации?

imageКак я уже сказал, мои лабы на TechEd вполне удались, но все же я не смог ответить на ряд вопросов и пообещал сделать это позже, когда разберусь. Что ж, время пришло. Один из посетителей сказал мне, что в его опыте был случай, когда какое-то свойство файла не было отреплицировано через DFSR и поинтересовался, не поломается ли от репликации DAC. Я, разумеется мог поставить эксперимент (и сделаю это, на самом деле), но он только ответил бы на вопрос: “да” или “нет”. Ну или “возможно”. Но вряд ли бы он дал мне ответ на вопрос “почему?”. Так как я вовсе не на короткой ноге с репликацией файлов, мне пришлось просить помощи и я знал точное место, где ее можно было найти: блог AskDS.

Ответ пришел весьма быстро. Вкратце: “все будет супер”. Длинный ответ (в моем переводе) идет дальше:

“Позвольте мне уточнить некоторые аспекты вашего вопроса и ответить на каждую часть

При включении Dynamic Access Control для папок и файлов, следует рассматривать несколько аспектов.

Resource Properties

- Resource Properties определены в AD и используются в качестве шаблонов, чтобы проставить на файлы и папки дополнительные метаданные, которые могут использоваться в принятии решений об авторизации доступа. Эта информация хранится в дополнительных потоках данных (alternate data stream) папки или файла. И эта информация будет отреплицирована так же, как и дескриптор безопасности.

Security Descriptor

Как уже было сказано, они реплицируются вместе с файлом, так что все условия будут отреплицированы вместе с ними.

Все это никак не привязано к Dynamic Access Control—это просто результат репликации, к примеру, в случае репликации DFSR DAC не имеет никакого отношения к этим результатам.

Central Access Policy

Central Access Policy это способ распространить разрешения без внедрения их нпрямую в DACL дескриптора безопасности. Так что, когда Central Access Policy развернута на сервере, администратор должен прилинковать политику к папке на файловой системе. Это линкование осуществляется вставлением специального ACE в часть дескриптора безопасности, отвечающую за аудит и говорит Windows, что этот файл или папка защищены с помощью Central Access Policy.  Вследствии этого разрешения в Central Access Policy комбинируются с разрешениями Share и NTFS, чтобы получить итоговые разрешения.

Если файл или папка реплицируются на файловый сервер, который не имеет развернутой Central Access Policy, то DAC, очевидно, не применяется и разрешения так же не будут применяться.

Спасибо ребятам из этого блога: они лучшие Winking smile

четверг, 20 декабря 2012 г.

#RutechEd: Результаты лабораторных работ.

techEdHeaderLogo

Я только что получил результаты опроса по своим лабораторным работам с TechEd Russia. И результаты меня даже не удивили, они меня шокировали! Обе мои лабы в Топ5, а одна просто первая!

«Очуметь!!!» (с) =)

Так что огромное спасибо за такие высокие оценки посетителям. Вы мне задали такую высокую планку на следующий год, что я уже начинаю готовиться =)

Не меньшее спасибо организаторам и людям, которые создавали сами лабораторные работы: одна из двух оценок, формирующих мою итоговую – ваша. Мои оценки за мастерство:

DirectAccess: 9 из 9

Dynamic Access Control: 8.55 из 9

понедельник, 17 декабря 2012 г.

MCPClub: послевстречие

MCP Club moscow

13 декабря мы завершили сезон года в Московском MCP-Клубе моим выступлением. Передо мной Олег Ржевский рассказал о том, почему прекращается производство TMG, а находившийся там же Алексей Голбергс о том, “как это было”.

Потом уже настала моя пора, и я на почти два часа увел аудиторию в обуждение DirectAccess 2012, и почему стоит теперь задуматься о внедрении, даже если предыдущая версия Вас не заинтересовала.

Аудитория, как всегда, была великолепна: они прощали мне мои маленькие ошибки, местами знали о предмете больше меня (зачем онии вообще в таком раскладе приходят? Видимо, это все-таки стало Клубом Winking smile ), и все такое. В общем, мне понравилось, надеюсь, что им тоже.

А сейчас я обрабатываю запись (увы, потерялось видео демонстрации, я выбрал неправильный режим записи. Надеюсь, что сможем восстановить). Ждите.

вторник, 11 декабря 2012 г.

MCP-Клуб 13 декабря: DirectAccess 2012

MCP Club moscow

Олег Ржевский уговорил меня на авантюру: выступить на MCP-в Москве практически без подготовки. К счастью, я вел лабораторную работу на TechEd по этой теме, так что хоть что-то рассказать да смогу, ну и блокнот возьму с собой: записывать вопросы, на которые не знаю ответа Winking smile

Координаты и анонс тут и еще в куче мест.

Ну и тут на всякий случай:

Точный адрес: Microsoft Россия, Бизнес-центр Крылатские холмы (Москва, ул. Крылатская, д. 17, корп. 1, ближайшая ст. метро – Крылатское)

13 декабря в 19.00. Я постараюсь не опаздывать 8)