Fsrm windows server 2012 настройка

Обновлено: 02.07.2024

Вместе с Dynamic Access Control в Windows Server 2012 появился интересный функционал, призванный облегчить разрешение проблем с доступом пользователей к файловым ресурсам. Этот функционал имеет название Access Denied Assistance, или помощь при отказе в доступе.

По опыту скажу, что у некоторых пользователей вызывает затруднение даже назвать свое имя пользователя, поэтому выяснение подробностей может занять немало времени. Кроме того, решение о предоставлении доступа, как правило, не входит в компетенцию системного администратора, за этим надо обращаться к владельцу ресурса. Процесс предоставления доступа затягивается, а в результате мы получаем недовольного пользователя и загруженного бесполезной работой администратора.

Access Denied Assistance как раз предназначен для разрешения подобных проблем. Он активируется на файловом сервере, и когда пользователь пытается получить доступ к ресурсу, ему будет показано специальное диалоговое окно, в котором можно запросить разрешение на доступ. Microsoft описывает несколько вариантов решения проблемы с доступом:

Предварительные требования

Для включения Access Denied Assistance необходим файловый сервер Windows Server 2012 с установленными ролями File Server и File Server Resource Manager.

Групповые политики

Создаем новый объект групповой политики (или берем существующий) и открываем его в редакторе. Переходим в раздел Computer Configuration\Policies\Administrative Template\System\Access-Denied-Assistance, в котором находятся две политики:

Для настройки «Customize message for Access Denied errors» переводим ее в Enabled. Затем отмечаем чекбокс «Enable users to request assistance» и набираем текст, который увидит пользователь при отказе в доступе. Для удобства в тексте можно использовать специальные макросы:

Должно получиться что то вроде: ″При проблеме с доступом к [Original File Path] обратитесь к администратору по адресу [Admin Email]″.

И в разделе Email Settings указываем, нужно ли включать в письмо утверждения для пользователей и устройств, а также надо ли делать соответствующие записи в системном журнале.

Оснастка File System Resource Manager

Если вы хотите использовать для каждого сервера индивидуальные настройки, то можно воспользоваться оснасткой File System Resource Manager.

Для ее открытия надо нажать Win+R и ввести команду fsrm.msc (или из меню Tools в Server Manager). Открыв оснастку, кликаем правой клавишей на основном разделе и выбираем пункт Configure Options.

Диспетчер ресурсов файлового сервера ( FSRM ) позволяет упростить администрирование и управление файлами, создание квот, генерацию классификации файлов и создание отчетов о свойствах дисков, каталогов, папок и т. Д.

квоты

Квоты позволяют нам контролировать объем дискового пространства, которое пользователь может использовать на жестком диске, в каталоге или отдельной папке; FSRM позволяет нам применять разные квоты в зависимости от включенного каталога, поэтому мы можем видеть всю мощь, которую этот инструмент дает нам как администраторам сервера.
Чтобы создавать приложения для различных квот, мы используем шаблон квот, это позволяет нам установить ограничение пространства и определить, является ли это жестким или мягким правилом, в дополнение к возможности устанавливать триггеры уведомлений, когда пользователь приближается к пределу, который это было предопределено в этом шаблоне.

Разница между типами жесткой квоты и мягкой квоты заключается в том, что первый, достигший предела, не позволяет копировать больше файлов на диск, а второй предупреждает, что пространство было использовано, однако он позволяет копировать файлы.

Файловые экраны

На экранах файлов мы также можем обрабатывать исключения, такие как, например, нам нужно отфильтровать группу типов файлов, однако из этой группы можно скопировать только один тип, для этого мы устанавливаем исключение, которому мы назначаем путь, в котором он будет применяться., таким образом, исключение происходит только в определенном каталоге, как мы можем видеть:

Классификация файлов

Классификация файлов позволяет нам добавлять метаданные, с которыми мы можем полагаться на тип файла или его свойства.
Свойства для использования

Да / Нет : это логическое значение, когда есть много опций, а «Нет» превалирует над «Да».

Дата-время: дата и время.

Номер : числовое свойство.

Список с множественным выбором : список значений, которые могут быть назначены свойству, может быть несколькими значениями.

Упорядоченный список: это фиксированный список значений, если имеется несколько значений, выбирается ближайший к вершине.

Строка: это текст, который можно назначить свойству.

Multi-String: это список текстов, которые можно назначить свойству.

Мы, как администраторы, уже должны лучше знать, как фильтровать файлы, которые могут копировать пользователи, чтобы у нас была более безопасная сетевая и серверная среда.

СТАТЬЯ ПО ТЕМЕ Обновление до Windows 10 мая 2019 Обновление с помощью мастера

Список постов

Читайте сегодня

Статьи от подписчиков

СТАТЬИ

Делитесь файлами и папками macOS Sierra без имени пользователя и пароля
Как запустить Google Chrome OS с USB-диска
Как убрать светодиод из уведомлений Xiaomi Redmi S2
Первые шаги с Node.js
Как поделиться интернетом Xiaomi Mi A2 Lite
Как установить звук будильника на Huawei Mate 20 Pro
MacBook Pro Retina 2016
Доступно обновление Tails 3.5 для Linux на основе безопасности

ЧИТАЙТЕ ТАК ЖЕ

Поисковые системы в Интернете для просмотра инкогнито с конфиденциальностью Конфиденциальность, информационная безопасность и целостность данных являются основополагающими элементами всего процесса управления ИТ, поскольку сбой или уязвимость могут вызвать множество проблем для пользователей или для нас самих. Один из самых больших недостатков в этом отношении мы имеем в процессе навигации в различных браузерах, таких как Google Chrome, Microsoft Edge, Safari и т. Д. Основная причина заключается в том, что, хот Что это такое и как посмотреть папку AppData в Windows 10, 8, 7 Операционные системы Windows хранят большую часть своей информации в виде приложений, записей и других данных в скрытых папках, чтобы пользователи не имели опыта или случайно редактировали или удаляли из них файлы, влияющие на оптимальную функциональность системы. Папки, которые по умолчанию скрыты в нашей системе, имеют свои мотивы безопасности. Как другие пользователи, так и мы сами, мы рискуем взаимодействовать с материалами нашего компьютера и вносить нежелательные изменен Nomu S20 С новыми тенденциями мы видим, как востребованы действительно привлекательные дизайны и изящные корпуса нового смартфона. Правда в том, что даже бренды с их более скромным ассортиментом включили в свою концепцию стилизованные корпуса и хорошие экраны. Цены, очевидно, имеют тенденцию к росту, и это не компенсирует тратить слишком много денег, если мы знаем, что их конец всегда близок. Помимо цены, мы должны учитывать, для чего и когда мы собираемся использоват Как автоматически открывать папку при запуске Windows 10 Среди существующих операционных систем Windows 10, несомненно, занимает привилегированное место среди наиболее используемых пользователями во всем мире. Важность безопасности и конфиденциальности, простота и интуитивность использования или простой интерфейс - вот некоторые из причин, по которым пользователи без колебаний выбирают, какой из них будет выбран для их ПК.

Windows 10 - это современная система, которая позволяет нам выполнять различные действия по настройке и управлению, чтобы облегчить использование как самой системы, так и ее приложений. В рамках этих параметров мы очень хорошо знаем, что Windows 10 начинается с ряда служб и процессов, поэтому все работает правильно, и мы, как пользователи, можем разрешить открытие личных папок при запуске Windows 10, чтобы сэкономить время и избежать их открытия. вручную упростив эту задачу.

Именно по этой причине в этом руководстве TechnoWikis объяснит сегодня, как можно простым способом выполнить это действие в Windows 10 с помощью проводника. .. HTML5 и CSS3: атрибуты отношений и CSS3 Когда у нас уже есть базовые знания HMTL5 и CSS3, мы можем приступить к более подробному объяснению. Как упоминалось в других руководствах, посвященных этой теме, HTML помогает нам структурировать контент веб-сайта, а CSS, с другой стороны, помогает придавать этому контенту графический контент. В этом уроке мы представим структуру HTML некоторых общих элементов веб-сайта и графические атрибуты, которые мы можем предоставить им через CSS, способы, которые существуют для связи стилей CSS и структуры HTML. Более конкретн

В компаниях файловые серверы в большинстве случаев используются для хранения служебной информации, документов, но никак не для хранения новых серий сериала "Игра Престолов" в FullHD качестве, особенно если в сети есть отдельный сервер для подобного медиаконтента. Потому, когда на файловом сервере такие файлы начинают кочевать из папки в папку и многократно дублироваться, возникает мысль как-то ограничить пользователей квотами или типами файлов которые можно хранить на сервере. В этом может помочь инструментарий встроенный в Windows Server - FSRM (File Server Resource Manager, Диспетчер ресурсов файлового сервера).

FSRM доступен начиная с Windows 2003 R2 (если у Вас 2003 не R2, то ее можно бесплатно апгрейдить до R2).

Установка Диспетчера ресурсов файлового сервера

Уточняю: на сервере уже должна быть установлена роль "Файловый сервер" ("File Server")

В Windows 2003 R2 FSRM Устанавливается через добавление Windows Компонентов: Панель управления - Установка и удаление программ - Установка компонентов Windows - Management and Monitoring Tools - Details - File Server Resource Manager:

В Windows 2008 устанавливается через добавление роли файловому серверу: Server Manager - Roles - File Services - Add Role Services - File Server Resource Manager:

В следующем окне указываем на каком диске у Вас располагаются папки файлового сервера и дальше кликаем по кнопкам next. Дальше все понятно, детально расписывать и публиковать снимки экрана - думаю лишнее.

Установка дисковой квоты

Я решил не устанавливать дисковые квоты. Но как это делать покажу:

Запускаем Пуск - Administrative Tools - File Server Resource Manager
Переходим в Quota Management - Qutas
Жмем на "Create Quota. "
Указываем папку к которой будет применяться квота
Выбираем из выпадающего списка один из шаблонов квот (шаблоны находятся в Quotas Templates), либо создаем свою.

Есть два вида квот:

hard - ограничивает
soft - оповещает о превышении квоты, но не ограничивает.

В настройках можно указать оповещение при срабатывании квоты: по почте, запись в журнал, запуск скрипта/команды.

Ограничение по типу файла

Заходим в этой же консоли в File Screening Managment - File Screens
Жмем Create File Screen
Указываем папку к которой будут применяться ограничения
Выбираем один из шаблонов (например "Block Audio and Video Files") или создаем свой.
Жмем Create

Шаблоны находятся в File Screen Templates и заключаются в том, как реагировать на ту или иную группу файлов:

Active screening - сразу блокировать запись файлов и по желанию оповещать.
Passive screening - разрешать запись, но оповещать:
- Оповещать по почте админа и/или пользователя который записывает запрещенный файл
- Записывать событие в журнал
- Выполнять команду
Группы файлов находятся в File Groups и по сути это перечисление расширений которое можно отнести к той или иной группе файлов, например перечисление расширений для аудио и видео файлов, перечисление расширений для архивов, документов.

Шаблоны и группы есть уже созданные. Вы можете их редактировать или создавать свои.

Также можно создавать исключающие правила.

Как уже писал выше: я решил не накладывать квоты на файловое хранилище, а ограничить по типам файлов. А именно запретить записывать видео и аудио файлы. При попытке записать такой файл мне и пользователю по почте будет приходить оповещение, на случай если вдруг директор будет пытаться сохранить видео/аудио отчет о деловой встрече, а тут ему какие-то ошибки доступа выскакивают.

Запрет на запись файлов по расширению конечно легко обходиться: достаточно лишь поменять расширения файлов или включить их в архив без сжатия. Но это уже не проблема администратора. Если пользователь пытается обойти запрет установленный администратором, то такие случаи должны разбирать отдел безопасности или непосредственное начальство пользователя.

Отчеты FSRM

В FSRM есть возможность создавать отчеты по дубликатам файлов, типам, владельцам файлов, большим файлам и тд. и тп. Отчеты могут помочь в поддержании файлового хранилища в "здоровом" состоянии. Отчеты могут запускаться как разово, так и через заданные промежутки времени, по планировщику.

Сохранять отчеты можно в разных форматах: html, текстовый, csv, xml и тп.

В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.

Шаг 1. Выбор оборудования и подготовка сервера

В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
- Процессор может быть самый простой;
- Оперативная память также не сильно используется;
- Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.
Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

Дополнительные требования
1. Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
2. Сервер должен быть подключен к источнику бесперебойного питания;
3. Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.
Подробнее о выборе оборудования читайте статью Как выбрать сервер.

Шаг 2. Установка Windows и настройка системы

Установка системы

На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 - 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.

Настройка системы
1. Проверяем правильность настройки времени и часового пояса;
2. Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
3. Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
4. Для удаленного администрирования, включаем удаленный рабочий стол;
5. Устанавливаем все обновления системы.
Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Нажимаем Управление - Добавить роли и компоненты.

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Предоставляем полный доступ всем пользователям:

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Выставляем необходимые права на папку, например:

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
1. При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
2. Администратор легко сможет создать отказоустойчивую систему при необходимости.
Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.

Аудит

Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.

О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.

Анализатор соответствия рекомендациям

В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:

Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ - Начать проверку BPA:

Рассмотрим решения некоторых рекомендаций.

1. Для XXX должно быть задано рекомендованное значение.

Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:

Set-SmbServerConfiguration -CachedOpenLimit 5

* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.

На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.

Остальные параметры задаем аналогичными действиями.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

3. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Шаг 5. Настройка средств обслуживания

Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.

Резервное копирование

Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.

Читайте также: