Квота на папку windows server 2003

Сегодня мы рассмотрим две очень полезные настройки на файловом сервере ОС Windows server 2003 это квоты и блокировка файлов

Данный материал посвящен полезным настройкам файлового сервера Windows server 2003, а именно настройка квоты и блокировки файлов. Данные настройки значительно упрощают слежение за состоянием сервера и позволяют избежать не желательных последствий в процессе эксплуатации.

Как известно операционной системой Windows server 2003 все еще пользуются, и достаточно часто используют ее в качестве файлового сервера (распространено в малых предприятиях), но начинающие администраторы порой не задумываются о том, что нужно следить за этим файловым сервером и создать все условия, чтобы он оставался в рабочем состоянии.

Что подразумевается под фразой «создать все условия» и «следить за сервером» спросите Вы, а это именно то, что необходимо делать, для того чтобы сервер был рабочим, а не через полгода его нужно было бы переустанавливать. Если говорить конкретней то я в данном материале приведу две, по моему мнению, очень важные настройки, а именно настройка квоты и блокировки файлов.

Примечание! Как Вы уже поняли из названия материала, что настраивать квоты и блокировку файлов мы будем на файловом сервере операционной системы Windows server 2003. В данной статье мы не будем затрагивать установку всего файлового сервера.

Настройка квоты файлового сервера

Квота файлового сервера – это предельный размер той или иной папки, при котором нельзя будет осуществлять копирование или создание новых файлов в этой папке. Квоты позволяют избежать ситуаций, когда места на сервере недостаточно и приходиться в срочном порядке высвобождать место на дисках.

Настройки квоты очень гибкие, они позволяют предварительно уведомлять Вас, например, если папка заполнилась на 75% от максимально возможного размера и запрещать копирование и создание новых файлов при достижении определенного, заданного Вами, максимального размера. Она бывает двух видов, а именно:

  • Жесткая – не разрешает пользователям превышать предел максимально размера;
  • Мягкая – соответственно разрешает превышать предел, уведомляя Вас об этом. Можно использовать для слежения за тем, чтобы пользователи не копировали слишком большие файлы. Другими словами только Вы ничего не запрещаете, но осуществляете контроль, наблюдая за файловым сервером.

Квоту можно настроить как на весь диск, так и на отдельные папки, для того, если вдруг Вам нужно следить за какой-нибудь конкретной папкой. Или, например Вы создали каждому пользователю отдельную папку и хотите, чтобы он был ограничен в дисковом пространстве и не превышал заданного передела.

И если говорить об организации папок и файлов на файловом сервере, с которым работают пользователи, используя его в качестве так называемой «файло помойки» то советую проработать четкую структуру прав. Т.е. чтобы пользователь работал только в своей папке и не имел доступа к чужой, а для обмена файлами сделать общую папку. Это позволит избежать захламления всего файлового сервера, так как все мы знаем, что если пользователь начнет копировать все и вся, куда ему вздумается, то не о какой структуре не может быть и речи. А если не будет структуры, то найти какой-нибудь отдельный файл без поиска становится не реальным, тем более, если, например Вы ищите то, что сами пока и не знаете что (забыли название, текст, дату создания и другие реквизиты, но помните, что Вы работали в этом файле и что-то там делали:)).

Хватит теории давайте приступать к практике.

Примечание! Все действия ниже подразумевают, что у Вас уже установлен файловый сервер.

И для начала давайте откроем консоль управления файловым сервером. Это делается следующим образом:

Пуск->Администрирование->Управление файловым сервером

Скриншот 1

Также можно открыть данную оснастку через «Управление данным сервером», в котором, кстати, Вы можете наблюдать, все роли сервера которые установлены.

Скриншот 2

Или можно добавить данную оснастку в консоль MMC, как работать с данной консолью мы рассматривали в материале – Инструмент администратора — консоль MMC.

После запуска консоли по управлению файловым сервером переходите на пункт меню «Управление квотами»

Скриншот 3

Затем переходите на папку «Квоты» и можете создавать квоты, например, щелкнув правой кнопкой мыши по данному пункту меню

Скриншот 4

Или в правом меню данной оснастки кликнув по соответствующей кнопке

Скриншот 5

После чего у Вас откроется окно создания квоты, где Вы и будете задавать все настройки. Я для примера, выберу весь диск D, затем выберу «Настраиваемые свойства»

Скриншот 6

Где задам, для примера, жесткая квота, которая будет ограничивать пользователей в превышении допустимого предела (10 гигабайт) и задам пороговые значения для уведомления, например в журнале событий. Для этого я для начала изменю настройки 100% заполнения.

Скриншот 7

На окне «Свойства предела», где мы, кстати, видим, какие действия можно выполнять при достижении данного значение, переходим на вкладку «Журнал событий» ставим соответствующую галочку и жмем ОК.

Скриншот 8

После этого мы увидим, что у нас появилась галочка напротив 100 процентного порога, которая означает, что именно такое действие мы выбрали в случае достижения 100 % заполнения.

И сразу же я предлагаю добавить, скажем, еще уведомление по достижению порога в 85%, для этого жмем «Добавить»

Скриншот 9

Курс по SQL для начинающих

Далее делаем все то же самое, что и для 100% только соответственно указываем столько процентов, сколько нам нужно, по умолчанию следующим порогом является значение 85%, но его можно изменить в соответствующем поле:

Скриншот 10

В итоге у нас получится вот такая картина (см. ниже) и нам останется нажать ОК.

Скриншот 11

После чего мы вернемся на самое первое окошко, в котором будут отображены все свойства квоты.

Скриншот 12

После того как мы нажмем создать, данная квота заработает, и в нашем случае по достижении порога в 85% и 100% в журнале событий будет появляться соответствующая запись, и в случае со 100% копирование и создание новых файлов в данной папке будет невозможно.

В журнале событий это будет отображено в событиях приложений. И для более удобного отслеживания можно поставить фильтр по источнику, в данном случае наш источник называется SRMSVC

Скриншот 13

Тем самым периодически проверяя журнал (даже не открывая оснастку «Управление файловым серверов» в котором все, конечно же, будет видно) Вы можете отслеживать состояния Ваших квот.

Еще хотелось бы добавить, что можно создавать шаблоны квот, для быстрого их применения, это делается через пункт меню «Шаблоны квот».

Блокировка файлов на файловом сервере

Блокировка файлов – это запрет хранения определенных типов файлов в той или иной папке.

Данная блокировка позволяет запретить пользователям, копировать нежелательные файлы на файловый сервер, например, видео, музыку или исполняемые файлы, что является очень хорошей возможностью, так как Вы знаете, что пользователь может притащить на работу все что угодно и засорить всю шару. К тому же мы обеспечиваем защиту, например от вирусов, в случае установки блокировки исполняемых файлов.

В общем, про плюсы данной возможности можно говорить очень долго, поэтому давайте сразу приступать к практике.

Как открыть «Управление файловым сервером» Вы уже знаете, поэтому просто переходим на пункт меню «Управление блокировкой файлов»

Скриншот 14

Где,

  • Фильтры блокировки файлов – это действующие блокировки;
  • Шаблоны блокировки файлов – это соответственно шаблоны блокировок;
  • Группы файлов – это сгруппированные типы файлов по их назначению. Например, файлы видео это *.avi,*.mov и так далее.

Подробно посмотреть все типы, которые входят в ту или иную группу можно в свойствах той группы в соответствующем пункте меню.

Скриншот 15

Теперь давайте создадим фильтр блокировки аудио и видео файлов, для этого перейдем на пункт «Фильтры блокировки файлов» и справа в меню нажмем «Создать фильтр блокировки файлов»

Скриншот 16

Кстати говоря, Вы можете создать исключения для фильтра, например, это выглядит следующим образом, блокируется все кроме определенного типа файлов. Но сейчас мы создадим простой фильтр на запрет.

Далее у нас откроется окно, где мы также выберем диск D и нажмем «Настраиваемые свойства».

Здесь также существует две разновидности блокировки это активная, которая не разрешает сохранения данных типов файлов, и пассивная, которая используется в качестве наблюдения, чтобы например, мы знали, что тот или иной пользователь сохранил такой-то тип файла на сервере.

Мы выбираем «Активная» и группу файлов как мы решили ранее «Файлы аудио и видео».

Скриншот 17

Далее перейдем на вкладку «Журнал событий» и поставим галочку «Записывать предупреждения в журнал». В журнале данный тип предупреждений будет с таким же источником, как и предупреждения по квотам.

Все жмем ОК и возвращаемся на основное окно, где мы проверяем все введенные свойства блокировки

Скриншот 18

Затем жмем «Создать» и на этом настройка блокировки закончена.

На этом предлагаю закончить и надеюсь, что сегодняшний материал будет полезен начинающим администраторам. Удачи!

RRS feed

  • Remove From My Forums

 locked

Квота для папки

RRS feed

  • Вопрос

  • возможно установить квоты для пользователей на папки? Если нет, как можно ограничить обьем информации пользователя в папке?

Ответы

  • посмотрите компоненты системы — установлена ли оснастка диспетчер ресурсов файлового сервера.


    Если сообщение полезно, нажмите «Сообщение было информативным».

    Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».

    • Помечено в качестве ответа
      l-shiva-l
      23 марта 2009 г. 13:15

Все ответы

  • в Windows Server 2003 R2 есть такой функционал
    Установите роль файл сервера — в оснастке управления есть необходимые настроки квот для папок.
    Смотрите вот тут


    Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».

    • Предложено в качестве ответа
      Aleksey Potapov
      21 марта 2009 г. 9:03

  • Если нет 2003R2, то остается разместить папки на отдельном дисковом
    разделе и установить квоты на раздел. Не очень удобно, но во многих
    случаях этого хватает. Эта возможность есть и в оригинальном 2003, и в
    2000.


    CCNA, MCSA

  • в ссылке написано про скрипты да еще и по английски все. Без скриптов и командных строк можно обойтись? Может кто-нибудь написать что нажать и где галочки поставить или так не получится, только через скрипты?

  • Коллеги, не понятно, на какие именно «папки» Shiva хочет установить ограничения «обьема информации пользователя», а мы тут о возможностях R2 рассуждаем.

    Shiva, стандартные средства Windows Server (версий 2003, 2003  R2, 2008) «ограничить» совокупный размер дочерних элементов произвольной папки файловой системы не позволяют.


    Спасибо моей работе, TechNet’у, блогам специалистов, моей жене Кате, Козлову С.В., Муравлянникову Н.А., Шапиро Л.В. за мои знания!

  •  Дмитрий, честно говоря, последнего Вашего изресения просто не понял — будьте добры — объясните…


    Если сообщение полезно, нажмите «Сообщение было информативным».

    Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».

  • Леш (будем на «ты», не возражаешь?), а что не понятно?

    Объясняю. Смотрим на папочку в проводнике и думаем, как бы вот именно в ней, да чтобы именно такому-то не дать создать болле 1 ГБ, а вот в папке «рядом» можно было все 10 создавать, а в другой, вложенной в нее, только 2 ГБ, а третьему, но в другой папке, — без ограничений, а везде — не более 4-х гигов и т.п. Думаем, думаем… и понимаем: штатно — никак. Вот и получается, что «стандартные средства Windows Server (версий 2003, 2003  R2, 2008) «ограничить» совокупный размер дочерних элементов произвольной папки файловой системы не позволяют«. Такое вот изреCение. :)

    P.S. Леш, ты Шиве статью не о том подсунул. Disk quotas — это не исключительные возможности R2. :)  В R2 появились «resource  quotas» для файлового сервера, примениемые как к диску (это и есть квоты диска, которые на весь volume распространяется и были до R2, мне кажется, что и в Windows 2000), так и к папке. Но! у эта фича R2 применима лишь к «сетевым папкам», которые обслуживает файловый сервер R2, а не «произвольным папкам» на «дисках», да, и к тому же, область «подсчета» квоты — вся публикуемая папка.


    Спасибо моей работе, TechNet’у, блогам специалистов, моей жене Кате, Козлову С.В., Муравлянникову Н.А., Шапиро Л.В. за мои знания!

  • вот уже понятней становится. Итак: квоты можно установить на СЕТЕВЫЕ ПАПКИ? Т.е. на те к которым предоставлен общий доступ (значек папки с рукой). Вот топерь уточните как это сделать. В свойствах папки этого не нашел. В свойствах диска квоты смог создать только целиком на диск. Вобщем пожалуста конкретно и просто (если это возможно).

  • Есть оснастка управления файловым сервером и диспетчер ресурсов файлового сервера.
    Первая оснастка включает в себя вторую как дополнение управления квотами и блокировкой файлов.
    Даные оснастки доступны при установки роли файл сервера или их просто можно установить из установки компонентов.

    Да, только на сетевые папки. Но файл сервер и был задуман как хранилище сетевое.

    Дмитрий, не против) Я понял про что ты говоришь….не сразу доходит)….выходные же…


    Если сообщение полезно, нажмите «Сообщение было информативным».

    Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».

  • видел эту оснастку, там есть общие ресурсы, сеансы, управление локальными дисками и др. Но где там квоты на общие сетевые папки так и не нашел.

  • посмотрите компоненты системы — установлена ли оснастка диспетчер ресурсов файлового сервера.


    Если сообщение полезно, нажмите «Сообщение было информативным».

    Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».

    • Помечено в качестве ответа
      l-shiva-l
      23 марта 2009 г. 13:15

Рубрика:

Администрирование / 
Администрирование

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

Иван Коробко

Система анализа квот на базе File Server Resource Manager

В Windows Server 2003 RC2 появился наконец инструмент, позволяющий назначать квоты на использование дискового пространства серверов – File Server Resource Manager. Каковы достоинства и недостатки утилиты и как расширить ее возможности?

Очень долгое время в операционных системах Windows отсутствовал инструмент, который позволял устанавливать квоты на дисковое пространство серверов и информировать по заданным правилам об использовании свободного места. В Windows Server 2003 RC2 появился штатный инструмент, позволяющий решить данную задачу – File Server Resource Manager. В системе оповещения есть существенный недостаток. При заполнении дискового пространства, ограниченного квотой, может быть отправлено сообщение тому, кто его заполнил или перешел через установленную контрольную точку; а также службе поддержки по явно указанному e-mail-адресу. Однако оповестить об этом событии остальных сотрудников, имеющих права на эту папку, невозможно. Решить эту проблему можно с помощью сценария, который будет запускаться при событии, генерировать и отсылать сообщение по почте о состоянии квоты всем пользователям, имеющим доступ к папке.

File Server Resource Manager

В состав File Server Resource Manager, находящейся в «Панели управления», входят три инструмента:

  • Quota Management – позволяет создавать шаблоны квот и назначать квоты на серверные папки;
  • File Screening Management – ограничивает запись файлов указанных форматов (mp3, wav, avi, vob и т. д.) в папки;
  • Storage Reports Management – создает отчеты, в том числе обеспечивает генерацию отчетов с помощью Scheduled Tasks.

Quota Management

Состоит из двух компонентов: Quotas и Quota Templates. В разделе Quotas располагаются созданные на папки квоты, а в Quota Templates – шаблоны, на основе которых можно создавать квоты.

Логика подсказывает, что квоты удобнее и быстрее создавать с помощью шаблонов, поэтому сначала рассмотрим Quota Templates.

Quota Templates

В Quota Templates присутствует несколько шаблонов по умолчанию. Несмотря на это, создадим собственный шаблон, кликнув правой кнопкой мыши по надписи Quota Templates и выбрав в появившемся меню «Create Quota Templates…».

В диалоговом окне (см. рис. 1) необходимо заполнить несколько полей. Программисты Microsoft предусмотрели возможность создания шаблонов на основе существующих: в верхней части диалогового окна в выпадающем списке  «Copy properties quota templates (optional)» выберите подходящий шаблон и нажмите на кнопку «Copy». Осталось отредактировать импортированные параметры.

Рисунок 1. Диалоговое окно «Create Qouta Templates…»

Рисунок 1. Диалоговое окно «Create Qouta Templates…»

Рассмотрим подробнее поля вкладки «Settings»:

  • Template Name – имя шаблона, которое будет отображаться в списке шаблонов; обязательное поле, ограниченное по длине 255 символами.
  • Label – описание шаблона, расположенное справа от названия в общем списке; необязательный параметр.
  • Space Limit – размер и тип квоты. Задавая размер квоты, необходимо тысячи отделять запятыми без пробелов, указывать размерность одним из значений выпадающего списка: Kb, Mb, Gb, Tb. Квота может быть двух типов: Hard и Soft. Принципиальная разница заключается в том, что при превышении Hard-квоты система не дает записать информацию на диск, выводя сообщение об окончании места, и генерируется сообщение. При превышении Soft-квоты только генерируется соответствующее сообщение.
  • Notification thresholds – задаются пороговые значения, в соответствии с которыми будут генерироваться сообщения и их тип.

Задание пороговых значений

Под пороговым значением понимают значение, указанное в процентах, по достижении которого происходит событие, на основе которого осуществляется указанное действие. Выполняемое действие зависит от настроек.

Задать новое пороговое значение можно, нажав на кнопку «Add» и указав в поле «Generate notifications when usage» reaches число в процентах, по достижении которого будет происходить событие. В появившемся диалоговом окне несколько вкладок, в каждой из которых задается свое событие:

  • e-mail Message – используя эту вкладку, инициируют отправку двух сообщений: одно – администратору или службе поддержки (его текст невозможно изменить) и второе – пользователю, который инициировал событие (см. рис. 2). Есть возможность задать тему письма и создать шаблон письма. В него могут быть вставлены переменные, значения которых будут изменяться в зависимости от настройки квот и состояния анализируемой папки.

Рисунок 2. Вкладка «e-mail Message»

Рисунок 2. Вкладка «e-mail Message»

  • Event Log – формируется запись в журнале событий на сервере на основе шаблона, содержащего различные переменные (см. рис. 3).

Рисунок 3. Вкладка «Event Log»

Рисунок 3. Вкладка «Event Log»

  • Command – при наступлении события запускается сценарий (см. рис. 4). Для запуска скрипта на VBScript необходимо в поле «Run this command or script» указать путь к файлу-интерпретатору: %WinDir%system32wscript.exe. В качестве его аргумента в поле «Command Settings» вводят полный путь к файлу-сценарию: C:Quota.vbs. Если он имеет параметры командной строки, то их указывают последовательно после имени сценария через пробел. FSRM поддерживает переменные, которые также можно указать в качестве аргументов командной строки. Для успешной работы сценария необходимы, как правило, максимальные права доступа. Этого достигают выбором Local System в разделе «Command Sequrity». С помощью сценария можно реализовать отправку сообщений всем пользователям, которые имеют право использовать данный сетевой ресурс. Как это сделать, читайте в разделе «Сценарий оповещения пользователей».

Рисунок 4. Вкладка «Command»

Рисунок 4. Вкладка «Command»

  • Report – генерируется отчет по заданному критерию и отправляется по электронной почте администратору или в службу поддержки, либо сохраняется в виде файла в %SystemDrive%StorageReportsIncident (см. рис. 5).

Рисунок 5. Вкладка «Report»

Рисунок 5. Вкладка «Report»

Quotas

Для создания новой квоты на папку необходимо в FRSM войти в Quota Management и кликнуть правой кнопкой мыши по Quotas, а в контекстном меню выбрать «Create Quota». В появившемся диалоговом окне (см. рис. 6), нажав на кнопку «Browse», установить курсор на квотируемой папке и нажать на кнопку «ОK». Для FRSM не важно, предоставлена ли папка в общий доступ или нет. Впоследствии папка должна стать сетевой, поскольку квотировать локальную папку не имеет смысла.

Рисунок 6. Диалоговое окно «Create Quota»

Рисунок 6. Диалоговое окно «Create Quota»

В диалоговом окне необходимо задать один из вариантов создания квоты – «Create Quota on Path» (по умолчанию) или «Auto apply template and create quotas on existing and new folders» (см. рис. 6). В каждом из них есть возможность использовать имеющиеся шаблоны. Отличие методов заключается в возможности изменить в шаблоне существующие настройки для метода «Create Quota on Path».

Контролировать настройки назначаемой квоты можно с помощью окна «Summary of quota properties».

Сценарий оповещения пользователей

Создавая квоту, обратите особое внимание на вкладку Command в диалоговом окне. Использование сценариев может значительно расширить возможности FRSM. Создадим скрипт, формирующий список сотрудников на основе настроек системы безопасности квотируемой папки и отсылающий сообщение по электронной почте.

В качестве языка программирования рекомендуется выбрать VBScript или JScript. В данной ситуации это не принципиально. В качестве примера приведен сценарий на языке VBScript. Итог работы сценария – сообщение, разосланное всем сотрудникам, имеющим право доступа к квотируемой папке. Оно примерно такого содержания:

Тема сообщения:

Квота папки Отдел сбыта использована на 85% (8704.00 Мб).

Размер Квоты 10240.00 Мб.

Сообщение:

Уважаемый(ая) AIvanov

Вы использовали установленную квоту на папку Отдел сбыта на 85%.

Общий размер квоты 10240.00 Mб, из них занято 8704.00 Mб.

Необходимо удалить ненужные данные из этой папки.

С уважением, Служба поддержки.

Красным шрифтом выделены параметры, которые меняются в зависимости от ситуации: имя пользователя в сети, название квотируемой папки, рубеж в процентном соотношении, израсходованное и предельное дисковое пространство. Все эти параметры транслируются из FRSM в сценарий с помощью аргументов командной строки:

C:Quota.vbs [Quota Path] [Quota Limit MB] [Quota Used MB] [Quota Used Percent] [Quota Free MB] [Source Io Owner]

где:

  • [Quota Path] – локальный путь анализируемой папки;
  • [Quota Limit MB] – размер квоты в Мб;
  • [Quota Used MB] – использованный размер квоты в Мб;
  • [Quota Used Percent] – занятое дисковое пространства в процентах;
  • [Quota Free MB] – размер доступного для записи дискового пространства в Мб;
  • [Source Io Owner] – пользователь, превысивший установленный рубеж.

Чтение аргументов командной строки в сценарии осуществляется следующим образом:

Set objArgs = WScript.Arguments

a0=objArgs(0)

a1=objArgs(1)

a2=objArgs(2)

a3=objArgs(4)

a4=objArgs(4)

a5=objArgs(5)

Зная путь к каталогу (параметр a0), с помощью объекта adsSeсurity получают доступ к параметрам безопасности NTFS этого каталога:

Set sec = CreateObject(«AdsSecurity»)

Set sd = sec.GetSecurityDescriptor(«FILE://»+PathToFolder)

Set Dacl = sd.DiscretionaryAcl

For Each ace In Dacl

    Wscript.Echo ace.Trustee

    Wscript.Echo ace.AccessMask

    Wscript.Echo ace.AceType

Next

Считанные данные необходимо отфильтровать и обработать. На каждую папку, расположенную на сервере, назначены права.

Перечень объектов, которые присутствуют в списке вкладки «Permissions», можно разделить на 2 части. Первая часть списка постоянна, вторая – вариативна.

В список постоянных объектов входят Domain Admins, System, Creator Owner.

 Во второй – обычные пользователи, которым назначены права доступа в зависимости от выполняемых ими задач.

Фильтр объектов безопасности осуществляется с помощью функции InStr().

Имена объектов имеют формат DomainObjectName. В большинстве случаев объект – группа. Поскольку у группы может не быть почтового адреса, а пользователей, за редким исключением, он есть, то необходимо получить список пользователей, входящих в группу.

Для этого необходимо получить непосредственно имя группы:

GroupName=ace.Trustee

Right(cstr(GroupName), Len(GroupName)-InStr(GroupName,»»))

Получив доступ к группе, с помощью провайдера WinNT можно определить список пользователей, входящих в нее, с помощью свойства объекта obj – members:

Set Obj=GetObject(«WinNT://»&domain&»/»& group&»,group»)

    For Each member In obj.members

           Wscript.Echo cstr(member.name)

    Next

Set Obj=nothing

Замечание: для операций с правами доступа к папке используют библиотеку ADsSecurity.dll, входящую в комплект ADSI Resource Kit. Перед использованием библиотеку необходимо зарегистрировать командой:

regsvr32 /s c:Program FilesMicrosoftADSI Resource Kit, Samples and UtilitiesResourceKitADsSecurity.dll

Для чтения назначенных прав доступа на объект используется объект AdsSecurity. Для назначения новых прав используется объект AccessControlEntry.

На заключительном этапе формируют текст сообщения и отправляют его по электронной почте с помощью CDO-объекта, используя CDO.Message и CDO.Configuration.

При создании письма должны быть указаны параметры:

  • Адрес электронной почты пользователя, от имени которого отправляется сообщение. Он не должен быть фиктивным. Рекомендуется использовать адрес службы поддержки Support@Firm.Ru. В листинге использована переменная MAIL_FROM.
  • DNS-имя почтового сервера, например Mail.Firm.ru. В листинге – переменная MAIL_SERVER.
  • Адрес электронной почты получателя. Поскольку письмо отправляется нескольким пользователям одновременно, то в сценарии формируется одно письмо, отправляемое одновременно нескольким адресатам, поэтому в поле MAIL_TO заносят их почтовые адреса, разделенные символом (;).
  • Тема письма в листинге сценария фигурирует в переменой MAIL_SUBJECT. Желательно, чтобы по теме письма сотрудник сразу мог понять, что это уведомление от службы о состоянии файловой системы, и не принимал его за спам:

MAIL_SUBJECT=»Квота папки «+right(a0,len(a0)-cstr(a0,»»)) +» использована на «+a3+»% («+a(2)+» Мб). Размер квоты «+a(1)+» Мб»

  • Сообщение, отсылаемое пользователям, содержится в переменной MAIL_BODY. Для форматирования сообщения рекомендуется использовать для перехода на новую строку встроенную константу vbNewLine, для отбивки текста – константу табуляции vbNewTab:

mail_body = mail_body + «Уважаемый(ая) » + mail_to + «!»+ vbNewLine

mail_body = mail_body + «Вы использовали установленную квоту папки » + right(a0,len(a0)-cstr(a0,»»)) +» на » + a3 + «%.» + vbNewLine

mail_body = mail_body + «Общий размер квоты на папку» + a1+ » MB, из них занято » + a2 +» MB.» + vbNewLin + vbNewLine

mail_body = mail_body + «Необходимо удалить ненужные данные с этой папки.» + vbNewLin + vbNewLine + vbNewTab

mail_body = mail_body + «С уважением, Служба поддержки.» + vbNewLin + vbNewLine

Листинг отправки сообщения:

MAIL_FROM=»Support@Firm.Ru»

MAIL_SERVER=»Mail.Firm.ru»

MAIL_TO=»»

MAIL_BODY=»»

MAIL_SUBJECT=»»

MAIL_SUBJECT=…

MAIL_BODY = MAIL_BODY + …

Set iMsg = CreateObject(«CDO.Message»)

Set iConf = CreateObject(«CDO.Configuration»)

Set Flds = iConf.Fields

Flds.Item(«http://schemas.microsoft.com/cdo/configuration/sendusing») = 2

Flds.Item(«http://schemas.microsoft.com/cdo/configuration/smtpserver») = MAIL_SERVER

Flds.Item(«http://schemas.microsoft.com/cdo/configuration/smtpconnectiontimeout») = 10

Flds.Update

iMsg.Configuration = iConf

iMsg.To = MAIL_TO

iMsg.HTMLBody = MAIL_BODY

iMsg.From = MAIL_FROM

iMsg.Subject = MAIL_SUBJECT

iMsg.Send

Полный листинг сценария смотрите на сайте журнала www.samag.ru в разделе «Исходный код».

File Screening Management

Помогает ограничивать запись файлов указанных форматов (mp3, wav, avi, vob и т. д.) в квотируемую папку. Структура File Screening Management (см. рис. 7) повторяет структуру Quota Management: существуют предустановленные шаблоны – File Screen Templates, на основе которых создают новые шаблоны и сами правила – File Screens. Присутствует дополнительный раздел File Groups, в нем наборы расширений, обобщенные в группы.

Рисунок 7. Раздел File Screening Management

Рисунок 7. Раздел File Screening Management

File Groups

В разделе File Groups находится список групп (см. рис. 8), в которых перечислены характерные расширения файлов. Этот список может быть изменен. Для этого достаточно два раза кликнуть на нужные группы. В появившемся меню присутствует два списка. В первом списке перечислены расширения файлов, которые нельзя будет записать в квотируемую папку. Второй список – список исключений из первого списка. Файлы с указанными расширениями можно записать в квотируемую папку. Приоритет списка файлов исключений выше приоритета списка файлов включений.

Рисунок 8. Раздел File Groups

Рисунок 8. Раздел File Groups

Приведу пример. Системному администратору необходимо запретить запись файлов с расширением AVI, однако части из них – имеющим в начале имени символы MP4 необходимо разрешить доступ. Для решения этой задачи добавляют в список «Files to Include» все файлы с расширением AVI: *.AVI и нажимают кнопку «Add», в список «Files to Exclude» – MP4*.AVI, также нажимают кнопку «Add», затем «OK».

Всего в состав File Groups по умолчанию входит 11 групп: Audio and Video Files, Backup Files, Compressed Files, E-mail Files, Executable Files, Office Files, System Files, Temporary Files, Text Files, Web Page Files

Список групп можно пополнять новыми, выбрав в контекстном меню «File Groups», вызываемого правой кнопкой мыши, «Create File Group».

File Screen Templates

В File Screen Templates по умолчанию несколько шаблонов: Block Audio and Video Files, Block E-mail Files, Block Executable Files, Block Image Files, Mirror Executable and System Files. Все, кроме последнего, – активные шаблоны, последний – пассивный. Файловый экран, созданный на основе активного шаблона, запрещает доступ файлам указанного типа и при их попытке записать генерирует сообщение по хранящемуся в нем шаблону и либо записывает его в журнал событий, либо отсылает его по электронной почте, либо выполняет указанную команду. Перечень действий зависит от настроек шаблона.

Создание шаблона File Screen Templates полностью повторяет создание шаблона Quota Templates за исключением вкладки Settings (см. рис. 9). В ней указываются группы файлов из раздела File Groups, которые будет обрабатывать экран, созданный на основе данного шаблона. Здесь же можно создать новую группу файлов или отредактировать существующую. В этой вкладке также указывается тип шаблона: Active Screening или Passive Screening. Все остальные настройки были описаны в разделе Quota Templates.

Рисунок 9. Раздел File Screen Templates

Рисунок 9. Раздел File Screen Templates

File Screen

В отличие от Quotas в File Screen допускается создание объектов двух видов: File Screen и File Screen Exception.

File Screen

Принципы настройки File Screen идентичны с принципами настройки Quotas. Новый файловый экран можно создать полностью вручную или с помощью готового шаблона.

File Screen Exception

Благодаря наличию файловых групп – File Group, появилась возможность создавать ограничения непосредственно на основе групп, а не шаблонов. Основное отличие File Screen Exception (см. рис. 10) заключается в том, что из него невозможно отправить пользователю сообщение в какой-либо форме.

Рисунок 10. Вкладка «File Screen Exception»

Рисунок 10. Вкладка «File Screen Exception»

Storage Reports Management

С помощью этой службы создают различные отчеты, в том числе она обеспечивает генерацию отчетов с помощью Scheduled Tasks. В контекстном меню службы присутствуют три варианта:

  • Schedule a New Report Task…
  • Add or Remove Reports for a Report Task…
  • Generate Reports Now…

Schedule a New Report Task…

Если кликнуть на «Schedule a New Report Task…» левой кнопкой мыши, появится диалоговое окно с тремя вкладками «Settings», «Delivery» и «Sсhedule».

В первой из них – «Settings» (cм. рис. 11) – необходимо набрать список анализируемых папок Scope и указать тип файла отчета. Предлагается выбрать один или несколько форматов из следующего списка: DHTML, HTML, XML, CSV, TXT для просмотра в Internet Explorer, Microsoft Excel, Microsoft Word или экспортировать его в базу данных, например в SQL. Также в этой же вкладке предлагается выбрать одно или несколько событий, на основе которых будет сгенерировано сообщение. Предполагается, что в следующей вкладке – «Delivery» (cм. рис. 12) – в случае необходимости будет указан адрес электронной почты, по которому будет отправлен отчет. Таким образом, администратор и сотрудники службы поддержки будут оперативно получать информацию о состоянии квот.

Рисунок 11. Вкладка «Settings»

Рисунок 11. Вкладка «Settings»

Рисунок 12. Вкладка «Delivery»

Рисунок 12. Вкладка «Delivery»

Особый интерес представляет вкладка Schedule (cм. рис. 13). С ее помощью можно настроить регулярную генерацию файла отчета, например XML. Во вкладке «Schedule» нажмите на кнопку «Create Schedule…». В появившемся окне приведен список задач, выполняемых Task Scheduled. Для пополнения списка нажмите кнопку «New». Расписание запуска задачи можно изменить здесь, выбрав частоту выполнения задачи и время ее пуска. Если необходим запуск задачи каждые 20 минут, то надо нажать на «Advanced» и включить раздел «Repeat Task». В доступных полях необходимо сделать изменения: в поле «Every» установить значение 20 (min), в поле «Duration» – 24 (hours).

Рисунок 13. Вкладка «Schedule»

Рисунок 13. Вкладка «Schedule»

Add or Remove Reports for a Report Task…

Для изменения параметров созданной задачи отчета необходимо воспользоваться вторым пунктом контекстного меню «Add or Remove Reports for a Report Task…». Если дважды кликнуть на ранее созданную надпись, то видно, что все кнопки недоступны и можно только посмотреть существующие настройки.

Чтобы изменить расписание «Scheduled», необходимо в Панели управления запустить программу Scheduled Task и открыть там соответствующую задачу. FSRM создает задачи, имена которых соответствуют следующему шаблону – Имя задачи + {GUID}, например FSRM_Report_Task{85aa8287-16b7-41f3-8af8-e44d235af653}.

Generate Reports Now…

Часто бывают ситуации, в которых необходимо создать свежий отчет, и нет времени ждать, когда по расписанию создастся новый. Для решения такой задачи программисты Microsoft предусмотрели третий пункт контекстного меню «Generate Reports Now…». Появляющееся диалоговое окно в точности повторяет окно «Schedule a New Report Task…». Единственное различие – отсутствие вкладки «Schedule». Сформированные отчеты находятся в %systemdrive%/storage/reports/scheduled.

Заключение

Несмотря на недостатки, которые можно ликвидировать с помощью скрипта, думаю, утилита будет востребована системными администраторами и использована, например, в системе обмена данными между подразделениями в крупных организациях.

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

Ограничьте создание объектов в разделе

В Active Directory (AD) используется гибкая структурированная модель управления, основанная на списках контроля доступа ACL (Access Control List). Однако есть одно ограничение: нельзя использовать списки Windows 2000 AD ACL для ограничения числа объектов, созданных в разделе. Можно, конечно, ограничить число тех, кто может создавать объекты в контейнере, но после того, как вы разрешаете пользователю создавать объекты (т. е. применяется право создавать все дочерние объекты Create All Child Objects), этот пользователь может создать столько объектов, сколько захочет. Пользователи-злоумышленники с правом создания объектов в одном домене могут заполнить жесткий диск контролера домена (DC — domain controller), используя генерацию большого количества объектов.

Квоты AD

Windows Server 2003 имеет новые атрибуты AD, позволяющие следить за квотами и ограничивать число объектов, которое участник системы безопасности (пользователь, группа или компьютер) может создавать в разделе. Этот атрибут аналогичен встроенной квоте, которую Windows 2000 и более поздние версии приписывают проверенным пользователям для создания компьютерных объектов, и только новые квоты применимы ко всем типам объектов. Например, новые квоты компьютерных ресурсов не позволяют пользователям создавать больше десяти объектов «компьютер» (т. е. ресурсов) в одном домене.

Объекты квот хранятся в контейнере квот NTDS Quotas во всех разделах на основе Windows 2003 (в том числе в разделах приложений), кроме раздела Schema. Квоты нельзя связывать с разделом Schema, поскольку изменение схемы представляет собой весьма редкую операцию, которую могут выполнять только члены группы администраторов схемы Schema Admins. По умолчанию инструменты типа встроенных оснасток Microsoft Management Console (MMC) Active Directory Users и Computers не позволяют увидеть контейнер квот NTDS Quotas, однако этот контейнер можно увидеть, выбрав пункты View, Advanced Features из меню. Контейнер квот NTDS Quotas имеет объектный класс msDS-QuotaContainer, который обладает рядом свойств, определяющих по умолчанию поведение квот. В Taблице 1 перечислена часть важных атрибутов для объектов msDS-QuotaContainer. Объекты квот имеют объектный класс msDS-QuotaControl. Таблица 2 включает самые интересные атрибуты объектов классов.

Добавление квот

К сожалению, для создания квот нельзя применять встроенные инструменты AD MMC — Active Directory Users и Computers или другие. Единственными инструментами, которые Microsoft предоставляет для создания квот и управления ими, являются утилиты службы каталога Directory Service (DS), в том числе Dsadd, Dsmod и Dsquery. Для применения утилиты Dsadd для создания квоты для специального раздела надо определить значения свойств, перечисленных в Таблице 2.

Вот общая команда для создания квоты. Заметим, что последняя строка (в скобках) необязательна.

dsadd quota
-part 
-qlimit 
-acct 
[-rdn ]

Следующая команда создает квоту, которая позволяет пользователю cn=rallen создать только пять объектов в разделе dc=rallencorp,dc=com.

dsadd quota
-part dc=rallencorp,dc=com
-qlimit 5
-acct cn=rallen,cn=users,
dc=rallencorp,dc=com
[-rdn rallen_quota]

Фактор метки на удаление

Метки на удаление дают интересное замечание к квотам. Когда субъект службы безопасности (т. е. пользователь, группа или компьютер) удаляет объект, Windows помечает его меткой на удаление с определенным периодом времени (60 дней по умолчанию), прежде чем реально удалить из системы. Эти метки на удаление учитываются в квоте участника системы безопасности.

По умолчанию каждая метка на удаление учитывается как один объект. Таким образом, когда пользователь создает один объект и удаляет другой, эти объекты не считаются как два объекта внутри любой квоты, которая относится к пользователю. Если пользователь создает объект и потом уничтожает тот же объект, то в целом считается только один объект по квоте пользователя. Когда AD удаляет метку на удаление в конце заданного периода времени, AD вычитает один объект из квоты пользователя.

Можно присвоить атрибуту msDS-TombstoneQuotaFactor объекта msDS-QuotaContainer другое значение, отличное от 100 %, и установить, сколько каждая метка на удаление должна вычитать из квоты участника системы безопасности. Если атрибуту присвоено значение 50, то пользователь с пределом 10 может уничтожить 20 объектов (т. е. создать 20 меток). Если безразлично, сколько объектов уничтожают пользователи, то фактору квоты метки на удаление можно присвоить значение 0.

Значения квот по умолчанию

Поскольку можно назначить квоты различным типам владельцев системы безопасности, отдельному владельцу можно назначить много квот. В таком случае квота самого высокого предела остается в силе для участника.

Можно по умолчанию создать квоту для раздела, которая относится ко всем субъектам системы безопасности, кроме членов групп Enterprise Admins и Domain Admins и владельцев, для которых квота настроена по умолчанию. Даже если квота настроена по умолчанию для всех пользователей, администраторы не будут иметь ограничений, а владельцы, для которых квота была настроена, будут пользоваться своей квотой, а не квотой по умолчанию.

Легче всего применить квоту по умолчанию, изменяя атрибут msDS-DefaultQuota в контейнере NTDS Quotas для целевого раздела. Нужно быть осторожным при настройке квоты по умолчанию, поскольку она будет относиться ко всем неадминистративным участникам системы безопасности, для которых не была установлена индивидуальная квота. Если, например, квота была установлена по умолчанию в 0, компьютеры не смогут динамически обновлять свои DNS-записи в зоне интегрированной службы каталогов AD, потому что этот процесс создает объект. Такая ситуация, возможно, не применяется в вашей среде, но дело в том, что надо учитывать влияние квоты по умолчанию и тщательно проверять ее перед внедрением.

Назначение квоты пользователя

Если квоты были созданы, то пользователи, конечно, захотят узнать, сколько квот они истратили. Можно задать применение квоты пользователя несколькими способами. Один метод заключается в том, чтобы использовать команду Dsget User:

dsget user ""
-part 
-qlimit -qused

Эта команда отражает действительные границы квоты и количество квот, которое было истрачено конкретным пользователем. Например, следующая команда возвращает значение применения квоты для пользователя cn=rallen в разделе dc=rallencorp,dc=com:

dsget user "cn=rallen,
cn=users,dc=rallencorp,dc=com"
-part "dc=rallencorp,dc=com"
-qlimit -qused

Можно использовать аналогичные параметры с помощью команд Dsget Computer и Dsget Group для определения применения квоты для указанных типов объектов.

Пользователи также могут определить свое применение квоты, делая запрос об атрибутах msDS-QuotaUsed и msDS-QuotaEffective на контейнер NTDS Quotas для раздела. Эти два атрибута конструируются, т. е. это означает, что атрибуты динамически вычисляются на основе пользователя, который обращался к ним. Атрибут msDS-QuotaUsed возвращает значение, определяющее, сколько квот потратил пользователь, а атрибут msDS-QuotaEffective содержит эффективный остаток квоты на основе примененных квот.

Если надо узнать, какие пользователи в разделе создали больше всего объектов, можно просмотреть атрибут в контейнере NTDS Quotas раздела; этот атрибут дает информацию о пользователе с максимальным применением квоты. Каждое значение этого многозначного атрибута Each value содержит блоки данных в формате языка, похожего на XML. Каждый блок включает идентификатор участника системы безопасности SID (), полное число объектов, которые создал участник (), число меток на удаление () и число активных объектов (). На Рисунке 1 показан пример информации, которую этот атрибут может содержать.

Как видно, в XML не определяется имя ресурса для участника системы безопасности. Программа возвращает только SID ресурса. Если надо преобразовать SID в имя пользователя или группы, то можно задействовать утилиту SidToName, которую можно загрузить из http://www.joeware.net/win32/index.html.

Реализация квот

Квоты являются новой функциональностью Windows 2003 AD, они позволяют ограничить число объектов, которые пользователи могут создавать в разделе. Можно установить по умолчанию пределы квоты для всех владельцев системы безопасности в домене, чтобы злоумышленники не смогли заполнить жесткие диски ваших DC. Убедитесь, что были продуманы и тщательно проверены все квоты, которые будут внедряться в производство. Теперь вы должны использовать утилиты интерпретатора команд DS для управления квотами. Возможно, в недалеком будущем Microsoft упростит управление квотами, интегрировав квоты во встроенные программы AD MMC.


Рисунок 1. Пример содержания атрибута msDS-TopQuotaUsage
>> Dn: CN=NTDS Quotas,DC=rallencorp,DC=com
 3> msDS-TopQuotaUsage:

  DC=rallencorp,DC=com
 
  S-1-5-21-1422208173-2062366415
-1864960452-512
 
  152 
  2 
  150 

;

  DC=rallencorp,DC=com
 
  S-1-5-18 
  43 
  32 
  11 

;

  DC=rallencorp,DC=com
 
  S-1-5-32-544 
  14 
  0 
  14 

Таблица 1: Атрибуты объекта msDS-QuotaContainer

Атрибут Описание
Cn RDN — Relative distinguished name — () объекта контейнера квоты. По умолчанию этот атрибут имеет значение NTDS Quotas
msDS-DefaultQuota Квота по умолчанию применяется ко всем участникам системы безопасности, которые не имеют другой определенной спецификации квоты
msDS-QuotaEffective Конструируемый атрибут, который содержит эффективную квоту участника системы безопасности, просматривающего этот атрибут.
msDS-QuotaUsed Конструируемый атрибут, который содержит применение квоты участника системы безопасности, просматривающего этот атрибут.
msDS-TombstoneQuotaFactor Процентное отношение, которое подсчитывают метки на удаление по квоте. По умолчанию равно 100, т. е. объект-памятник имеет тот же вес, что и обычный объект
msDS-TopQuotaUsage Многозначный атрибут, содержит информацию об участниках системы безопасности с максимальным использованием квот

Таблица 2: Атрибуты объекта msDS-QuotaControl

Атрибут Описание
Cn RDN объекта квоты.
msDS-QuotaAmount Число объектов, которые могут быть созданы участниками системы безопасности, им приписывается квота.
msDS-QuotaTrustee SID участника системы безопасности, которому приписывается квота

Like this post? Please share to your friends:
  • Касперский endpoint security для windows server
  • Касперский скачать бесплатно для windows 10 крякнутый
  • Квик тайм скачать для windows 10 торрент
  • Карты яндекс навигатор для windows phone
  • Касперский рескуе диск для windows 10