Квота на папку windows server 2003

Рубрика: Администрирование /  Администрирование

Facebook Twitter Мой мир Вконтакте Одноклассники Google+

Иван Коробко

Система анализа квот на базе File Server Resource Manager

В Windows Server 2003 RC2 появился наконец инструмент, позволяющий назначать квоты на использование дискового пространства серверов – File Server Resource Manager. Каковы достоинства и недостатки утилиты и как расширить ее возможности?

Очень долгое время в операционных системах Windows отсутствовал инструмент, который позволял устанавливать квоты на дисковое пространство серверов и информировать по заданным правилам об использовании свободного места. В Windows Server 2003 RC2 появился штатный инструмент, позволяющий решить данную задачу – File Server Resource Manager. В системе оповещения есть существенный недостаток. При заполнении дискового пространства, ограниченного квотой, может быть отправлено сообщение тому, кто его заполнил или перешел через установленную контрольную точку; а также службе поддержки по явно указанному e-mail-адресу. Однако оповестить об этом событии остальных сотрудников, имеющих права на эту папку, невозможно. Решить эту проблему можно с помощью сценария, который будет запускаться при событии, генерировать и отсылать сообщение по почте о состоянии квоты всем пользователям, имеющим доступ к папке.

File Server Resource Manager

В состав File Server Resource Manager, находящейся в «Панели управления», входят три инструмента:

• Quota Management – позволяет создавать шаблоны квот и назначать квоты на серверные папки;
• File Screening Management – ограничивает запись файлов указанных форматов (mp3, wav, avi, vob и т. д.) в папки;
• Storage Reports Management – создает отчеты, в том числе обеспечивает генерацию отчетов с помощью Scheduled Tasks.

Quota Management

Состоит из двух компонентов: Quotas и Quota Templates. В разделе Quotas располагаются созданные на папки квоты, а в Quota Templates – шаблоны, на основе которых можно создавать квоты.

Логика подсказывает, что квоты удобнее и быстрее создавать с помощью шаблонов, поэтому сначала рассмотрим Quota Templates.

Quota Templates

В Quota Templates присутствует несколько шаблонов по умолчанию. Несмотря на это, создадим собственный шаблон, кликнув правой кнопкой мыши по надписи Quota Templates и выбрав в появившемся меню «Create Quota Templates…».

В диалоговом окне (см. рис. 1) необходимо заполнить несколько полей. Программисты Microsoft предусмотрели возможность создания шаблонов на основе существующих: в верхней части диалогового окна в выпадающем списке  «Copy properties quota templates (optional)» выберите подходящий шаблон и нажмите на кнопку «Copy». Осталось отредактировать импортированные параметры.

Рисунок 1. Диалоговое окно «Create Qouta Templates…»

Рассмотрим подробнее поля вкладки «Settings»:

• Template Name – имя шаблона, которое будет отображаться в списке шаблонов; обязательное поле, ограниченное по длине 255 символами.
• Label – описание шаблона, расположенное справа от названия в общем списке; необязательный параметр.
• Space Limit – размер и тип квоты. Задавая размер квоты, необходимо тысячи отделять запятыми без пробелов, указывать размерность одним из значений выпадающего списка: Kb, Mb, Gb, Tb. Квота может быть двух типов: Hard и Soft. Принципиальная разница заключается в том, что при превышении Hard-квоты система не дает записать информацию на диск, выводя сообщение об окончании места, и генерируется сообщение. При превышении Soft-квоты только генерируется соответствующее сообщение.
• Notification thresholds – задаются пороговые значения, в соответствии с которыми будут генерироваться сообщения и их тип.

Задание пороговых значений

Под пороговым значением понимают значение, указанное в процентах, по достижении которого происходит событие, на основе которого осуществляется указанное действие. Выполняемое действие зависит от настроек.

Задать новое пороговое значение можно, нажав на кнопку «Add» и указав в поле «Generate notifications when usage» reaches число в процентах, по достижении которого будет происходить событие. В появившемся диалоговом окне несколько вкладок, в каждой из которых задается свое событие:

• e-mail Message – используя эту вкладку, инициируют отправку двух сообщений: одно – администратору или службе поддержки (его текст невозможно изменить) и второе – пользователю, который инициировал событие (см. рис. 2). Есть возможность задать тему письма и создать шаблон письма. В него могут быть вставлены переменные, значения которых будут изменяться в зависимости от настройки квот и состояния анализируемой папки.

Рисунок 2. Вкладка «e-mail Message»

• Event Log – формируется запись в журнале событий на сервере на основе шаблона, содержащего различные переменные (см. рис. 3).

Рисунок 3. Вкладка «Event Log»

• Command – при наступлении события запускается сценарий (см. рис. 4). Для запуска скрипта на VBScript необходимо в поле «Run this command or script» указать путь к файлу-интерпретатору: %WinDir%system32wscript.exe. В качестве его аргумента в поле «Command Settings» вводят полный путь к файлу-сценарию: C:Quota.vbs. Если он имеет параметры командной строки, то их указывают последовательно после имени сценария через пробел. FSRM поддерживает переменные, которые также можно указать в качестве аргументов командной строки. Для успешной работы сценария необходимы, как правило, максимальные права доступа. Этого достигают выбором Local System в разделе «Command Sequrity». С помощью сценария можно реализовать отправку сообщений всем пользователям, которые имеют право использовать данный сетевой ресурс. Как это сделать, читайте в разделе «Сценарий оповещения пользователей».

Рисунок 4. Вкладка «Command»

• Report – генерируется отчет по заданному критерию и отправляется по электронной почте администратору или в службу поддержки, либо сохраняется в виде файла в %SystemDrive%StorageReportsIncident (см. рис. 5).

Рисунок 5. Вкладка «Report»

Quotas

Для создания новой квоты на папку необходимо в FRSM войти в Quota Management и кликнуть правой кнопкой мыши по Quotas, а в контекстном меню выбрать «Create Quota». В появившемся диалоговом окне (см. рис. 6), нажав на кнопку «Browse», установить курсор на квотируемой папке и нажать на кнопку «ОK». Для FRSM не важно, предоставлена ли папка в общий доступ или нет. Впоследствии папка должна стать сетевой, поскольку квотировать локальную папку не имеет смысла.

Рисунок 6. Диалоговое окно «Create Quota»

В диалоговом окне необходимо задать один из вариантов создания квоты – «Create Quota on Path» (по умолчанию) или «Auto apply template and create quotas on existing and new folders» (см. рис. 6). В каждом из них есть возможность использовать имеющиеся шаблоны. Отличие методов заключается в возможности изменить в шаблоне существующие настройки для метода «Create Quota on Path».

Контролировать настройки назначаемой квоты можно с помощью окна «Summary of quota properties».

Сценарий оповещения пользователей

Создавая квоту, обратите особое внимание на вкладку Command в диалоговом окне. Использование сценариев может значительно расширить возможности FRSM. Создадим скрипт, формирующий список сотрудников на основе настроек системы безопасности квотируемой папки и отсылающий сообщение по электронной почте.

В качестве языка программирования рекомендуется выбрать VBScript или JScript. В данной ситуации это не принципиально. В качестве примера приведен сценарий на языке VBScript. Итог работы сценария – сообщение, разосланное всем сотрудникам, имеющим право доступа к квотируемой папке. Оно примерно такого содержания:

Красным шрифтом выделены параметры, которые меняются в зависимости от ситуации: имя пользователя в сети, название квотируемой папки, рубеж в процентном соотношении, израсходованное и предельное дисковое пространство. Все эти параметры транслируются из FRSM в сценарий с помощью аргументов командной строки:

C:Quota.vbs [Quota Path] [Quota Limit MB] [Quota Used MB] [Quota Used Percent] [Quota Free MB] [Source Io Owner]

где:

• [Quota Path] – локальный путь анализируемой папки;
• [Quota Limit MB] – размер квоты в Мб;
• [Quota Used MB] – использованный размер квоты в Мб;
• [Quota Used Percent] – занятое дисковое пространства в процентах;
• [Quota Free MB] – размер доступного для записи дискового пространства в Мб;
• [Source Io Owner] – пользователь, превысивший установленный рубеж.

Чтение аргументов командной строки в сценарии осуществляется следующим образом:

Set objArgs = WScript.Arguments

a0=objArgs(0)

a1=objArgs(1)

a2=objArgs(2)

a3=objArgs(4)

a4=objArgs(4)

a5=objArgs(5)

Зная путь к каталогу (параметр a0), с помощью объекта adsSeсurity получают доступ к параметрам безопасности NTFS этого каталога:

Set sec = CreateObject(«AdsSecurity»)

Set sd = sec.GetSecurityDescriptor(«FILE://»+PathToFolder)

Set Dacl = sd.DiscretionaryAcl

For Each ace In Dacl

    Wscript.Echo ace.Trustee

    Wscript.Echo ace.AccessMask

    Wscript.Echo ace.AceType

Next

Считанные данные необходимо отфильтровать и обработать. На каждую папку, расположенную на сервере, назначены права.

Перечень объектов, которые присутствуют в списке вкладки «Permissions», можно разделить на 2 части. Первая часть списка постоянна, вторая – вариативна.

В список постоянных объектов входят Domain Admins, System, Creator Owner.

 Во второй – обычные пользователи, которым назначены права доступа в зависимости от выполняемых ими задач.

Фильтр объектов безопасности осуществляется с помощью функции InStr().

Имена объектов имеют формат DomainObjectName. В большинстве случаев объект – группа. Поскольку у группы может не быть почтового адреса, а пользователей, за редким исключением, он есть, то необходимо получить список пользователей, входящих в группу.

Для этого необходимо получить непосредственно имя группы:

GroupName=ace.Trustee

Right(cstr(GroupName), Len(GroupName)-InStr(GroupName,»»))

Получив доступ к группе, с помощью провайдера WinNT можно определить список пользователей, входящих в нее, с помощью свойства объекта obj – members:

Set Obj=GetObject(«WinNT://»&domain&»/»& group&»,group»)

    For Each member In obj.members

           Wscript.Echo cstr(member.name)

    Next

Set Obj=nothing

Замечание: для операций с правами доступа к папке используют библиотеку ADsSecurity.dll, входящую в комплект ADSI Resource Kit. Перед использованием библиотеку необходимо зарегистрировать командой:

regsvr32 /s c:Program FilesMicrosoftADSI Resource Kit, Samples and UtilitiesResourceKitADsSecurity.dll

Для чтения назначенных прав доступа на объект используется объект AdsSecurity. Для назначения новых прав используется объект AccessControlEntry.

На заключительном этапе формируют текст сообщения и отправляют его по электронной почте с помощью CDO-объекта, используя CDO.Message и CDO.Configuration.

При создании письма должны быть указаны параметры:

• Адрес электронной почты пользователя, от имени которого отправляется сообщение. Он не должен быть фиктивным. Рекомендуется использовать адрес службы поддержки Support@Firm.Ru. В листинге использована переменная MAIL_FROM.
• DNS-имя почтового сервера, например Mail.Firm.ru. В листинге – переменная MAIL_SERVER.
• Адрес электронной почты получателя. Поскольку письмо отправляется нескольким пользователям одновременно, то в сценарии формируется одно письмо, отправляемое одновременно нескольким адресатам, поэтому в поле MAIL_TO заносят их почтовые адреса, разделенные символом (;).
• Тема письма в листинге сценария фигурирует в переменой MAIL_SUBJECT. Желательно, чтобы по теме письма сотрудник сразу мог понять, что это уведомление от службы о состоянии файловой системы, и не принимал его за спам:

MAIL_SUBJECT=»Квота папки «+right(a0,len(a0)-cstr(a0,»»)) +» использована на «+a3+»% («+a(2)+» Мб). Размер квоты «+a(1)+» Мб»

• Сообщение, отсылаемое пользователям, содержится в переменной MAIL_BODY. Для форматирования сообщения рекомендуется использовать для перехода на новую строку встроенную константу vbNewLine, для отбивки текста – константу табуляции vbNewTab:

mail_body = mail_body + «Уважаемый(ая) » + mail_to + «!»+ vbNewLine

mail_body = mail_body + «Вы использовали установленную квоту папки » + right(a0,len(a0)-cstr(a0,»»)) +» на » + a3 + «%.» + vbNewLine

mail_body = mail_body + «Общий размер квоты на папку» + a1+ » MB, из них занято » + a2 +» MB.» + vbNewLin + vbNewLine

mail_body = mail_body + «Необходимо удалить ненужные данные с этой папки.» + vbNewLin + vbNewLine + vbNewTab

mail_body = mail_body + «С уважением, Служба поддержки.» + vbNewLin + vbNewLine

Листинг отправки сообщения:

MAIL_FROM=»Support@Firm.Ru»

MAIL_SERVER=»Mail.Firm.ru»

MAIL_TO=»»

MAIL_BODY=»»

MAIL_SUBJECT=»»

…

MAIL_SUBJECT=…

MAIL_BODY = MAIL_BODY + …

…

Set iMsg = CreateObject(«CDO.Message»)

Set iConf = CreateObject(«CDO.Configuration»)

Set Flds = iConf.Fields

Flds.Item(«http://schemas.microsoft.com/cdo/configuration/sendusing») = 2

Flds.Item(«http://schemas.microsoft.com/cdo/configuration/smtpserver») = MAIL_SERVER

Flds.Item(«http://schemas.microsoft.com/cdo/configuration/smtpconnectiontimeout») = 10

Flds.Update

iMsg.Configuration = iConf

iMsg.To = MAIL_TO

iMsg.HTMLBody = MAIL_BODY

iMsg.From = MAIL_FROM

iMsg.Subject = MAIL_SUBJECT

iMsg.Send

Полный листинг сценария смотрите на сайте журнала www.samag.ru в разделе «Исходный код».

File Screening Management

Помогает ограничивать запись файлов указанных форматов (mp3, wav, avi, vob и т. д.) в квотируемую папку. Структура File Screening Management (см. рис. 7) повторяет структуру Quota Management: существуют предустановленные шаблоны – File Screen Templates, на основе которых создают новые шаблоны и сами правила – File Screens. Присутствует дополнительный раздел File Groups, в нем наборы расширений, обобщенные в группы.

Рисунок 7. Раздел File Screening Management

File Groups

В разделе File Groups находится список групп (см. рис. 8), в которых перечислены характерные расширения файлов. Этот список может быть изменен. Для этого достаточно два раза кликнуть на нужные группы. В появившемся меню присутствует два списка. В первом списке перечислены расширения файлов, которые нельзя будет записать в квотируемую папку. Второй список – список исключений из первого списка. Файлы с указанными расширениями можно записать в квотируемую папку. Приоритет списка файлов исключений выше приоритета списка файлов включений.

Рисунок 8. Раздел File Groups

Приведу пример. Системному администратору необходимо запретить запись файлов с расширением AVI, однако части из них – имеющим в начале имени символы MP4 необходимо разрешить доступ. Для решения этой задачи добавляют в список «Files to Include» все файлы с расширением AVI: *.AVI и нажимают кнопку «Add», в список «Files to Exclude» – MP4*.AVI, также нажимают кнопку «Add», затем «OK».

Всего в состав File Groups по умолчанию входит 11 групп: Audio and Video Files, Backup Files, Compressed Files, E-mail Files, Executable Files, Office Files, System Files, Temporary Files, Text Files, Web Page Files

Список групп можно пополнять новыми, выбрав в контекстном меню «File Groups», вызываемого правой кнопкой мыши, «Create File Group».

File Screen Templates

В File Screen Templates по умолчанию несколько шаблонов: Block Audio and Video Files, Block E-mail Files, Block Executable Files, Block Image Files, Mirror Executable and System Files. Все, кроме последнего, – активные шаблоны, последний – пассивный. Файловый экран, созданный на основе активного шаблона, запрещает доступ файлам указанного типа и при их попытке записать генерирует сообщение по хранящемуся в нем шаблону и либо записывает его в журнал событий, либо отсылает его по электронной почте, либо выполняет указанную команду. Перечень действий зависит от настроек шаблона.

Создание шаблона File Screen Templates полностью повторяет создание шаблона Quota Templates за исключением вкладки Settings (см. рис. 9). В ней указываются группы файлов из раздела File Groups, которые будет обрабатывать экран, созданный на основе данного шаблона. Здесь же можно создать новую группу файлов или отредактировать существующую. В этой вкладке также указывается тип шаблона: Active Screening или Passive Screening. Все остальные настройки были описаны в разделе Quota Templates.

Рисунок 9. Раздел File Screen Templates

File Screen

В отличие от Quotas в File Screen допускается создание объектов двух видов: File Screen и File Screen Exception.

File Screen

Принципы настройки File Screen идентичны с принципами настройки Quotas. Новый файловый экран можно создать полностью вручную или с помощью готового шаблона.

File Screen Exception

Благодаря наличию файловых групп – File Group, появилась возможность создавать ограничения непосредственно на основе групп, а не шаблонов. Основное отличие File Screen Exception (см. рис. 10) заключается в том, что из него невозможно отправить пользователю сообщение в какой-либо форме.

Рисунок 10. Вкладка «File Screen Exception»

Storage Reports Management

С помощью этой службы создают различные отчеты, в том числе она обеспечивает генерацию отчетов с помощью Scheduled Tasks. В контекстном меню службы присутствуют три варианта:

• Schedule a New Report Task…
• Add or Remove Reports for a Report Task…
• Generate Reports Now…

Schedule a New Report Task…

Если кликнуть на «Schedule a New Report Task…» левой кнопкой мыши, появится диалоговое окно с тремя вкладками «Settings», «Delivery» и «Sсhedule».

В первой из них – «Settings» (cм. рис. 11) – необходимо набрать список анализируемых папок Scope и указать тип файла отчета. Предлагается выбрать один или несколько форматов из следующего списка: DHTML, HTML, XML, CSV, TXT для просмотра в Internet Explorer, Microsoft Excel, Microsoft Word или экспортировать его в базу данных, например в SQL. Также в этой же вкладке предлагается выбрать одно или несколько событий, на основе которых будет сгенерировано сообщение. Предполагается, что в следующей вкладке – «Delivery» (cм. рис. 12) – в случае необходимости будет указан адрес электронной почты, по которому будет отправлен отчет. Таким образом, администратор и сотрудники службы поддержки будут оперативно получать информацию о состоянии квот.

Рисунок 11. Вкладка «Settings»

Рисунок 12. Вкладка «Delivery»

Особый интерес представляет вкладка Schedule (cм. рис. 13). С ее помощью можно настроить регулярную генерацию файла отчета, например XML. Во вкладке «Schedule» нажмите на кнопку «Create Schedule…». В появившемся окне приведен список задач, выполняемых Task Scheduled. Для пополнения списка нажмите кнопку «New». Расписание запуска задачи можно изменить здесь, выбрав частоту выполнения задачи и время ее пуска. Если необходим запуск задачи каждые 20 минут, то надо нажать на «Advanced» и включить раздел «Repeat Task». В доступных полях необходимо сделать изменения: в поле «Every» установить значение 20 (min), в поле «Duration» – 24 (hours).

Рисунок 13. Вкладка «Schedule»

Add or Remove Reports for a Report Task…

Для изменения параметров созданной задачи отчета необходимо воспользоваться вторым пунктом контекстного меню «Add or Remove Reports for a Report Task…». Если дважды кликнуть на ранее созданную надпись, то видно, что все кнопки недоступны и можно только посмотреть существующие настройки.

Чтобы изменить расписание «Scheduled», необходимо в Панели управления запустить программу Scheduled Task и открыть там соответствующую задачу. FSRM создает задачи, имена которых соответствуют следующему шаблону – Имя задачи + {GUID}, например FSRM_Report_Task{85aa8287-16b7-41f3-8af8-e44d235af653}.

Generate Reports Now…

Часто бывают ситуации, в которых необходимо создать свежий отчет, и нет времени ждать, когда по расписанию создастся новый. Для решения такой задачи программисты Microsoft предусмотрели третий пункт контекстного меню «Generate Reports Now…». Появляющееся диалоговое окно в точности повторяет окно «Schedule a New Report Task…». Единственное различие – отсутствие вкладки «Schedule». Сформированные отчеты находятся в %systemdrive%/storage/reports/scheduled.

Заключение

Несмотря на недостатки, которые можно ликвидировать с помощью скрипта, думаю, утилита будет востребована системными администраторами и использована, например, в системе обмена данными между подразделениями в крупных организациях.

Ограничьте создание объектов в разделе

В Active Directory (AD) используется гибкая структурированная модель управления, основанная на списках контроля доступа ACL (Access Control List). Однако есть одно ограничение: нельзя использовать списки Windows 2000 AD ACL для ограничения числа объектов, созданных в разделе. Можно, конечно, ограничить число тех, кто может создавать объекты в контейнере, но после того, как вы разрешаете пользователю создавать объекты (т. е. применяется право создавать все дочерние объекты Create All Child Objects), этот пользователь может создать столько объектов, сколько захочет. Пользователи-злоумышленники с правом создания объектов в одном домене могут заполнить жесткий диск контролера домена (DC — domain controller), используя генерацию большого количества объектов.

Квоты AD

Windows Server 2003 имеет новые атрибуты AD, позволяющие следить за квотами и ограничивать число объектов, которое участник системы безопасности (пользователь, группа или компьютер) может создавать в разделе. Этот атрибут аналогичен встроенной квоте, которую Windows 2000 и более поздние версии приписывают проверенным пользователям для создания компьютерных объектов, и только новые квоты применимы ко всем типам объектов. Например, новые квоты компьютерных ресурсов не позволяют пользователям создавать больше десяти объектов «компьютер» (т. е. ресурсов) в одном домене.

Объекты квот хранятся в контейнере квот NTDS Quotas во всех разделах на основе Windows 2003 (в том числе в разделах приложений), кроме раздела Schema. Квоты нельзя связывать с разделом Schema, поскольку изменение схемы представляет собой весьма редкую операцию, которую могут выполнять только члены группы администраторов схемы Schema Admins. По умолчанию инструменты типа встроенных оснасток Microsoft Management Console (MMC) Active Directory Users и Computers не позволяют увидеть контейнер квот NTDS Quotas, однако этот контейнер можно увидеть, выбрав пункты View, Advanced Features из меню. Контейнер квот NTDS Quotas имеет объектный класс msDS-QuotaContainer, который обладает рядом свойств, определяющих по умолчанию поведение квот. В Taблице 1 перечислена часть важных атрибутов для объектов msDS-QuotaContainer. Объекты квот имеют объектный класс msDS-QuotaControl. Таблица 2 включает самые интересные атрибуты объектов классов.

Добавление квот

К сожалению, для создания квот нельзя применять встроенные инструменты AD MMC — Active Directory Users и Computers или другие. Единственными инструментами, которые Microsoft предоставляет для создания квот и управления ими, являются утилиты службы каталога Directory Service (DS), в том числе Dsadd, Dsmod и Dsquery. Для применения утилиты Dsadd для создания квоты для специального раздела надо определить значения свойств, перечисленных в Таблице 2.

Вот общая команда для создания квоты. Заметим, что последняя строка (в скобках) необязательна.

dsadd quota
-part 
-qlimit 
-acct 
[-rdn ]

Следующая команда создает квоту, которая позволяет пользователю cn=rallen создать только пять объектов в разделе dc=rallencorp,dc=com.

dsadd quota
-part dc=rallencorp,dc=com
-qlimit 5
-acct cn=rallen,cn=users,
dc=rallencorp,dc=com
[-rdn rallen_quota]

Фактор метки на удаление

Метки на удаление дают интересное замечание к квотам. Когда субъект службы безопасности (т. е. пользователь, группа или компьютер) удаляет объект, Windows помечает его меткой на удаление с определенным периодом времени (60 дней по умолчанию), прежде чем реально удалить из системы. Эти метки на удаление учитываются в квоте участника системы безопасности.

По умолчанию каждая метка на удаление учитывается как один объект. Таким образом, когда пользователь создает один объект и удаляет другой, эти объекты не считаются как два объекта внутри любой квоты, которая относится к пользователю. Если пользователь создает объект и потом уничтожает тот же объект, то в целом считается только один объект по квоте пользователя. Когда AD удаляет метку на удаление в конце заданного периода времени, AD вычитает один объект из квоты пользователя.

Можно присвоить атрибуту msDS-TombstoneQuotaFactor объекта msDS-QuotaContainer другое значение, отличное от 100 %, и установить, сколько каждая метка на удаление должна вычитать из квоты участника системы безопасности. Если атрибуту присвоено значение 50, то пользователь с пределом 10 может уничтожить 20 объектов (т. е. создать 20 меток). Если безразлично, сколько объектов уничтожают пользователи, то фактору квоты метки на удаление можно присвоить значение 0.

Значения квот по умолчанию

Поскольку можно назначить квоты различным типам владельцев системы безопасности, отдельному владельцу можно назначить много квот. В таком случае квота самого высокого предела остается в силе для участника.

Можно по умолчанию создать квоту для раздела, которая относится ко всем субъектам системы безопасности, кроме членов групп Enterprise Admins и Domain Admins и владельцев, для которых квота настроена по умолчанию. Даже если квота настроена по умолчанию для всех пользователей, администраторы не будут иметь ограничений, а владельцы, для которых квота была настроена, будут пользоваться своей квотой, а не квотой по умолчанию.

Легче всего применить квоту по умолчанию, изменяя атрибут msDS-DefaultQuota в контейнере NTDS Quotas для целевого раздела. Нужно быть осторожным при настройке квоты по умолчанию, поскольку она будет относиться ко всем неадминистративным участникам системы безопасности, для которых не была установлена индивидуальная квота. Если, например, квота была установлена по умолчанию в 0, компьютеры не смогут динамически обновлять свои DNS-записи в зоне интегрированной службы каталогов AD, потому что этот процесс создает объект. Такая ситуация, возможно, не применяется в вашей среде, но дело в том, что надо учитывать влияние квоты по умолчанию и тщательно проверять ее перед внедрением.

Назначение квоты пользователя

Если квоты были созданы, то пользователи, конечно, захотят узнать, сколько квот они истратили. Можно задать применение квоты пользователя несколькими способами. Один метод заключается в том, чтобы использовать команду Dsget User:

dsget user ""
-part 
-qlimit -qused

Эта команда отражает действительные границы квоты и количество квот, которое было истрачено конкретным пользователем. Например, следующая команда возвращает значение применения квоты для пользователя cn=rallen в разделе dc=rallencorp,dc=com:

dsget user "cn=rallen,
cn=users,dc=rallencorp,dc=com"
-part "dc=rallencorp,dc=com"
-qlimit -qused

Можно использовать аналогичные параметры с помощью команд Dsget Computer и Dsget Group для определения применения квоты для указанных типов объектов.

Пользователи также могут определить свое применение квоты, делая запрос об атрибутах msDS-QuotaUsed и msDS-QuotaEffective на контейнер NTDS Quotas для раздела. Эти два атрибута конструируются, т. е. это означает, что атрибуты динамически вычисляются на основе пользователя, который обращался к ним. Атрибут msDS-QuotaUsed возвращает значение, определяющее, сколько квот потратил пользователь, а атрибут msDS-QuotaEffective содержит эффективный остаток квоты на основе примененных квот.

Если надо узнать, какие пользователи в разделе создали больше всего объектов, можно просмотреть атрибут в контейнере NTDS Quotas раздела; этот атрибут дает информацию о пользователе с максимальным применением квоты. Каждое значение этого многозначного атрибута Each value содержит блоки данных в формате языка, похожего на XML. Каждый блок включает идентификатор участника системы безопасности SID (), полное число объектов, которые создал участник (), число меток на удаление () и число активных объектов (). На Рисунке 1 показан пример информации, которую этот атрибут может содержать.

Как видно, в XML не определяется имя ресурса для участника системы безопасности. Программа возвращает только SID ресурса. Если надо преобразовать SID в имя пользователя или группы, то можно задействовать утилиту SidToName, которую можно загрузить из http://www.joeware.net/win32/index.html.

Реализация квот

Квоты являются новой функциональностью Windows 2003 AD, они позволяют ограничить число объектов, которые пользователи могут создавать в разделе. Можно установить по умолчанию пределы квоты для всех владельцев системы безопасности в домене, чтобы злоумышленники не смогли заполнить жесткие диски ваших DC. Убедитесь, что были продуманы и тщательно проверены все квоты, которые будут внедряться в производство. Теперь вы должны использовать утилиты интерпретатора команд DS для управления квотами. Возможно, в недалеком будущем Microsoft упростит управление квотами, интегрировав квоты во встроенные программы AD MMC.

---

Рисунок 1. Пример содержания атрибута msDS-TopQuotaUsage

>> Dn: CN=NTDS Quotas,DC=rallencorp,DC=com
 3> msDS-TopQuotaUsage:

  DC=rallencorp,DC=com
 
  S-1-5-21-1422208173-2062366415
-1864960452-512
 
  152 
  2 
  150 

;

  DC=rallencorp,DC=com
 
  S-1-5-18 
  43 
  32 
  11 

;

  DC=rallencorp,DC=com
 
  S-1-5-32-544 
  14 
  0 
  14 

---

Таблица 1: Атрибуты объекта msDS-QuotaContainer

Атрибут	Описание
Cn	RDN — Relative distinguished name — () объекта контейнера квоты. По умолчанию этот атрибут имеет значение NTDS Quotas
msDS-DefaultQuota	Квота по умолчанию применяется ко всем участникам системы безопасности, которые не имеют другой определенной спецификации квоты
msDS-QuotaEffective	Конструируемый атрибут, который содержит эффективную квоту участника системы безопасности, просматривающего этот атрибут.
msDS-QuotaUsed	Конструируемый атрибут, который содержит применение квоты участника системы безопасности, просматривающего этот атрибут.
msDS-TombstoneQuotaFactor	Процентное отношение, которое подсчитывают метки на удаление по квоте. По умолчанию равно 100, т. е. объект-памятник имеет тот же вес, что и обычный объект
msDS-TopQuotaUsage	Многозначный атрибут, содержит информацию об участниках системы безопасности с максимальным использованием квот

---

Таблица 2: Атрибуты объекта msDS-QuotaControl

Атрибут	Описание
Cn	RDN объекта квоты.
msDS-QuotaAmount	Число объектов, которые могут быть созданы участниками системы безопасности, им приписывается квота.
msDS-QuotaTrustee	SID участника системы безопасности, которому приписывается квота