2.1 Configure disks and volumes

2.1.1 Configure sector sizes appropriate for various workloads

2.1.2 Configure GUID partition table (GPT) disks

2.1.3 Create VHD and VHDX files using Disk Management or Windows PowerShell

2.1.4 Mount virtual hard disks

2.1.5 Determine when to use NTFS and ReFS file systems

2.1.6 Configure NFS and SMB shares using Server Manager

2.1.7 Configure SMB share and session settings using Windows PowerShell

2.1.8 Configure SMB server and SMB client configuration settings using Windows PowerShell

2.1.9 Configure file and folder permissions

2.1.1 Configure sector sizes appropriate for various workloads

En sektor er en del av et spor på en harddisk plate. Harddisker benyttet tradisjonelt 512-byte sektorer, men nyere teknologier har tatt i bruk 4096-byte sektorer.

Størrelsen bestemmes når disken lages på fabrikken og kan ikke endres senere. Det man dog kan endre på er Allocation unit size på et diskvolum, som ofte blir feilaktig kalt for en sektor. Andre navn på allocation unit size er block og cluster (henviser heretter til blokk og blokkstørrelse). Dette er den minste enheten man kan lagre data til. I tillegg kan man ikke lagre mer enn en fil per blokk. Dvs. at hvis man har en blokkstørrelse på 4KB og skal lagre 2 KB så bruker man likevel 4KB av disken. Hvis man skal lagre 10KB med samme blokkstørrelse vil man trenge tre blokker som utgjør 12KB tilsammen. Ubrukt plass som følger av dette kalles ofte slack space.

Allokerer man for stor blokkstørrelse får man mye slack space, allokerer man for liten blokkstørrelse får man dårligere ytelse på disken fordi filer blir spredd ut over mange blokker. Dette forsterkes av at disken over tid kan bli fragmentert og blokkene kan bli veldig spredd.

Problemet med slack space er i stor grad mitigert av at nyere disker har fått så stor lagringskapasitet. For hver fil som lagres blir det i snitt en halv blokkstørrelse med slack space. Det betyr at med 10,000 filer og blokkstørrelse på 64KB vil man få 320MB slack space totalt. Med harddisker på 2+TB er dette en bagatell.

Blokkstørrelsen setter man når man konfigurerer opp et nytt volum i Disk Management.

Standard for filsystemet NTFS er en blokkstørrelse på 4KB. Det vil passe godt for bl.a. systemdisker, men for disker hvor man lagrer hovedsaklig store filer vil man kunne forbedre ytelsen ved å skru opp størrelsen på blokkene til 64KB.

NB. For virtuelle disker bruker Hyper-V 512-byte på VHD og 4096-byte på VHDX når det kommer til I/O operasjoner. Dvs. at hvis du endrer blokkstørrelsen på diskene til 64KB vil det føre til mer arbeid da blokker må konverteres til 4KB før de kan skrives til disk, som igjen fører til dårligere ytelse.

2.1.2 Configure GUID partition table (GPT) disks

Harddisker har en partisjonstabell som gir operativsystemet lokasjonen på partisjoner på disken. Den første teknologien for denne tabellen var Master Boot Record (MBR) som ble indtrodusert i 1983. På 90-tallet fikk MBR en arvtaker i GUID partition table (GPT), som skulle gjøre opp for mangler MBR hadde. Det var imidlertid ikke før i Windows Server 2008 og Windows Vista at et x86 Windows støttet GPT. Nå til dags støtter de fleste operativsystemer GPT.

Når man skal initialisere en ny disk i Disk Management får man valget mellom MBR og GPT, hvor GPT er forvalgt.

Ulemper med MBR

• MBR oppretter en boot sektor på starten av disken som peker mot partisjoner, og som gir en boot loader for OS. Fordi denne viktige informasjonen blir lagret på en og samme plass vil ikke OS gjenkjenne disken om området blir korrupt eller overskrevet.
• MBR støtter kun volumer opp til 2TB
• MBR støtter maks fire primærpartisjoner

Fordeler med GPT

• Hver partisjon blir tildelt en unik global id, en GUID
• GPT er en del av UEFI som skal erstatte BIOS
• Informasjon er spredt utover disken og sjekkes jevnlig for korrupsjon med _cyclic redundancy check (CRC). _Korrupt data kan gjenopprettes med data fra en annen lokasjon.
• GPT støtter volumer på opp til 18 exabytes (1 milliard GB)
• GPT støtter et ubegrenset antall partisjoner, men Windows sin spesifikke implementasjon av GPT har en begrensning på 128 partisjoner.

Hvilken bør man velge?

Hovedregelen bør være å velge GPT. Hvis maskinens arkitektur ikke støtter Extensible Firmware Interface (EFI)-basert boot partisjon kan man ikke velge GPT da man ikke kan boote fra en GPT disk. Merk at man likevel kan bruke GPT for datadisker i dette scenariet hvis man bruker MBR for systemdisken.

Merk at Server Manager ikke støtter å lage disker med MBR, men det gjør Disk Management snap-in.

Boote fra GPT disker

Hovedproblemet med GPT er at man ikke kan boote fra en GPT disk. Det er kun mulig om maskinen er 64-bit og støtter UEFI. Nesten alle servere på markedet støtter UEFI og Windows Server 2016 finnes kun som 64-bit versjon.

Merk at Hyper-V generasjon 1 VMer bruker BIOS boot firmware og må boote fra en MBR disk. Generasjon 2 VMer bruker UEFI og støtter å boote fra GPT.

2.1.3 Create VHD and VHDX files using Disk Management or Windows PowerShell

Man kan benytte både Disk Management snap-in og PowerShell for å opprette virtuelle disker på VHD(X) format. På maskiner med Hyper-V installert kan man også bruke Hyper-V manager til å opprette diskene.

• VHD: Begrenset til 2TB og kompatibel med Windows Server 2008 og nyere, samt Windows 7 og nyere
• VHDX: Begrenset til 64TB og støtter 4KB blokkstørrelse. Kompatibel med Windows Server 2012 og nyere, samt Windows 8 og nyere

Man kan provisjonere virtuelle disker som Fixed (thick) eller Dynamic (thin). Fixed betyr at man faktisk setter av hele plassen disken er ment å ta fra starten av. Dynamic betyr at disken ikke tar større plass en det er data lagret på den. Dvs. at den utvider seg automatisk når man skriver data til den, opp til en angitt makskapasitet. Virtuelle disker av typen Fixed er litt raskere og det er enklere å se hvor mye plass det er igjen på hosten, mens dynamic kan hjelpe med bedre utnyttelse av lagrinskapasiteten på hosten.

Lag virtuelle disker med Disk Management

Åpne Disk Management som administrator (kjør > Diskmgmt.msc).

Velg Action > Create VHD.

Spesifiser lokasjon, diskstørrelse, diskformat og disktype.

Disken dukker opp i Disk Management som en uinitialisert disk. Høyreklikk på den og velg Initialize Disk.

Når disken er initialisert kan man opprette et volum og lagre data til den.

Hvis disken ikke skal brukes på hosten, så må man løsne den ved å høyreklikke på den og velge Detach VHD.

Lag virtuelle disker med PowerShell

For å lage virtuelle disker med PowerShell bruker man følgende kommandoer som er inkludert i Hyper-V modulen:

New-VHD -Path D:\Hyper-V\VHD\Data.vhdx -SizeBytes 10GB -Fixed

For å montere, initialisere, partisjonere og lage volum kan man bruke følgende kommandoer:

# Monter disken
Mount-VHD -Path D:\Hyper-V\VHD\Data.vhdx

# Finn nummer til montert disk
$DiskNumber = (Get-VHD -Path D:\Hyper-V\VHD\Data.vhdx | Get-Disk).Number

# Initialiser disken
Initialize-Disk -Number $DiskNumber

# Partisjoner disken
$Partition = New-Partition -DiskNumber $DiskNumber -DriveLetter F -UseMaximumSize

# Formatere volum
$Partition | Format-Volume -FileSystem NTFS -NewFileSystemLabel DataDisk -Force -Confirm:$false

Ev. kan man bruke følgende one-liner:

New-VHD -Path D:\Hyper-V\VHD\Data.vhdx -SizeBytes 10GB -Dynamic | Mount-VHD -Passthru | Initialize-Disk -Passthru | New-Partition -DriveLetter F -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel DataDisk -Force -Confirm:$false

2.1.4 Mount virtual hard disks

Man kan enkelt montere/avmontere virtuelle disker, noe som gjør de veldig portabel. Når man har montert en disk har man full tilgang til data på disken (kan velge å montere den som Read-Only også). Man kan montere disker med Disk Management eller PowerShell.

• Disk Management: Action > Attach VHD > Velg virtuell harddisk > OK
• PowerShell: Kan bruke enten Mount-DiskImage (Storage modul) eller Mount-VHD (Hyper-V modul)

# Storage modul
Mount-DiskImage -ImagePath D:\Hyper-V\VHD\Data.vhdx

# Hyper-V modul
Mount-VHD -Path D:\Hyper-V\VHD\Data.vhdx

For å avmontere en disk kan man gjøre følgende:

• Disk Management: Velg virtuell harddisk > Action > All Tasks > Detach VHD > OK

• PowerShell: Kan bruke enten Dismount-DiskImage (Storage modul) eller Dismount-VHD (Hyper-V modul)

# Storage modul
Dismount-DiskImage -ImagePath D:\Hyper-V\VHD\Data.vhdx

# Hyper-V modul
Dismount-VHD -Path D:\Hyper-V\VHD\Data.vhdx

2.1.5 Determine when to use NTFS and ReFS file systems

NTFS

Til å organisere data og programmer på disken må man ha et filsystem. I Windows Server 2016 har man støtte for fem filsystemer, men det er kun NTFS og ReFS som er passende for bruk i moderne servere. NTFS har vært standard filsystem for WIndows siden 1993 da det tok over for FAT filsystemet. Fordelen med NTFS over FAT er at man i NTFS kan lagre brukertilganger til filer i Discretionary Access Control lists (DACLs), og NTFS støtter lengre filnavn og større filer og volumer.

Med 4KB allocation unit size er maks størrelse på et NTFS volum 16TB, mens med 64KB allocation unit size er maks størrelse på volum 256TB.

NB. Da FAT mangler sikkerheten NTFS gir betyr det at hvem som helst kan lese all dataen din så lenge de har tilgang til maskinen. FAT har også begrensninger på størrelse.
Fat32 er begrenset til 32GB størrelse på partisjoner og 4GB størrelse på filer.
Fat16 er begrenset til 4GB størrelse på partisjoner og 2GB størrelse på filer.

Eneste grunn til å bruke FAT er hvis man har behov for å boote et annet OS enn Windows eller en tidlig Windows versjon som ikke støtter NTFS.

NTFS tilbyr i tillegg:

• File compression: Transparant og løpende komprimering, men kun for volum med 4KB blokkstørrelse. Grad av komprimering varierer fra fil til fil. Faktorer som volumstørrelse, antall filer og hyppig skriveaktivitet kan påvirke effektiviteten av komprimeringssystemet, som kan ta en del prosessorkraft.
• Encrypting File System (EFS): Tilbyr løpende kryptering av utvalgte filer og mapper med brukerens offentlige nøkkel. Komprimering og kryptering kan ikke brukes samtidig, man må velge en.
• Quotas: Man kan spesifisere hvor mye en bruker får lov til å bruke av disken og sette opp grenseverdier (threshold) som gir brukeren en advarsel om verdien overstiges, og brukerenblir nektet å lagre mer data.
• Volume Shadow Copy: NTFS kan ta vare på tidligere versjoner av filer og brukere kan se de tidligere versjonene eller rulle tilbake til de.
• Resizing: Man kan øke eller minske størrelsen på NTFS volum (unntatt systemvolum) hvis det er nok ledig plass på volumet/disken.

ReFS

Resilient File System (ReFS) er ganske nytt og ble introdusert i Windows Server 2012 R2. ReFS tilbyr nærmest uendelig størrelse på filer og volum, og økt motstandsdyktighet (resilience) som eliminerer behovet for egne verktøy for å sjekke for feil på filsystemet (f.eks. chkdsk.exe). ReFS støtter inntil 1 yobibyte (1 billion terabytes) volum og 16 exabytes (1 million terabytes) filer.

ReFS bruker sjekksum for å beskytte metadata på volum, og (valgfritt) på data selv. Den kjører periodiske sjekker i bakgrunnen når volumet er i bruk. Korrupsjon fikses umiddelbart uten at disken må tas offline. Dene kapabiliten gjør ReFS spesielt nyttig i Storage Spaces pools. For storage pools bruker ReFS mirror eller paritetsdata til å gjenopprette korrupt data. For Hyper-V virtuelle disker tar ReFS checkpoints og backup som en del av metadataoperasjoner, noe som øker hastighet og effektivitet.

ReFS bruker samme system for rettigheter som NTFS og er fullt ut kompatibel med eksisterede ACLs. ReFS støtter dog ikke NTFS features som file compression, Encrypted File System (EFS), og disk quotas, ReFS kan ikke leses av OS eldre en WIndows Server 2012 og Windows 8.1.

ReFS har mottat nok forbedringer i Windows Server 2016 til at Microsoft nå anbefaler å bruke ReFS som filsystem for operativsystemet. Der hvor man er avhengig av features som er ekslusivt tilgjengelig til NTFS bør man ikke bruke ReFS.

2.1.6 Configure NFS and SMB shares using Server Manager

Man kan dele en mappe med å høyrklikke og velge Share with hvis man er eier av mappen. Hvis man ikke er eier kan man høyreklikke > Properties > Sharing for å administrere deling. For mer avanserte alternativer kan man bruker Server Manager. Windows Server 2016 støtter to typer delte mapper:

• Server Message Blocks (SMB): En protokoll på applikasjonslaget som lenge har vært standard for deling av filer og printere på Windows nettverk
• Network File System (NFS): En standardisert filsystem protokoll, mye brukt av UNIX og Linux distribusjoner

Rollen File and Storage Services er allerede installert i Windows Server 2016. Men før man kan lage SMB shares må man også installere rollen File Server, og før man kan lage NFS shares må man installere rollen Server for NFS.

Install-WindowsFeature -Name FS-Fileserver, FS-NFS-Service

Opprett ett SMB share

Server Manager > File and Storage Services > Shares > Tasks > New Share...

Man velger så en profil for sharet.

• SMB Share - Quick: Tilbyr grunnleggende SMB deling med fulle share og NTFS rettigheter
• SMB Share - Advanced: Samme som Quick, men tilbyr i tillegg access-denied assistance, folder classification og quota
• SMB Share - Applications: Tilbyr SMB innstillinger som passer for Hyper-V, databaser og andre applikasjoner

Velg lokasjon for sharet. Enten et volum eller en egendefinert sti.

Oppgi navn og beskrivelse på sharet.

Velg så mellom følgende funksjoner om ønskelig:

• Enable Access-Based Enumeration: Bare vis innhold som brukeren har rettigheter til å se, mangler brukeren rettigheter vil han ikke se filene/mappene
• Allow Caching Of Share: Lar klienter beholde en lokal cache av filer de aksesserer fra sharet, og ved å huke av for Always Available Offline på en fil vil den da alltid være tilgjengelig og vil jevnlig oppdatere seg fra sharet.
• Enable BranchCache On The File Share: Lar klienter fungere som mellomlager (cache) for andre klienter når de skal ha tak i ressurser fra et share
• Encrypt Data Access: Krypterer filene på sharet før de sendes til en klient

Revider tilgangene om nødvendig:

Trykk videre og Confirm. Når sharet er opprettet kan man se det under Shares i Server Manager.

Ved å høyreklikke på sharet i Server Manager kan man velge å stoppe deling, åpne sharet eller åpne egenskaer til sharet.

Opprett ett NFS share

Server Manager > File and Storage Services > Shares > Tasks > New Share...

Man velger så en profil for sharet.

• NFS Share - Quick: Tilbyr grunnleggende NFS deling med autentisering og rettigheter
• NFS Share - Advanced: Samme som Quick, men tilbyr i tillegg access-denied assistance, folder classification og quota

Velg lokasjon for sharet. Enten et volum eller en egendefinert sti.

Velg så navn på sharet (i motsetning til SMB kan man ikke ha mellomrom i navnet for NFS) og en beskrivelse.

Velg hvilken autentisering som skal benyttes.

Legg til share permissions for sharet (hvilke maskiner har tilgang til sharet):

Endre på standard NTFS rettigheter om nødvendig. Trykk så på Create.

Når sharet er opprettet kan man se det under Shares i Server Manager.

Ved å høyreklikke på sharet i Server Manager kan man velge å stoppe deling, åpne sharet eller åpne egenskaer til sharet.

Opprette et share med avanserte alternativer

Når man velge enten SMB Share - Advanced eller NFS Share - Advanced er det flere innstillinger å ta stilling til. For å kunne velge avansert profil må man ha installer File Server Resource Manager.

Install-WindowsFeature -Name FS-Resource-Manager

Opprett et avansert share med å gå til Server Manager > File and Storage Services > Shares > Tasks > New Share... og velg en avansert profil. Oppgi lokasjon, navn og beskrivelse. Endre tilganger om nødvendig. Så får man opp to nye faner; Management properties og Quota.

På Management properties kan man velge hva man skal bruke sharet til. Man kan bruke dette til å konfigurere classification rules i File Server Resource Manager (FSRM) som utfører handlinger basert på klassifikasjon av filer. Man kan også spesifisere e-post til eier av sharet, som vil få tilsendt e-post når noen blir nektet adgang til sharet.

På Quota kan man velge i predefinerte templates (ønsker man mer granulert kontroll må man gjøre det i FSRM):

Konfigurere share tilganger

Windows har sitt eget tilgangssystem for shares i tillegg til NTFS. Ved opprette share via filutforskeren vil gruppen Everyone få Allow Read tilgang. Ved å opprette share via Server Manager vil gruppen Everyone få Allow Full Controll. Men selv om en bruker har share permission betyr det ikke nødvendigvis at vedkommende får tilgang til sharet, for i tillegg til share tilgang må brukeren også ha riktige NTFS tilganger. Det samme gjelder om en bruker har NTFS rettigheter, men ikke share tilgang.

NB. Merk at share tilgang bare gjelder over nettet og ikke lokalt på maskinen. NTFS gjelder både over nettet og lokalt.

Når man oppretter et share i Server Manager kan man velge å editere tilganger. Ved å trykke på knappen Customize permissions. Man kan se/endre NTFS rettigheter i fanen Permissions og share rettigheter i fanen Share. Merk at for NFS shares så spesifiserer man share tilgang i en egen fane kalt Specify Share permissions i veiviseren.

Share rettigheter er ganske enkle og består bare av tre tilgangsnivåer:

• Full Control
  • Change file permissions
  • Take ownership of files
  • Perform all tasks allowed by the Change permission
• Change
  • Create folders
  • Add files to folders
  • Change data in files
  • Append data to files
  • Change file attributes
  • Delete folder and files
  • Perform all actions permitted by the Read permission
• Read
  • Display folder names, filenames, file data and attributes
  • Execute program files
  • Access others folders within the shared folder

2.1.7 Configure SMB share and session settings using Windows PowerShell

Konfigurere SMB share

For å opprette et SMB share kan man bruke kommandoen:

New-SmbShare -Name sharename -Path sharepath [-FullAccess groupname][-ReadAccess groupname] [-ChangeAccess groupname] [-NoAccess groupname]

# Eksempel
New-SmbShare -Name "Shared Work" -Path D:\Shares\Work -FullAccess Everyone

Flere parametre (kan settes i ettertid med Set-SmbShare):

• ConcurrentUserLimit: Maks antall brukere som kan koble til sharet samtidig
• CachingMode: spesifiser alternativ for offline file caching
  • None: Deaktiverer offline file caching
  • Manual: Lar brukere velge filer for offline caching
  • Programs: Autmatisk caching av programmer og dokumenter
  • Documents: Autoamtisk caching av dokumenter
  • BranchCache: Aktiverer BranchCache på klienter
• EncryptData: Slå på kryptering før filene sendes over nettet
• FolderEnumerationMode: Slår av/på Access-Based enumeration (må ha tilgang for å se filer og mapper)
• Temporary: Sharet blir borte ved neste omstart

Administrere SMB sesjoner

Man kan administrere SMB sesjoner med følgende kommandoer:

# List alle aktive sesjoner
Get-SmbSession

# Lukk en sesjon (flere alternativer)
Close-SmbSession -SessionId 343597383725 -Force
Close-SmbSession -ClientComputerName 10.0.0.2 -Force
Close-SmbSession -ClientUserName AD\martin -Force

# Se hvilke filer som er åpne
Get-SmbOpenFile

# Lukk en åpen fil
Close-SmbOpenFile -FileId 343597384329 -Force

# Fjern et SMB share
Remove-SmbShare -Name sharename

2.1.8 Configure SMB server and SMB client configuration settings using Windows PowerShell

Sette share tilgang

Man kan modifisere share permissions med PowerShell:

# List ut tilganger på et share
Get-SmbShareAccess -Name "Shared work"

# Gi tilgang til et share (allow)
Grant-SmbShareAccess -Name "Shared work" -AccountName ad\martin -AccessRight Full -Force

# Fjern tilgang til et share (fjern allow)
Revoke-SmbShareAccess -Name "Shared work" -AccountName ad\martin -Force

# Blokker tilgang til et share (sett deny)
Block-SmbShareAccess -Name "Shared work" -AccountName ad\martin -Force

# Fjern blokkert tilgang (fjern deny)
Unblock-SmbShareAccess -Name "Shared work" -AccountName ad\martin -Force

Konfigurere SMB server

Man kan administrere SMB server med PowerShell:

# Se nåværende konfigurasjon av SMB server
Get-SmbServerConfiguration

# Man kan endre innstillinger
Set-SmbServerConfiguration -EncryptData $false
Set-SmbServerConfiguration Name "Shared work" -EncryptData $true
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Set-SmbServerConfiguration -RejectUnencryptedAccess $false

NB. Merk at SMBv3 ikke kan kjøre uten SMBv2. For kryptering kreves SMBv3. Serveren vil avvise tilkoblinger med SMBv1 eller SMBv2 til krypterte share. Denne oppførselen kan endres på med paramter -RejectUnencryptedAccess .

Konfigurere SMB klient

Man kan administrere en SMB klient med PowerShell:

# Se nåværende konfigurasjon for klient
Get-SmbClientConfiguration

# Man kan endre innstillinger, men det er normalt sett ikke nødvendig. Kan være til hjelp under testing/feilsøking.
Set-SmbClientConfiguration

2.1.9 Configure file and folder permissions

Windows Server 2016 bruker tillatelser for å kontrollere tilgang til NTFS filer, mapper, shares, registry keys og ADDS objekter. Hvert objekt har en egen liste over individuelle tillatelser; access control list (ACL). Innslag i ACL kalles for access control entry (ACE). Hver ACE består av en security principal (bruker, gruppe eller maskin) og spesifikke tillatelser tilegnet den. Merk at ACL og ACE lagres i objektene selv og ikke hos security principal, tillatelsene følger objektet.

Man kan se/endre NTFS tillatelser ved å høyreklikke på en fil/objekt > properties > security.

NB. Merk at det er vanlig å gi full tillatelse på share tilganger og kun styre tilgang via NTFS.

I bakgrunnen bruker Windows security identifiers (SID) til å unikt adressere en security principal. Når en bruker prøver å aksessere et objekt, leser systemet brukerens security acess token som inneholder brukerens SID og sammenlikner det med SID-ene som er lagret i ACL.

NB. Microsoft anbefaler å kun delegere rettigheter til grupper og ikke direkte til brukere. Da kan man administrere tilgang med å legge til eller fjerne brukere fra gruppen.

Basic og advanced

NTFS tilgang er delt opp i mange forskjellige tillatelser for å kunne gi granulert tilgang. Basic permissions er samlinger av granulerte tillatelser for å enklere kunne gi tilgang. Advanced permissions er de granulerte tillatelsene. Hvilke tilatelser som er tilgjengelig avhenger av hvilken type objekt det er snakk om. Filer og mapper har 14 ulike avanserte tillatelser man kan tildele, og 6 ulike basis tilatelser som egentlig bare er ulike kombinasjoner av de avanserte tilatelsene.

Man kan se basis tillatelsene under properties > security. For å se avanserte tillatelser trykker man på knappen Advanced. Som regel er basis tillatelsene gode nok, og man trenger sjeldent å dykke inn i de avanserte tillatelsene.

NB. Merk at før Windows Server 2012 het det ikke basic, men standard, og det het ikke advanced, men special.

Basis tillatelser for filer og mapper

NB. For Modify > On Files skal det stå Delete the file, ikke Take ownership of the file. Bare Full Control kan ta eierskap.

Avanserte tillatelser for filer og mapper

Man kan lese om avanserte tillatelser her: http://www.ntfs.com/ntfs-permissions-file-advanced.htm

Allow og Deny

Man kan både gi og nekte tilgang med henholdsvis Allow og Deny tillatelser. Dette gir to strategier for å styre tilgang:

• Additive: Start uten noen tillatelser, og gi Allow tilgang til individuelle security principal
• Subtractive: Start med å gi alle tillatelser, og gi Deny tilgang til individuelle security principal

I de fleste tilfeller bruker man Additive da Windows som standard gir minst mulig tilganger. Ofte trenger man ikke Deny tillatelser i det hele tatt. Å unngå Deny tillatelser hjelper også å forenkle arbeidet med å finne ut effektiv tilgang (se lengre ned om effektiv tilgang).

Inheritance (Arv)

Tillatelser satt på et object vil kunne arves ned til underobjekter (child objects), det forenkler administrasjon av tilganger. Tillatelser som sette manuelt kalles eksplisitte tillatelser, mens de som arvbes kalles implisitte tillatelser. Arv kan slås av på objektnivå, og man kan da velge å enten fjerne arvede tillatelser på underobjekter eller man kan konvertere de til eksplisitte tillatelser. Et annet alternativ er å sette en eksplisitt deny tillatelse på et underobjekt; for en eksplisitt deny er det strengeste man kan sette og vil overkjøre alt annet (se lengre ned om effektiv tilgang).

Effektiv tilgang

Det kan fort bli mange forskjellige ACL og ACE, hvor en del kan være motstridende. Dersom det er en konflikt vil systemet følge noen regler og regne ut den effektive tillatelsen; hva som faktisk blir gitt. For å kunne gjøre dette har man gitt forskjellige typer tillatelser forskjellig prioritering. Den enkleste måten å lære sef effektiv tilgang på er å memorisere følgende regler hvor 1. er høyest prioritert og 4. er lavest prioritert. Regelen med høyest prioritet vinner fram.

1. Eksplisitt Deny
2. Eksplisitt Allow
3. Implisitt Deny
4. Implisitt Allow

Dvs. at hvis man har en mappe D:\Shares\Parent hvor Martin har eksplisitt Deny og en undermappe D:\Shares\Parent\Child hvor man setter at Martin har eksplisitt Allow så vil den effektive tilgangen til Child-mappen bli Allow. Dette fordi Deny blir arvet ned til Child og har da lavere prioritet enn en eksplisitt Allow.

Man kan sjekke effektiv tilgang under properties > security > advanced > effective access.

Eierskap (Ownership)

NTFS inkluderer en bakdør i tilfelle noen utilsiktet stenger alle ute fra f.eks. en fil. Alle filer og mapper ha alltid en eier, som regel den som opprettet objektet. Eieren vil alltid ha tilgang til å endre å tillatelsene på objektet. Eierskap kan endres ved at en annen bruker tar eierskap over objektet. For å gjøre det må de ha Full Controll tilgang.

Innebygd Administrator bruker kan alltid ta eierskap over alt av filer og mapper. Men når Administrator har tatt eierskap kan han ikke endre eierskapet tilbake til forrige eier. Dette for å forhindre at Administrator kan aksessere filer uoppdaget.

En annen funksjon med eierskap er Disk Quota. For å finne ut hvor mye plass en bruker har brukt av disken, ser filsystemet på alle filene og mappene en bruker står som eier av.

For å ta eierskap navigerer man til properties > security > Advanced > Owner: Change