Directrices para aplicar políticas de directorio de archivos que utilizan usuarios o grupos locales en el destino de recuperación ante desastres de SVM
Sugerir cambios
PDF
Hay ciertas directrices que debe tener en cuenta antes de aplicar políticas de directorio de archivos en el destino de recuperación ante desastres de la máquina virtual de almacenamiento (SVM) en una configuración de descarte de ID si la configuración de la política de directorio de archivos usa usuarios o grupos locales en el descriptor de seguridad, o en las entradas DACL o SACL.
Puede configurar una configuración de recuperación ante desastres para una SVM donde la SVM de origen en el clúster de origen replica los datos y la configuración desde la SVM de origen a una SVM de destino en un clúster de destino.
Puede configurar uno de los dos tipos de recuperación ante desastres de SVM:
-
Se conserva la identidad
Con esta configuración se conserva la identidad de la SVM y el servidor CIFS.
-
Identidad descartada
Con esta configuración, no se conserva la identidad de la SVM y el servidor CIFS. En esta situación, el nombre de la SVM y el servidor CIFS en la SVM de destino es diferente de la SVM y del nombre del servidor CIFS en la SVM de origen.
Directrices para configuraciones de identidad descartadas
En una configuración de identidad descartada, en el caso de un origen de SVM que contenga configuraciones de usuarios locales, grupos y privilegios, se debe cambiar el nombre del dominio local (nombre del servidor CIFS local) para que coincida con el nombre del servidor CIFS en el destino de SVM. Por ejemplo, si el nombre de la SVM de origen es «'vs1'» y el nombre del servidor CIFS es «'CIFS1'» y el nombre de la SVM de destino es «'vs1_dst'» y el nombre del servidor CIFS es «'CIFS1_DST», el nombre de dominio local de un usuario local denominado «'CIFS1\user1' se cambia automáticamente a «CIFS1» en el destino».
cluster1::> vserver cifs users-and-groups local-user show -vserver vs1_dst Vserver User Name Full Name Description ------------ ------------------------ -------------- ------------- vs1 CIFS1\Administrator Built-in administrator account vs1 CIFS1\user1 - - cluster1dst::> vserver cifs users-and-groups local-user show -vserver vs1_dst Vserver User Name Full Name Description ------------ ------------------------ -------------- ------------- vs1_dst CIFS1_DST\Administrator Built-in administrator account vs1_dst CIFS1_DST\user1 - -
Aunque los nombres de usuario local y de grupo se cambian automáticamente en las bases de datos de usuario local y de grupo, los usuarios locales o los nombres de grupo no se cambian automáticamente en las configuraciones de políticas de directorio de archivos (las políticas configuradas en la CLI mediante el vserver security file-directory familia de comandos).
Por ejemplo, para "'vs1'", si ha configurado una entrada DACL en la -account El parámetro se establece en "'CIFS1\user1'", la configuración no se cambia automáticamente en la SVM de destino para reflejar el nombre del servidor CIFS del destino.
cluster1::> vserver security file-directory ntfs dacl show -vserver vs1
Vserver: vs1
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
CIFS1\user1 allow full-control this-folder
cluster1::> vserver security file-directory ntfs dacl show -vserver vs1_dst
Vserver: vs1_dst
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
**CIFS1**\user1 allow full-control this-folder
Debe utilizar el vserver security file-directory modify Comandos para cambiar manualmente el nombre del servidor CIFS en el nombre del servidor CIFS de destino.
Componentes de configuración de directivas de directorio de archivos que contienen parámetros de cuenta
Existen tres componentes de configuración de directivas de directorio de archivos que pueden utilizar parámetros que pueden contener usuarios o grupos locales:
-
Descriptor de seguridad
Opcionalmente, puede especificar el propietario del descriptor de seguridad y el grupo primario del propietario del descriptor de seguridad. Si el descriptor de seguridad utiliza un usuario o grupo local para las entradas del propietario y del grupo primario, debe modificar el descriptor de seguridad para utilizar la SVM de destino en el nombre de cuenta. Puede utilizar el
vserver security file-directory ntfs modifypara realizar los cambios necesarios en los nombres de cuentas. -
Entradas DACL
Cada entrada DACL debe estar asociada con una cuenta. Debe modificar todas las DACL que utilicen cuentas de usuario local o de grupo para usar el nombre de la SVM de destino. Debido a que no puede modificar el nombre de cuenta para las entradas DACL existentes, debe eliminar todas las entradas DACL con usuarios o grupos locales de los descriptores de seguridad, crear nuevas entradas DACL con los nombres de cuenta de destino corregidos y asociar estas entradas DACL nuevas con los descriptores de seguridad adecuados.
-
Entradas de SACL
Cada entrada de SACL debe estar asociada a una cuenta. Debe modificar todas las SACL que utilicen cuentas de usuario o de grupo local para utilizar el nombre de la SVM de destino. Debido a que no puede modificar el nombre de cuenta para las entradas SACL existentes, debe eliminar todas las entradas SACL con usuarios o grupos locales de los descriptores de seguridad, crear nuevas entradas SACL con los nombres de cuenta de destino corregidos y asociar estas nuevas entradas SACL con los descriptores de seguridad adecuados.
Debe realizar los cambios necesarios en los usuarios o grupos locales utilizados en la configuración de la directiva de directorio de archivos antes de aplicar la directiva; de lo contrario, el trabajo de aplicación fallará.