Joan zuzenean edukira

11. AWS: Fitxategi-zerbitzuak ADrekin (SMB/NTFS, GPO, FSRM, DFS)

Helburua

Windows Server fitxategi-zerbitzari bat ezartzea ADra elkartuta AWSn, NTFS/partekatze praktika onak aplikatuz, unitateak GPO bidez mapatuz, eta FSRM, DFS eta FSx for Windows File Server aukerak aztertuz.

Aurrebaldintzak

  • AD domeinu operatibo bat (aurreko laborategitik) DNS eta ordutegi zuzenarekin.
  • EC2 Windows Server instantzia 1, domeinura elkartua (File Server rola gomendatua).
  • GPOak sortu eta baliabide partekatuak administratzeko baimenak dituen erabiltzailea.
  • Security Group: SMB (TCP 445) baimenduta bezeroen eta zerbitzariaren artean VPC/LAB barruan.

Pausoak

1) Bolumena eta egitura prestatzea

  1. Gehitu datu-bolumen bat (EBS) eta esleitu D: gisa.
  2. Sortu karpetak:
  3. D:\Partekatuak\Sailak\Finantzak
  4. D:\Partekatuak\Publikoa
  5. D:\Partekatuak\Trukaketa
  6. Gaitu Itzal-kopiak (VSS) D: bolumenean.

2) NTFS baimenak (AGDLP)

  1. Sortu taldeak ADn:
  2. GG_Finantzak_Irakurketa, GG_Finantzak_Edizioa
  3. DL_Finantzak_Partekatu_Irakurketa, DL_Finantzak_Partekatu_Edizioa
  4. Habiaratu talde globalak domeinu lokaleko taldeetan (AGDLP).
  5. Ezarri NTFS D:\Partekatuak\Sailak\Finantzak karpetan:
  6. Kendu behar ez diren heredatuak.
  7. Gehitu DL_Finantzak_Partekatu_Edizioa: Aldatzea/Modifikatzea.
  8. Gehitu DL_Finantzak_Partekatu_Irakurketa: Irakurketa.
  9. Saihestu Ukapena beharrezkoa ez bada.

3) SMB partekatzea eta ABE

  1. Partekatu D:\Partekatuak \\ZERBITZARIA\Partekatuak gisa.
  2. Partekatze-baimenak:
  3. Aukera sinplea: Authenticated Users: Aldatzea; kontrol xehea NTFSen.
  4. Gaitu Access-Based Enumeration (ABE) partekatzean.
  5. Kontuan hartu SMB sinadura/entzifratzea politikaren arabera.

4) GPO bidez mapaketa (Drive Maps)

  1. Sortu GPO bat sailaren erabiltzaileentzat:
  2. Preferences → Windows Settings → Drive Maps → New.
  3. UNC: \\ZERBITZARIA\Partekatuak\Sailak\Finantzak, letra H:.
  4. Item-level targeting: GG_Finantzak_Edizioa (eta beste sarrera bat GG_Finantzak_Irakurketarako).
  5. gpupdate /force bezero batean; balidatu gpresult /r eta Explorer-en.

5) FSRM (aukerakoa)

  1. Instalatu FSRM (Server Manager → Add Roles/Features → File Server Resource Manager).
  2. Konfiguratu kuotak (adib., 50 GB Finantzak karpetan).
  3. Gaitu File Screening luzapen kaltegarriak blokeatzeko (*.exe erabiltzaile partekatuetan, aplikagarria bada).

6) DFS Namespace/Replication (aukerakoa)

  1. Sortu Namespace bat: \\dominio.local\DFS.
  2. Gehitu helburu-karpetak: Sailak/Finantzak -> \\ZERBITZARIA\Partekatuak\Sailak\Finantzak.
  3. Beste zerbitzari bat badago beste gune batean, gaitu DFS Replication; erabili ADren guneak erreferentzia hurbilak emateko.

7) FSx for Windows File Server (kudeatutako alternatiba)

  1. Sortu FSx for Windows File Server eta elkartu domeinura.
  2. Konfiguratu share bat eta mapatu GPO bidez, zerbitzari propioarekin bezala.
  3. Doitu throughput/IOPS eta backups kudeatuak.

Egiaztapena

  • Sarbide eraginkorra: editatzeko baimeneko erabiltzaileek sortu/aldatu dezakete; irakurketakoek, irakurri bakarrik.
  • ABE: baimenik gabeko erabiltzaileek ez dituzte ikusten beste sailen karpetak.
  • gpresult /h txostena.html eta bezeroetan egiaztapena.
  • FSRM: kuota eta file screening jakinarazpen/ekitaldiekin.
  • DFS: bide logikoa \\dominio.local\DFS\Sailak\Finantzak erabiliz.

Garbiketa

  • Kendu proba-GPO mapaketak.
  • Ezabatui taldeak ez badira erabiltzen.
  • Kendu aldi baterako share-ak.

Harremana teoriaren atalarekin