易化Unix与Windows间的帐户映射的NFS角色
大部分Windows Server 2008 R2中有什么的讨论都以Windows自身为中心,当然,但包括Windows Server的UNIX服务等在内的功能则很少被提及。如果你不是在处在这些功能起重要作用的Unix和Windows Server混合的环境中,这些功能不太会引起你过多的注意。
任何Unix环境中的一个重要元素就是网络文件系统(NFS),它是允许通过网络共享文件和目录的远程访问协议。多年来,Windows一直以Unix加载项服务的形式来支持NFS,但是Windows Server 2008 R2添加的NFS支持是作为核心部件,这个角色服务叫做面向NFS服务,这再合适不过了。(在大体上看过了Windows Server 2008 R2中的NFS有些什么新特点后,微软已经在TechNet的文件中简单地分析了这些功能。)
在混合环境中实施NFS的一个常见问题在于,不同的系统如何处理访问权限和用户帐号。为了在这一点上阐释 Windows Server 2008 R2实施NFS的方法,微软已经发表了一篇题为《Windows Server 2008 R2中的NFS映射》的文章。因为它展示了各个元素(尤其是用户和组对象)之间的互相影响并通过Windows Server对NFS的支持彼此取长补短,对那些既不熟悉Windows Server也不了解Unix/NFS的新手来说,它是很实用的。
面向NFS服务可以用两种基本方式检查到网络文件系统共享的用户访问:
◆映射的用户访问通过活动目录域服务(AD DS)或创建活动目录轻型目录服务(AS LDS)中的一种来创建Unix用户/组身份到Windows身份间的明显链接。如果你已经现有活动目录安装并且想要认证你的用户访问,这是很有用的。
◆未映射的用户访问不产生Unix和Windows身份间的直接链接。相反地,它能从Unix身份自动产生Windows安全身份或从未核实的客户端上进行匿名访问。如果你不是以Windows Server中用户/组身份的现有缓存为根据,这个就比较方法合适。
这篇微软的文章通过对两种方法的解释,加上它们的子迭代让和如何设置它们的详细描述,让读者对此有了大致认识和了解。这个文件还包含很多关于Unix和Windows身份管理功能和它们彼此间如何保持一致(或不一致)的讨论。
这些阐释中的很多都附带了讨论中的过程如何工作的图例,例如运用未映射Unix用户访问时如何自动产生Windows Server中的自定义SID。下面发布一次有意思的接触:Unix帐户的许可位屏码纳入了自动产生的SID的名字中,所以看一眼就能看到SID和它的许可分配。
***,这个文件中描述的最耗时的任务之一就是设置所有的独立用户/组映射。好在有很多方法能加速这项工作,如导入。映射和运用的CSV列表在Windows PowerShell中下命令来自动化这个过程。
原文:易化Unix与Windows间的帐户映射的NFS角色
【编辑推荐】
- Linux下的NFS快速配置教程与安全策略
- 生产环境下的高可用NFS文件服务器
- NFS服务器七大安全策略