пятница, 24 июля 2009 г.

Настройка доступа к общей папке по протоколу NFS в Windows Server 2008

Начиная с Windows Server 2003 R2 в состав ОС входит компонент Microsoft Services for Network File System поставлявшийся ранее с пакетом Windows Services for Unix. Services for NFS включает в себя клиентскую часть (Client for NFS) для подключения к NFS папкам в сети, а также серверную (Server for NFS) – для предоставления папок в общий доступ.


В Windows Server 2008 данная служба не сильно изменилась - была добавлена возможность назначать атрибуты UID и GID для учетных записей пользователей в AD; однако из состава Services for NFS убрали User Name Mapping, позволявший делать привязку пользователей и групп из файлов /etc/passwd и /etc/group к учетным записям Windows.

В Windows Server 2008 компонент Services for NFS является частью роли File Server и устанавливается при помощи оснастки Server Manager.

Кроме того, Services for NFS можно установить из командной строки:
Servermanagercmd –install FS-NFS-services

После завершения установки вы можете добавить одну или несколько клиентских групп для ограничения списка компьютеров, которым будет разрешен доступ к NFS папкам.

Чтобы создать новую группу используйте команду:
Nfsadmin server creategroup <имя_группы>

Для добавления компьютеров к созданной группе выполните:
Nfsadmin server addmembers <имя_группы> <компьютер_1> [<компьютер_2>]
Теперь откройте свойства папки и перейдите на появившуюся после установки вкладку NFS Sharing. Нажав на кнопку Manage NFS Sharing, вы сможете предоставить эту папку в общий доступ (Share this folder), задать сетевое имя (Share name), а также разрешить к ней анонимный доступ (Allow anonymous access).

Нажав кнопку Permissions вы можете определить удовень доступа к папке для тех или иных компьютеров, а также убедиться, что даже после установки второго пакета обновлений не работает встроенный help button.

Для выполнения настроек из консоли воспользуйтесь командой nfsshare, например:
Nfsshare NFSStore=C:\NFSStore –o rw=NFSClients –root=NFSClients –anon=yes
Предоставит в анонимный доступ папку NFSStore, расположенную на диске C:\ для компьютеров, входящих в группу NFSClients.

Если вы планируете предоставить анонимный доступ к папке, то помимо сетевых разрешений на вкладке NFS Sharing, вам потребуется задать NTFS разрешения на вкладке Security для группы Everyone (если вы работаете в тестовой среде, либо не особо заботитесь о безопасности, можете поставить Full Control). Кроме того, вам потребуется настроить групповую политику (например, через локальные политики безопасности, нажав Start -> Administrative Tools -> Local Security Policy). Интересующая нас политика находится в Security Settings -> Local Policies -> Security Options и называется Network access: Let Everyone permissions apply to anonymous users. Установите ее значение в Enabled.

На этом настройки NFS сервера закончены.

5 комментариев:

  1. Windows 2008R2
    Для того чтоб было проще с правами вместо
    Nfsshare NFSStore=C:\NFSStore –o rw=NFSClients –root=NFSClients –anon=yes
    Лучше использовать
    Nfsshare NFSStore=C:\NFSStore –o unmapped=yes rw=10.1.1.1:10.1.1.2 -root=10.1.1.1:10.1.1.2

    ОтветитьУдалить
  2. Спасибо за статью.
    Только в Local Security Policy ничего не менял.
    Папку Everyone-у не разрешал.
    Вместо этого дал права на чтение пользователю NETWORK.

    ОтветитьУдалить
  3. Огромное спасибо за статью!
    Sergey, а Вам за NETWORK :) Сильно помогло.

    ОтветитьУдалить
  4. Без документации, это какие-то танцы с бубном.
    Если следовать статье, то esxi хост 5.1 подключал том, но не видел ни одного файла, т.е. не хватало доступа.
    Спасибо KobaSurf за
    Nfsshare NFSStore=C:\NFSStore –o unmapped=yes rw=10.1.1.1 root=10.1.1.1 (перд root не надо тире)
    И тоже скажу спасибо Sergey, за NETWORK :)

    ОтветитьУдалить