คำถามติดแท็ก access-control-list

รายการเข้าถึงคือรายการของกฎซึ่งโดยปกติจะจัดขึ้นบนอุปกรณ์เครือข่ายเช่นสวิตช์เราเตอร์หรือไฟร์วอลล์ที่ตรงกับการรับส่งข้อมูลเครือข่าย คำเฉพาะ 'access-list' ถูกใช้ในบริบทของอุปกรณ์ Cisco แม้ว่าแนวคิดของ 'access list' จะเป็นแบบทั่วไป

5
การรีเซ็ต NTFS Permissions Disk Wide
บางคนสับสนมากในการตั้งค่าการอนุญาตบนไดรฟ์ NTFS และฉันกำลังมองหาวิธีรีเซ็ตการอนุญาตทั้งหมดเป็นค่าเริ่มต้น ระบบปฏิบัติการจะถูกติดตั้งใหม่ แต่ฉันพยายามกู้ข้อมูลจากไดเรกทอรีผู้ใช้ของพวกเขา ไม่มีการเข้ารหัสข้อมูลในระดับ FS ข้อเสนอแนะใด ๆ เกี่ยวกับวิธีการบรรลุผลนั้น?

5
ฉันจะเพิ่มสิทธิ์ ACL สำหรับบัญชี IIS APPPOOL \ * ผ่าน Powershell ได้อย่างไร
ฉันต้องการที่จะสามารถตั้งค่าบัญชี IIS สำหรับเว็บไซต์ใหม่ให้มีการแก้ไขสิทธิ์ ฉันมีสคริปต์ต่อไปนี้: function Set-ModifyPermission ($directory, $username, $domain = 'IIS APPPOOL') { $inherit = [system.security.accesscontrol.InheritanceFlags]"ContainerInherit, ObjectInherit" $propagation = [system.security.accesscontrol.PropagationFlags]"None" $acl = Get-Acl $directory $user = New-Object System.Security.Principal.NTAccount($domain, $username ) $accessrule = New-Object system.security.AccessControl.FileSystemAccessRule($user, "Modify", $inherit, $propagation, "Allow") $acl.AddAccessRule($accessrule) set-acl -aclobject $acl $directory } อย่างไรก็ตามเมื่อฉันเรียกใช้ฉันได้รับข้อผิดพลาดเช่นนี้: Set-Acl: ความสัมพันธ์ที่เชื่อถือได้ระหว่างเวิร์กสเตชันนี้และโดเมนหลักล้มเหลว ผมคิดว่านี่เป็นเพราะIIS APPPOOLไม่ได้เป็นโดเมนจริง แต่เป็นคำนำหน้าแปลกในบัญชีชนิดของปลอม …

1
ฉันสามารถ "ผสาน" สองกลุ่มโดยใช้ประวัติ SID ได้หรือไม่
ฉันมีกลุ่มโฆษณาสองกลุ่มที่สร้างขึ้นผิดพลาดในขณะที่ควรมีกลุ่มเดียวเท่านั้น พวกเขามีผู้ใช้เดียวกันแน่นอน อย่างไรก็ตามกลุ่มเหล่านี้ได้รับการกำหนดสิทธิ์ต่าง ๆ เกี่ยวกับทรัพยากร variuos (เช่นการแชร์ไฟล์) และฉันไม่สามารถติดตามพวกเขาทั้งหมดและรีเซ็ตพวกเขาให้อ้างถึงกลุ่มเดียวเท่านั้น ฉันสามารถ "รวม" ทั้งสองกลุ่มได้ไหมหากฉันลบกลุ่มใดกลุ่มหนึ่งและนำ SID ของมันไปไว้ในประวัติ SID ของอีกกลุ่มหนึ่ง สิ่งนี้จะช่วยให้สมาชิกของกลุ่มที่เหลือสามารถเข้าถึงทรัพยากรเหล่านั้นที่ได้รับอนุญาตให้ลบกลุ่มได้หรือไม่ ปรับปรุง: ดูเหมือนว่าไม่มีวิธีง่ายๆในการเพิ่ม SID ให้กับประวัติ SID ของผู้ใช้หรือกลุ่ม อย่างน้อยทั้ง ADUC และ ADSIEdit ไม่สามารถทำได้ หากกลเม็ดที่อธิบายไว้ข้างต้นใช้งานได้จริงจะสามารถทำได้อย่างไร

8
นี่เป็นวิธีที่แนะนำ / ถูกต้องสำหรับการอนุญาตเซิร์ฟเวอร์ไฟล์หรือไม่
เซิร์ฟเวอร์ไฟล์เป็นความจริงของชีวิตในด้านไอทีและฉันอยากรู้ว่ามีวิธีปฏิบัติใดที่ยอมรับกันโดยทั่วไป (ฉันลังเลที่จะใช้คำว่า "ดีที่สุด" ที่นี่) สำหรับวิธีที่คุณสร้างกลุ่มและใช้สิทธิ์ในการจัดการการเข้าถึงไคลเอนต์ ไฟล์เซิร์ฟเวอร์ ที่งานปัจจุบันของฉันฉันได้รับมรดกความยุ่งเหยิงของวิธีการทำสิ่งต่าง ๆ มากมายตั้งแต่กลุ่มหลายสิบกลุ่มใน ACL ไปจนถึงเพียงแค่นำผู้ใช้แต่ละคนเข้าสู่ระบบไฟล์โดยตรง งานของฉันคือทำความสะอาดความยุ่งเหยิงและหาวิธีที่เป็นมาตรฐานในการเข้าถึงสิ่งนี้ทั่วทั้ง บริษัท (สภาพแวดล้อมขนาดใหญ่บุคลากร 150k คอมพิวเตอร์ไคลเอนต์ 90k และไฟล์เซิร์ฟเวอร์ 100 แห่ง) จากความเข้าใจของฉันเกี่ยวกับปัญหาดูเหมือนว่าคุณต้องการกลุ่มอย่างน้อยหนึ่งกลุ่มต่อระดับการเข้าถึงที่ต้องการต่อทรัพยากรที่ปลอดภัย รุ่นนี้ดูเหมือนจะให้ความยืดหยุ่นสูงสุดในการที่คุณไม่จำเป็นต้องสัมผัสสิทธิ์ระบบไฟล์อีกครั้งเว้นแต่คุณจะต้องสนับสนุนระดับการเข้าถึงที่แตกต่างกัน ข้อเสียคือคุณจะสร้างกลุ่มมากกว่าการใช้กลุ่มเดียวกันซ้ำในหลาย ๆ แหล่งข้อมูลที่ใช้ร่วมกัน นี่คือตัวอย่างที่แสดงสิ่งที่ฉันหมายถึง: มีการแชร์ที่เรียกว่า "ผลการทดสอบ" บนเซิร์ฟเวอร์ไฟล์ชื่อ FILE01 และคุณมีผู้ที่ต้องการการเข้าถึงแบบอ่านอย่างเดียวการเข้าถึงเพื่ออ่าน - เขียนและการควบคุมอย่างสมบูรณ์ 1 ทรัพยากรที่ปลอดภัย * 3 ระดับการเข้าถึง = 3 กลุ่มความปลอดภัย ในสภาพแวดล้อมโฆษณาของเราเราสร้างกลุ่มเหล่านี้เป็นกลุ่มสากลเพื่อให้เราสามารถเพิ่มผู้ใช้ / กลุ่มจากโดเมนใด ๆ ในฟอเรสต์ได้อย่างง่ายดาย เนื่องจากแต่ละกลุ่มอ้างอิงถึงโฟลเดอร์ที่ใช้ร่วมกันและระดับการเข้าถึงที่ไม่ซ้ำกันชื่อกลุ่มจึงรวมส่วนข้อมูล "คีย์" เหล่านั้นไว้และการอนุญาตจึงเป็นดังนี้: "FILE01-Test …

1
Apache2: อนุญาต / ไม่อนุญาตการเข้าถึงไดเรกทอรีตามเวลาในวันที่
สมมติว่าฉันมีไดเรกทอรีที่ฉันต้องการ จำกัด การเข้าถึงด้วยวิธีนี้เพื่อให้ผู้ใช้สามารถเข้าถึงไดเรกทอรีได้เฉพาะในเวลา 06.00 น. ถึง 18.00 น. ฉันรู้วิธีการทำเช่นนี้โดยใช้ PHP (ใช้time()%86400) แต่ฉันสามารถทำได้ทั้งหมดโดยใช้ฟังก์ชัน builtin ของ Apache (.htaccess หรือเซิร์ฟเวอร์ apache2.conf) หรือ mod อื่น ๆ

2
เปลี่ยนเจ้าของซ้ำด้วย Powershell ไหม
ฉันพยายามใช้ Powershell เพื่อเปลี่ยนเจ้าของโฟลเดอร์ซ้ำ ฉันใช้รหัสนี้เป็นหลัก: $acct1 = New-Object System.Security.Principal.NTAccount('DOMAIN\Enterprise Admins') $profilefolder = Get-Item MyFolder $acl1 = $profilefolder.GetAccessControl() $acl1.SetOwner($acct1) set-acl -aclobject $acl1 -path MyFolder สิ่งนี้จะเปลี่ยนความเป็นเจ้าของในระดับแรก แต่ไม่ใช่สำหรับโฟลเดอร์ย่อยหรือไฟล์ใด ๆ มีวิธีขยายขอบเขตเนื้อหาทั้งหมดMyFolderหรือไม่

6
แก้ไข“ รายการควบคุมการเข้าถึงนี้ไม่ได้อยู่ในรูปแบบที่ยอมรับได้” จากบรรทัดคำสั่ง
ในเวิร์คสเตชั่นสำหรับนักพัฒนาของเราเราได้รับความหวาดกลัว "รายการควบคุมการเข้าถึงนี้ไม่ได้อยู่ในรูปแบบมาตรฐานดังนั้นจึงไม่สามารถแก้ไขได้" เกิดข้อผิดพลาดเมื่อเราลองและตั้งค่าการอนุญาตในบางโฟลเดอร์ เราไม่สามารถระบุได้ว่าอะไรคือสิ่งที่ทำให้ ACL เหล่านี้เสียหาย ตอนนี้วิธีเดียวที่ฉันรู้ในการแก้ไขคือการคลิกขวาที่โฟลเดอร์ / ไฟล์ที่เสียหายเลือกคุณสมบัติและคลิกแท็บความปลอดภัย Windows จะสังเกตเห็นความเสียหายและเสนอให้แก้ไข ฉันไม่ชอบสิ่งนี้เพราะเป็นคู่มือและต้องการให้ผู้ใช้ทำการตรวจสอบเพื่อหาว่าโฟลเดอร์ / ไฟล์ใดเสียหาย มีสคริปต์หรือโปรแกรมที่จะทำสิ่งนี้โดยอัตโนมัติหรือไม่? ฉันเห็นว่าicaclsมี/verifyพารามิเตอร์ แต่เพียงแค่แสดงให้ฉันเห็นว่า ACLs ในไฟล์ / โฟลเดอร์เสียหาย มันไม่เสนอให้แก้ไขอะไรเลย

3
การแข่งขัน Active Directory + Exchange ที่ดีมีอะไรบ้าง
จากคำถามนี้เกี่ยวกับการสนับสนุนการอนุญาตขั้นสูงในระบบไฟล์สิทธิ์ที่ดีที่สุด + ไดเรกทอรีและเมลสแต็กเพื่อเปรียบเทียบกับ Active Directory บน NTFS กับ Exchange คืออะไร ฉันคุ้นเคยกับOpenLDAPสำหรับบริการไดเรกทอรีและScalixสำหรับอีเมลและปฏิทิน มีคู่แข่งที่ดีในเวทีนี้หรือไม่? NetWare ของ Novell น่าจะเป็นคำตอบของฉันเมื่อสิบปีที่แล้ว แต่ด้วยความที่หายไปค่อนข้างมากฉันจึงไม่เห็นการทดแทนที่ดีนอก "perl-and-duct-tape" เช่น - มีแพ็คเกจแบบรวมของชุดเครื่องมือเหล่านี้ (หรืออื่น ๆ ) หรือไม่ ความมุ่งมั่นของคำถามนี้คือการดูว่าสภาพแวดล้อมที่ปลอดโฆษณาทั้งหมดนั้นมีความน่าเชื่อถือเพียงใดโดยมีฟังก์ชั่นปฏิทินคุณภาพอีเมลและบริการไดเรกทอรี มันสามารถทำงานบน Mac OS X, Linux หรือ Windows - ฉันสนใจมากที่จะเห็นสิ่งที่คนอื่นได้ทำ / เห็น / ใช้ในพื้นที่นี้

1
วิธีที่ดีที่สุดในการบล็อกการแอบอ้าง IP บนสวิตช์เลเยอร์ 3 คืออะไร
เรากำลังโฮสต์เซิร์ฟเวอร์เฉพาะและกำลังใช้สวิตช์ 3com ตัวเก่าที่มี IP-based ACL ดังนั้นแต่ละพอร์ตมี ACL ที่อนุญาตให้ที่อยู่ IP ทั้งหมดที่กำหนดให้กับลูกค้ารายนี้และบล็อกทุกอย่างอื่น แต่ตอนนี้ 3com ถูกซื้อโดย HP และรุ่นติดตามนั้นรองรับเฉพาะ ACL พื้นฐานที่ไม่ยืดหยุ่นพอที่จะอนุญาต IP ทั้งสองขณะปิดกั้นผู้อื่น เมื่อดูที่สวิตช์อื่นในช่วงราคาใกล้เคียงกันเราพบว่าส่วนใหญ่มีปัญหาที่คล้ายกันหรือไม่มีคุณสมบัติ ACL เลย ฉันคิดว่าสิ่งนี้สามารถทำได้ด้วย VLANs แต่ถ้าฉันเข้าใจอย่างถูกต้องเรายังคงต้องการ ACL บางชนิดเพื่อระบุที่อยู่ IP ที่ถูกต้องสำหรับแต่ละพอร์ต คุณใช้อะไรเพื่อให้แน่ใจว่าลูกค้าของคุณไม่ได้ใช้ที่อยู่ IP ที่ไม่ได้กำหนด หรือสวิตช์ใดที่คุณสามารถแนะนำให้มีฟังก์ชัน ACL ที่ยืดหยุ่นได้
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.