คำถามติดแท็ก access-control-list

บางคนสับสนมากในการตั้งค่าการอนุญาตบนไดรฟ์ NTFS และฉันกำลังมองหาวิธีรีเซ็ตการอนุญาตทั้งหมดเป็นค่าเริ่มต้น ระบบปฏิบัติการจะถูกติดตั้งใหม่ แต่ฉันพยายามกู้ข้อมูลจากไดเรกทอรีผู้ใช้ของพวกเขา ไม่มีการเข้ารหัสข้อมูลในระดับ FS ข้อเสนอแนะใด ๆ เกี่ยวกับวิธีการบรรลุผลนั้น?

11 permissions  ntfs  access-control-list 

ฉันต้องการที่จะสามารถตั้งค่าบัญชี IIS สำหรับเว็บไซต์ใหม่ให้มีการแก้ไขสิทธิ์ ฉันมีสคริปต์ต่อไปนี้: function Set-ModifyPermission ($directory, $username, $domain = 'IIS APPPOOL') { $inherit = [system.security.accesscontrol.InheritanceFlags]"ContainerInherit, ObjectInherit" $propagation = [system.security.accesscontrol.PropagationFlags]"None" $acl = Get-Acl $directory $user = New-Object System.Security.Principal.NTAccount($domain, $username ) $accessrule = New-Object system.security.AccessControl.FileSystemAccessRule($user, "Modify", $inherit, $propagation, "Allow") $acl.AddAccessRule($accessrule) set-acl -aclobject $acl $directory } อย่างไรก็ตามเมื่อฉันเรียกใช้ฉันได้รับข้อผิดพลาดเช่นนี้: Set-Acl: ความสัมพันธ์ที่เชื่อถือได้ระหว่างเวิร์กสเตชันนี้และโดเมนหลักล้มเหลว ผมคิดว่านี่เป็นเพราะIIS APPPOOLไม่ได้เป็นโดเมนจริง แต่เป็นคำนำหน้าแปลกในบัญชีชนิดของปลอม …

11 iis  iis-7  asp.net  powershell  access-control-list 

ฉันมีกลุ่มโฆษณาสองกลุ่มที่สร้างขึ้นผิดพลาดในขณะที่ควรมีกลุ่มเดียวเท่านั้น พวกเขามีผู้ใช้เดียวกันแน่นอน อย่างไรก็ตามกลุ่มเหล่านี้ได้รับการกำหนดสิทธิ์ต่าง ๆ เกี่ยวกับทรัพยากร variuos (เช่นการแชร์ไฟล์) และฉันไม่สามารถติดตามพวกเขาทั้งหมดและรีเซ็ตพวกเขาให้อ้างถึงกลุ่มเดียวเท่านั้น ฉันสามารถ "รวม" ทั้งสองกลุ่มได้ไหมหากฉันลบกลุ่มใดกลุ่มหนึ่งและนำ SID ของมันไปไว้ในประวัติ SID ของอีกกลุ่มหนึ่ง สิ่งนี้จะช่วยให้สมาชิกของกลุ่มที่เหลือสามารถเข้าถึงทรัพยากรเหล่านั้นที่ได้รับอนุญาตให้ลบกลุ่มได้หรือไม่ ปรับปรุง: ดูเหมือนว่าไม่มีวิธีง่ายๆในการเพิ่ม SID ให้กับประวัติ SID ของผู้ใช้หรือกลุ่ม อย่างน้อยทั้ง ADUC และ ADSIEdit ไม่สามารถทำได้ หากกลเม็ดที่อธิบายไว้ข้างต้นใช้งานได้จริงจะสามารถทำได้อย่างไร

10 active-directory  access-control-list  groups  sid 

เซิร์ฟเวอร์ไฟล์เป็นความจริงของชีวิตในด้านไอทีและฉันอยากรู้ว่ามีวิธีปฏิบัติใดที่ยอมรับกันโดยทั่วไป (ฉันลังเลที่จะใช้คำว่า "ดีที่สุด" ที่นี่) สำหรับวิธีที่คุณสร้างกลุ่มและใช้สิทธิ์ในการจัดการการเข้าถึงไคลเอนต์ ไฟล์เซิร์ฟเวอร์ ที่งานปัจจุบันของฉันฉันได้รับมรดกความยุ่งเหยิงของวิธีการทำสิ่งต่าง ๆ มากมายตั้งแต่กลุ่มหลายสิบกลุ่มใน ACL ไปจนถึงเพียงแค่นำผู้ใช้แต่ละคนเข้าสู่ระบบไฟล์โดยตรง งานของฉันคือทำความสะอาดความยุ่งเหยิงและหาวิธีที่เป็นมาตรฐานในการเข้าถึงสิ่งนี้ทั่วทั้ง บริษัท (สภาพแวดล้อมขนาดใหญ่บุคลากร 150k คอมพิวเตอร์ไคลเอนต์ 90k และไฟล์เซิร์ฟเวอร์ 100 แห่ง) จากความเข้าใจของฉันเกี่ยวกับปัญหาดูเหมือนว่าคุณต้องการกลุ่มอย่างน้อยหนึ่งกลุ่มต่อระดับการเข้าถึงที่ต้องการต่อทรัพยากรที่ปลอดภัย รุ่นนี้ดูเหมือนจะให้ความยืดหยุ่นสูงสุดในการที่คุณไม่จำเป็นต้องสัมผัสสิทธิ์ระบบไฟล์อีกครั้งเว้นแต่คุณจะต้องสนับสนุนระดับการเข้าถึงที่แตกต่างกัน ข้อเสียคือคุณจะสร้างกลุ่มมากกว่าการใช้กลุ่มเดียวกันซ้ำในหลาย ๆ แหล่งข้อมูลที่ใช้ร่วมกัน นี่คือตัวอย่างที่แสดงสิ่งที่ฉันหมายถึง: มีการแชร์ที่เรียกว่า "ผลการทดสอบ" บนเซิร์ฟเวอร์ไฟล์ชื่อ FILE01 และคุณมีผู้ที่ต้องการการเข้าถึงแบบอ่านอย่างเดียวการเข้าถึงเพื่ออ่าน - เขียนและการควบคุมอย่างสมบูรณ์ 1 ทรัพยากรที่ปลอดภัย * 3 ระดับการเข้าถึง = 3 กลุ่มความปลอดภัย ในสภาพแวดล้อมโฆษณาของเราเราสร้างกลุ่มเหล่านี้เป็นกลุ่มสากลเพื่อให้เราสามารถเพิ่มผู้ใช้ / กลุ่มจากโดเมนใด ๆ ในฟอเรสต์ได้อย่างง่ายดาย เนื่องจากแต่ละกลุ่มอ้างอิงถึงโฟลเดอร์ที่ใช้ร่วมกันและระดับการเข้าถึงที่ไม่ซ้ำกันชื่อกลุ่มจึงรวมส่วนข้อมูล "คีย์" เหล่านั้นไว้และการอนุญาตจึงเป็นดังนี้: "FILE01-Test …

10 active-directory  filesystems  ntfs  access-control-list 

สมมติว่าฉันมีไดเรกทอรีที่ฉันต้องการ จำกัด การเข้าถึงด้วยวิธีนี้เพื่อให้ผู้ใช้สามารถเข้าถึงไดเรกทอรีได้เฉพาะในเวลา 06.00 น. ถึง 18.00 น. ฉันรู้วิธีการทำเช่นนี้โดยใช้ PHP (ใช้time()%86400) แต่ฉันสามารถทำได้ทั้งหมดโดยใช้ฟังก์ชัน builtin ของ Apache (.htaccess หรือเซิร์ฟเวอร์ apache2.conf) หรือ mod อื่น ๆ

9 apache-2.4  access-control-list 

ฉันพยายามใช้ Powershell เพื่อเปลี่ยนเจ้าของโฟลเดอร์ซ้ำ ฉันใช้รหัสนี้เป็นหลัก: $acct1 = New-Object System.Security.Principal.NTAccount('DOMAIN\Enterprise Admins') $profilefolder = Get-Item MyFolder $acl1 = $profilefolder.GetAccessControl() $acl1.SetOwner($acct1) set-acl -aclobject $acl1 -path MyFolder สิ่งนี้จะเปลี่ยนความเป็นเจ้าของในระดับแรก แต่ไม่ใช่สำหรับโฟลเดอร์ย่อยหรือไฟล์ใด ๆ มีวิธีขยายขอบเขตเนื้อหาทั้งหมดMyFolderหรือไม่

9 powershell  ntfs  access-control-list  permissions 

ในเวิร์คสเตชั่นสำหรับนักพัฒนาของเราเราได้รับความหวาดกลัว "รายการควบคุมการเข้าถึงนี้ไม่ได้อยู่ในรูปแบบมาตรฐานดังนั้นจึงไม่สามารถแก้ไขได้" เกิดข้อผิดพลาดเมื่อเราลองและตั้งค่าการอนุญาตในบางโฟลเดอร์ เราไม่สามารถระบุได้ว่าอะไรคือสิ่งที่ทำให้ ACL เหล่านี้เสียหาย ตอนนี้วิธีเดียวที่ฉันรู้ในการแก้ไขคือการคลิกขวาที่โฟลเดอร์ / ไฟล์ที่เสียหายเลือกคุณสมบัติและคลิกแท็บความปลอดภัย Windows จะสังเกตเห็นความเสียหายและเสนอให้แก้ไข ฉันไม่ชอบสิ่งนี้เพราะเป็นคู่มือและต้องการให้ผู้ใช้ทำการตรวจสอบเพื่อหาว่าโฟลเดอร์ / ไฟล์ใดเสียหาย มีสคริปต์หรือโปรแกรมที่จะทำสิ่งนี้โดยอัตโนมัติหรือไม่? ฉันเห็นว่าicaclsมี/verifyพารามิเตอร์ แต่เพียงแค่แสดงให้ฉันเห็นว่า ACLs ในไฟล์ / โฟลเดอร์เสียหาย มันไม่เสนอให้แก้ไขอะไรเลย

9 windows  access-control-list 

จากคำถามนี้เกี่ยวกับการสนับสนุนการอนุญาตขั้นสูงในระบบไฟล์สิทธิ์ที่ดีที่สุด + ไดเรกทอรีและเมลสแต็กเพื่อเปรียบเทียบกับ Active Directory บน NTFS กับ Exchange คืออะไร ฉันคุ้นเคยกับOpenLDAPสำหรับบริการไดเรกทอรีและScalixสำหรับอีเมลและปฏิทิน มีคู่แข่งที่ดีในเวทีนี้หรือไม่? NetWare ของ Novell น่าจะเป็นคำตอบของฉันเมื่อสิบปีที่แล้ว แต่ด้วยความที่หายไปค่อนข้างมากฉันจึงไม่เห็นการทดแทนที่ดีนอก "perl-and-duct-tape" เช่น - มีแพ็คเกจแบบรวมของชุดเครื่องมือเหล่านี้ (หรืออื่น ๆ ) หรือไม่ ความมุ่งมั่นของคำถามนี้คือการดูว่าสภาพแวดล้อมที่ปลอดโฆษณาทั้งหมดนั้นมีความน่าเชื่อถือเพียงใดโดยมีฟังก์ชั่นปฏิทินคุณภาพอีเมลและบริการไดเรกทอรี มันสามารถทำงานบน Mac OS X, Linux หรือ Windows - ฉันสนใจมากที่จะเห็นสิ่งที่คนอื่นได้ทำ / เห็น / ใช้ในพื้นที่นี้

9 active-directory  email  ldap  access-control-list 

เรากำลังโฮสต์เซิร์ฟเวอร์เฉพาะและกำลังใช้สวิตช์ 3com ตัวเก่าที่มี IP-based ACL ดังนั้นแต่ละพอร์ตมี ACL ที่อนุญาตให้ที่อยู่ IP ทั้งหมดที่กำหนดให้กับลูกค้ารายนี้และบล็อกทุกอย่างอื่น แต่ตอนนี้ 3com ถูกซื้อโดย HP และรุ่นติดตามนั้นรองรับเฉพาะ ACL พื้นฐานที่ไม่ยืดหยุ่นพอที่จะอนุญาต IP ทั้งสองขณะปิดกั้นผู้อื่น เมื่อดูที่สวิตช์อื่นในช่วงราคาใกล้เคียงกันเราพบว่าส่วนใหญ่มีปัญหาที่คล้ายกันหรือไม่มีคุณสมบัติ ACL เลย ฉันคิดว่าสิ่งนี้สามารถทำได้ด้วย VLANs แต่ถ้าฉันเข้าใจอย่างถูกต้องเรายังคงต้องการ ACL บางชนิดเพื่อระบุที่อยู่ IP ที่ถูกต้องสำหรับแต่ละพอร์ต คุณใช้อะไรเพื่อให้แน่ใจว่าลูกค้าของคุณไม่ได้ใช้ที่อยู่ IP ที่ไม่ได้กำหนด หรือสวิตช์ใดที่คุณสามารถแนะนำให้มีฟังก์ชัน ACL ที่ยืดหยุ่นได้

1 switch  access-control-list  spoofing