ฉันจะติดตาม NTFS และการอนุญาตให้ใช้ร่วมกันเพื่อดูว่าทำไมฉันสามารถ (หรือไม่สามารถ) เขียนไฟล์

8

ฉันพยายามติดตามว่าทำไมฉันจึงสามารถเขียนลงในโฟลเดอร์ที่ฉันคาดคะเนได้ดีที่สุดฉันไม่สามารถเขียนได้ โฟลเดอร์แชร์กับ "ทุกคน" มี "การควบคุมทั้งหมด" โดยไฟล์มีข้อ จำกัด มากขึ้น การเดาที่ดีที่สุดของฉันคือมีสมาชิกกลุ่มย่อยบางประเภทที่อนุญาตให้ฉันเขียนได้ แต่การซ้อนกลุ่มที่มีอยู่ใน Active Directory ของเรานั้นค่อนข้างกว้างขวาง

มีเครื่องมือที่จะบอกฉันว่ารายการ ACL ใดที่อนุญาตหรือไม่อนุญาตให้เขียนไฟล์ในโฟลเดอร์?

มีผลบังคับใช้สิทธิ์โต้ตอบเป็นประโยชน์เล็กน้อย แต่สิ่งที่ฉันต้องการก็คือสิ่งที่ต้องการ "NTFS ACL Trace เครื่องมือ" ถ้าสิ่งที่ดังกล่าวอยู่

windows  permissions  ntfs  network-shares 
hometoast
แหล่งที่มา
เมื่อคุณให้การตั้งค่าแบบกลุ่มใหญ่ (เช่นทุกคน) กลุ่มเล็ก ๆ จะสามารถ จำกัด ได้โดยใช้สิทธิ์ DENY คุณอาจเป็นสมาชิกของกลุ่มที่มีสิทธิ์น้อย แต่ถ้าคุณปฏิเสธสิทธิ์โดยเฉพาะการเป็นสมาชิกพฤตินัยในกลุ่มทุกคนจะทำให้คุณสามารถเข้าถึงได้
Joel Coehoorn
ฉันจำไม่ได้ว่าอะไรทำให้ฉันถามสิ่งนี้ตั้งแต่แรก แต่ถ้าฉันพูดถูกฉันคิดว่ามันเป็นเรื่องโง่ ๆ เช่น "OurDomain \ All Users" ถูกเพิ่มลงในกลุ่ม "ผู้ใช้" ในท้องถิ่น บางสิ่งบางอย่างด้วยเหตุผลกลุ่มนโยบายจะไม่ยอมให้ฉัน (นักพัฒนาต่ำ) เปลี่ยนแปลง
hometoast

คำตอบ:

5

ลองAccessChk จาก sysinternals:

ในฐานะส่วนหนึ่งของการสร้างความมั่นใจว่าพวกเขาได้สร้างสภาพแวดล้อมที่ปลอดภัยผู้ดูแลระบบ Windows มักจำเป็นต้องรู้ว่าผู้ใช้หรือกลุ่มเฉพาะที่มีการเข้าถึงทรัพยากร ได้แก่ ไฟล์ไดเรกทอรีคีย์รีจิสตรีคีย์ออบเจ็กต์ทั่วโลกและบริการ Windows AccessChk ตอบคำถามเหล่านี้อย่างรวดเร็วด้วยอินเทอร์เฟซและเอาท์พุทที่ใช้งานง่าย

ค่อนข้างแน่ใจว่ามันจะทำงาน

โจดี้
แหล่งที่มา
1
ดูเหมือนว่าจะเป็นเวอร์ชันบรรทัดคำสั่ง (ดีมาก) ของไดอะล็อกการอนุญาตที่มีประสิทธิภาพภายใน Explorer สิ่งนี้ไม่ได้บอกฉันว่า "ทำไม" หรือ "ชุดของ ACL ใดที่ตรงกับที่อนุญาตให้ฉันเข้าถึง"
hometoast
อา. จริง ฉันไม่แน่ใจว่าสิ่งที่คุณกำลังมองหาอยู่นอกเอกสารของ MS คำแนะนำที่ดีที่สุดของฉันคือพยายามสร้างสภาพแวดล้อมของไฟล์ใหม่นอกโครงสร้างปัจจุบันจากนั้นเพิ่มการอนุญาตทีละรายการโดยเริ่มจากข้อ จำกัด มากที่สุดจนกว่าไฟล์จะสามารถเขียนได้ อย่าลืมแบ่งปันและการอนุญาตด้านความปลอดภัยแตกต่างกัน โชคดี.
Jody
4

คุณควรลองใช้AccessEnum

ป้อนคำอธิบายรูปภาพที่นี่

สิ่งนี้จะช่วยให้คุณมีหลักการรักษาความปลอดภัยที่แตกต่างกันซึ่งมีการอ่านและปฏิเสธรายการใน acl สำหรับทั้งไฟล์และโฟลเดอร์ มันเป็นเครื่องมือฟรีเช่นกัน

หลังจากที่คุณเรียกใช้รายงานให้เปิดขึ้นและดูรายการเฉพาะสำหรับไฟล์และโฟลเดอร์ที่เป็นปัญหา และดูการอนุญาตที่มีประสิทธิภาพจากที่นั่น มันค่อนข้างด้วยตนเองที่จะทำการค้นหา แต่โดยการวางเท้าคุณจะได้รับข้อมูลที่เฉพาะเจาะจงมาก

Winson
แหล่งที่มา
1

ดูเหมือนว่าคุณคาดหวังให้ Windows จำกัด สิทธิ์แบบกว้างเหล่านั้นโดยตรวจสอบเฉพาะกลุ่มที่แคบที่สุดเท่านั้น มันไม่ทำงานอย่างนั้น สิทธิ์แบบ NTFS ถูกกำหนดเช่นนี้:

  1. เริ่มต้นด้วยการไม่เข้าถึงเลยโดยค่าเริ่มต้น
  2. สร้างทั้งหมดอนุญาตให้มีการอนุญาตจากทุกกลุ่มเป็นชุดใหญ่ที่คุณสามารถทำได้
  3. Take away ทั้งหมดปฏิเสธการอนุญาตจากทุกกลุ่ม (ดังนั้นปฏิเสธทุกที่ทุกอย่างจะกล้าหาญอื่น)

ดังนั้นหากคุณให้การควบคุมเต็มรูปแบบกับทุกคนในกลุ่มและมีสิทธิ์อนุญาตให้กับกลุ่มอื่นของคุณเท่านั้นการเป็นสมาชิกพฤตินัยในกลุ่มทุกคนจะทำให้คุณเข้าถึงได้อย่างเต็มที่

Joel Coehoorn
แหล่งที่มา
0

หากคุณตั้งค่า acls ที่ smb share คุณจะต้องตั้งค่าการอนุญาตที่ระบบไฟล์และในเมนู share มันอาจถูกกำหนดให้ทุกคนเฉพาะในการอนุญาตให้ใช้ร่วมกัน

สัปดาห์
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.