Cosa fai per correggere le autorizzazioni danneggiate o bloccate sulle condivisioni di file aziendali?

8

Ultimamente ho lavorato con uno dei nostri ragazzi di archiviazione su un progetto che ha coinvolto un po 'di controllo delle condivisioni di file di grandi dimensioni che sono state utilizzate dalla società per anni. Spesso ci imbattiamo in directory o file inaccessibili (con account amministratore di dominio) per uno o più dei seguenti motivi:

  • ACL danneggiati
  • l'accesso è stato revocato o negato per il gruppo Administrators (o l'utente SYSTEM)
  • nome file + percorso troppo lungo (oltre MAX_PATH )

Esistono alcuni strumenti che possono essere di aiuto in queste situazioni, da Microsoft (ad esempio TAKEOWN.EXE e ICALCS.EXE) o da terze parti (ad esempio SETACL.EXE ). A volte sono necessari altri trucchi come l'esecuzione di uno dei comandi nell'account SYSTEM con PSEXEC.EXE . Anche solo capire quali passi fare e in che ordine è una sfida ...

Ad esempio, vorrei essere in grado di risolvere i problemi con un flusso come questo:

  1. Il percorso è troppo lungo? In tal caso, crea un percorso con il \\?\prefisso, quindi riprova.
  2. L'ACL è danneggiato? In tal caso, riordinare correttamente gli ACE e rimuovere eventuali incognite, quindi riprovare.
  3. È stato negato l'accesso al gruppo amministratori? In tal caso, assumere la proprietà, aggiungere nuovamente le autorizzazioni per il gruppo Administrators e l'account SYSTEM, quindi riprovare.
  4. Sta ancora fallendo? In tal caso, eliminare tutti gli ACE e applicare solo le autorizzazioni ereditate, quindi controllare di nuovo. (Questo è un tipo di ultima risorsa, dal momento che spesso apre autorizzazioni che dovevano essere più restrittive.)
  5. È una directory? In tal caso, il processo deve continuare in modo ricorsivo per i file all'interno ...

Fare i passaggi precedenti manualmente è una seccatura e irragionevole quando abbiamo centinaia di directory da sistemare. Ho provato a scrivere script per aiutarli, ma trovo difficile rendere lo script "intelligente" in merito alle decisioni che prende, e quindi è spesso più facile fare un metodo di riparazione grossolana come ripristinare solo le autorizzazioni ereditate.

Qualcuno può consigliare altri software e / o script che potrebbero aiutare in questo processo? Oppure, come si fa a risolvere problemi di autorizzazioni come questi?

windows  file-permissions 
eWall
fonte

Risposte:

2

Consiglio di usare fileacl : è in grado di impostare ACL con SeBackupPrivelege, quindi non è necessario che l'utente con il quale si sta eseguendo il comando disponga delle autorizzazioni per modificare gli ACL su un determinato oggetto. Inoltre, supporta nativamente la funzionalità di ereditarietà post-NTFS-5 ed è facilmente scriptato, quindi con una logica di scripting avvolgente dovrebbe fare quello che vuoi.

the-Wabbit
fonte
sto aggiungendo un segnalibro a questo ... grazie grazie grazie
SpacemanSpiff
@SpacemanSpiff sei il benvenuto.
the-wabbit il
Dopo aver confrontato quasi tutti gli strumenti di Microsoft e di terze parti che ho trovato, fileacl.exe si è rivelato il migliore. L' /forceopzione funziona davvero, a differenza di altri (come l'esecuzione con l'account SYSTEM con psexec.exe o simili opzioni di autorizzazione use-backup-e / o-SYSTEM). Ho dovuto scrivere uno script PowerShell per scavare nel filesystem e sistemare tutto, ma è fantastico che l'unico strumento esterno di cui abbia bisogno sia questo. Grazie per la punta, @ syneticon-dj!
ewall,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.