Windows 2003; Trova cartelle con autorizzazioni non ereditate / modificate

8

La domanda : sto cercando un buon modo per controllare / cercare una struttura di directory (Windows 2003) e individuare eventuali cartelle che o non ereditano le autorizzazioni dai loro genitori - oppure hanno aggiunto altri utenti / gruppi.

The Back Story

Stiamo migrando un vecchio file server Windows 2003 in un box 2008 R2. Questo vecchio server è stato migrato da NT4. La maggior parte delle cartelle correnti utilizza i vecchi gruppi (deprecati?) Dominio \ Amministratori e Dominio \ Utenti. Questi sono gruppi che, mentre sono ancora in AD, non posso usare per le autorizzazioni nelle autorizzazioni 2008 R2.

Quindi, prima di eseguire il robocopy su tutti i dati condivisi dal vecchio server al nuovo, devo prima "modernizzare" le autorizzazioni sulle vecchie condivisioni. Tuttavia, so che negli ultimi decenni ad alcune cartelle [non documentate] sono state modificate le autorizzazioni per non ereditare dal genitore o per aggiungere altri utenti. Quindi la mia ricerca di un modo per trovarli!

windows-server-2003  permissions  migration  file-sharing  ntfs 
Chris_K
fonte

Risposte:

8

Consiglierei di utilizzare Powershell (per Win2003: http://support.microsoft.com/kb/968929/en-us ) e un modulo aggiuntivo aggiuntivo anche per questo ( http://gallery.technet.microsoft.com / scriptcenter / 1abd77a5-9c0b-4a2b-acef-90dbb2b84e85 ).

Questo ti aiuterà innanzitutto a ottenere l'eredità di una struttura di cartelle con (quando in esecuzione dalla tua cartella di avvio) ad es.

get-childitem -Recurse | get-inheritance | export-CSV C:\Inheritance.csv -NoTypeInformation

Otterrai tutti i file e le cartelle in un CSV che possono essere filtrati in Excel o altri DB se necessario.

Ulteriore vantaggio del modulo NTFSSecurity è che è possibile modificare l'ereditarietà o gli ACL anche durante la migrazione con uno script Powershell simile.

ad esempio puoi rimuovere completamente l'eredità in una cartella (la tua cartella di avvio) con:

get-childitem | Disable-Inheritance

oppure aggiungi nuovamente l'opzione -recurse per tutte le sottocartelle / file.

Spero che questo aiuti Saluti

Mr.T
fonte
1
+1 per avermi informato del modulo PowerShell per la sicurezza del file system.
pk.
Piccolo, ma estremamente funzionale e utile! Una cosa da avere assolutamente!
Volodymyr Molodets,
1

Questo è abbastanza facile con SetACL . Eseguilo in questo modo:

SetACL -on "some path" -ot file -actn list -lst f:csv -rec cont

Tale comando indica a SetACL di stampare le autorizzazioni solo da quegli oggetti che dispongono di autorizzazioni esplicite, sia perché gli ACE sono stati aggiunti a una directory con ereditarietà abilitata o perché l'ereditarietà è stata disabilitata e sono stati impostati nuovi ACE.

SetACL elabora percorsi più lunghi di 260 caratteri ed elenca gli ACE da qualsiasi directory indipendentemente dalle autorizzazioni correnti, vale a dire anche se non si ha nemmeno accesso in lettura SetACL mostra cosa c'è e stampa le autorizzazioni (sono richiesti i diritti di amministratore).

Helge Klein
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.