Come posso rintracciare le autorizzazioni NTFS e Condividi per capire perché posso (o non posso) scrivere un file

8

Sto cercando di rintracciare PERCHÉ posso scrivere in una cartella che, secondo la mia migliore stima, non dovrei essere in grado di scrivere. La cartella è condivisa con "Everyone" ha "Controllo completo", con i file più restrittivi. La mia ipotesi migliore è che ci sia una sorta di appartenenza a un sottogruppo che mi consente di scrivere, ma la nidificazione dei gruppi che esiste nel nostro Active Directory è piuttosto ampia.

Esiste uno strumento che mi dirà quale delle voci ACL ha consentito o non consentito la mia scrittura di un file in una cartella?

La finestra di dialogo Autorizzazioni effettive è marginalmente utile, ma ciò di cui ho bisogno è qualcosa come uno "strumento di traccia ACL NTFS", se esiste una cosa del genere.

— hometoast
fonte

Una volta assegnate le impostazioni consentite a un gruppo di grandi dimensioni (come Tutti), i gruppi più piccoli possono limitarlo utilizzando le autorizzazioni DENY. Potresti essere un membro di un gruppo che ha poche autorizzazioni, ma a meno che tu non abbia espressamente DENIATO un privilegio, la tua appartenenza di fatto al gruppo TUTTI ti consentirà di avere accesso.

— Joel Coehoorn,

Non ricordo bene cosa mi abbia portato a chiedere questo in primo luogo. Ma se ho ragione, penso che sia stato aggiunto qualcosa di stupido come "OurDomain \ All Users" al gruppo "Users" locale. qualcosa, per qualche ragione la politica di gruppo non mi avrebbe permesso (modesto sviluppatore) di cambiare.

— hometoast,

5

Prova AccessChk da sysinternals:

Al fine di garantire la creazione di un ambiente sicuro, gli amministratori di Windows devono spesso conoscere il tipo di accesso a utenti o gruppi specifici per le risorse, inclusi file, directory, chiavi di registro, oggetti globali e servizi Windows. AccessChk risponde rapidamente a queste domande con un'interfaccia e un output intuitivi.

Abbastanza sicuro che funzionerà.

— Jody
fonte

1

Questa sembra essere una (ottima) versione da riga di comando della finestra di dialogo Autorizzazioni effettive in explorer. Questo non mi dice "perché" né "quale serie di ACL corrispondesse per consentirmi l'accesso".

— hometoast

ah. vero. Non sono sicuro che cosa stai cercando esiste al di fuori della documentazione MS. Il mio miglior consiglio sarebbe di provare a ricreare l'ambiente del file al di fuori della struttura corrente, quindi aggiungere i permessi uno per uno, iniziando dal più restrittivo fino a quando il file diventa scrivibile. Non dimenticare la condivisione e le autorizzazioni di sicurezza sono diverse. In bocca al lupo.

— Jody

4

Dovresti provare ad usare AccessEnum .

inserisci qui la descrizione dell'immagine

Questo ti fornirà i diversi principi di sicurezza che hanno letto in scrittura e negano le voci in acl per file e cartelle. è anche uno strumento gratuito.

Dopo aver eseguito il rapporto, aprilo e osserva le voci univoche per i file e le cartelle in questione. e vedere le autorizzazioni effettive da lì. è abbastanza manuale eseguire la ricerca ma inserendo i footwork è possibile ottenere informazioni molto specifiche.

— Winson
fonte

1

Sembra che ci si aspetti che Windows restringa quelle ampie autorizzazioni controllando solo il gruppo più stretto. Non funziona così. Le autorizzazioni NTFS sono determinate in questo modo:

Inizia con nessun accesso per impostazione predefinita.
Crea tutto per consentire le autorizzazioni da tutti i gruppi in un ampio insieme di cose che puoi fare.
Rimuovi tutte le autorizzazioni negate da tutti i gruppi (quindi, un DENY ovunque trionferà su tutto il resto).

Quindi, se dai al gruppo Everyone il controllo completo e hai solo le autorizzazioni per gli altri gruppi, la tua appartenenza di fatto al gruppo Everyone ti darà pieno accesso.

— Joel Coehoorn
fonte

0

Se stai impostando acls nella condivisione smb, devi impostare le autorizzazioni nel filesystem e nel menu di condivisione. Probabilmente è impostato su tutti solo nelle autorizzazioni di condivisione.

— settimana
fonte