Bạn làm gì để sửa các quyền bị hỏng hoặc bị chặn trên chia sẻ tệp công ty?

8

Gần đây tôi đã làm việc với một trong những người lưu trữ của chúng tôi trong một dự án có liên quan đến việc xem xét các cổ phiếu tệp lớn đã được công ty sử dụng trong nhiều năm. Thông thường, chúng tôi chạy vào các thư mục hoặc tệp không thể truy cập được (với tài khoản quản trị viên tên miền) vì một hoặc nhiều lý do sau:

  • ACL bị hỏng
  • quyền truy cập đã bị thu hồi hoặc từ chối đối với nhóm Quản trị viên (hoặc người dùng HỆ THỐNG)
  • tên tệp + đường dẫn quá dài (vượt quá MAX_PATH )

Có một số công cụ có thể trợ giúp trong các tình huống này, từ Microsoft (ví dụ: TAKEOWN.EXE và ICALCS.EXE) hoặc các bên thứ ba (ví dụ: SETACL.EXE ). Đôi khi các thủ thuật khác là cần thiết như chạy một trong các lệnh trong tài khoản HỆ THỐNG với PSEXEC.EXE . Thậm chí chỉ cần tìm ra những bước cần làm và theo thứ tự là một thách thức ...

Ví dụ: tôi muốn có thể khắc phục sự cố bằng luồng như thế này:

  1. Là con đường quá dài? Nếu vậy, xây dựng một đường dẫn với \\?\tiền tố, sau đó kiểm tra lại.
  2. Là ACL bị hỏng? Nếu vậy, hãy đặt hàng lại các ACE đúng cách và loại bỏ bất kỳ ẩn số nào, sau đó kiểm tra lại.
  3. Là nhóm quản trị viên bị từ chối truy cập? Nếu vậy, hãy sở hữu, thêm quyền trở lại cho nhóm Quản trị viên và tài khoản HỆ THỐNG, sau đó kiểm tra lại.
  4. Có phải nó vẫn thất bại? Nếu vậy, hãy xóa tất cả các ACE và chỉ áp dụng các quyền được kế thừa, sau đó kiểm tra lại. (Đây là loại giải pháp cuối cùng, vì thường xuyên nó mở ra các quyền có nghĩa là hạn chế hơn.)
  5. Có phải là một thư mục? Nếu vậy, quá trình cần tiếp tục đệ quy cho các tệp bên trong ...

Thực hiện các bước trên một cách thủ công là một nỗi đau và không hợp lý khi chúng tôi có hàng trăm thư mục để khắc phục. Tôi đã thử viết các kịch bản để hỗ trợ những điều này, nhưng thấy rằng thật khó để làm cho kịch bản "thông minh" về các quyết định mà nó đưa ra, và do đó thường dễ dàng hơn để thực hiện một phương pháp sửa chữa thô như chỉ khôi phục các quyền được kế thừa.

Bất cứ ai cũng có thể giới thiệu phần mềm và / hoặc tập lệnh khác sẽ giúp trong quá trình này? Hoặc, làm thế nào để bạn sửa chữa các vấn đề quyền như thế này?

windows  file-permissions 
tường
nguồn

Câu trả lời:

2

Tôi khuyên bạn nên sử dụng fileacl - nó có khả năng thiết lập ACL với SeBackupPrivelege, do đó không yêu cầu người dùng bạn đang chạy lệnh bên dưới sẽ có quyền thay đổi ACL trên một đối tượng nhất định. Hơn nữa, nó thực sự hỗ trợ chức năng kế thừa sau NTFS-5 và dễ dàng được viết kịch bản, do đó, với một số logic kịch bản gói, nó sẽ làm những gì bạn muốn.

the-wợi
nguồn
tôi đang đánh dấu trang này ... cảm ơn bạn cảm ơn bạn cảm ơn
SpacemanSpiff
@SpacemanSpiff bạn được chào đón.
the-wợi
Sau khi so sánh mọi công cụ của Microsoft và bên thứ 3 mà tôi có thể tìm thấy, fileacl.exe đã trở thành tốt nhất. Các /forcetùy chọn thực sự hoạt động, không giống như một số người khác (như chạy dưới tài khoản SYSTEM với psexec.exe, hoặc tùy chọn sử dụng sao lưu và / hoặc-SYSTEM-phép tương tự). Tôi đã phải viết một tập lệnh PowerShell để đào hệ thống tập tin và sửa mọi thứ, nhưng thật tuyệt vời khi công cụ bên ngoài duy nhất nó cần là cái này. Cảm ơn vì tiền boa, @ syirecton-dj!
ewall
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.