Làm cách nào tôi có thể theo dõi NTFS và Chia sẻ quyền để xem lý do tại sao tôi có thể (hoặc không thể) viết tệp

8

Tôi đang cố gắng theo dõi TẠI SAO tôi có thể viết trong một thư mục mà theo ước tính tốt nhất của tôi, tôi không thể viết được. Thư mục được chia sẻ với "Mọi người" có "Toàn quyền kiểm soát", với các tệp bị hạn chế hơn. Dự đoán tốt nhất của tôi là có một số loại thành viên nhóm phụ cho phép tôi viết, nhưng việc lồng các nhóm tồn tại trong Active Directory của chúng tôi khá rộng.

Có một công cụ nào sẽ cho tôi biết mục nhập ACL nào được phép hoặc không cho phép tôi viết một tập tin trong một thư mục không?

Các hiệu quả Quyền thoại là nhẹ hữu ích, nhưng những gì tôi cần là một cái gì đó giống như một "NTFS ACL vết Tool", nếu một điều như vậy tồn tại.

windows  permissions  ntfs  network-shares 
quê hương
nguồn
Khi bạn cung cấp cho một nhóm lớn (như Mọi người) các cài đặt cho phép, các nhóm nhỏ hơn chỉ có thể hạn chế điều đó bằng cách sử dụng quyền DENY. Bạn có thể là thành viên của một nhóm có ít quyền, nhưng trừ khi bạn đặc biệt TỪNG một đặc quyền, tư cách thành viên thực tế của bạn trong nhóm MỌI NGƯỜI sẽ cho phép bạn có quyền truy cập.
Joel Coehoorn
Tôi không nhớ điều gì đã khiến tôi hỏi điều này ngay từ đầu. Nhưng nếu tôi đúng, tôi nghĩ đó là một thứ ngớ ngẩn như "OurDomain \ All Users" đã được thêm vào nhóm "Người dùng" cục bộ. một cái gì đó, vì một số lý do chính sách nhóm sẽ không cho phép tôi (nhà phát triển thấp) thay đổi.
quê hương

Câu trả lời:

5

Hãy thử AccessChk từ sysiternals:

Là một phần của việc đảm bảo rằng họ đã tạo ra một môi trường an toàn, các quản trị viên Windows thường cần biết những loại người dùng hoặc nhóm truy cập cụ thể nào có tài nguyên bao gồm các tệp, thư mục, khóa Registry, đối tượng toàn cầu và dịch vụ Windows. AccessChk nhanh chóng trả lời những câu hỏi này với giao diện và đầu ra trực quan.

Khá chắc chắn rằng nó sẽ làm việc.

Jody
nguồn
1
Đây có vẻ là một phiên bản dòng lệnh (rất tốt) của hộp thoại Quyền hiệu quả trong trình thám hiểm. Điều này không cho tôi biết "tại sao" hay "bộ ACL nào phù hợp để cho phép tôi truy cập".
quê hương
Ah. thật. Tôi không chắc những gì bạn đang tìm kiếm tồn tại bên ngoài tài liệu MS. Lời khuyên tốt nhất của tôi là cố gắng tạo lại môi trường của tệp bên ngoài cấu trúc hiện tại, sau đó thêm từng quyền một, bắt đầu với hạn chế nhất cho đến khi tệp có thể ghi được. Đừng quên chia sẻ và quyền bảo mật là khác nhau. Chúc may mắn.
Jody
4

Bạn nên thử sử dụng AccessEnum .

nhập mô tả hình ảnh ở đây

Điều này sẽ cung cấp cho bạn các hiệu trưởng bảo mật khác nhau đã đọc ghi và từ chối các mục trong acl cho cả tệp và thư mục. nó là một công cụ miễn phí

Sau khi bạn chạy báo cáo, hãy mở nó lên và xem các mục duy nhất cho các tệp và thư mục được đề cập. và xem các quyền hiệu quả từ đó. Nó khá thủ công để thực hiện tra cứu nhưng bằng cách đưa vào phần chân bạn có thể nhận được thông tin rất cụ thể.

Winson
nguồn
1

Có vẻ như bạn mong đợi Windows sẽ thu hẹp các quyền rộng lớn đó bằng cách chỉ kiểm tra nhóm hẹp nhất. Nó không hoạt động như thế. Quyền NTFS được xác định như thế này:

  1. Bắt đầu không có quyền truy cập nào theo mặc định.
  2. Xây dựng tất cả các quyền cho phép từ tất cả các nhóm thành một nhóm lớn những điều bạn có thể làm.
  3. Lấy đi tất cả các quyền từ chối từ tất cả các nhóm (do đó, một DENY ở bất cứ đâu sẽ thổi phồng mọi thứ khác).

Vì vậy, nếu bạn cung cấp cho toàn bộ nhóm Mọi người và chỉ có quyền cho phép đối với các nhóm khác của bạn, thì tư cách thành viên thực tế của bạn trong nhóm Mọi người sẽ cung cấp cho bạn toàn quyền truy cập.

Joel Coehoorn
nguồn
0

Nếu bạn đang thiết lập acls tại smb share, thì bạn phải đặt quyền tại hệ thống tập tin và trong menu chia sẻ. Có lẽ nó chỉ được đặt cho mọi người trong quyền chia sẻ.

tuần
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.