Як я можу простежити NTFS та надавати дозволи для доступу, щоб зрозуміти, чому я можу (або не можу) написати файл

8

Я намагаюсь знайти, ЧОМУ я можу писати у папку, що, на мою найкращу оцінку, я не можу писати. У папці, доступ до якої є "Усі", є "Повний контроль", при цьому файли є більш обмежуючими. Моя найкраща здогадка - це якесь членство в підгрупах, що дозволяє мені писати, але вкладення груп, що існує в нашому Active Directory, досить велике.

Чи є інструмент, який підкаже мені, який із записів ACL дозволяв чи забороняв мені писати файл у папку?

Діалогове вікно « Ефективні дозволи» є надзвичайно корисним, але мені потрібно щось на кшталт «Інструменту трасування NTFS ACL», якщо таке існує.

windows  permissions  ntfs  network-shares 
гомеоаст
джерело
Після того, як ви надаєте великій групі (як усі) дозвільні налаштування, менші групи можуть обмежити їх лише за допомогою дозволів DENY. Ви можете бути членом групи, яка має мало дозволів, але, якщо ви спеціально НЕ ВИМОГАЄТЕ привілей, ваше фактичне членство в групі ВСІЙ дозволить вам мати доступ.
Joel Coehoorn
Я не дуже пам’ятаю, що змусило мене це запитати в першу чергу. Але якщо я маю рацію, я думаю, що це було щось нерозумно на кшталт "OurDomain \ All Users" було додано до локальної групи "Користувачі". Щось, чомусь групова політика не дозволила мені (низько розробнику) змінитись.
рідний схід

Відповіді:

5

Спробуйте AccessChk від sysinternals:

В рамках забезпечення їх створення безпечним середовищем адміністраторам Windows часто потрібно знати, який доступ мають конкретні користувачі або групи до ресурсів, включаючи файли, каталоги, ключі реєстру, глобальні об’єкти та служби Windows. AccessChk швидко відповідає на ці питання за допомогою інтуїтивного інтерфейсу та виводу.

Досить впевнений, що це спрацює.

Джоді
джерело
1
Здається, це (дуже гарна) версія командного рядка діалогового вікна «Ефективні дозволи» в Explorer. Це не говорить мені "чому" і "який набір ACL збігаються, щоб дозволити мені отримати доступ".
рідний берег
ах. правда. Я не впевнений, що ви шукаєте поза документацією на MS. Моєю найкращою порадою буде спробувати відтворити середовище файлу за межами поточної структури, а потім додавати дозволи по черзі, починаючи з найбільш обмежуючих, поки файл не стане доступним для запису. Не забудьте дозволу на обмін і безпеку різні. Удачі.
Джоді
4

Спробуйте скористатися AccessEnum .

введіть тут опис зображення

Це надасть вам різних принципів безпеки, які читають записи та забороняють записи в acl і для файлів, і для папок. це також безкоштовний інструмент.

Після запуску звіту відкрийте його та перегляньте унікальні записи для відповідних файлів та папок. і перегляньте ефективні дозволи звідти. його досить вручну зробити пошук, але, ввівши в роботу пристрій для ніг, ви можете отримати дуже конкретну інформацію.

Вінсон
джерело
1

Здається, ви очікуєте, що Windows звузить ці широкі дозволи, лише перевіривши саму вузьку групу. Це не працює так. Дозвіл NTFS визначається так:

  1. Почніть без доступу взагалі за замовчуванням.
  2. Створіть усі дозволи на всі групи в один великий набір речей, які ви можете зробити.
  3. Заберіть все заперечувати дозвіл від всіх груп (таким чином, ЗАБОРОНИТИ де - небудь перевершить все інше).

Отже, якщо ви надаєте повний контроль групі «Усі» та маєте лише дозволи на інші групи, ваше фактичне членство в групі «Усі» надасть вам повний доступ.

Джоел Куехорн
джерело
0

Якщо ви встановлюєте acls на smb-спільному доступі, вам потрібно встановити дозволи у файловій системі та в меню спільного доступу. Напевно, це встановлено для всіх лише у дозволах на надання доступу.

тиждень
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.