Como posso rastrear permissões de compartilhamento e NTFS para ver por que posso (ou não posso) gravar um arquivo

8

Estou tentando rastrear porque eu posso escrever em uma pasta que, pela minha melhor estimativa, eu não deveria ser capaz de escrever. A pasta é compartilhada com "Todos" tem "Controle total", com os arquivos sendo mais restritivos. Meu melhor palpite é que há algum tipo de associação de subgrupos que me permite escrever, mas o aninhamento de grupos que existe em nosso Active Directory é bastante extenso.

Existe uma ferramenta que me diga qual das entradas da ACL permitiu ou não permitiu que eu escrevesse um arquivo em uma pasta?

A caixa de diálogo Permissões Efetivas é pouco útil, mas o que preciso é algo como " NTFS ACL Trace Tool ", se tal coisa existir.

    
por hometoast 12.03.2012 / 12:49

4 respostas

5

Experimente o AccessChk do sysinternals:

As a part of ensuring that they've created a secure environment Windows administrators often need to know what kind of accesses specific users or groups have to resources including files, directories, Registry keys, global objects and Windows services. AccessChk quickly answers these questions with an intuitive interface and output.

Tenho certeza que funcionará.

    
por 12.03.2012 / 13:11
4

Você deve tentar usar AccessEnum .

Isso fornecerá a você as diferentes entidades de segurança que leram as entradas de gravação e negação na ACL para arquivos e pastas. é uma ferramenta gratuita também.

Depois de executar o relatório, abra-o e examine as entradas exclusivas para arquivos e pastas em questão. e veja as permissões efetivas de lá. É bastante manual para fazer a pesquisa, mas colocando no footwork você pode obter informações muito específicas.

    
por 24.10.2012 / 18:28
1

Parece que você espera que o Windows reduza essas permissões amplas verificando apenas o grupo mais restrito. Não funciona assim. As permissões NTFS são determinadas da seguinte forma:

  1. Comece sem acesso por padrão.
  2. Crie todos permissões de grupos todos em um grande conjunto de coisas que você pode fazer.
  3. Retire todos negando permissões de todos grupos (assim, um DENY em qualquer lugar superará todo o resto).

Portanto, se você conceder ao grupo Todos controle total e só permitir permissões em seus outros grupos, sua associação de fato no grupo Todos fornecerá acesso total.

    
por 24.10.2012 / 18:46
0

Se você está configurando o acls no smb share, então você precisa configurar permissões no sistema de arquivos e no menu de compartilhamento. É provavelmente definido para todos apenas em permissões de compartilhamento.

    
por 24.10.2012 / 18:34