Windows 2003; Encontrar pastas com permissões não herdadas / alteradas

8

A questão : Estou procurando uma boa maneira de auditar / pesquisar uma estrutura de diretórios (Windows 2003) e localizar quaisquer pastas que não herdam as permissões de seus pais - ou - usuários / grupos adicionais adicionados.

A história anterior

Estamos migrando um servidor de arquivos antigo do Windows 2003 para uma caixa 2008 R2. Este servidor antigo foi migrado do NT4. A maioria das pastas atuais usa o antigo (obsoleto?) Domain \ Administrators e Domain \ Users grupos. Esses são grupos que, embora ainda no AD, não posso usar para permissões em permissões do 2008 R2.

Portanto, antes de fazer o robocopy de todos os dados compartilhados do servidor antigo para o novo, primeiro preciso "modernizar" as permissões nos compartilhamentos antigos. No entanto, sei que nas últimas décadas algumas pastas [não documentadas] tiveram suas permissões modificadas para não herdarem do pai ou para adicionar usuários adicionais. Assim, minha busca por uma maneira de encontrá-los!

    
por Chris_K 19.04.2012 / 14:49

2 respostas

8

Eu recomendaria usar o Powershell (para Win2003: link ) e um módulo complementar adicional também para isso ( link ).

Isso irá ajudá-lo a obter a herança de uma estrutura de pastas (por exemplo, ao executar a partir de sua pasta inicial).

get-childitem -Recurse | get-inheritance | export-CSV C:\Inheritance.csv -NoTypeInformation

Você obterá todos os arquivos e pastas em um csv, que poderá então ser filtrado no Excel ou em outros DBs, se necessário.

Benefício adicional do NTFSSecurity Modul é que você pode alterar a herança ou as ACLs também durante a migração com um script Powershell similar.

por exemplo. você pode remover completamente a herança em uma pasta (sua pasta de início) com:

get-childitem | Disable-Inheritance

ou adicione novamente o parâmetro -recurse para todas as subpastas / arquivos.

Espero que essa ajuda Felicidades

    
por 19.04.2012 / 15:28
1

Isso é muito fácil com o SetACL . Corra assim:

SetACL -on "some path" -ot file -actn list -lst f:csv -rec cont

Esse comando instrui o SetACL a imprimir permissões de apenas esses objetos que tenham permissões explícitas, porque as ACEs foram adicionadas a um diretório com herança ativada ou porque a herança foi desativada e novas ACEs foram definidas.

SetACL processa caminhos com mais de 260 caracteres e lista ACEs de qualquer diretório independente das permissões atuais, ou seja, mesmo que você não tenha acesso de leitura, o SetACL mostra o que está lá e imprime as permissões (direitos de administrador necessários).

    
por 19.04.2012 / 16:33