O que você faz para corrigir permissões corrompidas ou bloqueadas nos compartilhamentos de arquivos da empresa?

8

Ultimamente tenho trabalhado com um de nossos profissionais de armazenamento em um projeto que envolveu um exame minucioso de grandes compartilhamentos de arquivos que têm sido usados pela empresa há anos. Freqüentemente, encontramos diretórios ou arquivos inacessíveis para nós (com conta de administrador de domínio) por um ou mais dos seguintes motivos:

  • ACLs corrompidas
  • o acesso foi revogado ou negado para o grupo Administradores (ou usuário SYSTEM)
  • nome do arquivo + caminho muito longo (além de MAX_PATH )

Há um punhado de ferramentas que podem ajudar nessas situações, da Microsoft (por exemplo, TAKEOWN.EXE e ICALCS.EXE) ou de terceiros (por exemplo, SETACL.EXE ). Às vezes, outros truques são necessários, como executar um dos comandos na conta SYSTEM com PSEXEC.EXE . Mesmo apenas descobrindo quais passos fazer e em qual ordem é um desafio ...

Por exemplo, gostaria de poder resolver o problema com um fluxo como este:

  1. O caminho é muito longo? Nesse caso, crie um caminho com o prefixo \?\ e, em seguida, teste novamente.
  2. A ACL está corrompida? Nesse caso, reordene as ACEs corretamente e remova todas as incógnitas, depois teste novamente.
  3. O grupo de administradores está com acesso negado? Em caso afirmativo, assuma a propriedade, adicione permissões de retorno para o grupo Administradores e a conta SYSTEM e, em seguida, teste novamente.
  4. Ainda está falhando? Em caso afirmativo, exclua todas as ACEs e aplique somente permissões herdadas e, em seguida, verifique novamente. (Esse é o último recurso, já que frequentemente ele abre permissões que deveriam ser mais restritivas.)
  5. É um diretório? Se assim for, então o processo precisa continuar recursivamente para os arquivos dentro ...

Realizar as etapas acima manualmente é penoso e irracional quando temos centenas de diretórios para corrigir. Eu tentei escrever scripts para ajudá-los, mas acho que é difícil tornar o script "inteligente" sobre as decisões que ele toma, e, portanto, é mais fácil fazer um método de reparo bruto, como restaurar apenas as permissões herdadas.

Alguém pode recomendar outros softwares e / ou scripts que ajudariam nesse processo? Ou, como você resolve problemas de permissões como esses?

    
por ewall 22.07.2011 / 20:20

1 resposta

2

Eu recomendaria usar o fileacl - ele é capaz de definir ACLs com o SeBackupPrivelege, não exigindo o usuário no qual você está executando o comando terá as permissões para alterar as ACLs em um determinado objeto. Além disso, ele suporta nativamente a funcionalidade de herança pós-NTFS-5 e é facilmente roteirizado, portanto, com alguma lógica de script de encapsulamento, ele deve fazer o que quiser.

    
por 22.07.2011 / 23:44