Usuários removendo o administrador de permissões de arquivos / pastas

Navegue suas respostas
3

Estamos executando Windows Server 2003 R2 com Active Directory e estamos tendo um problema com compartilhamentos de rede em que os usuários, na tentativa de proteger seus documentos, removem todos (incluindo a conta Administrator ) de suas permissões de arquivos / pastas. Como o Administrator não tem mais a permissão read para eles, não é possível fazer o backup dos arquivos manualmente, pois recebemos erros de permissão.

Uma solução que encontramos é alterar o owner dos arquivos e diretórios para a conta Administrator . Podemos então alterar as permissões conforme desejarmos. O problema é que isso precisa ser feito manualmente, portanto, não pode ser aplicado a um compartilhamento inteiro.

Outra solução que tentamos é usar cacls da seguinte forma: 

cacls d:\path\to\share /C /T /E /G Administrator:F

O problema é que ainda estamos recebendo um erro ACCESS DENIED em arquivos / pastas nos quais Administrator foi removido.

P1: Existe uma maneira de restaurar pelo menos read o acesso a todos os arquivos / pastas para a conta Administrator de maneira recursiva?

Isso seria a curto prazo. A longo prazo, procuramos uma solução para impedir que os usuários removam Administrator das permissões de arquivos / pastas. Como vamos migrar para Windows Server 2008 R2 em breve, poderíamos esperar até migrarmos para implementar essa solução, se necessário.

Q2: Existe uma maneira de impedir que os usuários removam as permissões de administrador de arquivos / pastas no Windows Server 2003/2008?

    
por Max 15.11.2011 / 09:04

3 respostas

2

Q1: Is there a way to restore at least read access to all files/folders to the Administrator account in a recursive fashion?

Se as permissões forem herdadas (ou seja, não definidas separadamente em arquivos e pastas diferentes), a alteração das permissões na pasta raiz ea configuração da caixa de seleção "Substituir todos os objetos filhos ..." substituirão todas as permissões com permissões herdadas. / p>

Isso, é claro, substituirá permissões em itens filhos que devem ter permissões diferentes.

Q2: Is there a way to prevent users from removing Administrator from files/folders permissions on Windows Server 2003/2008?

Não.

Embora haja um sinalizador separado para "Alterar Permissões", o Windows ignorará isso para o proprietário do arquivo (o proprietário sempre poderá alterar as permissões), caso contrário, uma ACL vazia (ou uma com negar tudo a todos ACE) seja reversível.

we can't even backup files manually as we get permission errors.

Por que você desejaria tais operações manuais? O software de backup deve ser executado e declarar o privilégio de backup (e na restauração, a restauração) que ignorará as ACLs. Se o usuário precisar fazer o backup manual de alguma parte de seus arquivos, eles poderão copiar facilmente.

Talvez isso seja realmente uma questão de treinamento do usuário: se você negar o acesso dos administradores, os administradores não poderão ajudá-lo com o gerenciamento de arquivos.

    
por 15.11.2011 / 09:39
3

Exatamente o que fazer depende de quão disseminado é o problema - quantas pessoas fizeram isso e como os diretórios afetados estão estruturados.

Você deve ter diretórios compartilhados configurados para que os diretórios pessoais e de grupo herdem permissões. Então, se não forem muitas pessoas, você poderá assumir o controle de seus diretórios e redefinir as permissões. Ou você poderia apenas dizer a cada pessoa: "sem backup até que você permita que um administrador use sua conta e altere as coisas".

(E diga a eles que eles vão se arrepender se eles fizerem isso de novo, com "sem backup" sendo o começo dos problemas.)

Se for muito difundido, você pode se apropriar de tudo, definir as permissões de administrador desejadas (depois disso, "controle total" e não apenas o acesso de leitura) e adicionar as permissões apropriadas de usuário ou grupo.

    
por 15.11.2011 / 10:17
0

Depois de limpar a bagunça, você pode evitar que isso aconteça novamente. Você pode deixar o usuário com "controle total" nos perms NTFS, apenas defina os perms de compartilhamento para alterar em vez de completo. O acesso à rede é uma combinação dos dois. Quando sua equipe de administração precisar de controle total dos dados na rede, use um dos compartilhamentos $ da unidade para o mesmo caminho em que você ainda tem controle total no nível de compartilhamento.

    
por 18.11.2011 / 20:38

Tags

Iniciar pulsação automaticamente na reinicialização? Como definido no intervalo r2 do Windows Server 2008 para sincronizar o tempo com o emulador de PDC?