Remove SID com ICACLS

3

Estou tentando remover um SID obsoleto (aparentemente, a conta foi excluída).

Eu tentei executar o seguinte no servidor (win2003) e um cliente (win7):

icacls c:\path /remove *S-1-5-21-1883347182-1220252494-433279356-1095 /T

Mas eu sempre recebo a saída

Successfully processed 0 files; Failed processing 0 files

sem fazer nada. Como posso fazê-lo funcionar?

Atualização:

Eu usei AccessEnum para obter o SID, porque o icacls diz apenas "Nenhum mapeamento entre os nomes das contas e identificações de segurança foi feito ". mas não mostra o sid.

A saída do AccessEnum é:

"Path"  "Read"  "Write" "Deny"  
"c:\path"   "Administrators, S-1-5-21-1883347182-1220252494-433279356-1095, ..."    "Administrators, S-1-5-21-1883347182-1220252494-433279356-1095, ..."    ""  
    
por laktak 30.07.2010 / 10:58

4 respostas

1

Minha sugestão para outro semelhante pergunta

"talvez você esteja procurando por SUBINACL. Faça o download aqui

subinacl.exe / help / cleandeletedsidsfrom fornece o seguinte:

/ cleandeletedsidsfrom = domínio [= dacl | sacl | proprietário | grupo primário | todos]

exclua todas as ACEs que contêm Sids excluídos (sem validade) de DomainName Você pode especificar qual parte do descritor de segurança será varrida (padrão = todos) Se o proprietário for excluído, o novo proprietário será o grupo Administradores. Se o grupo principal for excluído, o novo grupo principal será o grupo Usuários. Aparece que você pode usar isso com / file ou / share ou / subdiretórios conforme necessário

    
por 19.01.2011 / 17:13
1

Você pode fazer isso facilmente com SetACL :

SetACL -on C:\Path -ot file -actn trustee -trst 
       "n1:S-1-5-21-1883347182-1220252494-433279356-1095;s1:y;ta:remtrst;w:dacl"
    
por 14.01.2011 / 09:58
1

Eu encontrei a maneira mais portátil e mais fácil de usar as funções /save e /restore de icacls :

icacls C:\ /save D:\creds.txt /T

E então eu usaria o Vim, ou algum outro gred/sed/awk equivalente para manipular o arquivo. Isso me permite remover o SID, substituir o SID, etc. Depois que eu terminar o arquivo que eu faço

icacls C:\ /restore D:\creds.new.txt /T

Isso. Não há necessidade de baixar outros programas. Não há necessidade de aprender mais uma sintaxe de linha de comando não padrão. Acabei de criar um arquivo fictício e usar a GUI ou qualquer outra coisa para fazer a ACL exatamente da maneira que eu quero, use /save para ver como a sequência ACE resultante se parece e copie e cole a sequência ACE em creds.new.txt .

    
por 19.05.2013 / 18:46
-1

Por que não usar apenas a GUI? Chame as propriedades da pasta e remova o SID indesejado das configurações de segurança. Isso sempre funcionou para mim.

    
por 02.08.2010 / 15:05