Ferramentas, recomendações para entender as permissões NTFS?

1

Eu estou tentando solucionar alguns problemas com o nosso site FTP IIS7 - por exemplo, porque alguns usuários têm acesso ao site quando não parecem que deveriam. O problema básico é que eu não entendo muito bem as permissões do NTFS / Active Directory.

Alguém sabe se existem ferramentas que permitem visualizar de onde vêm as permissões ? Por exemplo, se eu tiver acesso de leitura a uma pasta específica, qual é a fonte dessa permissão? Conheço o básico, como participação em grupo e permissões herdadas, mas estou correndo para situações em que um usuário não parece fazer parte de nenhum grupo que tenha permissões para um recurso e, no entanto, é capaz de acessar esse recurso. Claramente, eu não entendo como / quais permissões são herdadas, o que sobrepõe o que, etc.

Além das ferramentas que podem ajudar a analisar / aprender sobre permissões, gostaria de receber sugestões sobre a melhor maneira de obter uma compreensão completa das permissões. Livros, artigos favoritos, etc. Obrigado!

    
por johnnyb10 01.09.2010 / 23:04

2 respostas

1

Uma ferramenta que considero útil para ver o estado das permissões de um heircarquia é a ferramenta sysinernals AccessEnum . Ele não mostra as permissões, em vez disso, ele verifica uma pasta e mostra quem leu, escreveu ou foi negado o acesso.

Depois disso, vá para uma linha de comando e use os icacls comando para examinar uma pasta ou arquivos.

    
por 01.09.2010 / 23:32
1

As permissões NTFS são hierárquicas por natureza. Qualquer arquivo / pasta herda as permissões da pasta pai. Você pode acrescentar permissões ao & de, ou iniciar uma nova "raiz", bloqueando a herança. Encontrar de onde as permissões vêm ... é tão simples quanto procurar onde o arquivo está ... e o que está acima dele.

Da mesma forma, as permissões de usuário também são hierárquicas ... Se eu estiver em um grupo ... que está em outro grupo ... que está em um grupo que tem privilégios suficientes para acessar a pasta ... isso significa que eu também. Por padrão, todos os usuários devem estar em pelo menos um grupo e 99% do tempo no grupo "Usuários" ou "Usuários do domínio" (se você estiver em um domínio).

    
por 01.09.2010 / 23:14