Bagaimana saya bisa melacak Izin NTFS dan Bagikan untuk melihat mengapa saya bisa (atau tidak bisa) menulis file

8

Saya mencoba melacak MENGAPA saya dapat menulis di folder yang, menurut perkiraan terbaik saya, saya seharusnya tidak dapat menulis. Folder ini dibagikan dengan "Semua Orang" memiliki "Kontrol Penuh", dengan file yang lebih ketat. Tebakan terbaik saya adalah ada semacam sub-grup keanggotaan yang memungkinkan saya untuk menulis, tetapi sarang grup yang ada di Direktori Aktif kami cukup luas.

Apakah ada alat, yang akan memberi tahu saya yang mana dari entri ACL diizinkan atau tidak boleh menulis file di folder?

The Izin Efektif dialog sedikit membantu, tapi apa yang saya butuhkan adalah sesuatu seperti "NTFS ACL Jejak Tool", jika hal seperti itu ada.

windows permissions ntfs network-shares hometoast
sumber
Setelah Anda memberikan pengaturan permisif grup besar (seperti Semua Orang), grup yang lebih kecil hanya dapat membatasi dengan menggunakan izin DENY. Anda bisa menjadi anggota grup yang memiliki sedikit izin, tetapi kecuali jika Anda secara khusus DITOLAK hak istimewa, keanggotaan de facto Anda di grup EVERYONE akan memungkinkan Anda untuk memiliki akses.
Joel Coehoorn
Saya tidak begitu ingat apa yang membuat saya menanyakan hal ini sejak awal. Tetapi jika saya benar, saya pikir itu sesuatu yang konyol seperti "OurDomain \ All Users" ditambahkan ke grup "Pengguna" Lokal. sesuatu, karena alasan tertentu, kebijakan grup tidak mengizinkan saya (pengembang rendahan) berubah.
hometoast

Jawaban:

5

Coba AccessChk dari sysinternals:

Sebagai bagian dari memastikan bahwa mereka telah menciptakan lingkungan yang aman, administrator Windows seringkali perlu mengetahui jenis akses apa yang dimiliki pengguna atau grup tertentu untuk sumber daya termasuk file, direktori, kunci Registry, objek global, dan layanan Windows. AccessChk dengan cepat menjawab pertanyaan-pertanyaan ini dengan antarmuka dan keluaran yang intuitif.

Cukup yakin itu akan berhasil.

Jody
sumber
1
Ini tampaknya merupakan versi baris perintah (sangat bagus) dari dialog Izin Efektif dalam penjelajah. Ini tidak memberi tahu saya "mengapa" atau "set ACL apa yang cocok untuk memungkinkan saya mengakses".
hometoast
ah. benar. Saya tidak yakin apa yang Anda cari ada di luar dokumentasi MS. Saran terbaik saya adalah mencoba menciptakan kembali lingkungan file di luar struktur saat ini, kemudian menambahkan izin satu per satu, mulai dengan yang paling ketat hingga file menjadi dapat ditulisi. Jangan lupa berbagi dan izin keamanan berbeda. Semoga berhasil.
Jody
4

Anda harus mencoba menggunakan AccessEnum .

masukkan deskripsi gambar di sini

Ini akan memberi Anda prinsip keamanan yang berbeda yang telah membaca tulis dan menolak entri dalam acl untuk file dan folder. itu alat gratis juga.

Setelah Anda menjalankan laporan, bukalah dan lihat entri unik untuk file dan folder yang dimaksud. dan lihat izin efektif dari sana. itu cukup manual untuk melakukan pencarian tetapi dengan meletakkan gerak kaki Anda bisa mendapatkan info yang sangat spesifik.

Winson
sumber
1

Sepertinya Anda mengharapkan Windows mempersempit izin luas itu dengan hanya memeriksa grup yang paling sempit. Itu tidak berfungsi seperti itu. Izin NTFS ditentukan seperti ini:

  1. Mulai tanpa akses sama sekali secara default.
  2. Membangun semua memungkinkan izin dari semua grup menjadi satu set besar hal yang dapat Anda lakukan.
  3. Singkirkan semua izin yang ditolak dari semua grup (dengan demikian, DENY di mana saja akan mengalahkan yang lainnya).

Jadi, jika Anda memberikan kontrol penuh kepada semua grup, dan hanya mengizinkan izin pada grup Anda yang lain, keanggotaan de facto Anda di grup Everyone akan memberi Anda akses penuh.

Joel Coehoorn
sumber
0

Jika Anda mengatur ACL pada share seseorang, maka Anda harus mengatur izin pada filesystem dan di menu share. Mungkin diatur untuk semua orang hanya dalam izin berbagi.

minggu
sumber