Wie kann ich NTFS- und Freigabeberechtigungen verfolgen, um festzustellen, warum ich eine Datei schreiben kann (oder nicht)?

8

Ich versuche herauszufinden, WARUM ich in einen Ordner schreiben kann, den ich nach meiner besten Einschätzung nicht schreiben kann. Der Ordner, der mit "Jeder" geteilt wird, hat "Vollzugriff", wobei die Dateien restriktiver sind. Ich vermute, dass es eine Art Untergruppenmitgliedschaft gibt, mit der ich schreiben kann, aber die Verschachtelung von Gruppen in unserem Active Directory ist ziemlich umfangreich.

Gibt es ein Tool, das mir sagt, welcher der ACL-Einträge das Schreiben einer Datei in einen Ordner erlaubt oder nicht erlaubt?

Das Dialogfeld " Effektive Berechtigungen " ist nur geringfügig hilfreich, aber ich benötige so etwas wie ein "NTFS-ACL-Trace-Tool", falls es so etwas gibt.

windows permissions ntfs network-shares Hometoast
quelle
Sobald Sie einer großen Gruppe (wie jedem) zulässige Einstellungen gegeben haben, können kleinere Gruppen dies nur durch die Verwendung von DENY-Berechtigungen einschränken. Sie könnten Mitglied einer Gruppe sein, die nur über wenige Berechtigungen verfügt. Wenn Sie jedoch nicht ausdrücklich ein Privileg verweigert haben, können Sie durch Ihre tatsächliche Mitgliedschaft in der Gruppe JEDER Zugriff haben.
Joel Coehoorn
Ich kann mich nicht genau erinnern, warum ich das überhaupt gefragt habe. Aber wenn ich recht habe, denke ich, dass es etwas Dummes war, wie "OurDomain \ All Users" zur lokalen "Users" -Gruppe hinzugefügt wurde. Aus irgendeinem Grund würde mich die Gruppenrichtlinie nicht ändern lassen.
Hometoast

Antworten:

5

Probieren Sie AccessChk von sysinternals aus:

Um sicherzustellen, dass eine sichere Umgebung erstellt wurde, müssen Windows-Administratoren häufig wissen, über welche Art von Zugriff bestimmte Benutzer oder Gruppen auf Ressourcen wie Dateien, Verzeichnisse, Registrierungsschlüssel, globale Objekte und Windows-Dienste verfügen. AccessChk beantwortet diese Fragen schnell mit einer intuitiven Benutzeroberfläche und Ausgabe.

Ich bin mir ziemlich sicher, dass es funktionieren wird.

Jody
quelle
1
Dies scheint eine (sehr gute) Befehlszeilenversion des Dialogfelds "Effektive Berechtigungen" im Explorer zu sein. Dies sagt mir weder "warum" noch "welche ACLs übereinstimmen, um mir den Zugriff zu ermöglichen".
Hometoast
Ah. wahr. Ich bin nicht sicher, ob das, wonach Sie suchen, außerhalb der MS-Dokumentation existiert. Mein bester Rat wäre, zu versuchen, die Umgebung der Datei außerhalb der aktuellen Struktur neu zu erstellen, und dann die Berechtigungen nacheinander hinzuzufügen, beginnend mit den restriktivsten, bis die Datei beschreibbar wird. Vergessen Sie nicht, dass die Freigabe- und Sicherheitsberechtigungen unterschiedlich sind. Viel Glück.
Jody
4

Sie sollten versuchen, AccessEnum zu verwenden .

Geben Sie hier die Bildbeschreibung ein

Auf diese Weise erhalten Sie die verschiedenen Sicherheitsprinzipale, die Lese- und Schreibeinträge in der ACL für Dateien und Ordner verweigert haben. Es ist auch ein kostenloses Tool.

Nachdem Sie den Bericht ausgeführt haben, öffnen Sie ihn und sehen Sie sich die eindeutigen Einträge für die betreffenden Dateien und Ordner an. und sehen Sie die effektiven Berechtigungen von dort. Es ist ziemlich manuell, um die Suche durchzuführen, aber wenn Sie die Beinarbeit eingeben, können Sie sehr spezifische Informationen erhalten.

Winson
quelle
1

Es hört sich so an, als würden Sie erwarten, dass Windows diese allgemeinen Berechtigungen einschränkt, indem nur die engste Gruppe überprüft wird. So funktioniert das nicht. NTFS-Berechtigungen werden wie folgt festgelegt:

  1. Beginnen Sie standardmäßig ohne Zugriff.
  2. Bauen Sie alle zulässigen Berechtigungen aller Gruppen zu einem großen Satz von Aufgaben zusammen, die Sie ausführen können.
  3. Entfernen Sie alle Verweigerungsberechtigungen von allen Gruppen (daher übertrifft eine VERWEIGERUNG überall alles andere).

Wenn Sie also der Gruppe "Jeder" die volle Kontrolle geben und nur Berechtigungen für Ihre anderen Gruppen zulassen, erhalten Sie durch Ihre tatsächliche Mitgliedschaft in der Gruppe "Jeder" vollen Zugriff.

Joel Coehoorn
quelle
0

Wenn Sie acls auf smb share einstellen, müssen Sie Berechtigungen im Dateisystem und im Freigabemenü festlegen. Es ist wahrscheinlich für alle nur in Freigabeberechtigungen festgelegt.

Woche
quelle