Como posso rastrear NTFS e compartilhar permissões para ver por que posso (ou não) escrever um arquivo

8

Estou tentando rastrear POR QUE posso escrever em uma pasta que, pela minha melhor estimativa, não deveria ser capaz de escrever. A pasta é compartilhada com "Todos" tem "Controle total", sendo os arquivos mais restritivos. Meu melhor palpite é que existe algum tipo de associação ao subgrupo que me permite escrever, mas o aninhamento de grupos que existe no nosso Active Directory é bastante extenso.

Existe uma ferramenta que me diga qual das entradas da ACL permitiu ou não a gravação de um arquivo em uma pasta?

A caixa de diálogo Permissões efetivas é um pouco útil, mas o que eu preciso é algo como uma "Ferramenta de rastreamento NTFS ACL", se isso existir.

— hometoast
fonte

Depois de definir configurações permissivas para um grande grupo (como Todos), os grupos menores podem restringir isso usando as permissões DENY. Você pode ser membro de um grupo com poucas permissões, mas, a menos que tenha negado um privilégio, sua associação de fato ao grupo TODOS permitirá que você tenha acesso.

— Joel Coehoorn

Não me lembro bem o que me levou a perguntar isso em primeiro lugar. Mas se eu estiver certo, acho que foi algo tolo como "OurDomain \ All Users" foram adicionados ao grupo "Usuários" locais. alguma coisa, por algum motivo, a política de grupo não me deixaria (desenvolvedor humilde) alterar.

— hometoast

5

Experimente o AccessChk a partir de sysinternals:

Como parte da garantia de que eles criaram um ambiente seguro, os administradores do Windows geralmente precisam saber que tipo de acesso usuários ou grupos específicos têm aos recursos, incluindo arquivos, diretórios, chaves do Registro, objetos globais e serviços do Windows. O AccessChk responde rapidamente a essas perguntas com uma interface e saída intuitivas.

Certeza que vai funcionar.

— Jody
fonte

11

Essa parece ser uma versão (muito boa) da linha de comando da caixa de diálogo Permissões efetivas no Explorer. Isso não me diz "por que" nem "que conjunto de ACLs corresponderam para permitir o acesso".

— hometoast

ah verdade. Não sei se o que você está procurando existe fora da documentação da MS. Meu melhor conselho seria tentar recriar o ambiente do arquivo fora da estrutura atual e adicionar as permissões uma a uma, começando pelas mais restritivas até que o arquivo se torne gravável. Não se esqueça de compartilhar e permissões de segurança são diferentes. Boa sorte.

— Jody

4

Você deve tentar usar o AccessEnum .

insira a descrição da imagem aqui

Isso fornecerá as diferentes entidades de segurança que leram gravação e negam entradas na ACL para arquivos e pastas. é uma ferramenta gratuita também.

Depois de executar o relatório, abra-o e verifique as entradas exclusivas dos arquivos e pastas em questão. e veja as permissões efetivas de lá. é bastante manual para fazer a pesquisa, mas colocando o footwork você pode obter informações muito específicas.

— Winson
fonte

1

Parece que você espera que o Windows restrinja essas permissões amplas apenas verificando o grupo mais restrito. Não funciona assim. As permissões NTFS são determinadas assim:

Comece sem acesso por padrão.
Crie todas as permissões de permissão de todos os grupos em um grande conjunto de ações que você pode fazer.
Tire todas as permissões de negação de todos os grupos (assim, um DENY em qualquer lugar superará todo o resto).

Portanto, se você der o controle total ao grupo Todos e apenas permitir permissões nos outros grupos, sua associação de fato ao grupo Todos dará a você acesso total.

— Joel Coehoorn
fonte

0

Se você estiver configurando acls no compartilhamento smb, precisará definir permissões no sistema de arquivos e no menu compartilhar. Provavelmente, está definido para todos apenas em permissões de compartilhamento.

— semana
fonte