Szybko zmieniasz uprawnienia systemu Windows dla ogromnego drzewa katalogów?

14

Mam ogromny katalog w systemie plików NTFS (tj. Katalog najwyższego poziomu zawierający dziesiątki lub setki milionów węzłów potomnych z węzłami plików prawdopodobnie o głębokości około trzech poziomów) , dla których muszę zmienić uprawnienia. W szczególności muszę przyznać nowemu użytkownikowi (lub grupie) dostęp tylko do odczytu do absolutnie wszystkiego w drzewie katalogów.

Najbardziej oczywistym miejscem do tego jest Eksplorator Windows, klikając prawym przyciskiem myszy katalog najwyższego poziomu i przechodząc do zakładki bezpieczeństwa w oknie właściwości katalogu. Jednak podczas wypróbowywania oczywistych rzeczy Eksplorator Windows wydaje się podekscytowany, aby rekurencyjnie przeglądać całe drzewo katalogów i próbować zmodyfikować coś w zakresie uprawnień każdego węzła w drzewie. Jest to wyjątkowo nieefektywne w przypadku tak dużego katalogu!

Czy ktoś może zaoferować jakieś wskazówki dotyczące zmiany uprawnień bez tego rekurencyjnego zejścia? Czy muszę kliknąć coś konkretnego w GUI? Czy muszę używać narzędzi wiersza polecenia? Czy może to wynikać z tego, że poprzedni sysadmin zrobił coś dziwnego z uprawnieniami w tym katalogu?

Muszę także włączyć udostępnianie sieci i pozwolić użytkownikowi / grupie zamontować katalog przez sieć. Jeszcze tego nie próbowałem, więc nie wiem, czy będzie podobna puszka robaków, kiedy spróbuję umożliwić udostępnianie.

Dotyczy to systemu Windows 2008 Server, jeśli ma to znaczenie.

EDYCJA : Ludzie mają rację, że prawdopodobnie bardziej sensowne jest zezwolenie na grupę domen niż na konkretne konto, więc zanotowałem to powyżej (tak robiłem i tak. Nie wiem, dlaczego konkretnie zapytałem o dodaniu użytkownika w pierwotnym pytaniu. Przepraszamy za niechlujstwo) . Ale oczywiście dodanie grupy do listy uprawnień do folderu nie jest szybsze niż dodanie użytkownika (żadna z istniejących grup nie ma uprawnień tylko do odczytu).

Chris
źródło

Odpowiedzi:

1

W takim przypadku nie trzeba zadzierać z uprawnieniami NTFS.

Po prostu utwórz udział w katalogu najwyższego poziomu i dodaj użytkowników lub grupy do udziału z uprawnieniem tylko do odczytu (lub jeśli chcesz zapisywać).

Nawet jeśli wszyscy mają uprawnienia Pełna kontrola NTFS w katalogu najwyższego poziomu, zostaną użyte najbardziej restrykcyjne uprawnienia (udział lub NTFS).

Gordon Bell
źródło
1
Ale jeśli odpowiednia grupa (np. Wszyscy) nie ma uprawnień na poziomie NTFS, nadal będzie musiał dodać te uprawnienia, niezależnie od uprawnień udziału.
PowerApp101,
4
To dość kiepski sposób zarządzania serwerem plików. Najprawdopodobniej ten użytkownik nie jest jedynym, który potrzebuje dostępu, a uprawnienia NTFS są znacznie bardziej szczegółowe niż uprawnienia udziału. Traverse Directory przychodzi na myśl jako wielki brak, jeśli stosujesz się ściśle z uprawnieniami do udostępniania
MDMarra
Jest to prosta opcja w małych sieciach. Zwykle ustawiam uprawnienia NTFS, ale tylko dla grup. Problem, który stwierdził, daje „nowemu użytkownikowi dostęp tylko do odczytu do absolutnie wszystkiego w drzewie katalogów”.
Gordon Bell,
Nawet w małych sieciach należy stosować odpowiednie praktyki zarządzania przedsiębiorstwem.
Daniel
Cóż, możesz winić Microsoft za to, że wprowadziłeś w ten sposób uprawnienia udostępniania. To pytanie również się zmieniło, odkąd pierwotnie na nie odpowiedziałem.
Gordon Bell,
8

Jeśli chcesz, aby użytkownik miał uprawnienia do odczytu folderu i wszystkich podfolderów, uprawnienia do podfolderów również muszą zostać zmienione. Wygląda na to, że dziedziczenie jest już ustawione, a ty po prostu nie chcesz czekać, aż to dziedziczenie przejdzie do wszystkich obiektów potomnych. Jedyne, co możesz zrobić oprócz czekania, to dodać użytkownika do istniejącej grupy, która ma odpowiednie uprawnienia, zakładając, że taka grupa istnieje.

MDMarra
źródło
Zrobiłem to samo dzisiaj w folderze zawierającym około 10 000 pozycji (nie 10 milionów) i po prostu ustawiłem to i poszedłem zrobić coś innego. Kiedy zaczynasz umieszczać miliony elementów w folderach, wtedy system plików zaczyna się zapinać ...
Mark Henderson
2

Nie ma na to szybkiego sposobu. Eksplorator z radością będzie pracował przez wiele godzin (dni?), Stosując nowe uprawnienia do każdego pliku i folderu (jeśli ustawiono dziedziczenie).

Włączenie udziału jest znacznie łatwiejsze, użytkownik potrzebuje przynajmniej uprawnień do odczytu udziału. Podstawowe uprawnienia NTFS określą, co użytkownik może faktycznie zrobić. Należy zauważyć, że jeśli uprawnienie do udostępniania jest tylko do odczytu, to jest to maksymalny dostęp, nawet jeśli zabezpieczenia NTFS są ustawione na modyfikację (r / w).

PowerApp101
źródło
0

Naprawdę powinieneś rozważyć utworzenie grupy lokalnej lub domeny i ustawić jej uprawnienia w katalogu najwyższego poziomu, a następnie po prostu dodać użytkowników do grupy w razie potrzeby.

Gordon Bell
źródło
2
Jak to przyspieszy stosowanie uprawnień? Ta grupa nadal będzie musiała zostać zastosowana do każdego pliku i folderu.
PowerApp101,
1
Tak, ale tylko raz.
Gordon Bell,