Jak mogę prześledzić NTFS i uprawnienia udostępniania, aby zobaczyć, dlaczego mogę (lub nie mogę) napisać pliku

8

Próbuję wyśledzić DLACZEGO mogę pisać w folderze, który według mojej najlepszej oceny nie powinien być w stanie pisać. Folder jest udostępniany „Wszyscy” ma „Pełna kontrola”, a pliki są bardziej restrykcyjne. Domyślam się, że istnieje jakieś członkostwo w podgrupach, które pozwala mi pisać, ale zagnieżdżanie grup w naszej usłudze Active Directory jest dość rozległe.

Czy istnieje narzędzie, które powie mi, który z wpisów ACL dozwolił lub zabronił mojego zapisu pliku w folderze?

Okno Efektywne uprawnienia jest marginalnie pomocne, ale potrzebuję czegoś w rodzaju „narzędzia śledzenia NTFS ACL”, jeśli coś takiego istnieje.

windows permissions ntfs network-shares hometoast
źródło
Po podaniu dozwolonych ustawień dużej grupie (np. Wszyscy), mniejsze grupy mogą to ograniczyć, używając uprawnień ODMÓW. Możesz być członkiem grupy, która ma niewiele uprawnień, ale o ile konkretnie nie odmówisz przywileju, faktyczne członkostwo w KAŻDEJ grupie pozwoli ci na dostęp.
Joel Coehoorn
Nie do końca pamiętam, co skłoniło mnie do tego, aby o to zapytać. Ale jeśli mam rację, myślę, że było to coś głupiego, jak „NaszaDomena \ Wszyscy użytkownicy” zostali dodani do lokalnej grupy „Użytkownicy”. coś, z jakiegoś powodu zasady grupy nie pozwoliły mi (mało programistom) zmienić.
hometoast

Odpowiedzi:

5

Wypróbuj AccessChk z sysinternals:

W ramach zapewnienia, że ​​stworzyli bezpieczne środowisko, administratorzy systemu Windows często muszą wiedzieć, jaki rodzaj dostępu do określonych użytkowników lub grup mają zasoby, w tym pliki, katalogi, klucze rejestru, obiekty globalne i usługi Windows. AccessChk szybko odpowiada na te pytania dzięki intuicyjnemu interfejsowi i wynikom.

Jestem pewien, że to zadziała.

Jody
źródło
1
Wydaje się, że jest to (bardzo dobra) wersja wiersza poleceń okna dialogowego Efektywne uprawnienia w eksploratorze. Nie mówi mi to „dlaczego” ani „jaki zestaw list ACL pasuje, aby umożliwić mi dostęp”.
hometoast
ah. prawdziwe. Nie jestem pewien, czego szukasz istnieje poza dokumentacją MS. Moja najlepsza rada to próba odtworzenia środowiska pliku poza bieżącą strukturą, a następnie dodanie uprawnień jeden po drugim, zaczynając od najbardziej restrykcyjnych, aż plik stanie się zapisywalny. Nie zapomnij, że uprawnienia do udostępniania i zabezpieczenia są różne. Powodzenia.
Jody
4

Powinieneś spróbować użyć AccessEnum .

wprowadź opis zdjęcia tutaj

Zapewni to różne zasady zabezpieczeń, które przeczytały zapis i odmawiają wpisów w pliku acl zarówno dla plików, jak i folderów. jest to również bezpłatne narzędzie.

Po uruchomieniu raportu otwórz go i sprawdź unikalne wpisy dla plików i folderów, o których mowa. i zobacz stamtąd skuteczne uprawnienia. jest to dość ręczne, aby wykonać wyszukiwanie, ale umieszczając footwork można uzyskać bardzo szczegółowe informacje.

Winson
źródło
1

Wygląda na to, że spodziewasz się, że Windows zawęzi te szerokie uprawnienia, sprawdzając tylko najbardziej wąską grupę. To tak nie działa. Uprawnienia NTFS są określane w następujący sposób:

  1. Rozpocznij domyślnie bez dostępu.
  2. Zbuduj wszystkie uprawnienia ze wszystkich grup w jeden duży zestaw czynności, które możesz zrobić.
  3. Odbierz wszystkie uprawnienia odmowy od wszystkich grup (w ten sposób odmowa w dowolnym miejscu przebije wszystko inne).

Jeśli więc dasz grupie Wszyscy pełną kontrolę i będziesz mieć uprawnienia tylko do innych grup, de facto członkostwo w grupie Wszyscy da ci pełny dostęp.

Joel Coehoorn
źródło
0

Jeśli ustawiasz acls na udziale SMB, musisz ustawić uprawnienia w systemie plików i menu udostępniania. Prawdopodobnie jest ustawiony dla wszystkich tylko w uprawnieniach do udostępniania.

tydzień
źródło