Итак, я ищу совета / руководства по моей проблеме:
Наш файловый сервер изначально был настроен неправильно, предоставляя разрешения отдельным пользователям, а не группам. Я вручную переделывал разрешения, но предпочел бы исправить это массово.
У меня есть список каталогов и пользователей, которым разрешен доступ.
Directory,Group,Rights
\\server2\storage\REPORTS\*,Mgmt,Full Access
\\server2\storage\REPORTS\*,HR,Full Access
\\server2\storage\IT\*,Tech,Full Access
etc
Итак, мой план состоял в том, чтобы написать командный файл с использованием длинного списка команд cacls с моим списком каталогов и групп.
Звучит ли это как разумный план, или есть способ / инструмент лучше?
PS - Я заметил, что некоторые папки / файлы не имеют разрешений для CREATOR OWNER и SYSTEM. Следует ли мне добавить их в свой список?
Думаю, это очень разумный план. С помощью icacls или cacls будет работать нормально. я предпочитаю icacls, лично потому, что у него "более богатый" набор функций. Вы могли бы использовать Хельге Кляйнс SetACL инструмент, но в этом случае я не думаю, что он покупает вам что-то отличное от первых двух инструментов (потому что вы не используете какие-либо его расширенные функции для резервного копирования / восстановления иерархий разрешений, замены SID и т. д.).
Я не выбираю «СОЗДАТЕЛЬ ВЛАДЕЛЬЦА», потому что, как правило, мне это не нужно и не нужно. При его использовании создается множество ненаследуемых записей ACL, и я стараюсь иметь как можно меньше ненаследуемых записей. Я обычно называю "СИСТЕМА" в каждом ACL. Это не обязательно, но я делаю это по привычке. (Я считаю «базовым» ACL «СИСТЕМА / Полный доступ» и «Администраторы / Полный доступ», а затем я расширяюсь оттуда.)