Вопрос: Я ищу хороший способ для аудита / поиска в структуре каталогов (Windows 2003) и поиска любых папок, которые либо не наследуют разрешения от своих родительских, либо содержат дополнительных пользователей / групп.
Предыстория
Мы переносим старый файловый сервер Windows 2003 на сервер 2008 R2. Этот старый сервер был перенесен с NT4. Большинство текущих папок используют старые (устаревшие?) Группы Домен \ Администраторы и Домен \ Пользователи. Это группы, которые, еще находясь в AD, я не могу использовать для разрешений в разрешениях 2008 R2.
Итак, прежде чем я буду копировать все общие данные со старого сервера на новый, мне сначала нужно «модернизировать» разрешения для старых общих ресурсов. Однако я знаю, что за последние десятилетия для некоторых [недокументированных] папок были изменены разрешения, чтобы они не наследовали от родительских, либо добавляли дополнительных пользователей. Таким образом, мой поиск способа найти их!
Я бы рекомендовал использовать Powershell (для Win2003: http://support.microsoft.com/kb/968929/en-us) и дополнительный дополнительный модуль для этого ( http://gallery.technet.microsoft.com/scriptcenter/1abd77a5-9c0b-4a2b-acef-90dbb2b84e85 ).
Это поможет вам сначала получить наследование для структуры папок (при запуске из вашей начальной папки), например.
get-childitem -Recurse | get-inheritance | export-CSV C:\Inheritance.csv -NoTypeInformation
Вы получите все файлы и папки в формате CSV, который затем можно будет фильтровать в Excel или других БД, если вам нужно.
Дополнительным преимуществом модуля NTFSSecurity Modul является то, что вы можете изменить наследование или списки управления доступом также во время миграции с помощью аналогичного сценария Powershell.
например вы можете полностью удалить наследование в папке (вашей начальной папке) с помощью:
get-childitem | Disable-Inheritance
или снова добавьте переключатель -recurse для всех подпапок / файлов.
Надеюсь, это поможет Ура
Это довольно просто с SetACL. Запускаем так:
SetACL -on "some path" -ot file -actn list -lst f:csv -rec cont
Эта команда инструктирует SetACL распечатать разрешения из только эти объекты которые имеют явные разрешения, либо потому, что ACE были добавлены в каталог с включенным наследованием, либо потому, что наследование было отключено и были установлены новые ACE.
SetACL обрабатывает пути длиной более 260 символов и перечисляет ACE из любого каталога независимо от текущих разрешений, т.е. даже если у вас нет доступа для чтения, SetACL показывает вам, что там есть, и распечатывает разрешения (требуются права администратора).