Changer rapidement les autorisations Windows pour une énorme arborescence de répertoires?

14

J'ai un énorme répertoire sur un système de fichiers NTFS (c'est -à- dire un répertoire de niveau supérieur contenant des dizaines ou des centaines de millions de nœuds descendants avec les nœuds de fichier probablement en moyenne environ trois niveaux de profondeur) pour lesquels je dois modifier les autorisations. En particulier, je dois donner à un nouvel utilisateur (ou groupe) un accès en lecture seule à absolument tout dans l'arborescence des répertoires.

L'endroit le plus évident pour ce faire est dans l'Explorateur Windows en cliquant avec le bouton droit sur le répertoire de niveau supérieur et en accédant à l'onglet de sécurité de la fenêtre des propriétés du répertoire. Cependant, lorsque vous essayez les choses évidentes, l'Explorateur Windows semble excité de parcourir récursivement toute l'arborescence de répertoires et d'essayer de modifier quelque chose ou autre sur les autorisations de chaque nœud de l'arborescence. C'est extrêmement inefficace pour un répertoire aussi volumineux!

Quelqu'un peut-il offrir des conseils pour modifier les autorisations sans cette descente récursive? Dois-je cliquer sur quelque chose de particulier dans l'interface graphique? Dois-je utiliser des outils de ligne de commande? Cela pourrait-il être le résultat d'un administrateur système précédent ayant fait quelque chose de bizarre aux autorisations dans ce répertoire?

J'ai également besoin d'activer le partage réseau et de laisser l'utilisateur / groupe monter le répertoire sur le réseau. Je n'ai pas encore essayé cela, donc je ne sais pas s'il y aura une boîte de vers similaire lorsque j'essaierai d'activer le partage.

C'est sur Windows 2008 Server si c'est important.

EDIT : Les gens ont raison de dire qu'il est probablement plus logique de donner la permission à un groupe de domaine plutôt qu'à un compte particulier, j'ai donc noté cela ci-dessus (c'est ce que je faisais de toute façon. Je ne sais pas pourquoi j'ai spécifiquement demandé sur l'ajout d'un utilisateur dans la question d'origine. Désolé pour la négligence) . Mais bien sûr, l'ajout d'un groupe à la liste des autorisations d'un dossier n'est pas plus rapide que l'ajout d'un utilisateur (aucun des groupes existants ne dispose d'autorisations en lecture seule).

Chris
la source

Réponses:

1

Dans ce cas, il n'est pas nécessaire de jouer avec les autorisations NTFS.

Créez simplement un partage dans le répertoire de niveau supérieur et ajoutez les utilisateurs ou les groupes au partage avec l'autorisation en lecture seule (ou si vous voulez écrire).

Même si tout le monde dispose d'autorisations NTFS de contrôle total sur le répertoire de niveau supérieur, l' autorisation la plus restrictive (partage ou NTFS) sera utilisée.

Gordon Bell
la source
1
Mais si un groupe approprié (par exemple tout le monde) n'a pas d'autorisations au niveau NTFS, il devra toujours ajouter ces autorisations, quelles que soient les autorisations de partage.
PowerApp101
4
C'est une assez mauvaise façon de gérer un serveur de fichiers. Cet utilisateur n'est probablement pas le seul à avoir besoin d'accès et les autorisations NTFS sont beaucoup plus précises que les autorisations de partage. Traverse Directory vient à l'esprit comme un gros problème si vous
optez
C'est une option simple dans les petits réseaux. Je règle normalement les autorisations NTFS, mais uniquement pour les groupes. Le problème, a-t-il déclaré, consiste à donner "au nouvel utilisateur un accès en lecture seule à absolument tout dans l'arborescence des répertoires".
Gordon Bell
Même dans les petits réseaux, il faut appliquer les bonnes pratiques de gestion d'entreprise.
Daniel
Eh bien, vous pouvez blâmer Microsoft d'avoir intégré les autorisations de partage dans le mélange. De plus, cette question a changé depuis que j'ai répondu à l'origine.
Gordon Bell
8

Si vous souhaitez que l'utilisateur dispose d'une autorisation de lecture sur un dossier et tous les sous-dossiers, les autorisations des sous-dossiers doivent également être modifiées. Il semble que l'héritage soit déjà défini et vous ne voulez tout simplement pas attendre que cet héritage se propage à tous les objets enfants. Outre l'attente, la seule chose que vous pouvez faire est d'ajouter l'utilisateur à un groupe existant disposant des autorisations appropriées, en supposant qu'un tel groupe existe.

MDMarra
la source
Je viens de faire la même chose aujourd'hui sur un dossier avec environ 10 000 articles (pas 10 millions) et je l'ai juste réglé et je suis parti faire autre chose. Lorsque vous commencez à mettre des millions d'éléments dans des dossiers, c'est à ce moment-là qu'un système de fichiers commence à se boucler ...
Mark Henderson
2

Il n'y a aucun moyen rapide de le faire. L'Explorateur se fera un plaisir de passer des heures (jours?) À appliquer la nouvelle autorisation à chaque fichier et dossier (si l'héritage est défini).

L'activation d'un partage est beaucoup plus facile, l'utilisateur a juste besoin au moins des autorisations de lecture sur le partage. Les autorisations NTFS sous-jacentes détermineront ce que l'utilisateur peut réellement faire. Notez que si l'autorisation de partage est en lecture seule, il s'agit de l'accès maximal même si la sécurité NTFS est définie pour être modifiée (r / w).

PowerApp101
la source
0

Vous devriez vraiment envisager de créer un groupe local ou de groupe et définir ses autorisations sur le répertoire de niveau supérieur, puis vous ajoutez simplement des utilisateurs au groupe selon les besoins.

Gordon Bell
la source
2
Comment cela accélérera-t-il l'application des autorisations? Ce groupe devra toujours être appliqué à chaque fichier et dossier.
PowerApp101
1
Oui, mais juste une fois.
Gordon Bell