Réinitialisation des autorisations NTFS sur tout le disque

11

Quelqu'un a vraiment gâché la définition des autorisations sur un lecteur NTFS et je cherche un moyen de réinitialiser toutes les autorisations par défaut. Le système d'exploitation sera réinstallé, mais j'essaie de récupérer les données de leurs répertoires utilisateur.

Aucune des données n'est chiffrée au niveau FS.

Une recommandation sur la façon d'y parvenir?

permissions ntfs access-control-list Andrew Moore
la source

Réponses:

16

Si vous parlez d'un disque qui ne contient pas d'installation Windows, utilisez simplement les utilitaires "TAKEOWN" et "ICACLS":

TAKEOWN /f "X:\" /r /d y
ICACLS "X:\" /reset /T

Ensuite, vous pouvez réinitialiser les ACL à votre guise.

S'il s'agit d'un disque sur lequel un système d'exploitation Windows 2000, XP ou Server 2003 est installé (je ne connais pas Vista sur celui-ci), vous pouvez essayer de réappliquer le modèle de sécurité par défaut:

secedit /configure /db secedit.sdb /cfg %SystemRoot%\defltwk.inf /overwrite /verbose

(Sur une installation de Windows Server, remplacez "defltsv.inf" par "defltwk.inf".)

Evan Anderson
la source
Vous souhaiterez peut-être ajouter ces options à la icalscommande: /C(Continuer sur les erreurs de fichier) et /Q(supprimer les messages de réussite). Des messages d'erreur seraient toujours affichés.
mivk
1
Dans Win7 x64, j'ai eu des erreurs lors de la soumission du lecteur. Et pour icacls, je n'ai pas pu spécifier le lecteur directement. J'ai donc dû utiliser takeown /F X:\ /R /D Yet icacls X:\* /reset /T.
mivk
Microsoft semble en fait avoir changé d' avis sur l'utilité (et la sécurité) de secedit au moins pour cette tâche. La méthode est en fait très légère pour toucher quoi que ce soit à AFAICT (beaucoup de clés de registre, mais peu de dossiers système, Windows principal peut-être). Donc, à la fin de la journée, le seul moyen fiable que je connaisse est de comparer les listes de contrôle d' accès avec un autre système de confiance.
mirh
2

Comme alternative à la suppression et aux * cacls, vous pouvez utiliser SetACL pour d'abord prendre possession de chaque fichier et répertoire sur le lecteur, puis définir les autorisations souhaitées.

Définition du propriétaire d'une arborescence entière pour les administrateurs et activation de l'héritage sur les objets enfants :

SetACL.exe -on "C:\" -ot file -actn setprot -op "dacl:np;sacl:nc" 
           -rec cont_obj -actn setowner -ownr "n:S-1-5-32-544;s:y"

Ajout d'autorisations complètes pour les administrateurs:

SetACL.exe -on "C:\" -ot file -actn ace -ace "n:S-1-5-32-544;s:y;p:full"
Helge Klein
la source
0

Je ne suis pas certain qu'une telle chose existe. Cela dit, à moins que vous n'imaginiez le système, le système d'exploitation peut être réinstallé sans supprimer les données utilisateur, ce qui corrigera également les autorisations sur les dossiers liés au système d'exploitation. Selon le type de système dont il s'agit et ce qui est disponible, placez le lecteur dans un autre système et retirez les données utilisateur, puis essuyez et réinstallez.

Jeff Hengesbach
la source
0

Je n'ai jamais entendu parler de quoi que ce soit qui "réinitialise" les autorisations sur tout sur une ardoise vierge, à moins que la "restauration à partir de la sauvegarde" ne compte.

Même si c'était le cas, il aurait besoin d'un moyen de savoir à qui appartiennent quels fichiers, ainsi que des autorisations de registre et d'autres informations d'identification. Il y a de fortes chances que ça bousille et que vous ayez un système qui agirait bizarrement à des moments aléatoires, à moins que le programme en question n'ait un instantané de l'état de la machine lors de sa première installation ... auquel cas c'est la même chose comme sauvegarde. Vous auriez potentiellement modifié les autorisations et les ID (ID de sécurité) simplement en ajoutant des utilisateurs et en ayant installé le système d'exploitation en premier lieu sur la machine parce que Windows avait certaines choses dans l'ACL qui sont spécifiques à l'installation.

Le mieux est de sauvegarder les données utilisateur et d'essuyer le disque et de réinstaller avant de recopier les données utilisateur dans les dossiers appropriés, puis de créer une image de sauvegarde du système.

C'est l'une des situations où RAID ne serait pas utile, mais une bonne sauvegarde peut le faire (il existe un certain nombre d'administrateurs débutants qui semblent penser que RAID est une sauvegarde; dans cette situation, cela n'aurait pas aidé!)

Bart Silverstrim
la source
Bien que je convienne que vous ne pouvez pas restaurer de paramètres de sécurité personnalisés, vous pouvez réappliquer le modèle de sécurité par défaut et revenir à la sécurité par défaut du système d'exploitation.
Evan Anderson
Est-ce que son utilisation ne causerait pas de problèmes s'il avait une sécurité personnalisée via les applications? Pour une raison que j'ignore, cela pourrait provoquer un comportement inattendu en cours de route ... ou est-ce que cela s'est amélioré?
Bart Silverstrim
Si vous avez modifié la sécurité par défaut pour accueillir certains logiciels, vous devrez la modifier à nouveau après avoir rétabli les paramètres par défaut. À mon avis, cela devrait être un comportement "attendu". Si vous changez quelque chose par défaut et que vous le redéfinissez par défaut, il revient à nouveau par défaut.
Evan Anderson
0

Je ne vois pas de moyen de ramener les choses à la façon dont elles utilisaient une seule boîte, mais si vous en avez une deuxième disponible, soit en remplacement, soit en tant que zone de transit temporaire (même un PC avec un HD robuste fera l'affaire pour mise en scène temporaire), voici une solution. Il y a probablement des raccourcis que vous pouvez prendre ici, mais je préfère la méthode lente et méticuleuse car elle est moins sujette aux erreurs humaines.

Supposons que le serveur A est celui avec des autorisations vissées et que le serveur B soit le remplacement ou la zone de transit temporaire.

  • Restaurez à partir de la dernière bonne sauvegarde sur le serveur B (en vous assurant que vous sélectionnez l'option pour restaurer la sécurité lors de cette opération).
  • Sur le serveur A, déterminez si vous pouvez ou non accéder aux données.
    • Sinon, prenez possession de tout, soit via l'interface graphique ou la ligne de commande.
    • Déterminez si vous pouvez ou non accéder aux données maintenant.
    • Sinon, accordez-vous un contrôle total.
  • Copiez les données du serveur A vers le serveur B à l'aide de xcopy / S / E / C / H / R / K / Y. N'utilisez pas / O car cela écraserait vos ACL restaurées.
  • Si c'est un serveur de remplacement, vous avez terminé. Sinon, après avoir reconstruit le serveur A, copiez-le à nouveau à partir du serveur B, cette fois en utilisant xcopy / S / E / C / H / R / K / O / Y (la note / 0 est ici cette fois).
  • Ayez quelques mots calmes dans un coin avec la personne qui l'a fait. Les battes de baseball et les menaces de révocation de leurs droits d'administrateur peuvent être facultatives ou non, selon ce que vous ressentez.
Maximus Minimus
la source