Comment puis-je suivre les autorisations NTFS et de partage pour voir pourquoi je peux (ou ne peux pas) écrire un fichier

8

J'essaie de retrouver POURQUOI je peux écrire dans un dossier que, selon ma meilleure estimation, je ne devrais pas être en mesure d'écrire. Le dossier est partagé avec "Tout le monde" a "Contrôle total", les fichiers étant plus restrictifs. Ma meilleure supposition est qu'il existe une sorte d'appartenance à un sous-groupe qui me permet d'écrire, mais l'imbrication des groupes qui existe dans notre Active Directory est assez étendue.

Existe-t-il un outil qui me dira laquelle des entrées ACL a autorisé ou interdit l'écriture d'un fichier dans un dossier?

La boîte de dialogue Autorisations effectives est légèrement utile, mais ce dont j'ai besoin est quelque chose comme un "outil de trace ACL NTFS", si une telle chose existe.

windows permissions ntfs network-shares hometoast
la source
Une fois que vous donnez à un grand groupe (comme Tout le monde) des paramètres facultatifs, les petits groupes ne peuvent restreindre cela qu'en utilisant les autorisations REFUSER. Vous pouvez être membre d'un groupe disposant de peu d'autorisations, mais à moins que vous n'ayez spécifiquement refusé un privilège, votre appartenance de facto au groupe TOUT LE MONDE vous permettra d'y accéder.
Joel Coehoorn
Je ne me souviens pas très bien de ce qui m'a amené à poser cette question en premier lieu. Mais si j'ai raison, je pense que c'était quelque chose de stupide comme "OurDomain \ All Users" a été ajouté au groupe local "Users". quelque chose, pour une raison quelconque, la stratégie de groupe ne me laisserait pas (développeur modeste) modifier.
hometoast

Réponses:

5

Essayez AccessChk depuis sysinternals:

Pour s'assurer qu'ils ont créé un environnement sécurisé, les administrateurs Windows ont souvent besoin de savoir quel type d'accès des utilisateurs ou des groupes spécifiques ont aux ressources, notamment les fichiers, les répertoires, les clés de registre, les objets globaux et les services Windows. AccessChk répond rapidement à ces questions avec une interface et une sortie intuitives.

Je suis sûr que cela fonctionnera.

Jody
la source
1
Cela semble être une (très bonne) version en ligne de commande de la boîte de dialogue Autorisations effectives dans l'explorateur. Cela ne me dit pas "pourquoi" ni "quel ensemble d'ACL correspond pour me permettre l'accès".
hometoast
ah. vrai. Je ne suis pas sûr que ce que vous recherchez existe en dehors de la documentation MS. Mon meilleur conseil serait d'essayer de recréer l'environnement du fichier en dehors de la structure actuelle, puis d'ajouter les autorisations une par une, en commençant par la plus restrictive jusqu'à ce que le fichier devienne accessible en écriture. N'oubliez pas que les autorisations de partage et de sécurité sont différentes. Bonne chance.
Jody
4

Vous devriez essayer d'utiliser AccessEnum .

entrez la description de l'image ici

Cela vous fournira les différents principes de sécurité qui ont lu et refusé les entrées dans l'ACL pour les fichiers et les dossiers. c'est aussi un outil gratuit.

Après avoir exécuté le rapport, ouvrez-le et examinez les entrées uniques des fichiers et des dossiers en question. et voir les autorisations effectives à partir de là. son assez manuellement pour faire la recherche, mais en mettant le jeu de jambes, vous pouvez obtenir des informations très spécifiques.

Winson
la source
1

Il semble que vous vous attendiez à ce que Windows restreigne ces autorisations larges en ne vérifiant que le groupe le plus étroit. Ça ne marche pas comme ça. Les autorisations NTFS sont déterminées comme suit:

  1. Commencez sans aucun accès par défaut.
  2. Créez toutes les autorisations d'autorisation de tous les groupes dans un grand ensemble de choses que vous pouvez faire.
  3. Supprimez toutes les autorisations de refus de tous les groupes (ainsi, un DENY n'importe où l'emportera sur tout le reste).

Donc, si vous donnez au groupe Tout le monde le contrôle total et que vous ne disposez que d'autorisations sur vos autres groupes, votre appartenance de facto au groupe Tout le monde vous donnera un accès complet.

Joel Coehoorn
la source
0

Si vous définissez acls sur le partage smb, vous devez définir des autorisations sur le système de fichiers et dans le menu de partage. Il est probablement défini pour tout le monde uniquement dans les autorisations de partage.

la semaine
la source