У нас есть большое дерево каталогов (9 ТБ) в файловой системе NTFS. Корневой каталог дерева, скажем, G:\TreeRoot , имеет двойное явное разрешение. Например, выполнение ICACLS G:\TreeRoot показывает

G:\TreeReoot OURDOMAIN\SOME_GROUP:(OI)(CI)(N)
             OURDOMAIN\SOME_GROUP:(OI)(CI)(N)
             OURDOMAIN\SOME_USER:(OI)(CI)(N)
             OURDOMAIN\ANOTHER_GROUP:(OI)(CI)(F)
             BUILTIN\Administrators:(OI)(CI)(F)
             NT AUTHORITY\SYSTEM:(OI)(CI)(F)

Обратите внимание, что первая запись является дубликатом. Мы хотим удалить дубликат записи. Можно ли удалить только одну из записей, не удаляя вторую? Изучение разрешений безопасности с использованием графического интерфейса не показывает обе записи. Использование icacls G:\TreeRoot /remove:d OURDOMAIN\SOME_GROUP удалит обе записи и потребует добавления разрешения (отказа) обратно. (Это не вариант по двум причинам: во-первых, для добавления и удаления разрешений в дереве требуется около 10x2 = 20 часов, и во-вторых, в течение этого времени каталог останется незащищенным, ни один из которых не является опцией).

1 ответ1

0

Я исследую, как устранить другую грязную ситуацию с NTFS, которая не совсем соответствует вашему сценарию, и я подозреваю, что вы, возможно, либо решили ее, либо уже приступили к ней, но на тот случай, если вы все еще работаете над этим, вот вещь, которая немного за пределами левого поля, но может стоить попробовать.

Для проверки концепции сначала я предлагаю попробовать это в папке G:\treeroot\some\deep\, чтобы вам не пришлось ждать, пока это "исправят" по всему дереву ....

Вы упомянули, что пользовательский интерфейс проводника не отображает дублирующиеся разрешения. Так что если вы расскажете исследователь удалить какой из permsisions он может видеть, это оставить другую позади? Что показывают Explorer и iCacls после этого?

Если результаты выглядят «вменяемыми», вы можете осторожно применить тот же подход в G:\TreeRoot.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .