8

Я пытаюсь выяснить, ПОЧЕМУ я могу написать в папке, которую, по моим лучшим оценкам, я не смогу написать. Папка с общим доступом "Все" имеет "Полный доступ", файлы более строгие. Мое лучшее предположение - что-то вроде членства в подгруппах, которое позволяет мне писать, но вложение групп, которое существует в нашей Active Directory, довольно обширное.

Существует ли инструмент, который скажет мне, какие записи ACL разрешают или запрещают мне записывать файл в папку?

Диалоговое окно « Эффективные разрешения » немного полезно, но мне нужно что-то вроде "инструмента трассировки ACFS NTFS", если такая вещь существует.

|источник

4 ответа4

5

Попробуйте AccessChk от sysinternals:

В качестве гарантии того, что они создали безопасную среду, администраторам Windows часто необходимо знать, какой доступ имеют определенные пользователи или группы к ресурсам, включая файлы, каталоги, ключи реестра, глобальные объекты и службы Windows. AccessChk быстро отвечает на эти вопросы благодаря интуитивно понятному интерфейсу и выводу.

Уверен, это сработает.

|источник
4

Вы должны попробовать использовать AccessEnum.

Это предоставит вам различные участники безопасности, которые имеют записи чтения и запрета в ACL для файлов и папок. это бесплатный инструмент тоже.

После запуска отчета откройте его и посмотрите на уникальные записи для файлов и папок, о которых идет речь. и увидеть действующие разрешения оттуда. это довольно вручную, чтобы сделать поиск, но, вкладывая в работу, вы можете получить очень конкретную информацию.

|источник
1

Похоже, вы ожидаете, что Windows сузит эти широкие разрешения, проверив только самую узкую группу. Это не работает так. Разрешения NTFS определяются следующим образом:

  1. Начните без доступа по умолчанию.
  2. Соберите все разрешающие разрешения для всех групп в один большой набор вещей, которые вы можете сделать.
  3. Удалите все запрещающие разрешения у всех групп (таким образом, DENY где угодно превзойдет все остальное).

Поэтому, если вы предоставляете группе «Все» полный контроль и имеете разрешения только для других групп, ваше фактическое членство в группе «Все» предоставит вам полный доступ.

|источник
0

Если вы устанавливаете acls в smb share, то вам нужно установить права доступа к файловой системе и в меню share. Вероятно, он установлен для всех только в правах доступа.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .