[dimich22]

Для просмотра разрешений может оказаться полезной ACLView

[amel27]

Цитата chickaboo:

на новом сервере вместо локальных групп вижу просто номера SIDов локальных групп от старого сервера. »

если речь о тупой замене SID'ов, то может пригодиться статья:
You cannot resolve local groups when you migrate files between member servers of different domains

[monkkey]

ACLView, может?
Долго я рылся )))

[HLT]

Вопрос вдогонку: как найти папки/файлы с потерянными правами?

Есть сервер, который админился долгое время разными людьми.
На нем ~3000 папок, ~500000 файлов
На некоторые файлы/папки права раздавались не группами, а персонально пользователям.
Многие пользователей уже давно удалены, соответственно в "security" показываются просто левые SIDы.
Оно, в принципе, не мешает, но хотелось бы всё причесать.

cacls *.* /T | find "{" >1.txt и разгребание руками не подходит: в итоге получается куча сидов, но непонятно к каким объектам они относятся =(

Может, кто-нибудь встречал в природе какой-нибудь утиль, который покажет только папки/файлы с неопознанными сидами? (с возможностью посмотра папки/файла и корректировки ACL)

[chickaboo]

Проблему решил благодаря Extended Change Access Control List
Он мне вывел подробную информацию по шаре с подпапками с помощью команды:
xcacls.vbs путь к шаре /F /S > файл отчёта
...дальше уже сделаю его более наглядным в Excel.

Спасибо за ссылку на ACLView и kb250267 тоже пригодятся!

[Pili]

Добавлю, что есть ещё AccessEnum от sysinternals
ещё бы наоборот, найти утилиту, позволяющую собрать инф-ию по пользователям на права в директориях (как в Novell Netware есть)

[amel27]

Цитата HLT:

как найти папки/файлы с потерянными правами? »

1. Создать список потерянных SID'ов в текстовом файле, например при помощи CACLS, хотя у меня почему-то твой пример вместо SID выдает "<Домен для учетной записи не найден>" ;
2. С помощью SUBINACL для каждого SID найти файлы;
3. С помощью того же SUBINACL удалить "левый" ACE.

Вот пример скрипта для п.2 и 3 - он не правит ACL, а только формирует команду... Т.е. можно вывести все в CMD-файл, проверить и только потом запустить на выполнение:

Код:

@echo off
SetLocal EnableDelayedExpansion

:: файл со списком SID и путь к корню/маска
SET SIDF=SIDs.txt
SET MASK=D:\Share\*

For /F "Tokens=* Delims=" %%i In (%SIDF%) Do (
	subinacl /noverbose /outputlog="%~n0.tmp" /subdirec %MASK% /findsid=%%i /display=dacl
	CALL :SUPRESS_SID "%%i"
)
:: =
EXIT

:SUPRESS_SID
:: ---
For /F "UseBackQ Tokens=* Delims=" %%A In (`Type %~n0.tmp^|Find "+File"`) Do (
	SET LINE_SHIFT=!LINE!
	SET LINE=%%A
	IF NOT "!LINE!"=="!LINE_SHIFT!" (
		SET FILE=!LINE:~6!
		@echo subinacl /file "!FILE!" /suppresssid="%~1"
	)
)
:: ---
GOTO :EOF

Цитата Pili:

ещё бы наоборот, найти утилиту, позволяющую собрать инф-ию по пользователям на права в директориях »

можно постановку задачи конкретней?

[Pili]

Цитата amel27:

можно постановку задачи конкретней? »

Куда уж конкретней ) Выбирается пользователь домена, нажимаешь кнопку типа "scan", выдает список каталогов (опционально с подкаталогами), где этот пользователь имеет права, с указанием какие конкретно права (по флажкам R, W и т.п.) Такое есть в Nowell Netware (возможность встроена в Netware Administrator)

[amel27]

Цитата Pili:

Выбирается пользователь домена, нажимаешь кнопку типа "scan", выдает список каталогов (опционально с подкаталогами), где этот пользователь имеет права, с указанием какие конкретно права (по флажкам R, W и т.п.) »

отобрать список файлов/каталогов для пользователя с маской доступа можно и через SubInACL... для детальной фильтрации прав подойдет любой язык с поддержкой битовых операций.

Цитата Pili:

Такое есть в Nowell Netware (возможность встроена в Netware Administrator) »

в курсе, 10 лет стажа под неТварью... зато там не было WSH...