¿Cómo puedo rastrear NTFS y compartir permisos para ver por qué puedo (o no) escribir un archivo

8

Estoy tratando de localizar POR QUÉ puedo escribir en una carpeta que, según mi mejor estimación, no debería poder escribir. La carpeta se comparte con "Todos" tiene "Control total", y los archivos son más restrictivos. Mi mejor conjetura es que hay algún tipo de membresía de subgrupo que me permite escribir, pero la anidación de grupos que existe en nuestro Active Directory es bastante extensa.

¿Existe alguna herramienta que me diga cuáles de las entradas de ACL permitieron o no permitieron escribir un archivo en una carpeta?

El cuadro de diálogo Permisos efectivos es marginalmente útil, pero lo que necesito es algo así como una "Herramienta de rastreo ACL NTFS", si es que existe.

windows permissions ntfs network-shares tostada casera
fuente
Una vez que le da una configuración permisiva a un grupo grande (como Todos), los grupos más pequeños solo pueden restringir eso usando los permisos DENY. Puede ser miembro de un grupo que tiene pocos permisos, pero a menos que haya DENEGADO específicamente un privilegio, su membresía de facto en el grupo TODOS le permitirá tener acceso.
Joel Coehoorn
No recuerdo lo que me llevó a preguntar esto en primer lugar. Pero si estoy en lo cierto, creo que fue algo tonto como "Nuestro dominio \ Todos los usuarios" se agregaron al grupo "Usuarios" locales. algo, por alguna razón, la política de grupo no me dejaba alterar (poco desarrollador)
Hometoast

Respuestas:

5

Pruebe AccessChk de sysinternals:

Como parte de garantizar que han creado un entorno seguro, los administradores de Windows a menudo necesitan saber qué tipo de acceso tienen los usuarios o grupos específicos a recursos que incluyen archivos, directorios, claves de registro, objetos globales y servicios de Windows. AccessChk responde rápidamente estas preguntas con una interfaz y salida intuitivas.

Estoy bastante seguro de que funcionará.

Jody
fuente
1
Esta parece ser una versión de línea de comando (muy buena) del cuadro de diálogo Permisos efectivos dentro del explorador. Esto no me dice "por qué" ni "qué conjunto de ACL coincidió para permitirme el acceso".
Hometoast
ah cierto. No estoy seguro de que lo que está buscando existe fuera de la documentación de MS. Mi mejor consejo sería intentar recrear el entorno del archivo fuera de la estructura actual, luego agregar los permisos uno por uno, comenzando por el más restrictivo hasta que el archivo se pueda escribir. No olvides compartir y los permisos de seguridad son diferentes. Buena suerte.
Jody
4

Deberías intentar usar AccessEnum .

ingrese la descripción de la imagen aquí

Esto le proporcionará los diferentes principios de seguridad que tienen entradas de lectura, escritura y denegación en la acl para archivos y carpetas. También es una herramienta gratuita.

Después de ejecutar el informe, ábralo y observe las entradas únicas para los archivos y carpetas en cuestión. y ver los permisos efectivos desde allí. es bastante manual para hacer la búsqueda, pero al poner el juego de pies puede obtener información muy específica.

Winson
fuente
1

Parece que espera que Windows limite esos amplios permisos al solo verificar el grupo más estrecho. No funciona así. Los permisos NTFS se determinan así:

  1. Comience sin ningún acceso por defecto.
  2. Cree todos los permisos permitidos de todos los grupos en un gran conjunto de cosas que puede hacer.
  3. Quite todos los permisos denegados de todos los grupos (por lo tanto, una DENEGACIÓN en cualquier lugar prevalecerá sobre todo lo demás).

Entonces, si le otorga al grupo Todos el control total y solo tiene permisos de permiso en sus otros grupos, su membresía de facto en el grupo Todos le dará acceso total.

Joel Coehoorn
fuente
0

Si está configurando acls en smb share, entonces debe establecer permisos en el sistema de archivos y en el menú compartir. Probablemente esté configurado para todos solo en permisos de compartir.

semana
fuente