none
Aggiungere un domain local group in tutte le sottocartelle lasciando invariate le ereditarietà ed i vari gruppi già presenti??? RRS feed

  • Domanda

  • Ciao,

    mi trovo di fronte ad un file server con tantissime cartelle e sottocartelle e devo risistemare i permessi, perchè gli stessi admin hanno difficoltà ad accedere in alcune cartelle.

    Secondo me il problema lo avevano già da parecchio, da quando sono migrati a 2008 da 2003, per cui anche se in tutte le cartelle c'è il gruppo administrator, non hanno privilegi elevati per via dell'UAC. Man mano che non riescono ad entrare, danno conferma al messaggio d'avviso e viene automaticamente aggiunto il loro account utente alla cartella...

    Ora, sicuramente con più calma dovrò proporgli uno standard accettabile da seguire, ma senza stravolgere completamente tutto ho comunque bisogno di una strada veloce per aggiungere un domain local group a tutte le sottocartelle senza alterare i tanti blocchi ereditarietà e raggiungendo anche le cartelle in cui ho accesso negato perchè sono concessi privilegi F solo ad administrator e system.

    Tramite GUI si fa davvero lunga e con iCacls ho qualche difficoltà.

    Mi aiutate per favore?

    martedì 31 marzo 2015 14:14

Risposte

  • ok..ma come fai a far passare un gruppo su un albero cartelle a cui è stata bloccata l'ereditarietà? puoi provare con un comando powershell ma secondo me si blocca comunque quando non trova i permessi.

    http://blogs.technet.com/b/heyscriptingguy/archive/2014/11/22/weekend-scripter-use-powershell-to-get-add-and-remove-ntfs-permissions.aspx

    Li non vedo molte soluzioni su una cosa impostata in quel modo:

    1) togli l'ereditarietà dando l'accesso a tutti e poi rimetti i permessi in maniera corretta

    2) ti tieni l'ereditarietà e vai a manina a cambiare i permessi.

    Una via di mezzo non penso esista in questo caso..sul discorso administrators non capisco..quanti amministratori ci saranno in questo dominio? ad ogni modo non ti risolve il problema lo stesso perchè è un utente come gli altri alla fine nell'impostazione che hai tu.

    A.

    martedì 31 marzo 2015 15:46
    Moderatore
    • Fai una lista delle cartelle a coui vuoi dare i permessi e salvala in un file di testo, diciamo Folderlist.txt.
    • Esegui il backup delle ACL perche' non si sa mai :

    for /F %i in (Folderlist.txt) do icacls %i /save %i_acls.bin /t

    • Applica i permessi alle cartelle:

    for /F %i in (Folderlist.txt) do XCACLS %i /T /G NomeGruppo:R;RW /E 

    Chiaramente questo e' un suggerimento e non mi ritengo responsabile del risultato

    REF:

    http://support.microsoft.com/en-us/kb/318754 (qui scarichi anche xcacls)

    https://technet.microsoft.com/en-us/magazine/2007.07.securitywatch.aspx


    You wouldn't demand your Doctor a therapy just because you told him "I don't feel very well"
    You wouldn't expect your accountant to know how much your taxes are just because you told him "I have earned some money"
    Do not expect any IT Pro to suggest you a solution just because you said "It doesn't work"

    martedì 31 marzo 2015 15:46

Tutte le risposte

  • Ciao, scusa me se tu ti piazzi sulla root del disco e nella security gli dai un administrators full control non funziona?

    A.

    martedì 31 marzo 2015 14:20
    Moderatore
  • administrators lo vorrei evitare e vorrei dare accesso ad un banalissimo domain local group con privilegi Full per l'amministratore.

    In ogni caso, se faccio così sulla root, il gruppo,  non si propaga in tutte quelle sottocartelle in cui è stata bloccata l'ereditarietà.

    Se invece intendi abilitare la propagazione disattivando automaticamente il blocco ereditarietà, mi ritroverei di colpo con il gruppo degli utenti abilitati a leggere nella root (tutti gli utenti della sede centrale) propagato nelle cartelle "protette" in cui potevano accedere solo pochi utenti...

    La situazione è più o meno questa:

    Root

    Administrator:Full

    SYSTEM:Full

    Utenti sede:Lettura

    root\Ufficio1

    Administrator:Full

    SYSTEM:Full

    Utenti sede:Lettura

    root\Ufficio1\pubblica

    Administrator:Full

    SYSTEM:Full

    Utenti sede:Lettura

    Ufficio1:Modifica

    root\Ufficio1\privata (blocco ereditarietà)

    Administrator:Full

    SYSTEM:Full

    Ufficio1:Modifica

    root\Ufficio1\privata\eventuale cartella utente (altro blocco ereditarietà)

    Administrator:Full

    SYSTEM:Full

    utente dell'eventuale cartella utente:Modifica

    ...e così via, nel senso che la root contiene tantissime altre cartelle tipo ufficio1

    Spero di avere un po' chiarito

    grazie




    martedì 31 marzo 2015 15:25
  • ok..ma come fai a far passare un gruppo su un albero cartelle a cui è stata bloccata l'ereditarietà? puoi provare con un comando powershell ma secondo me si blocca comunque quando non trova i permessi.

    http://blogs.technet.com/b/heyscriptingguy/archive/2014/11/22/weekend-scripter-use-powershell-to-get-add-and-remove-ntfs-permissions.aspx

    Li non vedo molte soluzioni su una cosa impostata in quel modo:

    1) togli l'ereditarietà dando l'accesso a tutti e poi rimetti i permessi in maniera corretta

    2) ti tieni l'ereditarietà e vai a manina a cambiare i permessi.

    Una via di mezzo non penso esista in questo caso..sul discorso administrators non capisco..quanti amministratori ci saranno in questo dominio? ad ogni modo non ti risolve il problema lo stesso perchè è un utente come gli altri alla fine nell'impostazione che hai tu.

    A.

    martedì 31 marzo 2015 15:46
    Moderatore
    • Fai una lista delle cartelle a coui vuoi dare i permessi e salvala in un file di testo, diciamo Folderlist.txt.
    • Esegui il backup delle ACL perche' non si sa mai :

    for /F %i in (Folderlist.txt) do icacls %i /save %i_acls.bin /t

    • Applica i permessi alle cartelle:

    for /F %i in (Folderlist.txt) do XCACLS %i /T /G NomeGruppo:R;RW /E 

    Chiaramente questo e' un suggerimento e non mi ritengo responsabile del risultato

    REF:

    http://support.microsoft.com/en-us/kb/318754 (qui scarichi anche xcacls)

    https://technet.microsoft.com/en-us/magazine/2007.07.securitywatch.aspx


    You wouldn't demand your Doctor a therapy just because you told him "I don't feel very well"
    You wouldn't expect your accountant to know how much your taxes are just because you told him "I have earned some money"
    Do not expect any IT Pro to suggest you a solution just because you said "It doesn't work"

    martedì 31 marzo 2015 15:46