none
Результирующая сводка по Share и NTFS пермишнам RRS feed

  • Вопрос

  • Дано некоторое количество шар, нужно получить чтото типа 2х отчетов:
    список юзеров имеющих права только read на эту шару и пользователи имеющие read\write и выше.
    NTFS пермишны интересуют только навешенные на конкретно эту папку (наследованные или назначенные), то что находится ниже по дереву каталогов, не важно.


    Вопросы.
    а) не изобретаю ли я велосипед? (гуглил, но подобных утилок не нашел)
    б) есть ли что нибудь готовое, что можно допилить напильником.
    в) Идеи или советы как лучше всего написать данный скрипт.

    Мои мысли по этому поводу:

    1) Получить список пользователей\групп с правами к шарам и такой же список юзеров\групп с нтфс пермишнами условно приведенные к типам:  разрешено R\W и выше, разрешено только READ и около того,  запрет WRITE, запрет READ и около того (деление условное, более точно должно быть допилено на месте по хотелкам начальства)

    2) Разложить группы из обоих списков на пользователей (тут открывается море возможностей по оптимизации, например раскрывать everyone смысла нет и т.п.) и привести оба списка к конкретным уникальным пользователям с конечными "наиболее сильными" правами и или если прав нет то убрать юзеров из списка (то есть, на примере шар, если юзер вася_пупкин имеет явный фул контрол, также состоит в 3х группах имеющих права только на рид то оставить только одно упоминание васи как юзера имеющего права на R\W и выше; в случае если вася также затесался в группу имеющих явный запрет на чтение то вообще удалить васю из списка)

    3) По аналогии с предыдущим пунктом сравнить 2 списка, выбрать минимальное из обеих групп и получить 2 списка: просто "читателей" и "читателей\писателей"
    --------
    В идеале учетки юзеров\групп могут быть как локальные для каждого сервака где расположены шары, так и доменные или трастованные с других доменов.
    Для простоты можно предположить что в правах и разрешениях фигурируют только доменные учетки.
    Бьюсь с данной проблемой уже давно, первая порция отчета была сделана "ручками", но быть И.О. скрипта очень напряжно :)

    З.Ы. пожалуйста не предлагайте переделать структуру файлов и доступа "по уму"... 
    Заранее спасибо.
    5 октября 2009 г. 17:03

Все ответы

  • Вот тут есть указания на то, как получить ACL для шар и папок http://social.technet.microsoft.com/Forums/en-US/ITCG/thread/64cabd85-7170-4678-96b5-2c516cc3b772.
    Вам остается самая малость: проанализировать и сформировать отчет. :)
    5 октября 2009 г. 17:31
  • В свое время, нужно было то же что и Вам, (да и сейчас переодически требуется).
    Написал небольшую програмулину (я тогда еще не придавал скриптам большого значения и старался писать небольшие программки под конкретные задачи).
    Если интересно - могу выложить....
    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    6 октября 2009 г. 5:26
  • Вот тут есть указания на то, как получить ACL для шар и папок http://social.technet.microsoft.com/Forums/en-US/ITCG/thread/64cabd85-7170-4678-96b5-2c516cc3b772 .
    Вам остается самая малость: проанализировать и сформировать отчет. :)
    ну вот самая малость и вызывает наибольшие трудности :)
    получить ацлы в общем то можно и без скриптов... в частности незнаю с какого боку подойти к оптимизации пребора и сравнения членства групп...
    писать простую бетономешалку без оптимизации не тру вей, т.к. пользователей и шар очень много...
    >>Если интересно - могу выложить....
    было бы не плохо, а исходников не осталось?
    6 октября 2009 г. 6:15
  • было бы не плохо, а исходников не осталось?
    http://www.itcommunity.ru/blogs/sysadminnest/archive/2009/10/06/79067.aspx
    Исходников, к сожалению найти не могу...

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    • Предложено в качестве ответа Vasily GusevModerator 14 октября 2009 г. 9:26
    6 октября 2009 г. 7:59