none
права на папки: неупорядоченныес списки, неудаляемые удаленные юзеры, добавляемые владельцы RRS feed

  • Вопрос

  • я понимаю, вопрос скучный, но все-таки...

    1) с некоторых пор замечаю, что некоторые папки при просмотре вкладки Безопасность говорят, что список неупорядоченный. по запросу упорядочивается и больше не спрашивает. Отчего это возникает? Как исправить на всем диске с деревом в тысячи папок?

    2) многи папки содержат в списке безопасность записи "S-1-5-21-....". это удаленные юзеры. при попытке удалить, сообщается, что права наследуются,хотя на родителе такой строки нет. конечно, можно снять наследование, удалить строку, вернуть наследование...  как сделать на всем огромном диске? хотя бы выпиливать по GUID юзера, удаленных юзерских учететок не так и много.

    3) опять-таки с некоторых пор замечаю, что владельцы файлов добавляются в список безопасности. зачем бы? юзер входит в группу, которой даны права на папку. зачем ему еще персональная строка?

    Заранее благодарю

     

    20 марта 2013 г. 7:46

Ответы

  • 3) опять-таки с некоторых пор замечаю, что владельцы файлов добавляются в список безопасности. зачем бы? юзер входит в группу, которой даны права на папку. зачем ему еще персональная строка?
    Возможно, в правах доступа в какой-то верхней папке поределены не группы, а явно юзеры.

    Скорее всего, в разрешениях пакпи определено разрешение для CREATOR_OWNER (СОЗДАТЕЛЬ_ВЛАДЕЛЕЦ) с областью действия для всех вложеных папок и файлов (по умолчанию такое разрешение для полного доступа определяется для корня диска). При создании файла/папки  вместо CREATOR_OWNER подставляется SID конкретного владельца.

    PS А для смены разрешений на файлы их все равно придется менять отдельно для каждого файла, не важно - сбросом разрешений через GUI, скриптом или еще как. Так что, в данном случае без скрипта вряд ли получится обойтись.

    PPS Для массовой смены разрешений хорошо подходит утилита subinacl из состава Resource Kit Tools для Windows Server 2003 (их можно загрузить с сайта MS). Она, в частности, позволяет удалить из SID из ACL согласно списку этих SID


    Слава России!


    • Изменено M.V.V. _ 20 марта 2013 г. 12:09
    • Помечено в качестве ответа www_tank 27 марта 2013 г. 8:26
    20 марта 2013 г. 12:04

Все ответы

  • 2) многи папки содержат в списке безопасность записи "S-1-5-21-....". это удаленные юзеры. при попытке удалить, сообщается, что права наследуются,хотя на родителе такой строки нет. конечно, можно снять наследование, удалить строку, вернуть наследование...  как сделать на всем огромном диске? хотя бы выпиливать по GUID юзера, удаленных юзерских учететок не так и много.

    Поробуйте принудительно заменить права доступа (не на каждую папку отдельно), а на диск полностью. Есть вероятность, что винодовс подчистит всякий мусор в правах доступа на диске.

     


    • Изменено slot1b 20 марта 2013 г. 8:59
    20 марта 2013 г. 8:57
  • 3) опять-таки с некоторых пор замечаю, что владельцы файлов добавляются в список безопасности. зачем бы? юзер входит в группу, которой даны права на папку. зачем ему еще персональная строка?
    Возможно, в правах доступа в какой-то верхней папке поределены не группы, а явно юзеры.
    20 марта 2013 г. 8:59
  • "Поробуйте принудительно заменить права доступа (не на каждую папку отдельно), а на диск полностью. Есть вероятность, что винодовс подчистит всякий мусор в правах доступа на диске."

    во-первых, на весь диск собьются нужные права. но я даже так делаю:  становлюсь владельцем, сбрасываю владельцев дочерних обектов, сбрасываю права дочерних объектов. и все равно эти записи "сидят". кстати, эти удаленные юзеры когда-то были владельцами объектов при создании файлов/папок

    "Возможно, в правах доступа в какой-то верхней папке поределены не группы, а явно юзеры."

    не назначались так права. более того, получается так: есть папка с правами для группы юзеров, юзер папку открывает, после этого в ACL папки он есть отдельной строкой

    20 марта 2013 г. 10:48
  • 3) опять-таки с некоторых пор замечаю, что владельцы файлов добавляются в список безопасности. зачем бы? юзер входит в группу, которой даны права на папку. зачем ему еще персональная строка?
    Возможно, в правах доступа в какой-то верхней папке поределены не группы, а явно юзеры.

    Скорее всего, в разрешениях пакпи определено разрешение для CREATOR_OWNER (СОЗДАТЕЛЬ_ВЛАДЕЛЕЦ) с областью действия для всех вложеных папок и файлов (по умолчанию такое разрешение для полного доступа определяется для корня диска). При создании файла/папки  вместо CREATOR_OWNER подставляется SID конкретного владельца.

    PS А для смены разрешений на файлы их все равно придется менять отдельно для каждого файла, не важно - сбросом разрешений через GUI, скриптом или еще как. Так что, в данном случае без скрипта вряд ли получится обойтись.

    PPS Для массовой смены разрешений хорошо подходит утилита subinacl из состава Resource Kit Tools для Windows Server 2003 (их можно загрузить с сайта MS). Она, в частности, позволяет удалить из SID из ACL согласно списку этих SID


    Слава России!


    • Изменено M.V.V. _ 20 марта 2013 г. 12:09
    • Помечено в качестве ответа www_tank 27 марта 2013 г. 8:26
    20 марта 2013 г. 12:04
  • Ну и на будущее, следуя скрижалям, никогда не используйте в ACL отдельных пользователей - только группы.

    20 марта 2013 г. 15:47
    Отвечающий
  • собственно я никогда и не использую ACL с учетками юзеров вместо групп.

    по 3) пункту действительно добавляется в ACL владелец, если на родительской папке указан creator_owner. пункт 2 вылезает, если вариант 3) сработал, а потом учетку юзера удалили.

    Короче, creator_owner на папке  - зло!

    В результате трехдневной работы весь мусор выпилен руками. кое-где на родительской папке с рекурсией наследования и сброса ACL всех дочек, кое-где очисткой списка. К сожалению, не найдена причина возникновения несортированных списков ACL

    27 марта 2013 г. 8:31