none
Восстановление безопасности для папок. RRS feed

  • Вопрос

  • Доброго времени суток Уважаемы коллеги.

    Есть некая задача восстановить на папках в свойствах безопасности и подпапках локальные встроенные группы Administrators.


    Вопрос:

    Может есть некий скрипт который бы вытащил инфу из папок и подпапок и где нет данных групп administrators и system, проставил бы их. Ну и хотя бы для начала посмотреть где данных групп нет. Просто таких папко моного и где то наследования разорваны.

    Я так понимаю дял вытаскивания инфы из папок и подпакпок можно использовать командлет get-childitem c параметром -recurse. Честно говоря с шелом не очень, может есть примерный скриптик ?

    Заранее благодарен!



    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 22 октября 2014 г. 13:23
    11 октября 2014 г. 8:16

Ответы

  • В чем сложность набрать icacls /? и посмотреть справку? - http://technet.microsoft.com/ru-ru/library/cc753525(v=ws.10).aspx

    D - delete access

    WDAC - write DAC

    Ключ /T за это отвечает - Performs the operation on all specified files in the current directory and its subdirectories.

    • Помечено в качестве ответа rеstless 11 октября 2014 г. 19:55
    11 октября 2014 г. 19:01
    Отвечающий
  • Get-WmiObject Win32_Share -Filter "NOT Name LIKE '%$'" | Foreach {
    	 icacls $_.Path /grant "Administrators:(D,WDAC)","System:(D,WDAC)" /T /C  
    }

    Спасибо! Спасибо огромное! Я так понял можно так же и аудит папок вывести,то есть просмотреть какие группы назначены на все пространство папок ? Get-Acl...


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!




    • Изменено rеstless 13 октября 2014 г. 17:34
    • Помечено в качестве ответа rеstless 13 октября 2014 г. 17:34
    12 октября 2014 г. 19:34

Все ответы

  • а нафига доставать то?

    темже субинаклом принудительно добавить админа и систем и все.

    11 октября 2014 г. 12:47
  • а нафига доставать то?

    темже субинаклом принудительно добавить админа и систем и все.

    Я же уже говорил - цитирую что написано выше- Применять наследование принудительно нельзя, потому как доступ пропадет.



    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    11 октября 2014 г. 12:57
  • icacls C:\Folder /grant "Administrators:(D,WDAC)","System:(D,WDAC)" /T /C
    • Изменено KazunEditor 11 октября 2014 г. 14:01
    11 октября 2014 г. 14:01
    Отвечающий
  • icacls C:\Folder /grant "Administrators:(D,WDAC)","System:(D,WDAC)" /T /C

    Добрый день!

    Да есть такая утилита, приходилось как то восстанавливать фалйы виртуалок.

    Немного неясен синтаксис- (D,WDAC)- не подскажите что он делает- собственно разрешения ?

    То есть даже при разорванном наследовании от диска C: ,системные группы просто добавятся в существующие ACL папок и подпапок файловых шар ?

    Я так понял это на конкретную папку, а если у меня их туча ? Можно ка кто автоматизировать с пробегом всех папок и подпапок ? Можно попрбовать перечислить все каталоги в переменной..

    Спасибо! 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!






    • Изменено rеstless 11 октября 2014 г. 14:24
    11 октября 2014 г. 14:09
  • В чем сложность набрать icacls /? и посмотреть справку? - http://technet.microsoft.com/ru-ru/library/cc753525(v=ws.10).aspx

    D - delete access

    WDAC - write DAC

    Ключ /T за это отвечает - Performs the operation on all specified files in the current directory and its subdirectories.

    • Помечено в качестве ответа rеstless 11 октября 2014 г. 19:55
    11 октября 2014 г. 19:01
    Отвечающий
  • Пардон конечно...поспешил с выводом.

    Спасибо .

    Последний вопрос , если можно.А можно сделать ввод не не по одной конкретной папке, а по поиску шар на серваке-допустим если есть параметр шара- то применять к ней данный скрипт ?

    Я так понимаю. тут уже PoSh необходимо задействовать ?

    Еще раз спасибо за помощь! 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    11 октября 2014 г. 19:55
  • Можно и без PowerShell обойтись, парсить вывод net share или wmic path win32_share get path  в bat файле. В PowerShell можно использовать WMI класс Win32_Share и получить путь.

    Get-WmiObject Win32_Share -Filter "NOT Name LIKE '%$'" | Select Name,Path

    11 октября 2014 г. 20:13
    Отвечающий
  • Можно и без PowerShell обойтись, парсить вывод net share или wmic path win32_share get path  в bat файле. В PowerShell можно использовать WMI класс Win32_Share и получить путь.

    Get-WmiObject Win32_Share -Filter "NOT Name LIKE '%$'" | Select Name,Path

    Осталось только вот это 
    et-WmiObject Win32_Share -Filter "NOT Name LIKE '%$'" | Select Name,Path
    вставить на место указателя на папку - icacls C:\Folder /grant "Administrators:(D,WDAC)","System:(D,WDAC)" /T /C  

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    11 октября 2014 г. 20:49
  • Get-WmiObject Win32_Share -Filter "NOT Name LIKE '%$'" | Foreach {
    	 icacls $_.Path /grant "Administrators:(D,WDAC)","System:(D,WDAC)" /T /C  
    }

    12 октября 2014 г. 7:27
    Отвечающий
  • Get-WmiObject Win32_Share -Filter "NOT Name LIKE '%$'" | Foreach {
    	 icacls $_.Path /grant "Administrators:(D,WDAC)","System:(D,WDAC)" /T /C  
    }

    Спасибо! Спасибо огромное! Я так понял можно так же и аудит папок вывести,то есть просмотреть какие группы назначены на все пространство папок ? Get-Acl...


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!




    • Изменено rеstless 13 октября 2014 г. 17:34
    • Помечено в качестве ответа rеstless 13 октября 2014 г. 17:34
    12 октября 2014 г. 19:34