Чување и обнављање НТФС дозвола помоћу ИЦАЦЛС-а

Управљање дозволама НТФС на мапама датотека на серверима понекад може бити мучан задатак. Безбрижне промене на горњем (роот) нивоу директорија могу довести до неочекиваних резултата када се појединачна допуштења за датотеке и директоријуме нижег нивоа принудно измене. Пре значајне промене дозвола (преношење, ажурирање АЦЛ-ова, миграција ресурса) у НТФС фасцикли (мрежни дељење), препоручљиво је да имате при руци резервну копију старих дозвола, што ће вам омогућити да се вратите на оригинална подешавања или барем разјасните стара права приступа одређеној датотеци или директоријуму.

За извоз / увоз тренутних дозвола НТФС директорија можете користити услужни програм ицацлс, која је укључена у систем Виндовс. Овај услужни програм користи се за добијање и мењање контролних листа приступа (АЦЛ-ова) у системске објекте датотека.

Да бисте добили све АЦЛ-ове за одређену фасциклу и поддиректоријуме и датотеке и сачували их у текстуалну датотеку, требате покренути наредбу

ицацлс г: \ ветеран / саве ветеран_нтфс_пермс.ткт / т / ц
Датотека са дозволама подразумевано се чува у тренутној корисничкој мапи.

Напомена. Прекидач / т означава да требате добити АЦЛ за све подређене поддиректоријуме и датотеке, прекидач / ц омогућава да игноришете грешке у приступу. Додавањем прекидача / к можете онемогућити приказ информација о успешним радњама приликом приступа објектима датотечног система.

У зависности од броја датотека и мапа, процес извоза дозвола може потрајати доста времена. Након завршетка наредбе биће приказане статистике о броју обрађених и прескочених датотека..

3001 датотека успешно је обрађено; Обрада 0 датотека није успјела

Отворите ветеран_нтфс_пермс.ткт датотеку помоћу било којег уређивача текста. Као што видите, садржи потпуну листу мапа и датотека у директоријуму, а за сва тренутна одобрења наведена су у формату СДДЛ (Језик дефиниције сигурносног дескриптора).

На пример, тренутна НТФС дозвола у корену мапе је следећа:

Д: ПАИ (А; ОИЦИ; ФА;; БА) (А; ОИЦИИО; ФА;;; ЦО) (А; ОИЦИ; 0к1200а9 ;;; С-1-5-21-2340243621-32346796122-2349433313-23777994) (А; ОИЦИ; 0к1301бф ;;; С-1-5-21-2340243621-32346796122-2349433313-23777993) (А; ОИЦИ; ФА ;;; СИ) (А; ОИЦИ; ФА ;;; С-1-5 -21-2340243621-32346796122-2349433313-24109193) С: АИ

Ова линија описује приступ за неколико група или корисника. Нећемо детаљно проучавати СДДЛ синтаксу (ако желите, помоћ у вези с тим можете пронаћи на МСДН-у). На пример, анализираћемо мали део СДДЛ-а тако што ћемо одабрати само један предмет:

(А; ОИЦИ; ФА ;;; С-1-5-21-2340243621-32346796122-2349433313-24109193)

А - врста приступа (Дозволи)

Оици - застава насљеђивања (ОБЈЕКАТ ИНХЕРИТ + ИНХЕРИТ КОНТЕЈНЕРА)

ФА - врста дозволе (СДДЛ_ФИЛЕ_АЛЛ - све је дозвољено)

С-1-5-21-2340243621-32346796122-2349433313-24109193 - СИД налога или групе у домену за који су постављена дозвола. Да бисте претворили СИД у име налога или групе, користите наредбу:

$ објСИД = Нев-Објецт Систем.Сецурити.Принципал.СецуритиИдентифиер ("С-1-5-21-2340243621-32346796122-2349433313-24109193")
$ објУсер = $ објСИД.Транслате ([Систем.Сецурити.Принципал.НТАццоунт])
$ објУсер.Валуе

Или наредбе Гет-АДУсер -Идентити СИД или Гет-АДГроуп -Идентити СИД

Тако смо сазнали да је корисник цорп \ двиван имао права потпуне контроле на овај директориј.

Да бисте аутоматски поставили НТФС решења на објекте у овом директорију у складу са вредностима похрањеним у резервној датотеци, покрените наредбу:

ицацлс г: \ / обнови ветеран_нтфс_пермс.ткт / т / ц

Напомена. Имајте на уму да је приликом увоза дозвола из датотеке одређена стаза до родитељске мапе, али не и назив самог директорија.

На крају обнове дозвола биће приказане и статистике о броју обрађених датотека..