Managing Permissions from the Command Line

Artikel
08/30/2016

Freak von alle GeschäfteFestlegen von Berechtigungen von der Befehlszeile aus

Greg Shields

Inhalt

Sehr viele Cacls
Verwalten von Berechtigungen über Zeit
Zielsetzung von Berechtigungen

Einen alten Freund und Fellow IT-Experten hat dies verweist besagt, dass ich mich sehr viel kürzlich wiederholte finden.Es bezieht sich auf wie Sie zur Durchführung der Aufgaben in Ihre täglichen Auftrag gehen – und Ihre Karriere.Er sagt mit Finger in der Luft "IT-Fachleute, Ihre Aufgaben über die Befehlszeile lernen nicht, IT-Experten in den nächsten fünf Jahren sein wird nicht."

Abbildung 1 eine Ordnerstruktur Sample File Server

Jetzt ist eine drastische-Anweisung, doch es eine ist jeder IT-Experten sollten Aufmerksamkeit.Unabhängig davon ist, ob Sie eine Jack-of-all-trades oder Sie untersuchen tief in einen bestimmten Schwerpunkt erhalten Ihre Hände deaktivieren, Maus und auf der Tastatur wohl die Zahl eine Fähigkeit master muss, wenn Sie in den kommenden Jahren erfolgreich durchgeführt werden.Warum der Befehlszeile?Einfach gesagt: Effizienz, Repeatability und Garantie.

Wenn Sie eine Technologie über seine grafische Benutzeroberfläche verwalten, evaporates alle Aktion erreicht es effektiv einmal abgeschlossen.Sie können nicht nur Mausklicks wiederverwenden.Im Gegensatz dazu abschließen, über die Command line Aktion – ob über einen Befehl oder ein Skript – können Sie Ihre Arbeit immer wieder verwenden.

Dies ist nirgends mehr offensichtlich als mit festlegen und Verwalten von Windows-Datei System Berechtigungen, eine Aufgabe wir immer tun.Wir legen Perms für Dateien und Ordner.Wir aktualisieren und Verwalten von unserer Freigabe Berechtigungen.Wir möglicherweise Berechtigungen-Objekt in der Registrierung von Zeit zu Zeit selbst aktualisieren.Alle diese sind Aktionen, die über den Explorer oder Regedit grafischen Benutzeroberflächen durchgeführt werden können.Aber mit diesen Schnittstellen mühsam, fehleranfällig und auf Ihre Handgelenke schwierig ist.Wenn Sie jemals die meisten der Art und Weise, wie durch eine Änderung lange Berechtigungen nur, damit-Crash gelangt sind auf eine beliebige Stelle in der Mitte mit "Zugriff verweigert", Sie kennen diese Schwierigkeiten.

Änderungen, die Berechtigungen über die Benutzeroberfläche sind besonders problematisch, die einfach Anzahl von Akteuren in wiedergeben.Die kleine Umgebung möglicherweise Tausende von einzelnen Ordnern und Hunderten von Benutzern, die mehrere Berechtigungen zugewiesen aufweisen können.Verwalten die enorme Anzahl der möglichen Konfigurationen, die entstehen können, ist keine einfache Aufgabe.Und wenn Sie die Arbeitslast gemeinsam mit mehr als einen Administrator verwenden, Sie können werden sicher, dass Dinge sehr zweite ändern Sie schließlich perfect Perms auf einer komplexen Ordnerstruktur.

Die Möglichkeit, um diese Probleme ist selbst einen commit Datei System Berechtigungen von der Befehlszeile aus verwalten.Durch Ihre Hand Deaktivieren der Maus und einige Aufwand in Kenntnis eine Reihe von Tools zu investieren, müssen Sie eine effizientere Lösung belohnt, die unendlich wiederholbare mit vollständige Sicherungslevel Erfolg ist.

Sehr viele Cacls

Das erste Tool, dem wir betrachten müssen, ist "Ändern von Zugriffssteuerungslisten" oder Cacls ein Befehlszeilentool, das einen langen und fruitful Verlauf mit der Windows-Betriebssystem war.Die ursprünglichen Cacls im Lieferumfang von Windows NT 4.0 und aktiviert einen Satz von grundlegenden Funktionen zum Ändern von Berechtigungen an die Command line jedoch in was Sie erreichen konnte eingeschränkt wurde.Um diese Einschränkungen zu beheben, veröffentlichte Microsoft später eine erweiterte Xcacls im Windows NT Resource Kit.Später noch ein nicht unterstützter xcacls.vbs veröffentlicht wurde, die weitere Möglichkeit ging jedoch hinsichtlich der Leistung rückwärts.

Die neueste und umfassende Version Icacls, im Lieferumfang von Windows Vista und Windows Server 2008 und kann für Windows XP und Windows Server 2003 unter heruntergeladen werdenSupport.Microsoft.com/kb/919240. Icacls enthält viel von hinzugefügten Funktionalität, die in das experimentelle VBScript jedoch als eine erheblich schnellere EXE eintrifft.Icacls fügt auch Unterstützung für Windows Integritätsebenen, eine sekundäre Ebene der Zugriffssteuerung, die in diesem Artikel besprochen wird nicht verwalten.

Angenommen, Sie für die Verwaltung von Berechtigungen auf einem Dateiserver mit einer Ordnerstruktur in der in Abbildung 1 verantwortlich sind.Es sehen Sie einen Stammordner mit dem Namen freigegeben, die die Finanzabteilung enthält und Marketing Unterordner enthält zusätzliche Unterordner.Sie werden auch bemerken, dass die Ordner konfiguriert sind, so dass zunehmend kleinere Gruppen von Personen auf niedrigerer Ebene Freigaben zugreifen können.Beispielsweise Finance Users können Informationen im Ordner "Budget" lesen, aber nur Budget Benutzer schreiben können.Ein eingeschränkter Ordner besteht auch im unteren Bereich, der kein ausgenommen jener mit eingeschränkter Zugriff finden Sie unter sein sollte.Dies ist eine gemeinsame Struktur auf viele Dateiservern heute.

Sie können Icacls Berechtigungen wie in Figure 1 festlegen, jedoch genau wie Sie dies tun, ist nicht sofort offensichtlich.Angegebenen Berechtigungen für nur der Metrics-Ordner festlegen möchten, würden Sie die folgende Syntax verwenden:

icacls C:\Shared\Finance\Metrics /grant:r "Finance Users":(OI)(CI)M /grant:r "Metrics Users":(OI)(CI)M

Leider verfügt über hervorragende Leistung große Komplexität. Wie Sie sehen können, Icacls' Syntax kann sehr impenetrable mindestens bis Sie verstehen, Funktionsweise von Windows-Berechtigungen. Denken Sie daran, dass eine einzelne Berechtigung zu einem einzelnen Ordner-Objekt oder das Objekt und seine Unterordner und Dateien angewendet werden kann. Dies ist das Konzept der Vererbung. Wenn Sie einfache die Berechtigung Ändern in der Explorer-Benutzeroberfläche auf einen Ordner, wie in Abbildung 2 anwenden werden Sie tatsächlich auf den Ordner sowie alle Unterordner und Dateien anwenden.

Abbildung 2 einfache Berechtigungen automatisch anwenden legt Vererbung für Unterordner und Dateien.

In der obigen Befehlszeile können Sie sehen, dass für jede Gruppe die M für ändern nach stammt (OI)(CI), die für "Objekt erben" und "Container erben" bzw.. Beide sind erforderlich, wenn Icacls Zuweisen der einfache Berechtigung ändern. Sie werden auch bemerken, ": R" wird nach dem Schalter/GRANT hinzugefügt. Dieser Modifizierer weist Icacls, löschen Sie alle direkt angewendeten Berechtigungen für das Objekt, bevor Sie die Berechtigungen, die Sie in den Command line festlegen hinzufügen.

Komplexe sind Ja, aber Windows Berechtigungen komplexer. Bedenken Sie, dass das Endziel, wieder verwendbaren Befehle – tatsächlich machen Dinge viel einfacher.

Um das Beispiel fortzufahren, wird nun der gesamte Satz von Icacls Befehlszeilen zum Zurücksetzen und ordnungsgemäß für die Finance-Ordnerstruktur sowie deren Stamm gelten genannten Berechtigungen durchlaufen:

Icacls C:\Shared /inheritance:r /grant:r "Domain Users":(OI)(CI)R /grant:r 
   "File Admins":(OI)(CI)F

Icacls C:\Shared\Finance /inheritance:r /grant:r "Finance Users":(OI)(CI)R /grant:r 
   "File Admins":(OI)(CI)F

Icacls C:\Shared\Finance\Budget /grant:r "Budget Users":(OI)(CI)M
Icacls C:\Shared\Finance\Metrics /grant:r "Metrics Users":(OI)(CI)M

Die erste Zeile führt tatsächlich zwei Aufgaben.Er beginnt mit dem "/ Vererbung: R" wechseln Sie zu alle geerbte Berechtigungen vollständig aus dem Ordner oben zu entfernen, so dass der freigegebenen Ordner erben nicht.Dies hebt die freigegebener Ordner Vererbung aus dem Ordner direkt über.Sobald dies geschehen ist, wird die Berechtigung Lesen für Domänenbenutzer und die Berechtigung Vollzugriff für Datei-Administratoren festgelegt.

Da wir Domänenbenutzer zum Zugriff auf den Ordner Finance überhaupt nicht, Zeilenumbrüche zwei, und die Vererbung Berechtigungen wieder löscht.Anschließend wird die Berechtigung Vollzugriff zu Datei-Admins und die Leseberechtigung für Finance Users angewendet.

Mit Zeilen 3 und 4, wir möchten nicht die Vererbung Berechtigungen Statusmasken, da Gruppen Finance Users und den Datei-Administratoren den gleichen Zugriff auf diese Unterordner haben sollen.In diese zwei Zeilen sind wir einfach eine andere Berechtigung erteilt, zusätzlich zu den vorhandenen geerbten Berechtigungen – damit das Budget-Benutzer und Metriken Benutzer auf diese Ordner schreiben kann.

Festlegen von Berechtigungen für den Ordner Marketing unterscheidet.Wir verwenden den gleichen Berechtigungen Fluss für den Ordner Product, wir haben für die Unterordner unter Finanzen, jedoch der eingeschränkte Ordner werden etwas anders behandelt.Angenommen, dass Ordner extrem geheime Dokumente enthält, die nur angezeigt werden soll einen sehr wenige Personen.Der erste Gedanke, "A-ha! möglicherweiseHier verwenden ich Verweigern Berechtigungen um zu der falschen verhindern den Zugriff auf diesen Ordner!"

Aber bedenken, dass DENY Berechtigungen tatsächlich viel zu leistungsfähigen eine Einstellung für die meisten Situationen ist, wie überschreibt es automatisch alle anderen Berechtigungen.Deshalb der Gruppe Marketing Benutzer für diesen Ordner die Berechtigung verweigern hinzufügen bedeutet, dass jede eingeschränkte fahren Sie auch Benutzer Marketing sind Benutzer aus.Hier eine besser geeignete Lösung besteht darin erneut die Vererbung aufheben und einfach alle Berechtigungen für die Marketing Users-Gruppe entfernen.Daher sind die drei Icacls Befehlszeilen erforderlich zum Festlegen die Berechtigungen für diese Struktur

Icacls C:\Shared\Marketing /inheritance:r /grant:r 
  "Finance Users":(OI)(CI)R /grant:r "File Admins":(OI)(CI)F

Icacls C:\Shared\Marketing\Product /grant:r "Product Users":(OI)(CI)M

Icacls C:\Shared\Marketing\Restricted /inheritance:r /grant:r 
   "File Admins":(OI)(CI)F /grant:r "Restricted Users":(OI)(CI)M

Verwalten von Berechtigungen über Zeit

So dauert sieben Linien an der Eingabeaufforderung Berechtigungen auf diese einfachen Ordner-Struktur festlegen. Scheint eine Menge Arbeit erledigen relativ wenig, aber berücksichtigen Ihrer IT-Umgebung und Dinge wie Lauf der Zeit ändern. Wie oft haben Sie eine Ordnerstruktur, nur um einige unerfahrene anderen Administrator Änderungen vornehmen, während Ihrer Abwesenheit konfiguriert? Wie oft hat das Helpdesk auf einen Telefonanruf geantwortet, durch Blind Ihre Berechtigungen exquisitely entworfene Struktur an die Whim eines Benutzers ändern? Dies sind allgemeine Probleme, die besonders schwierig sind, wenn Ihre Umgebung zu viele Personen mit viel Zugriff hat. Wenn Sie die Maus und der Windows-Benutzeroberfläche, verwenden um diese Ordner gerade beizubehalten, können Sie für lange abends Änderungen nachverfolgen.

Lassen Sie mich Ihnen eine viel bessere Lösung anbieten. Wenn Sie die Codierung vorab der Berechtigungen-Struktur in einer Befehlszeilentool wie Icacls zusätzliche Zeit aufwenden, umfasst die erneute Anwendung der Struktur auf etwas mehr als eine Batchdatei doppelklicken. Sobald Sie Zeilen wie die sieben oben erstellt haben, bewahren Sie Sie um für die spätere Verwendung. Sie werden feststellen, dass es leicht Ihre Berechtigungen Struktur wieder in den vorgesehenen Zustand wiederherstellen, indem einfach die Zeilen erneut aufrufen wird.

Wenn integrierte Automatisierung mehr Ihre Formatvorlage ist, ermöglicht Icacls auch speichern und erneut Berechtigungen. Sie haben einmal Ihre entspricht der sieben Zeilen oben, führen Sie diesen Befehl angewendet:

icacls C:\Shared /save {fileName} /T

Icacls analysieren die Struktur Berechtigungen für C:\Shared und erstellen Sie die Datei in {FileName} identifiziert.Wie Sie in Abbildung 3 sehen können der Inhalt dieser Datei ist in einem binären Format und die Datei sollte daher nicht in einem Texteditor wie Editor geöffnet werden.Diese Datei als können Sie jedoch die Berechtigungen zu einem späteren Zeitpunkt erneut.Die Befehlssyntax erneut anwenden, die Berechtigungen in denselben Ordner ist

Abbildung 3 ’ Icacls speichern Funktion erstellt eine Datei, die Berechtigungen an einer später erneut Time.

icacls C:\Shared /restore {fileName}

Mit dieser Option müssen Sie eine leicht bereitzustellende Lösung für Berechtigungen zu beheben, wenn Sie aus Ihren ursprünglichen Entwurf deviated haben.

Zielsetzung von Berechtigungen

Wie Sie gesehen haben, ist Icacls sehr nützlich für das Einrichten und Verwalten von Berechtigungen. Was nicht so sich hervorragend zum ist, wird die Struktur Berechtigungen finden Sie unter zulassen. Wenn Sie selbst durchlaufen Sie die Ordner-Struktur gefunden haben, wissen mit der rechten Maustaste jeden Ordner und Eigenschaften, Registerkarte Sicherheit des Objekts überprüfen auswählen Sie welche ein, die Schwierigkeiten. Icacls hat einen Mechanismus zum Anzeigen von Berechtigungen, jedoch das Tool ist, Text-basierte und nicht vollständig nutzen. Wenn Sie den Befehl ausführen

icacls C:\Shared /t

Icacls wird die Berechtigungen für jedes Objekt in die gesamte Ordnerstruktur angezeigt; ist jedoch ansehen Screenfuls von Text durch fliegen keine Möglichkeit, eine fehlerhafte Perm suchen.

Eine weit bessere Idee besteht darin, die kostenlosen download AccessEnum-tool. AccessEnum ist eine sehr einfache Anwendung, die Sie darstellen, die Berechtigungen, die einer bestimmten Ordnerstruktur zugewiesen. Wenn Sie in einem Ordner der obersten Ebene eine Ordnerstruktur AccessEnum zielgerichtet, scannt in das Tool insbesondere die Dateien und Ordner unter sowie Berichte zurück, in dem Berechtigungen des übergeordneten Objekts unterscheiden.

Dieser Unterschied-basierte Ansicht der Berechtigungen können Sie suchen, in dem Berechtigungen falsch konfiguriert wurde haben. Es funktioniert wegen der natürliche Art in der Berechtigungen in einer Ordnerstruktur festgelegt werden. Wenn Sie Abbildung 1 ansehen, sehen Sie wie gut entworfene lesen Berechtigungen normalerweise fließen nach unten von der obersten Ebene. Ändern Sie Berechtigungen werden auf bestimmten Ebenen nach unten die Struktur festgelegt, wie Benutzer aus Leser, Teilnehmer ändern. AccessEnum des Differenz-basierte Ansicht unterstützt dies durch Ausblenden von Berechtigungen, die nicht geändert und Offenlegen diejenigen, die. Abbildung 4 zeigt ein Beispiel, wie des AccessEnum Ansicht aussehen könnte, wenn auf diese Spalte Beispiel Ordner-Struktur angewendet.

Abbildung 4 AccessEnum unterstützt mit visualisieren der Struktur Berechtigungen.

Das Ergebnis der Verwendung von Icacls und AccessEnum sollte eine weitere zusammenhängenden Anwendung des Berechtigungen innerhalb Ihrer Dateiserver sein. Ein weiterer Ergebnis werden einem größeren Maß an Datensicherheit, wie Sie Ihren Benutzern nur die Dateien und Ordner, die für Sie Sinn zuzugreifen können sicher sein werden.

Diese Kurzbeschreibung berührt nur die Oberfläche des Windows-Berechtigungen und wie Sie angewendet werden können. Mithilfe von Tools wie Icacls können Sie festlegen Berechtigungen für nur einen Ordner mit keine Vererbung auf die Ordner unter geltenden nützlich, wo Sie Zugriff auf eine einzelne Ebene nur zulassen möchten. Sie können Integritätsebenen für Daten festlegen, die spezielle Behandlung unabhängig davon, welche discretionary Steuerelemente erfordert Sie darauf anwenden. Sie können sogar über die gesamte Strukturen bei Bedarf für Dateien und Berechtigungen durchsuchen. So erhalten Sie Ihre Hände deaktivieren, Maus, und starten Sie Architektur aus der Command line Berechtigungen.

Greg Shields , MVP, ist ein Partner am Concentrated Technology. Optimierung von Greg des Jack-of-all-Trades Tipps und Tricks an www.ConcentratedTech.com.

Zusätzliche Ressourcen