Appassionato di Trades tutti Impostazione delle autorizzazioni dalla riga di comando
Greg Shields
Contenuto
Cacls molto più
Gestione delle autorizzazioni su tempo
Definizione degli obiettivi di autorizzazioni
Un vecchio amico e il fellow professionisti IT dispone di ciò a cui fa riferimento informare che individuare manualmente ripetuta molto recente. Relazione a come si passa sullo svolgimento di attività del processo giornaliero e di carriera. Dice con dito nell'aria, "i professionisti IT che non per imparare a completare le attività dalla riga di comando non essere ai professionisti IT nei prossimi cinque anni."
Nella figura 1 struttura delle cartelle di esempio file server
A questo punto che rappresenta un'istruzione notevole, ma è uno ogni professionista IT deve prestare attenzione. Indipendentemente dal Se siete un jack-of-all-trades o esaminare approfondite in un specifico lo stato attivo durante il recupero le mani, disattivare tale del mouse e la tastiera è probabilmente la competenza di una numero che è necessario master se si abbia esito positivo nei prossimi anni. Perché la riga di comando? In poche parole: efficienza, ripetibilità e garanzia.
Se si gestisce una tecnologia mediante l'interfaccia, qualsiasi azione eseguita in modo efficace è verrà una volta completato. È Impossibile riutilizzare solo clic del mouse. Al contrario, completare tale azione tramite la command line, se tramite un comando o uno script, consente di riutilizzare ripetutamente il lavoro.
Non è più evidente rispetto a con l'impostazione e gestione delle autorizzazioni di sistema nel file di Windows, un'attività viene eseguito tutto il tempo. Impostiamo perms per file e cartelle. È possibile aggiornare e gestire le autorizzazioni di condivisione. Di tanto in tanto, persino potrebbe aggiornare oggetto autorizzazioni nel Registro di sistema. Tutti questi sono azioni che possono essere eseguite tramite Esplora risorse o interfacce grafiche regedit. Ma utilizzare tali interfacce è complessa, soggetta a errori e disco rigido sul wrists. Se è mai stato utilizzato la maggior parte delle quella attraverso una modifica di autorizzazioni lungo, solo per consentire l'arresto anomalo nel in un punto qualsiasi nella parte centrale con "Accesso negato", si conosce questo problematiche.
Le modifiche di autorizzazioni mediante l'interfaccia sono particolarmente problematiche a causa dell'elevato numero di attori in riproduzione. L'ambiente di piccole dimensioni può risultare migliaia di singole cartelle e centinaia di utenti, di cui può avere più di autorizzazioni assegnati. Il numero enorme di configurazioni potenziali che possono risultare di gestione non è attività semplice. E se si condivisa il carico di lavoro con più di un amministratore, è possibile essere certi che le cose cambiano molto secondo infine si perfeziona la perms per una struttura di cartelle complessa.
Il per evitare questi problemi consiste nel confermare manualmente Gestione autorizzazioni di sistema del file dalla riga di comando. Staccare le mani dal mouse e alcune risorse in acquisizione manualmente con un paio di strumenti di investimento, verrà ricompensati con una soluzione più efficiente che è ripetibile all'infinito con controllo completo di successo.
Cacls molto più
Il primo strumento che prenderemo in esame è "elenchi di controllo di modifica accesso" o cacls, uno strumento di riga di comando che ha una cronologia lunga e fruitful con il sistema operativo Windows. Il cacls originale fornito con Windows NT 4.0 e attivato un insieme di funzionalità di base per la modifica autorizzazioni al command line ma è stato limitato è possibile eseguire. Per risolvere queste limitazioni, Microsoft ha rilasciato successivamente un xcacls espanso nel Resource Kit di Windows NT. Successiva ancora un xcacls.vbs non supportato è stato rilasciato che ha cessato ulteriormente con funzionalità ma con le versioni precedenti in termini di prestazioni.
La versione più recente e completa, icacls, fornito con Windows Vista e Windows Server 2008 e può essere scaricata per Windows XP e Windows Server 2003 all'indirizzo support.microsoft.com/kb/919240. Icacls include molte delle funzionalità aggiunte in VBScript sperimentale ma arriva come un file EXE notevolmente più veloce. Icacls aggiunge anche il supporto per la gestione di livelli di integrità di Windows, un livello secondario di controllo di accesso che è non illustrate in questo articolo.
Si supponga che si è responsabili della gestione autorizzazioni in un file server con una struttura di cartelle simili a quello della Figura 1 . Vi si noterà una cartella principale denominata condivisione che contiene l'amministrazione e le sottocartelle di marketing, che contiene le sottocartelle di ulteriori. Si noterà che le cartelle siano configurate in modo che sempre più gruppi di utenti possano accedere alle condivisioni di livello inferiore. Ad esempio, se si utenti Finanza possibile leggere informazioni nella cartella budget, ma la solo utenti budget accessibile in scrittura. È presente nella parte inferiore che non dovrebbero essere in grado visualizzare ad eccezione di quelli con accesso limitato anche una cartella con restrizioni. Questa è una struttura comune su più file server.
È possibile utilizzare icacls per impostare autorizzazioni simili a quelli in Figure 1 , ma esattamente come eseguire questa operazione non è immediatamente evidente. Per impostare le autorizzazioni indicati per la cartella di metrica, è necessario utilizzare la sintassi seguente:
icacls C:\Shared\Finance\Metrics /grant:r "Finance Users":(OI)(CI)M /grant:r "Metrics Users":(OI)(CI)M
Sfortunatamente, con notevole risparmio di energia è grande complessità. Come si può vedere, sintassi degli icacls possono essere piuttosto impenetrabile, almeno fino a quando non comprendere il funzionano di autorizzazioni di Windows. Tenere presente che un'autorizzazione di singola può essere applicata a un oggetto singola cartella o all'oggetto e le sottocartelle e file. Questo è il concetto di ereditarietà. Quando si applica il semplice autorizzazione di modifica all'interno delle cartelle GUI a una cartella, come nella Figura 2 , si sono effettivamente applicarla a tale cartella, nonché tutte le sottocartelle e file.
Nella figura 2 applicazione autorizzazioni semplice automaticamente imposta l'ereditarietà per le sottocartelle e file.
Nella riga di comando precedente, è possibile visualizzare che per ogni gruppo, M per la modifica viene dopo (OI)(CI), che indicano "oggetto eredita" e "contenitore ereditano" rispettivamente. Entrambi questi sono necessarie se si desidera icacls per applicare il semplice modificare autorizzazioni. Si noterà inoltre che ": r" viene aggiunto dopo il parametro /grant. Questo modificatore indica icacls cancellare qualsiasi applicati direttamente autorizzazioni sull'oggetto prima di aggiungere le autorizzazioni che è impostare il command line.
Complessa, Sì, ma Windows autorizzazioni sono complesse. Tenere presente che lo scopo finale: comandi riutilizzabili, verrà effettivamente rendere le cose molto più semplice.
Per continuare l'esempio, è opportuno scorrere l'intero set di righe di comando icacls che si utilizzerà per reimpostare e applicare correttamente le autorizzazioni dichiarati la struttura di amministrazione cartelle così come radice:
Icacls C:\Shared /inheritance:r /grant:r "Domain Users":(OI)(CI)R /grant:r
"File Admins":(OI)(CI)F
Icacls C:\Shared\Finance /inheritance:r /grant:r "Finance Users":(OI)(CI)R /grant:r
"File Admins":(OI)(CI)F
Icacls C:\Shared\Finance\Budget /grant:r "Budget Users":(OI)(CI)M
Icacls C:\Shared\Finance\Metrics /grant:r "Metrics Users":(OI)(CI)M
La prima riga esegue due operazioni. Inizia con la "/ ereditarietà: r" opzione per rimuovere completamente ereditati tutte le autorizzazioni dalla cartella sopra in modo che non eredita la cartella condivisa. Questo interrompe l'ereditarietà della cartella condivisa dalla cartella immediatamente superiore. Una volta eseguita questa operazione, l'autorizzazione di lettura per è impostata per Domain Users e l'autorizzazione Controllo completo per amministratori di file.
Poiché non è Domain Users poter accedere affatto alla cartella Finanza, riga due interruzioni e Cancella nuovamente l'ereditarietà delle autorizzazioni. Viene quindi applicata l'autorizzazione Controllo completo per amministratori di file e l'autorizzazione di lettura agli utenti di contabilità.
Con le righe 3 e 4, non si desidera interrompere l'ereditarietà di autorizzazioni poiché sia i File Admins e i gruppi di utenti di contabilità deve essere lo stesso tipo di accesso queste sottocartelle. Queste due righe, si è semplicemente concessione dell'autorizzazione un altro, oltre a esistente ereditate autorizzazioni, in modo che utenti di budget e di metrica utenti possono scrivere queste cartelle.
Impostazione di autorizzazioni per la cartella di marketing è leggermente diverso. Utilizziamo stesso flusso di autorizzazioni per la cartella di prodotto come abbiamo fatto per le sottocartelle in Contabilità, ma la cartella con restrizioni verrà considerata in modo leggermente diverso. Supponga tale cartella contiene documenti altamente segreti devono essere visualizzati solo da un pochi utenti. Primo pensiero potrebbe essere, "A-ha! In questo caso, si utilizzerà le autorizzazioni Nega per impedire l'errato l'accesso a questa cartella!"
Tenendo presente che le autorizzazioni Nega è effettivamente troppo potente un'impostazione per la maggior parte delle situazioni come esegue automaticamente l'override ogni altre autorizzazioni. Di conseguenza, aggiungere l'autorizzazione Nega al gruppo utenti marketing per questa cartella significa che qualsiasi con restrizioni gli utenti che sono anche marketing utenti potrebbero arrestare il sistema. Una soluzione più appropriata in qui consiste nell'interrompere l'ereditarietà nuovamente e semplicemente di eliminare tutte le autorizzazioni per il gruppo Marketing Users. Pertanto, le tre righe di comando icacls necessaria per impostare le autorizzazioni per questa struttura sono
Icacls C:\Shared\Marketing /inheritance:r /grant:r
"Finance Users":(OI)(CI)R /grant:r "File Admins":(OI)(CI)F
Icacls C:\Shared\Marketing\Product /grant:r "Product Users":(OI)(CI)M
Icacls C:\Shared\Marketing\Restricted /inheritance:r /grant:r
"File Admins":(OI)(CI)F /grant:r "Restricted Users":(OI)(CI)M
Gestione delle autorizzazioni su tempo
Richiede pertanto sette righe al prompt dei comandi per impostare autorizzazioni per la struttura semplice. Che sembra numerose operazioni da effettuare relativamente poco, ma considerare l'ambiente IT e come elementi variano nel tempo. Numero di volte in cui sono state configurate una struttura di cartelle, solo per alcuni amministratore altri inesperto, apportare modifiche mentre si è assenti? Quante volte ha l'help desk risposto a una chiamata telefonica, ciecamente modificando la struttura di autorizzazioni exquisitely progettato nel whim di un utente? Si tratta di problemi comuni che sono particolarmente difficile, se l'ambiente è un numero eccessivo di utenti con una quantità eccessiva accesso. Se si utilizza il mouse e la GUI di Windows per mantenere la retta di tutte queste cartelle, è possibile per individuare le modifiche di sera lungo.
Consenti consentono una più soluzione migliore. Se si dedicare il tempo codifica anticipatamente la struttura di autorizzazioni in uno strumento di riga di comando come icacls, applicare tale struttura implica facendo doppio clic poco più di su un batch file. Una volta che è stato modificato righe come il precedente sette, mantenerli intorno per un utilizzo successivo. Troverete che diventa semplice per ripristinare la struttura di autorizzazioni allo stato previsto richiamando semplicemente le righe nuovamente.
Nel caso di più lo stile automazione incorporate, icacls consente inoltre di memorizzare e riapplicare autorizzazioni. Una volta applicato l'equivalente di sette righe precedenti, eseguire questo comando:
icacls C:\Shared /save {fileName} /T
Icacls verrà analizzare la struttura di autorizzazioni per C:\Shared e verrà creato il file identificato in {fileName}. Come si può vedere nella Figura 3 , il contenuto di questo file è in formato binario e, di conseguenza, il file non dovrà essere aperti in un editor di testo come blocco note. Tuttavia, è possibile utilizzare questo file per riapplicare le autorizzazioni in un secondo momento. La sintassi del comando per riapplicare le autorizzazioni nella stessa cartella è
Figura 3 ’ Icacls funzione crea una salvare un file che può essere riapplica di autorizzazioni a un in seguito Time.
icacls C:\Shared /restore {fileName}
In questo modo, si dispone di una soluzione per distribuire per la correzione autorizzazioni quando sono state deviato dalla struttura originale.
Definizione degli obiettivi di autorizzazioni
Come si è visto, icacls è molto utile per l'impostazione e gestione autorizzazioni. Cosa non è così grande a è consentiranno di vedere la struttura di autorizzazioni. Se è stato trovato manualmente scorrere verso il basso la struttura di cartelle, ogni cartella facendo clic con il pulsante destro del mouse e quindi scegliere Proprietà per controllare la scheda Protezione di ciascun oggetto, si saprà quali un problematiche che è. Icacls dispone di un meccanismo per la visualizzazione di autorizzazioni, ma un strumento basato su testo e non completamente utile. Se si esegue il comando
icacls C:\Shared /t
icacls elencherà le autorizzazioni su ciascun oggetto della struttura dell'intera cartella; tuttavia, il controllo screenfuls del testo a entrata da non è la consente di trovare un perm interrotto.
Una idea molto meglio è per scaricare il libero Strumento AccessEnum. AccessEnum è un'applicazione molto semplice che consente di visualizzare le autorizzazioni assegnati a una struttura di cartella specifica. In particolare, si imposta AccessEnum a una cartella principale in una struttura di cartelle, lo strumento di scansione di file e cartelle sotto e nuovo report in cui autorizzazioni risultano differenti dall'oggetto padre.
Questa visualizzazione basata su differenza di autorizzazioni consente di trovare in cui sono stato non configurato correttamente autorizzazioni. Funziona causa del modo naturale in cui le autorizzazioni sono impostati in una struttura di cartella. Se si esamina nuovamente Figura 1 , si vedrà come ben progettato Lettura autorizzazioni in genere flusso verso il basso rispetto al livello superiore. Modificare autorizzazioni sono impostati in specifici livelli verso il basso la struttura è modificare da lettori ai collaboratori. Visualizzazione del AccessEnum differenza supporta tale nascondendo autorizzazioni che non cambiano e esponendo solo quelli che eseguono. nella figura 4 viene illustrato un esempio dell'aspetto potrebbe visualizzazione della AccessEnum quando applicato a struttura di cartelle esempio di questa colonna.
Nella figura 4 AccessEnum contribuisce con la visualizzazione della struttura di autorizzazioni.
Il risultato netto dell'utilizzo di icacls e AccessEnum sarà un'applicazione più coerente di autorizzazioni all'interno di file server. Un ulteriore risultato sarà un maggiore livello di protezione dei dati, come si verrà essere garantita che gli utenti possono accedere solo i file e le cartelle senso per essi di.
Questa descrizione breve tocchi solo la superficie di autorizzazioni di Windows e la modalità di applicazione. Mediante strumenti come icacls, è possibile impostare autorizzazioni applicabili a una sola cartella con ereditarietà per le cartelle riportate di seguito, utile in cui si desidera consentire accesso a un solo livello. È possibile impostare i livelli di integrità per i dati che richiede una gestione speciale indipendentemente da quali controlli discrezionale applicare a tale. È possibile anche cercare file e autorizzazioni in strutture intera quando necessario. Pertanto ottenere le mani disattivare tale del mouse e avviare la architettura autorizzazioni dal command line.
Greg Shields , MVP, è un partner presso incentrati Technology. Ottenere più di Greg Jack-of-all-Trades suggerimenti e trucchi a www.ConcentratedTech.com.