• [アーティクル]

すべての取引の geek コマンドラインからのアクセス許可を設定

Greg Shields

内容

非常に多くの Cacls
期間のアクセス許可を管理します。
構想のアクセス許可

古い友人や同僚 IT プロフェッショナルは最近、はるかに繰り返し自分を検索することを示すに示されるこのをあります。 について毎日、ジョブ内のタスクの達成を移動する方法との関係) と、キャリア。 空気の中で指をで「IT 技術者は、コマンドラインからタスクを完了しない方法について説明できません IT プロフェッショナルは、次の 5 年間で」という彼

fig01.gif

図 1 、サンプル ファイル サーバーのフォルダー構造

今、劇的なステートメントが 1 つはすべて IT プロフェッショナルに注意する必要があります。 問題を jack-of-all-trades しているかを詳しく深さ、特定のフォーカスをそのマウス オフし、キーボードには、手を取得するかありませんおそらく、番号 1 つのスキルが今後年で成功する場合にマスターする必要があります。 なぜ、コマンド ラインでしょうか。 簡単に言えば: 効率、repeatability、および保証します。

その GUI を通じて、テクノロジを管理する場合が効果的に実現任意の操作は 1 回完了を evaporates します。 再だけできない利用するマウス クリックします。 対照的に、コマンドラインでこの操作を完了 — コマンドまたはスクリプトを通じてかどうか、作品を繰り返し再利用することができます。

ないはこの設定と Windows ファイル システムの権限、すべての時間はタスクを管理するとよりもより明らかです。 ファイルとフォルダーに perms を設定しました お更新し、共有権限を管理します。 ときどき、レジストリでオブジェクトのアクセス許可も更新おがあります。 これらのすべては操作のエクスプローラーまたはレジストリ エディターのグラフィカル インターフェイスで実行できることです。 面倒なエラーが発生しやすい、手首にハードはこれらのインターフェイスを使用してます。 だけに、クラッシュ、長いアクセス許可の変更によってのほとんどを取得することした場合この痛みをわかってアクセスは拒否されました"という、中央で任意の場所に、します。

GUI からのアクセス許可の変更は再生中のアクターの本当数のために特に問題があります。 数千の個々 のフォルダーと何百も割り当てられている複数のアクセス許可するは、ユーザーの場合、小規模の環境があります。 可能性のある潜在的な構成の膨大な数を管理する簡単な作業はありません。 1 つ以上の管理者と、作業負荷を共有するを確認できます点は、非常に 2 番目に変更して、複雑なフォルダー構造に perms を最後に完成します。

これらの問題の周囲は自分で、コマンドラインからのファイル システムのアクセス許可の管理にコミットします。 入稿、マウスを取得して投資のいくつかの作業でいくつかのツールに精通するには、成功の完全な保証を無限に繰り返しがより効率的なソリューションで表示されますがします。

非常に多くの Cacls

"変更のアクセス制御リストまたは cacls、Windows オペレーティング システムと、長いおよび fruitful のヒストリがいたコマンド ライン ツールを見てみましょう最初ツールには。 元、cacls Windows NT 4. 0 に付属しているが一連のコマンドラインでアクセス許可を変更するための基本的な機能を有効にでした、実行が制限されています。 マイクロソフトこれらの制限を解決するには、Windows NT リソース キットの展開、xcacls 後リリースしました。 まだ、サポートされていない、xcacls.vbs がリリースされた機能を使用するとさらになった後ではパフォーマンスの面で旧バージョンとします。

最新およびフル装備のバージョン、icacls、Windows Server 2008 と Windows Vista に同梱および Windows XP および Windows Server 2003 でダウンロードできます。 support.microsoft.com/kb/919240. Icacls は、実験的な VBScript にある追加機能の多くが含まれますが、大幅に高速の EXE として到着します。 Icacls は Windows 整合性レベル、セカンダリ レイヤーこの資料について説明しないアクセス制御を管理するためのサポートも追加します。

図 1 に似たフォルダー構造を持つファイル サーバー上で権限の管理を担当する場合と仮定します。 ある追加のサブフォルダーを含む、財務を含む共有とマーケティング サブフォルダーというルート フォルダーわかります。 フォルダーがますます小さなグループのユーザーが下位レベルの共有アクセスできるように構成されていることもわかります。 たとえば、Finance Users は、[予算] </a0> フォルダーに情報を読み取ることができますが、予算ユーザーのみの書き込みをことができます。 制限されたフォルダーは存在できる 1 つ存在する必要があります制限付きアクセスを持つものを除くして一番下にもです。 これは、一般的な構造多数のファイル サーバーに対して今日です。

icacls を使用して 図 1 でようアクセス許可を設定することができますが、これを行う方法に正確にはすぐに明らかなありません。 メトリック フォルダーだけの指定されたアクセス許可を設定するには次の構文を使用しました。

icacls C:\Shared\Finance\Metrics /grant:r "Finance Users":(OI)(CI)M /grant:r "Metrics Users":(OI)(CI)M

残念ながら、優れた電源と優れた複雑なものです。 ご覧のとおり、icacls' 構文できます、非常に impenetrable 以上でなければ Windows アクセス許可のしくみを理解するまでです。 オブジェクトを 1 つのフォルダーまたはオブジェクトとそのサブフォルダーとファイルに、個々 のアクセス許可を適用できますを注意してください。 これは、継承の概念です。 エクスプローラー GUI で単純な変更アクセス許可を 図 2 でフォルダーに適用すると実際に適用することをそのフォルダーだけでなくすべてのサブフォルダーとファイルにします。

fig02.gif

図 2 の 継承のサブフォルダーとを設定する簡単なアクセス許可を自動的に適用する ファイル。

上記コマンド プロンプトでして各グループについて、変更の M ものである後を確認できます (オブジェクトの継承し、コンテナーの継承のスタンバイ OI)(CI)、それぞれ。 これらの両方が、icacls、単純なものを適用する変更アクセス許可する場合は必要です。 わかりますが": r"が/grant スイッチの後に追加されます。 この修飾子指示 icacls コマンドラインで設定するアクセス許可を追加する前に、オブジェクトに対する直接適用される権限をオフにします。

複雑であり、"はい"が Windows のアクセス許可は複雑です。 くださいを終了目標は、-再利用可能なコマンド-が実際に行う点はるかに簡単です。

使用例は、続行するには、リセットし、ルートと同様に、Finance フォルダー構造に定められているアクセス許可を正しく適用に使用する icacls コマンド行のセット全体をたどてしましょう。

Icacls C:\Shared /inheritance:r /grant:r "Domain Users":(OI)(CI)R /grant:r 
   "File Admins":(OI)(CI)F

Icacls C:\Shared\Finance /inheritance:r /grant:r "Finance Users":(OI)(CI)R /grant:r 
   "File Admins":(OI)(CI)F

Icacls C:\Shared\Finance\Budget /grant:r "Budget Users":(OI)(CI)M
Icacls C:\Shared\Finance\Metrics /grant:r "Metrics Users":(OI)(CI)M

最初の行は、2 つのタスクを実際に実行します。 始まる、"/継承: r"スイッチを共有フォルダーを継承しないように上フォルダーから継承されたすべてのアクセス許可を完全に削除します。 そのすぐ上のフォルダーから共有フォルダーの継承を中断このされます。 この処理が完了すると後の読み取りアクセス許可ドメインのユーザーとファイルの管理者のフル コントロール アクセス許可に対して設定が。

ある Finance フォルダーにアクセスでは、すべてのドメイン ユーザーしないため、行 2 が中断され、アクセス許可の継承を一度クリアされます。 [フル コントロールのアクセス許可ファイル管理者と財務のユーザーに読み取りアクセス許可に適用します。

線が付いたファイル管理者、および Finance Users グループの両方が、同じアクセスのためこれらのサブフォルダーにアクセス許可の継承を改行をしない 3 番目と 4、します。 次の 2 行、お別のアクセス許可は付与だけ —、既存のほかにアクセス許可を継承 — 数値基準のユーザーと予算のユーザーがこれらのフォルダーに書き込めるようにします。

マーケティング フォルダーのアクセス許可を設定が多少異なります。 使用して、同じアクセス許可のフロー、製品フォルダーの財務、サブフォルダーのしましたが、制限されたフォルダーは少し異なる方法で扱われます。 そのフォルダーに高度な秘密のドキュメントでのみ表示される必要がありますが含まれてとします、ごく少数の個人。 最初、思考なりますが、"A-ha! ここでは、拒否のアクセス許可を使用してこのフォルダーにアクセスできない、間違ったのように!」

拒否のアクセス許可は実際には非常に強力なほとんどの状況の設定と他のすべてのアクセス許可に自動的により優先されます。 そのため、拒否アクセス許可をこのフォルダーのマーケティング ユーザー グループに追加ことを意味、制限された出力は、ユーザーをマーケティングもユーザーはシャットダウンします。 ここより適切なソリューションの継承を再度を単マーケティング ユーザー グループのすべてのアクセス許可を排除です。 この構造体のアクセス許可を設定する必要 3 icacls コマンド行はこのため、

Icacls C:\Shared\Marketing /inheritance:r /grant:r 
  "Finance Users":(OI)(CI)R /grant:r "File Admins":(OI)(CI)F

Icacls C:\Shared\Marketing\Product /grant:r "Product Users":(OI)(CI)M

Icacls C:\Shared\Marketing\Restricted /inheritance:r /grant:r 
   "File Admins":(OI)(CI)F /grant:r "Restricted Users":(OI)(CI)M

期間のアクセス許可を管理します。

したがって、この単純なフォルダー構造にアクセス許可を設定、コマンド プロンプトで 7 行かかります。 多数の比較的ほとんどには、実行しますが、IT 環境と期間ものに変更する方法を考慮するようにするして見えます。 何回か外出中に変更を加えるによって inexperienced の同僚管理者にのみ、フォルダー構造を構成したがでしょうか。 回数が、ヘルプ デスクに応じた電話無差別で、ユーザーの whim、exquisitely デザイン アクセス許可構造を変更してでしょうか。 これらは、環境があるあまりアクセスできるユーザーが多すぎる場合に特に難しいする一般的な問題です。 マウスと Windows GUI を使用してこれらのフォルダーをすべての直線を維持すると、ならでの長い夜の変更を追跡します。

非常に優れたソリューションが提供するしましょう。 前もって icacls のようなコマンド ライン ツールに、アクセス許可構造をコーディング余分な時間を費やして場合、ほとんど以上、バッチ ファイルをダブルクリックではその構造を再適用します。 上記の 7 のような行を作成した、1 回後で使用できるように保管してアラウンド。 なり簡単にだけそれらの行を再度呼び出すことによって、アクセス許可構造を目的の状態に戻す元に戻すことがわかります。

組み込みのオートメーションが、スタイルより場合 icacls もできます格納およびアクセス許可を適用します。 1 回に相当するこのコマンドを実行、上記の 7 行を適用しました。

icacls C:\Shared /save {fileName} /T

Icacls は、C:\Shared のアクセス許可構造を分析を {fileName} で指定されたファイルを作成します。 図 3 でことがわかりますこのファイルの内容はバイナリ形式で、結果として、ファイルが開かれないしてメモ帳などのテキスト エディターで。 ただし、これらのアクセス許可は後で再適用するはこのファイルを使用することができます。 同じフォルダーに対するアクセス許可を再適用するコマンド構文です。

fig03.gif

図 3 Icacls の関数の作成を後であるアクセス許可を再適用できるファイルを保存時間:

icacls C:\Shared /restore {fileName}

これにより、展開ソリューションが、元のデザインから deviated したときのアクセス許可を修正するがあります。

構想のアクセス許可

ようまでは icacls を使用すると設定し、アクセス許可を管理するため便利です。 どのようなはしないに長所が許可、アクセス許可構造を確認します。 について知ってフォルダー ツリーの下を歩く自分見つかったした場合各フォルダーを右クリックして各オブジェクトの [セキュリティ] タブを確認するプロパティを選択しているとは、どのような痛みです。 Icacls は、アクセス許可を表示するための機構がそのツールはテキスト ベースおよびいない完全に便利です。 コマンドを実行する場合

icacls C:\Shared /t

icacls は全体のフォルダー構造内の各オブジェクトのアクセス許可を一覧表示は、飛行でテキストの screenfuls の視聴なし、壊れた perm を検索する方法。

まで向上、アイデアは、無料の with をダウンロード AccessEnum ツール. AccessEnum は、特定のフォルダー構造に割り当てられた権限を視覚化するための非常に単純なアプリケーションです。 具体的には、フォルダー ツリーの最上位フォルダーに AccessEnum を対象と、ツール スキャンするとファイルおよびフォルダーの下にあるとアクセス許可が親から異なるを戻すのレポート。

このアクセス許可の違いベースのビューでは、アクセス許可が誤って構成されている場所を検索できます。 うまくフォルダー構造にアクセス許可が設定されて自然な方法が原因です。 参照する 図 1 に、適切に設計する方法の読み取りがわかりますアクセス許可は通常下の最上位レベルからフローします。 変更アクセス許可が特定のレベル構造を押し設定投稿者にリーダーからユーザーを変更します。 AccessEnum の違いに基づいたビューだけを公開してアクセス許可を変更しないを非表示して、これをサポートします。 AccessEnum のビューがどのようにこのコラムのサンプルのフォルダー構造に適用されるの例を 図 4 に示します。

fig04.gif

図 4 AccessEnum 支援を視覚化する、このアクセス許可の構造。

ネット icacls と AccessEnum を使用しての結果より一貫したアプリケーション、ファイル サーバー内のアクセス許可があります。 さらに、結果はするがされたりするファイルとに意味のあるフォルダーのみにアクセスできます、ユーザーと、大きいレベルのデータ セキュリティになります。

この簡単な説明は、Windows アクセス許可とそれらを適用できる方法の表面のみ接触します。 icacls などのツール、を通じて適用される権限なし継承が下のフォルダーに 1 つだけのフォルダーに便利な単一層だけでアクセスを許可する設定できます。 適用する随意どのようなコントロールではなく特別な処理を必要とされるデータの整合性レベルを設定できます。 ファイルとアクセス許可の検索する、必要な場合の全体の構造体全体こともできます。 そこで、そのマウス オフ手を取得し、コマンドラインからアクセス許可の設計を開始します。

Greg の盾 MVP はテクノロジの集中にパートナーです。 Greg の Jack-of-all-Trades ヒントとテクニックでの取得します。 www.ConcentratedTech.com.