[NTFS] hoe ACL herstellen naar default - Serversoftware en clouddiensten

woensdag 7 juni 2006 16:49

Acties:

010101011110010101??

Topicstarter

Mijne heren,

Ik zit met het volgende zeer vervelende probleem.
Situatie: 75 PC’s in een Windows 2000 AD domein
Probleem: Alle NTFS ACL rechten zijn op de C (lokale schijf) zijn vervangen (volledige replace vanaf root niveau) door de volgende ACL’s (niet door mij, don’t shoot at me!)

:
Scope: Zowel clients als servers

Domain users: Full Control
Domain admins: Full control
Everyone: Full Control
System: Full Control

Jullie snappen dat dit dus verre van ideaal/veilig is. Ik moet een manier vinden om die NTFS rechten terug naar default te krijgen.

Ik heb het volgende al geprobeerd. Levert dit echter geen bijwerkingen op? Is er geen enkele oplossing die ik op domein niveau kan deployen?

Dank voor het lezen,

SvennieG

woensdag 7 juni 2006 21:20

Acties:

sanfranjake

Computers can do that?

Dat is de enige manier die ik zo zou kunnen bedenken, is het wellicht een idee om die pc's opnieuw te imagen? Of zit deze change in de image gebakken, nieuwe image een optie?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 8 juni 2006 07:00

Acties:

Yalopa

Less is more!

Het gaat hier dus enkel over NTFS Permissies

Aangezien iedereen toch FULL controll heeft zou je een scriptje kunnen maken mbhv CACLS (http://www.microsoft.com/...en-us/cacls.mspx?mfr=true) om de permissie goed te zetten. Scriptje in logon script en je bent er

Onnodig te zeggen dat je dit script uitvoerig moet testen

You don't need eyes to see, you need vision

donderdag 8 juni 2006 07:18

Acties:

PipoDeClown

Izze Zimpell

ik zou even een test installatie opzetten en daarvan de rechten "bewaren".
maar beetje gezond verstand:
\: admin=full, users:read&exec, everyone=none
winnt: admin=full, users:read&exec, everyone=none
programfiles: same
eventueel powerusers=modify

Ik heb het volgende al geprobeerd.

en wat is hiervan het resultaat?

[ Voor 62% gewijzigd door PipoDeClown op 08-06-2006 07:28 ]

God weet alles, want hij is lid van de Mosad. To protect your freedom i will take that away from you. Mijn drankgebruik heeft ernstig te lijden onder mijn gezondheid.

donderdag 8 juni 2006 07:25

Acties:

[ash]

Cookies :9

Dit moet goed te doen zijn met 'Security Templates'. Er zijn een aantal standaard templates die je kan gebruiken maar je heb ook de mogelijkheid om deze zelf samen te stellen. Als alles goed getest is zou je deze template zelfs via een group policy kunnen verspreiden.

http://www.microsoft.com/...defaultpols.mspx?mfr=true

donderdag 8 juni 2006 07:27

Acties:

the_stickie

Misschien een idee om dmv third party-tools je schijf om te zetten naar fat32? Gegarandeerd je rechten kwijt

Daarna weer converteren naar NTFS, zou dan toch + of - default rechten moeten geven? (ik geef toe dat ik er eigenlijk geen idee van heb

)

edit: ik praat poep blijkbaar

, maar heb wel volgende info voor je (win 2k maar voor xp moet ook te vinden zijn):
http://support.microsoft.com/?kbid=237399

[ Voor 25% gewijzigd door the_stickie op 08-06-2006 07:28 ]

donderdag 8 juni 2006 07:39

Acties:

Yalopa

Less is more!

[ash] schreef op donderdag 08 juni 2006 @ 07:25:

http://www.microsoft.com/...defaultpols.mspx?mfr=true

These security templates are constructed with the assumption that they will be applied to computers that use the default security settings. In other words, these templates incrementally modify the default security settings, if they are on the computer. They do not install the default security settings before performing the modifications.

er komen dus gewoon rechten bij, de bestaande rechten worden niet aangepast

You don't need eyes to see, you need vision

donderdag 8 juni 2006 09:04

Acties:

mutsje

Certified Prutser

met de setup.inf worden de rechten wel degelijk naar de basis terug gezet. Deze wordt namelijk tijdens installatie aangemaakt

de inf files kun je vinden in
%systemdrive%\windows\security\templates
Hierna worden alle policies etc ook weer naar default terug gebracht.

donderdag 8 juni 2006 09:24

Acties:

Tybo

010101011110010101??

Topicstarter

Dat is de enige manier die ik zo zou kunnen bedenken, is het wellicht een idee om die pc's opnieuw te imagen? Of zit deze change in de image gebakken, nieuwe image een optie?

Pc's hebben OEM OS.

en wat is hiervan het resultaat?

Ik heb het getest op 2 pc's en dit blijkt de NTFS rechten weer in orde te brengen. Dat is nu al een maand geleden, er zijn ondertussen geen problemen gemeld. Maar ik ben bang het toch in de soep zal lopen.

met de setup.inf worden de rechten wel degelijk naar de basis terug gezet. Deze wordt namelijk tijdens installatie aangemaakt de inf files kun je vinden in
%systemdrive%\windows\security\templates
Hierna worden alle policies etc ook weer naar default terug gebracht.

Heb je het over de uitspraak van The_Stickie?

SvennieG

donderdag 8 juni 2006 10:39

Acties:

Verwijderd

default win2k = everyone FULL CONTROL

dus wat wil je nu?

donderdag 8 juni 2006 10:42

Acties:

Verwijderd

PipoDeClown schreef op donderdag 08 juni 2006 @ 07:18:
ik zou even een test installatie opzetten en daarvan de rechten "bewaren".
maar beetje gezond verstand:
\: admin=full, users:read&exec, everyone=none
winnt: admin=full, users:read&exec, everyone=none
programfiles: same
eventueel powerusers=modify

en wat is hiervan het resultaat?

het resultaat van wat jij voorstelt is waarschijnlijk een niet werkend system

vergeet SYSTEM niet toe te voegen met FC.

let ook op dat bijv. documents and settings meestal op c: te vinden zijn, dus zomaar klakkeloos users read only rechten geven werkt ook niet. Zoals ik al zei, default is everyone full control voor win2k...

[ Voor 3% gewijzigd door Verwijderd op 08-06-2006 10:43 ]

donderdag 8 juni 2006 12:45

Acties:

alt-92

ye olde farte

Let er ook op dat het gebruik van security templates in een GPO een vertraging kan opleveren bij het opstarten van (wat oudere) werkstations.
Ik heb al eens vaker gezien dat men op de maandagochtend 5 minuten tegen een security settings schermpje zit te turen voordat de policy volledig applied is.

_{Geen peil op te trekken wanneer en waarom, maar het gebeurt gewoon sporadisch. Haal je de ACL settings uit je GPO is die vertraging ook weer weg}

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 8 juni 2006 12:50

Acties:

elevator

Officieel moto fan :)

Inderdaad, eenmalig met secedit die security template applyen (of beter nog - geef users op de root van je system drive nog minder rechten) en je bent er vanaf

Je hebt het overigens over OEM installaties - betekent dat dat je 75 pcs beheert en deze allemaal handmatig installeert ofzo?

donderdag 8 juni 2006 14:37

Acties:

Tybo

010101011110010101??

Topicstarter

Inderdaad, eenmalig met secedit die security template applyen (of beter nog - geef users op de root van je system drive nog minder rechten) en je bent er vanaf

Je hebt het overigens over OEM installaties - betekent dat dat je 75 pcs beheert en deze allemaal handmatig installeert ofzo?

Yep, ik ben hier nog maar 3 maanden in dienst, dus qua automatisering heb ik nog niet veel kunnen realiseren.

SvennieG

donderdag 8 juni 2006 14:58

Acties:

[ash]

Cookies :9

Yalopa schreef op donderdag 08 juni 2006 @ 07:39:
These security templates are constructed with the assumption that they will be applied to computers that use the default security settings. In other words, these templates incrementally modify the default security settings, if they are on the computer. They do not install the default security settings before performing the modifications.

er komen dus gewoon rechten bij, de bestaande rechten worden niet aangepast

Dat is dus als je de default templates gebruikt die microsoft levert, als jezelf een template samenstelt kan je zeker wel rechten overschrijven.

Dat van dat trage opstarten heb ik ook meegemaakt maar nooit echt een oplossing gevonden. Ik zou daarom ook de security template eenmalig toepassen en daarna weer uit de GPO halen.

Pagina: 1

Reageer