Toon posts:

[Windows] NTFS rechten in kaart brengen

Pagina: 1
Acties:

Onderwerpen

Microsoft Windows 7

dinsdag 8 juli 2008 16:42

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
We zoeken een tool om de rechten in kaart te brengen en aan te passen. We hebben al een aantal programma`s getest:

- SHOWACLS
- CACLS
- XCACLS
- HYVENA

Ze hebben echter niet de mogelijkheid om met behulp van een grafische interface iets aan te bieden waarbij we zien dat alle gebruikers en groepen (incl. built-in en inheretance) aan 1 kant onderelkaar komt te staan. Daarna als je zo`n gebruiker / groep selecteert moet deze open kunnen klappen. Vervolgens zie je na het openklappen welke rechten deze gebruiker / groep heeft op zowel bestands als (sub)folder niveau. Ook dit word dan onder elkaar weergeven per gebruiker / groep.

We hebben echter nog niet zo`n tool kunnen vinden.

Het doel is om een vestiging die bij ons aansluit op het domein, gebruik maakt van onze terminalserver. De rechten moeten zo aangepast zijn dat ze niet overal bij kunnen. Ze mogen toegang hebben tot 1 folder (uiteraard heb ze verder alleen rechten op hun terminal server profiel).

dinsdag 8 juli 2008 19:57

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

DUMPACL of DUMPSEC.
code:
1
2
3
4
5
6
7
8
9

\\SERVER1\gsfunc\acad\  DOM2\DOM1_F_ACAD_C              RWXD       RWXD      
\\SERVER1\gsfunc\acad\  DOM1-NL01\Domain Admins         all        all       
\\SERVER1\gsfunc\acad\  DOM3\Domain Admins           all        all       
\\SERVER1\gsfunc\acad\  DOM1-NL01\DOM1_F_ACAD_C         RWXD       RWXD      

\\SERVER1\gsfunc\ACF\   DOM2\DOM1_F_ACF_C               RWXD       RWXD      
\\SERVER1\gsfunc\ACF\   DOM2\DOM1_F_ACF_R               R X        R X       
\\SERVER1\gsfunc\ACF\   DOM1-NL01\Domain Admins         all        all       
\\SERVER1\gsfunc\ACF\   DOM2\Domain Users                R X


Maar dan nog, inheritance wordt wel meegenomen maar nested groups zijn gewoon zwaar *** om uit te zoeken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 9 juli 2008 08:46

Acties:
  • 0 Henk 'm!
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 15-09 14:54

pennenlikker

ls -l 8)7

Ik ben zelf ook wel eens op zoek gegaan naar zo'n tooltje maar nooit kunnen vinden.
Ook zou het in windows handig zijn dat je bij bijvoorbeeld groepen kan zien wat precies hun toegewezen rollen zijn, zoals op welke mappen de groep welke rechten heeft verkregen.
Net zoals dat nu kan in GPE, kun je de instellingen van die bepaalde policy checken.
Jammer genoeg zit dit in W2k8 ook nog niet :(

[ Voor 95% gewijzigd door pennenlikker op 09-07-2008 08:49 ]

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

woensdag 9 juli 2008 10:39

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

pennenlikker schreef op woensdag 09 juli 2008 @ 08:46:
Ook zou het in windows handig zijn dat je bij bijvoorbeeld groepen kan zien wat precies hun toegewezen rollen zijn, zoals op welke mappen de groep welke rechten heeft verkregen.
Je bedoelt daarmee te zeggen dat je vanuit een Group object in je AD wil kunnen zien op welke folders, shares en servers deze voorkomt/gebruikt wordt?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 9 juli 2008 11:05

Acties:
  • 0 Henk 'm!
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 15-09 14:54

pennenlikker

alt-92 schreef op woensdag 09 juli 2008 @ 10:39:
[...]


Je bedoelt daarmee te zeggen dat je vanuit een Group object in je AD wil kunnen zien op welke folders, shares en servers deze voorkomt/gebruikt wordt?
Ja precies, net als het voorbeeld hierboven (gpe)
Dat je een overzichtelijk lijstje krijgt van de rechten die een bepaalde groep delegeert.
bijvoorbeeld:

Groep X heeft lees rechten op map Y en op map U en schrijfrechten op map Z.

Uiteraard als je je server slim indeelt en overzichtelijk de groepen indeelt kun je ook snel zien waar iedereen toegang tot heeft, maar toch zou zo'n tool toch erg handig zijn.

Bij mijn huidige werkgever was het een grote zooi op de server overal groepen/ou's voor ieder klein dingetje en dan word het al snel een rommel.
Als je dan per groep of ou kan zien wat deze nu precies doet en wat zijn rol is kun je deze verwijderen of aanpassen zodat hij niet meer of minder doet als datgene waar hij ooit voor aangemaakt is.

Offtopic: lol om de floppy 8)7

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

woensdag 9 juli 2008 11:37

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Jup, daarmee voorkom je inderdaad dat één groep ergens anders ongedocumenteerd op een Business critical server misbruikt wordt (want dat is het probleem).

Maar er is niks om dergelijke procedurele fouten uit te lezen dan al je servers af te gaan en overal een dump van je ACLs te maken, in een database stopppen en daar queries op los te laten.
Omdat er namelijk geen één standaard manier is om het in te richten (een best practice is alleen maar precies dat: je kan het zó en zo doen - heeft de voorkeur)
Tools moeten namelijk dan rekening gaan houden met servers die offline zijn, geneste groepen, cross-domain groepen, one-way trusts....

Dat kun je dan beter als maatwerk doen.
Maar dan kun je uiteraard ook de groepen en users in tabellen dumpen vanuit je AD, en daarmee weer een kruistabel genereren waardoor je kan zien wie er via welke groep rechten hebben gekregen op welke servers.

En andersom: Op welke servers kan Pierre werken > je weet z'n MemberOf, query de servers waar die groepen op voorkomen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 10 juli 2008 09:46

Acties:
  • 0 Henk 'm!
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 15-09 14:54

pennenlikker

Nou ik heb nu al een lange tijd zitten zoeken, maar er is echt niets te vinden om dit te doen.
Het meeste word gedaan via bat of vbs scripts, maar dit is maar erg beperkt in functionaliteit.
Denk dat voor nu de beste oplossing zoals hierboven is, namelijk een excel of acces database aanleggen met je AD gegevens.
En uiteraard dat je je server/domein procedureel bijhoudt en inricht, en de gegevens in die database registreert.

Vind het toch vreemd dat Microsoft hier nog niets voor heeft eigenlijk, maar hier zal vast een reden achter zitten. Indeling van NTFS? dat dit gewoon niet mogelijk is of heel moeilijk, of niemand heeft deze functionaliteit gemist dat kan natuurlijk ook.
Dit is trouwens in het EXT3 fs ook zo, kun je de acl ook niet uitlezen op zulke objecten dus niet echt een MS issue ook bij linux.

Maar wie weet in de toekomst :)

[ Voor 4% gewijzigd door pennenlikker op 10-07-2008 10:09 ]

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

donderdag 10 juli 2008 14:02

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Haha! Doet me denken aan een klant die zo'n 600 gebruikers had . . . en 2400 groepen.
Elke resource had z'n eigen groep. Wilde je bevobbeld toegang tot \\server\apps\msword dan werd je gewoon member gemaakt van die groep; vonden ze hartstikke handig 8)7

QnJhaGlld2FoaWV3YQ==

donderdag 10 juli 2008 17:16

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

pennenlikker schreef op donderdag 10 juli 2008 @ 09:46:
Vind het toch vreemd dat Microsoft hier nog niets voor heeft eigenlijk, maar hier zal vast een reden achter zitten.
Tante Neelie ;)
Indeling van NTFS? dat dit gewoon niet mogelijk is of heel moeilijk, of niemand heeft deze functionaliteit gemist dat kan natuurlijk ook.
Nou ja, naast allerlei juridische en marketingtechnische redenen (zie tante Neelie) is er natuurlijk ook nog de vraag van welke basis je uitgaat als er tig manieren zijn om een ondoorzichtelijke bestandsrechten structuur te maken met flink veel nesting, inheritance, uitzonderingen en andere fratsen.

Het kan, maar dan ben je zo lang bezig dat je beter gelijk aan maatwerk kan beginnen.

Nóg beter is dat je van tevoren goed nadenkt en het overzichtelijk en consequent implementeert ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 14 juli 2008 09:11

Acties:
  • 0 Henk 'm!
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 15-09 14:54

pennenlikker

alt-92 schreef op donderdag 10 juli 2008 @ 17:16:
[...]

Tante Neelie ;)


[...]


Nou ja, naast allerlei juridische en marketingtechnische redenen (zie tante Neelie) is er natuurlijk ook nog de vraag van welke basis je uitgaat als er tig manieren zijn om een ondoorzichtelijke bestandsrechten structuur te maken met flink veel nesting, inheritance, uitzonderingen en andere fratsen.

Het kan, maar dan ben je zo lang bezig dat je beter gelijk aan maatwerk kan beginnen.

Nóg beter is dat je van tevoren goed nadenkt en het overzichtelijk en consequent implementeert ;)
Sorry.. maar ik zou echt niet weten wat je bedoelt met tante neelie? :X

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

maandag 14 juli 2008 09:34

Acties:
  • 0 Henk 'm!
  • LuckY
  • Registratie: December 2007
  • Niet online

LuckY

http://www.volkskrant.nl/...nopoliezaak_van_Microsoft

over Neelie Kroes VS Microsoft in de Monopolie

maandag 14 juli 2008 09:40

Acties:
  • 0 Henk 'm!
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 15-09 14:54

pennenlikker

LuckyY schreef op maandag 14 juli 2008 @ 09:34:
http://www.volkskrant.nl/...nopoliezaak_van_Microsoft

over Neelie Kroes VS Microsoft in de Monopolie
Thanks, wist niet dat ze miss Neelie heette :*)

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

dinsdag 15 juli 2008 17:56

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Nu heb ik tig programma`s bekeken en zie ik het even niet zitten. Ik zou graag willen weten welke vbscripts me kunnen helpen om van alle NTFS machtigingen op een server naar een excel bestand te exporteren. In the meantime ben ik ook bezig op het internet dit uit te zoeken.........

dinsdag 15 juli 2008 19:19

Acties:
  • 0 Henk 'm!

Verwijderd

Dumpsec gebruik ik daar ook altijd voor. Kan je alle rapportages in diverse formaten mee exporteren en het is geloof ik nog gratis ook.

dinsdag 15 juli 2008 19:31

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op dinsdag 15 juli 2008 @ 17:56:
k zou graag willen weten welke vbscripts me kunnen helpen om van alle NTFS machtigingen op een server naar een excel bestand te exporteren.
Begin nou eens stap voor stap na te gaan wat je daarvoor nodig hebt?
1) je hebt de security group.
2) je vraagt de Members uit van die security group
3) je ramt die in een sheet/textfile.

Gaan we een stapje moeilijker, dan wil je ook controleren of er groupnesting in zit (group in group).
Dan moet je dus
4) je script recursief door een groep laten lopen.

Er is geen pasklaar antwoord, omdat elke omgeving anders in elkaar kan zitten.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 16 juli 2008 09:33

Acties:
  • 0 Henk 'm!
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 15-09 14:54

pennenlikker

Hier heb je een handig linkje voor wat scripts KLIK. Ze zijn eenvoudig te gebruiken je moet alleen het object aangegeven in het script.. werkt dus niet out of the box.
Even een .txt renamen naar .vbs code plakken en de group/user/ou naam vervangen.

Afbeeldingslocatie: http://csscomputers.nl/images/script.JPG
Voor de rest blijft het gewoon een lastig probleem, en zal je zeker veel tijd gaan kosten om het allemaal uit te gaan zoeken.

weg

Suc-6 ;)

[ Voor 46% gewijzigd door sanfranjake op 16-07-2008 15:44 . Reden: werving in welke vorm dan ook doen we niet aan hier ;) ]

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

woensdag 16 juli 2008 13:49

Acties:
  • 0 Henk 'm!

Verwijderd

pennenlikker schreef op donderdag 10 juli 2008 @ 09:46:
Nou ik heb nu al een lange tijd zitten zoeken, maar er is echt niets te vinden om dit te doen.
Het meeste word gedaan via bat of vbs scripts, maar dit is maar erg beperkt in functionaliteit.
Denk dat voor nu de beste oplossing zoals hierboven is, namelijk een excel of acces database aanleggen met je AD gegevens.
En uiteraard dat je je server/domein procedureel bijhoudt en inricht, en de gegevens in die database registreert.

Vind het toch vreemd dat Microsoft hier nog niets voor heeft eigenlijk, maar hier zal vast een reden achter zitten. Indeling van NTFS? dat dit gewoon niet mogelijk is of heel moeilijk, of niemand heeft deze functionaliteit gemist dat kan natuurlijk ook.
Dit is trouwens in het EXT3 fs ook zo, kun je de acl ook niet uitlezen op zulke objecten dus niet echt een MS issue ook bij linux.

Maar wie weet in de toekomst :)
ms heeft hier genoeg mogelijkheden voor hoor. maar ja niet out of the box. Je zal dus iets moeten scripten. Ik had hier ooit een vbs voorgeschreven, maar ik kan hem niet meer vinden.

Het kwam iig neer op showacls output in een excel sheet zetten. Binnen excel heb je dan genoeg mogelijkheden om het verder te filteren. Voor de TS zou een simpel "auto filter" al genoeg zijn, mits hij nested groups voorkomt.

donderdag 4 september 2008 08:57

Acties:
  • 0 Henk 'm!
  • saseric
  • Registratie: Juli 2002
  • Laatst online: 04-07-2023

saseric

novell heeft dit allemaal in zich zitten.
je opent een rechtengroup, ga naar een tabje "rights to files and folders", dan zie je een lijstje met de mappen/files (paths), klik erop en zie de rechten.
nog mooier is dat je vanuit dezelfde group de "effective rights" kan bekijken op een map / folder.
alles dus vanuit de group.
wijzig je een recht via de explorer: geen probleem, wordt gelijk in het lijste opgenomen.

dus het kan allemaal wel zonder toeters en bellen.
Microsoft moet gewoon eens goed "spieken".
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq