Toon posts:

[NT/Filepermissies] CACLS, maar dan net anders

Pagina: 1
Acties:
  • 145 views sinds 30-01-2008

maandag 11 oktober 2004 16:27

Acties:
  • Tsjipmanz
  • Registratie: Oktober 2000
  • Laatst online: 10:27

Tsjipmanz

Der Rudi ist da

Topicstarter
Wat ik wil, is het volgende:

Op een NT Shared Drive de bestaande rechten van alle directories inclusief subdirectories veranderen in read only, alleen wel met behoud van de gebruikers die toegang hebben. NT heeft een fantastische commandline tool voor het weergeven en veranderen van file-system security options, genaamd cacls, alleen daar heb ik in mijn geval niet wat aan denk ik.

Ik zal even toelichten waarom niet. Voor zover ik weet (mkaar ik ben geen NT-expert) kan je alleen per user permissies wijzigen met cacls. Zo kan je bijvoorbeeld met
code:
1

cacls d:\kilebab /p dirk:f /t

de gebruiker "dirk" full access geven tot de directory kilebab en alle subdirectories. Het punt is dat de schijf waar het om gaat het een schijf is met erg veel verschillende users. Het is een onbegonnen werk om per directory te kijken wie toegang heeft, en uitgerekend voor deze users de permissies in read only te veranderen. Wat ik dus zoek is een manier om dit met cacls te doen, en anders zou ik graag horen van andere mensen of er tools zijn waarmee dit snel te doen is.

There's no such thing as a mistake, just happy accidents - Bob Ross
Relaxte muziek: altijd okee!
- Soulseek rulez -

maandag 11 oktober 2004 17:02

Acties:

Verwijderd

Dit is in ieder geval een tool waarmee je een hoop kunt met ACL's. Zowel dumpen als zetten (ook het zetten van de advanced rights en inheritance):

SetACL - Windows Permission Management

Features:
  • Supported object types: files and directories, registry keys, printers, services, network shares.
  • Manage permissions on local or remote systems in trusted or untrusted domains or workgroups.
  • Set multiple permissions for multiple users/groups at once.
  • All standard and specific permissions of Windows 2000/XP are supported.
  • Control how permissions are inherited by sub-objects (permission applies to: sub-folders, files, ...)
  • Block permission inheritance ("protect" objects).
  • List permissions.
  • Backup and Restore permissions.
  • All operations work on a single object or recursively on a (directory/registry) tree.
  • Set the owner to any user/group.
  • Edit permission and/or auditing entries (DACL and/or SACL editing).
  • Use of privileges: as an administrator, you have access to any file or directory, even the ones you do not have permission to where you are not the owner (just like a backup program).
  • Unicode support: object names with Unicode characters are processed correctly.
  • Clear ACLs: remove any non-inherited entries (ACEs).
  • Reset permissions on all sub-objects and enable propagation of inherited permissions.
  • Remove a user/group from an ACL: completely removes any entry belonging to a certain user/group.
  • Replace a user/group: replace all entries of one user/group by another user/group.
  • Copy a user/group: copy all entries of one user/group to another user/group.
  • All functions can be used concurrently: this allows for very powerful commands that run fast, since time consuming steps (like recursing a large file system) are performed only once.
  • Exclude (filter) object names not to be processed by keyword(s).
* Edit *
Even een voetnoot, deze tool is zeer krachtig. En inderdaad, wat iis5_rulez ook al zegt, met de standaard Windows tools kun je al een heel eind komen. Ik postte deze vanwege het kunnen zetten van Advanced rights (List Folder / Read Data, Create Files / Write Data, etc, etc). Dit zul je waarschijnlijk niet zo snel nodig hebben. Nouja, weer leuk voor de GOT Search... 8)

[ Voor 95% gewijzigd door Verwijderd op 11-10-2004 18:25 ]

maandag 11 oktober 2004 17:58

Acties:

Verwijderd

cacls, xcacls kunnen dit prima. Alleen je zal zelf een script moeten schrijven die de rechten uitleest en ze vervolgens weer zet of ontbrekende rechten toevoegt.

ik zou het zo doen:

rechten uitlezen van 1 dir en echo-en naar een txt file (evt in een meer werkbare vorm dan de standaard output)

txt file inlezen en veranderen waar nodig >> weer echo-en naar txt file

rechten zetten volgens de 2de txt file.

en dit dan middels een for loop voor alle dirs. mocht er iets fout gaan heb je de originele rechten iig ook nog.

succes

edit: btw we zetten geen users op resources natuurlijk... alleen maar groepen...

[ Voor 8% gewijzigd door Verwijderd op 11-10-2004 17:58 ]

maandag 11 oktober 2004 18:03

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Tsjipmanz schreef op 11 oktober 2004 @ 16:27:
Op een NT Shared Drive de bestaande rechten van alle directories inclusief subdirectories veranderen in read only, alleen wel met behoud van de gebruikers die toegang hebben. NT heeft een fantastische commandline tool voor het weergeven en veranderen van file-system security options, genaamd cacls, alleen daar heb ik in mijn geval niet wat aan denk ik.
Hebben de directory namen wel de naam van de user? :)

Zo ja - zou je eens hier kunnen kijken: [rml]elevator in "[ NT4] Rechten verdwenen, per stuk replac..."[/rml] - daar heb ik een voorbeeld scriptje gepost wat je dan op weg zou kunnen helpen :)

dinsdag 12 oktober 2004 13:26

Acties:
  • Tsjipmanz
  • Registratie: Oktober 2000
  • Laatst online: 10:27

Tsjipmanz

Der Rudi ist da

Topicstarter
Verwijderd schreef op 11 oktober 2004 @ 17:58:
cacls, xcacls kunnen dit prima. Alleen je zal zelf een script moeten schrijven die de rechten uitleest en ze vervolgens weer zet of ontbrekende rechten toevoegt.

ik zou het zo doen:

rechten uitlezen van 1 dir en echo-en naar een txt file (evt in een meer werkbare vorm dan de standaard output)

txt file inlezen en veranderen waar nodig >> weer echo-en naar txt file

rechten zetten volgens de 2de txt file.

en dit dan middels een for loop voor alle dirs. mocht er iets fout gaan heb je de originele rechten iig ook nog.
Hmm, dat is inderdaad ook een optie maar ik ga bij voorkeur op zoek naar een tool die het al kan. Het maakt ook niet uit of hiervoor betaald moet worden, het gaat wel om erg grote hoeveelheden informatie met een groot aantal verschillende personen die permissies kunnen hebben dus ga ik mezelf niet aan de ontwikkeling van zo'n script wagen (is mijn functie ook niet :) ). Alleen wanneer de functionaliteit wel in cacls zat had dat niet gehoeven, en dat wilde ik even zeker weten. Ik zal dus wel ff in SA een draadje openen. Toch bedankt.

There's no such thing as a mistake, just happy accidents - Bob Ross
Relaxte muziek: altijd okee!
- Soulseek rulez -

dinsdag 12 oktober 2004 13:55

Acties:

Verwijderd

hoeveel wil je betalen :)

dinsdag 12 oktober 2004 15:08

Acties:
  • Tsjipmanz
  • Registratie: Oktober 2000
  • Laatst online: 10:27

Tsjipmanz

Der Rudi ist da

Topicstarter
Verwijderd schreef op 12 oktober 2004 @ 13:55:
hoeveel wil je betalen :)
Financiën ga ik niet over maar als jij een goed werkend programma maakt en je komt met een acceptabel voorstel kan ik dat altijd aan mijn leidinggevende voorleggen :)

There's no such thing as a mistake, just happy accidents - Bob Ross
Relaxte muziek: altijd okee!
- Soulseek rulez -

dinsdag 12 oktober 2004 15:56

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

En je bent hier een nieuw topic gestart zie ik: [rml][ NT] Programma voor advanced file permissions wijzigen[/rml] ? :)

Deze kan dan dicht ;)
Pagina: 1

Dit topic is gesloten.