Fan de toutes les opérations Définition des autorisations à partir de la ligne de commande
Greg Shields
Contenu
Très nombreux Cacls
Gestion des autorisations sur les temps
Prévision des autorisations
Un vieil ami et les collègues INFORMATICIEN possède cette pointe indiquant moi-même extensible beaucoup dernièrement trouver. Rapport à vous allez sur la réalisation des tâches dans votre travail quotidien et votre carrière. Il indique avec doigt dans l'air, "informaticiens qui ne sont pas apprendre à effectuer leurs tâches à partir de la ligne de commande n'est les professionnels de l'informatique dans les cinq prochaines années."
La figure 1 une structure de dossiers exemple File Server
À présent une instruction considérable, mais il s'agit d'un chaque professionnel de l'informatique doit prêtez attention à. Quel que soit le que vous soyez un touche-à-tout ou vous approfondir un focus spécifique, l'obtention de vos mains que la souris et sur le clavier est sans doute la qualification numéro une que vous devez maître si vous êtes pour réussir dans les années venir. Pourquoi la ligne de commande ? Plus simplement : efficacité, reproductibilité et assurance.
Si vous gérez une technologie via son interface utilisateur, n'importe quelle action effectue efficacement evaporates une fois terminé. Vous ne pouvez pas simplement réutiliser clics de souris. En revanche, la fin de cette action via le command line — si via une commande ou d'un script, vous permet de réutiliser votre travail maintes et maintes.
Nulle part est-ce plus évident que configuration et gestion des autorisations de système de fichiers Windows, une tâche que nous faisons tout le temps. Nous définir perms sur fichiers et dossiers. Nous mettre à jour et gérer nos autorisations de partage. De temps en temps, nous peut mettre à jour même autorisations d'objet dans le Registre. Tous ces éléments sont des actions peuvent être effectuées via l'Explorateur ou interfaces graphiques regedit. Mais en utilisant ces interfaces est lourde, sujette à erreurs et dur vos poignets en position. Si vous avez déjà obtenu la plupart de la façon dont via une modification d'autorisations long, uniquement pour avoir blocage vous quelque part dans le milieu avec "Accès refusé", vous connaissez cette douleur.
Autorisations modifications via l'interface utilisateur sont particulièrement problématiques en raison et le nombre élevé d'acteurs de lecture. Votre environnement de petite taille peut-être avoir des milliers de dossiers individuels et des centaines d'utilisateurs, un des qui peut possède plusieurs autorisations affectées. La gestion le nombre énorme de configurations potentiels qui peuvent résulter n'est aucun tâche facile. Et si vous partagez la charge de travail avec plusieurs administrateurs, vous pouvez être assuré que éléments modifiera la seconde vous parfait enfin perms sur une structure de dossiers complexe.
Autour de ces problèmes consiste à valider vous-même dans Gestion des autorisations de système de fichiers à partir de la ligne de commande. En prenant le remettez la souris et des efforts en vous familiarisant avec quelques outils de placement, vous allez être récompensé avec une solution plus efficace est infini reproductible complète garantie de succès.
Très nombreux Cacls
Le premier outil que nous allons examiner est «listes de contrôle accès modifier» ou cacls, un outil de ligne de commande qui a un historique long et fruitful avec le système d'exploitation Windows. Cacls d'origine livré avec Windows NT 4.0 et activé un ensemble de fonctionnalités de base de modification des autorisations à le command line mais a été limité en ce qu'il a pu effectuer. Pour résoudre ces restrictions, Microsoft publié par la suite un xcacls développé dans le Kit de ressources Windows NT. Plus encore, un xcacls.vbs non pris en charge a été publiée qui est plus doté de fonctionnalités mais ascendante en termes de performances.
La version la plus récente et complet, icacls, fourni avec Windows Vista et Windows Server 2008 et peut être téléchargée pour Windows XP et Windows Server 2003 à support.Microsoft.com/kb/919240. Icacls inclut la plupart des fonctionnalités ajoutées dans VBScript expérimental mais il arrive qu'un EXE considérablement plus rapide. Icacls ajoute également prise en charge de gestion des niveaux d'intégrité Windows, une couche secondaire de contrôle d'accès que nous n'aborderons dans cet article.
Supposons que vous êtes chargé de gérer les autorisations sur un serveur de fichiers avec une structure de dossier ressemblant à celui de la figure 1 . Il vous verrez un dossier racine appelé partagé qui contient la Finance et sous-dossiers de marketing, qui contient des sous-dossiers supplémentaires. Vous remarquerez également que les dossiers sont configurés afin que plus en plus petits groupes de personnes puissent accéder aux partages au niveau inférieur. Par exemple, Finance Users peuvent lire les informations dans le dossier budget, mais uniquement les utilisateurs de budget peut écrire. Un dossier restreint est également présent en bas ne doit pouvoir voir sauf ceux à accès restreint. Cela est aujourd'hui une structure commune sur plusieurs serveurs de fichiers.
Vous pouvez utiliser icacls pour définir des autorisations telles que celles dans Figure 1 , mais comment effectuer cette opération n'est pas immédiatement évident. Pour définir les autorisations indiquées pour que le dossier mesures, vous utilisez la syntaxe suivante :
icacls C:\Shared\Finance\Metrics /grant:r "Finance Users":(OI)(CI)M /grant:r "Metrics Users":(OI)(CI)M
Malheureusement, à grande puissance est grande complexité. Comme vous pouvez le voir, syntaxe des icacls peut être assez impenetrable, au moins jusqu'à ce que vous comprendre le fonctionnement des autorisations de Windows. N'oubliez pas qu'une autorisation individuelle peut être appliquée à un objet seul dossier ou à l'objet et ses sous-dossiers et fichiers. C'est le concept d'héritage. Lorsque vous appliquez l'autorisation Modifier simple dans l'Explorateur de graphique à un dossier, comme dans la figure 2 , vous sont réellement l'appliquer à ce dossier ainsi que tous les sous-dossiers et fichiers.
La figure 2 application simples autorisations automatiquement définit l'héritage pour les sous-dossiers et fichiers.
Dans la ligne de commande ci-dessus, vous pouvez voir que pour chaque groupe, cette mesure de modifier vient après (OI)(CI), mettre en valeur pour «objet héritent» et «conteneur héritent» respectivement. Ces deux éléments sont nécessaires si vous préférez icacls pour appliquer la simple modifier des autorisations. Vous remarquerez également que ": r" est ajouté après le commutateur /grant. Ce modificateur indique icacls pour effacer les autorisations directement appliquées sur l'objet avant d'ajouter les autorisations que vous définissez dans le command line.
Complexes, les Oui, mais les autorisations de Windows sont complexes. N'oubliez pas que l'objectif final, commandes réutilisables, sera réellement rendre les choses beaucoup plus simple.
Pour reprendre l'exemple, examinons l'ensemble des lignes de commande icacls que vous utiliseriez pour réinitialiser et appliquer correctement les autorisations définies à la structure de dossier Finance, ainsi que sa racine :
Icacls C:\Shared /inheritance:r /grant:r "Domain Users":(OI)(CI)R /grant:r
"File Admins":(OI)(CI)F
Icacls C:\Shared\Finance /inheritance:r /grant:r "Finance Users":(OI)(CI)R /grant:r
"File Admins":(OI)(CI)F
Icacls C:\Shared\Finance\Budget /grant:r "Budget Users":(OI)(CI)M
Icacls C:\Shared\Finance\Metrics /grant:r "Metrics Users":(OI)(CI)M
La première ligne effectue en fait deux tâches. Il commence par le «/ l'héritage: r "commutateur pour supprimer complètement toutes autorisations dans le dossier ci-dessus afin que le dossier partagé n'est pas hériter. Cette rompt l'héritage du dossier partagé dans le dossier qui se trouve immédiatement au-dessus de celui-ci. Une fois cette opération effectuée, l'autorisation de lecture est définie pour utilisateurs du domaine et l'autorisation contrôle total pour les administrateurs de fichiers.
Car nous ne souhaitons utilisateurs du domaine pour accéder au dossier Finance du tout, ligne deux sauts et efface l'héritage d'autorisations à nouveau. Il applique ensuite l'autorisation contrôle total aux fichiers et l'autorisation lecture pour les utilisateurs Finance.
Avec des lignes 3 et 4, nous ne souhaitez pas violent l'héritage des autorisations car à la fois le fichier et les groupes d'utilisateurs Finances doivent avoir le même accès à ces sous-dossiers. Dans ces deux lignes, nous accordez simplement une autre autorisation, parallèlement à l'existant hérité autorisations — pour que le composant Utilisateurs Budget et mesures utilisateurs puissent écrire dans ces dossiers.
Définition des autorisations pour le dossier marketing est légèrement différente. Nous utilisons le même flux autorisations pour le dossier technique que nous avons des sous-dossiers sous Finance, mais le dossier sensibles est traité un peu différemment. Supposons que ce dossier contient des documents très secrètes qui doivent être visibles uniquement par un peu de personnes. Votre première pensée peut être, «A-ha ! Ici, je vais utiliser les autorisations Refuser pour empêcher les utilisateurs erronés d'accéder à ce dossier!»
Mais n'oubliez pas que les autorisations Refuser est en fait trop puissant un paramètre pour la plupart des cas comme elle remplace automatiquement toutes les autres autorisations. Par conséquent, ajout de l'autorisation Refuser au groupe utilisateurs marketing pour ce dossier signifie que n'importe quel restreint les utilisateurs qui sont également marketing utilisateurs pourraient arrêter. Une solution plus appropriée consiste à l'héritage et simplement éliminer toutes les autorisations pour le groupe Marketing Users. Par conséquent, les trois lignes de commande icacls requis pour définir les autorisations pour cette structure sont
Icacls C:\Shared\Marketing /inheritance:r /grant:r
"Finance Users":(OI)(CI)R /grant:r "File Admins":(OI)(CI)F
Icacls C:\Shared\Marketing\Product /grant:r "Product Users":(OI)(CI)M
Icacls C:\Shared\Marketing\Restricted /inheritance:r /grant:r
"File Admins":(OI)(CI)F /grant:r "Restricted Users":(OI)(CI)M
Gestion des autorisations sur les temps
Par conséquent, il faut sept lignes invite de commande pour définir des autorisations sur cette structure de dossier simple. Qui semble que beaucoup de travail à accomplir relativement peu, mais envisagez votre environnement informatique et comment les choses modifier dans le temps. Combien de fois avez-vous configuré une structure de dossiers, uniquement pour certains administrateur collègues inexpérimentés modifier pendant votre absence ? Combien de fois a votre assistance répondu à un appel téléphonique en aveugle en modifiant votre structure d'autorisations exquisitely conçus au gré d'un utilisateur ? Ce sont les problèmes courants qui sont particulièrement complexes si votre environnement comporte trop de personnes ayant trop accès. Si vous utilisez la souris et l'interface utilisateur Windows pour conserver ces dossiers droite, vous êtes en de longues soirées suivi des modifications.
Permettez-moi de vous offrent une bien meilleure solution. Si vous passez le temps supplémentaire en amont coder votre structure d'autorisations dans un outil de ligne de commande tel qu'icacls, réappliquer cette structure consiste à double-clic peu plus sur un lot de fichier. Une fois que vous avez créé des lignes à 7 ci-dessus, conservez les pour une utilisation ultérieure. Vous trouverez qu'il devient facile à rétablir votre structure d'autorisations à son état prévu en appelant simplement ces lignes à nouveau.
Si automation intégrée est plus votre style, icacls vous permet également stocker et de réappliquer les autorisations de. Vous avez appliqué une fois votre équivalent des sept lignes ci-dessus, exécutez la commande suivante :
icacls C:\Shared /save {fileName} /T
Icacls va analyser la structure d'autorisations pour C:\Shared et créer le fichier identifié dans {fileName}. Comme vous le voyez dans la figure 3 , le contenu de ce fichier est dans un format binaire et, par conséquent, le fichier ne doit pas être ouvert dans un éditeur de texte tel que le bloc-notes. Toutefois, vous pouvez utiliser ce fichier pour réappliquer les autorisations à un moment ultérieur. La syntaxe de commande pour réappliquer les autorisations dans le même dossier est
Figure 3 ’ Icacls enregistrer fonction crée un fichier que vous pouvez réappliquer les autorisations à un ultérieurement Time.
icacls C:\Shared /restore {fileName}
Ainsi, vous disposez d'une solution facile à déployer pour corriger les autorisations lorsqu'ils avez sorties à partir de votre conception d'origine.
Prévision des autorisations
Comme vous l'avez vu, icacls est très utile pour définir et gérer les autorisations. Ce qu'il n'est tellement importante à pas est qui vous permet de visualiser votre structure d'autorisations. Si vous avez trouvé vous-même parcourant l'arborescence de dossier, cliquez avec le bouton droit sur chaque dossier, puis sélectionnez Propriétés pour vérifier l'onglet sécurité de chaque objet, vous savez quelles sont une plaie est. Icacls possède un mécanisme pour l'affichage des autorisations, mais son outil est basé sur du texte et pas totalement utile. Si vous exécutez la commande
icacls C:\Shared /t
icacls répertorie les autorisations sur chaque objet dans votre structure de dossiers entière ; toutefois, screenfuls du texte passage par la surveillance n'est aucun moyen de trouver un perm rompu.
Une bien meilleure idée est de télécharger le libre Outil AccessEnum. AccessEnum est une application très simple qui vous permet de visualiser les autorisations affectées à une structure de dossier spécifique. Plus précisément, lorsque vous ciblez AccessEnum vers un dossier niveau supérieur dans une arborescence de dossiers, l'outil analyse les fichiers et dossiers sous et les états en où les autorisations sont différentes du parent.
Cette vue différence des autorisations vous aide à trouver où autorisations ont été mal configurées. Il fonctionne en raison de la façon naturelle dans lequel les autorisations sont définies dans une structure de dossiers. Si vous revenez à la figure 1 , vous verrez comment bien conçue lecture autorisations présentent généralement vers le bas de niveau supérieur. Modifier les autorisations sont définies à des niveaux spécifiques vers le bas la structure lorsque les utilisateurs changent de lecteurs aux collaborateurs. Affichage de différence de AccessEnum prend en charge cette en masquant les autorisations qui ne changent pas et d'exposer uniquement celles qui. la figure 4 illustre comment affichage d'AccessEnum peut se présenter lorsque appliqué à l'exemple de structure de dossier de cette colonne.
La figure 4 AccessEnum aide à visualiser votre structure d'autorisations.
Le résultat de l'utilisation icacls et AccessEnum doit être une application plus cohérente des autorisations au sein de vos serveurs de fichiers. Un résultat plu sera un niveau supérieur de la sécurité des données, comme vous allez être assuré que vos utilisateurs peuvent accéder seuls les fichiers et les dossiers de sens pour les.
Cette description courte concerne uniquement la surface d'autorisations Windows et comment ils peuvent être appliqués. Via outils tels qu'icacls, vous pouvez définir les autorisations s'appliquent à un seul dossier avec aucun héritage dans les dossiers ci-dessous, utiles où vous souhaitez autoriser l'accès à une couche unique uniquement. Vous pouvez définir des niveaux d'intégrité des données qui nécessite un traitement spécial quel quels contrôles discrétionnaires lui appliquer. Vous pouvez même rechercher des fichiers et des autorisations sur ensemble de structures lorsque cela est nécessaire. Par conséquent, obtenir vos mains hors que la souris et architecture d'autorisations à partir de la command line.
Greg Shields , MVP, est un partenaire à technologie concentré. Obtenir plus de Grégoire Jack-of-all-Trades conseils et astuces à www.ConcentratedTech.com.