Jemand hat die Berechtigungen für eine Reihe von Maschinen mit cacls geändert, wodurch ein Problem behoben, jedoch ein größeres geschaffen wurde. Ich suche nach Möglichkeiten, dies wieder rückgängig zu machen, aber es scheint nicht so zu sein, wie es war.
Ich habe mit einer Testmaschine repliziert und die Ausgabe ist unten. Ich habe subinacl verwendet, um die Ausgabe zu erhalten.
Änderung vorgenommen mit:
ECHO Y|CACLS C:\APPSYS /t /e /p User1:F
Der Grund für die Änderung der Berechtigungen war, dass einige Dateien von einer als Administrator angemeldeten Person angelegt wurden, für die die Benutzer ebenfalls vollen Zugriff benötigten. Ich möchte trotzdem gerne wissen, wie Sie die usergroup1 zu diesen Dateien hinzufügen können, ohne sich mit den anderen zu beschäftigen, die nicht geändert werden müssen. Es handelt sich nicht um eine statische Liste von Dateien. Einige Maschinen verfügen nur über 1 oder 2 Dateien, andere über 20-50 Dateien, für die der Benutzer1 vollständige Kontrolle benötigt, aber keine Berechtigungen hat.
Vor dem Ausführen von ECHO "Y | CACLS C: \ APPSYS / t / e / p User1: F"
==================== +File C:\APPSYS\BIN ==================== /control=0x400 /owner =PC1125230\ORGUSER /primary group =PC1125230\none /audit ace count =0 /perm. ace count =8 /pace =PC1125230\USERGROUP1 Type=0x0 Flags=0x13 AccessMask=0x1f01ff /pace =builtin\administrators Type=0x0 Flags=0x13 AccessMask=0x1f01ff /pace =system Type=0x0 Flags=0x13 AccessMask=0x1f01ff /pace =PC1125230\ORGUSER Type=0x0 Flags=0x10 AccessMask=0x1f01ff /pace =creator owner Type=0x0 Flags=0x1b AccessMask=0x10000000 /pace =builtin\users Type=0x0 Flags=0x13 AccessMask=0x1200a9 /pace =builtin\users Type=0x0 Flags=0x12 AccessMask=0x4 /pace =builtin\users Type=0x0 Flags=0x12 AccessMask=0x2 ============================= +File C:\APPSYS\ERROR.LOG ============================= /control=0x0 /owner =PC1125230\ORGUSER /primary group =PC1125230\none /audit ace count =0 /perm. ace count =0
Nach dem Ausführen von ECHO "Y | CACLS C: \ APPSYS / t / e / p User1: F"
==================== +File C:\APPSYS\BIN ==================== /control=0x0 /owner =PC1125230\ORGUSER /primary group =PC1125230\none /audit ace count =0 /perm. ace count =9 /pace =PC1125230\User1 Type=0x0 Flags=0x3 AccessMask=0x1f01ff /pace =PC1125230\USERGROUP1 Type=0x0 Flags=0x13 AccessMask=0x1f01ff /pace =builtin\administrators Type=0x0 Flags=0x13 AccessMask=0x1f01ff /pace =system Type=0x0 Flags=0x13 AccessMask=0x1f01ff /pace =PC1125230\ORGUSER Type=0x0 Flags=0x10 AccessMask=0x1f01ff /pace =creator owner Type=0x0 Flags=0x1b AccessMask=0x10000000 /pace =builtin\users Type=0x0 Flags=0x13 AccessMask=0x1200a9 /pace =builtin\users Type=0x0 Flags=0x12 AccessMask=0x4 /pace =builtin\users Type=0x0 Flags=0x12 AccessMask=0x2 ============================= +File C:\APPSYS\ERROR.LOG ============================= /control=0x0 /owner =PC1125230\ORGUSER /primary group =PC1125230\none /audit ace count =0 /perm. ace count =1 /pace =PC1125230\User1 Type=0x0 Flags=0x0 AccessMask=0x1f01ff
Es gibt viele Dateien und Ordner, die für die verschiedenen Maschinen eindeutig sind. Daher versuche ich, eine Methode zu finden, die für alle geeignet ist, ohne jede genaue Datei anzugeben.
Ich habe subinacl verwendet, um den Benutzergruppen zu gewähren, denen beispielsweise der Zugriff auf ERROR.LOG und alle Dateien und Ordner im Ordner APPSYS verweigert wird, da viele Probleme beim Absturz der Anwendungen aufgetreten sind. Dieses Problem wurde behoben, aber ich mache mir Sorgen um die dauerhafte Wirkung der Änderungen, die im Vergleich zu den ursprünglichen Einstellungen vorgenommen wurden.
Vor der Verwendung der subinacl-Methode zum Erteilen von Berechtigungen habe ich versucht, die User1-Berechtigung zu entfernen, aber wieder geht ERROR.LOG nicht so weit zurück, wie es für die Berechtigungen der Fall war. Ich habe es auch mit dem gleichen Unterschied versucht, suppresssid. Ich habe mit dem Testgerät versucht, vor dem Ausführen des Befehls cacls eine Sicherungskopie zu erstellen und dann die Sicherung mit subinacl wiederherzustellen, aber es wurde nicht ordnungsgemäß von dem wiederhergestellt, was ich sehen kann "/ pace = builtin \ users Type = 0x0 Flags = 0x12 AccessMask = 0x4 "wurde aus der ACL entfernt.
Ich habe keine Erfahrung mit Sicherheitsbeschreibungen, es tut mir leid, wenn es schmerzhaft offensichtlich ist oder ich Details ausgelassen habe. Ich habe die letzten 5 Tage und Nächte damit verbracht, zu lesen, was ich tun kann, um herauszufinden, was schiefgegangen ist und wie ich es mithilfe eines Batch-Prozesses beheben kann.
Ich bin auf grundlegende Skripts beschränkt (Windows XP Pro) vb, Batch. Ich kann Werkzeuge aus dem Ressourcenkit und in gewissem Umfang von Drittanbieter-Utils verwenden, muss aber wieder Batch-Skript-Verwendung sein.