Jak usunąć SIDy z ACL w katalogach

Jednym z pewnych problemów na jakie prędzej, czy później natknie się każdy Administrator systemów Windows, to bałagan w uprawnieniach. Pomijając samą metodologię, narzędzia i wewnętrzne procedury jakie stosujecie aby zapewnić bezpieczeństwo i przejrzystość uprawnień w swoich środowiskach, sporo problemów wynika z naturalnych właściwości ACL Windows. Jedną z takich właściwości jest to, iż po skasowaniu konta, czy grupy, w ACL pozostaje SID. Dzisiaj podpowiem, jak tych SIDów się pozbyć, by zwiększyć nieco przejrzystość naszych uprawnień i nieco poprawić wydajność serwerów plików.

Na początku zachęcam Was, do zapoznania się z projektem o nazwie SETACL, który do niedawna mogliśmy znaleźć na stronie sourceforge.net, a dzisiaj ma swoją własną stronę. Jest to narzędzie działające w GUI albo wierszu poleceń – my dzisiaj omawiamy to drugie 🙂
Program SETACL.EXE (dla Windows 32 i 64 bit) ściągniecie z:
http://files.helgeklein.com/downloads/SetACL/current/SetACL%20(executable%20version).zip

Jak znaleźć SIDy w katalogach na dysku?

Jak zwykle jest kilka sposobów, ale polecam wam właśnie SETACL, gdyż tutaj jednym poleceniem możecie odnaleźć te katalogi, do których przypisany jest SID:

setacl -on D:\ -ot file -actn list -lst oo:y;f:tab -rec cont

Wynik polecenia może być bardzo długi, więc może warto duży dysk skanować etapami (ścieżka po ścieżce). Jak zawsze, zachęcam do przekierowania wyniku do pliku za pomocą dopisku „>plik.txt” lub wyświetlania go etapami poleceniem „more”.

Jak skasować SIDy z katalogów?

Wszystkie SIDy, ze wszystkich domen, skasujemy poleceniem:

setacl -on D:\ -ot file -actn delorphanedsids

Gdybyście chcieli skasować tylko z wybranej domeny, pozostawiając na przykład SIDy kont lokalnych, to z pomocą przyjdzie nam program SUBINACL, którego już parę razy używaliśmy na naszym blogu:)

subinacl /subdirectories c:\* /cleandeletedsidsfrom=twoja_domena

Oczywiście, w miejscu “twoja_domena” podajemy nazwę swojej domeny 🙂

To tyle na dziś 🙂 Warto dbać o “czystość” naszych serwerów plików, gdyż z przyrostem wpisów ACL, pogarsza się ich wydajność.
Przy okazji, zachęcam do odświeżenia sobie artykułu o tłumaczeniu nazwy konta na SID I Vice Versa.

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

1 Response

  1. Qba pisze:

    Subinacl nie usuwa sid-ów a setacl po usunięciu sidów z podkatalogu na którym wyłączona jest propagacja uprawnień włącza dziedziczenie i dodaje uprawnienia z katalogu nadrzędnego. Czyli inaczej – kupa. Dobrze że przetestowałem na boku bo miałbym w plecy 1,5 terabajta danych z chaosem w uprawnieniach.

Dodaj komentarz