Jak usunąć SIDy z ACL w katalogach


 

Jednym z pewnych problemów na jakie prędzej, czy później natknie się każdy Administrator systemów Windows, to bałagan w uprawnieniach. Pomijając samą metodologię, narzędzia i wewnętrzne procedury jakie stosujecie aby zapewnić bezpieczeństwo i przejrzystość uprawnień w swoich środowiskach, sporo problemów wynika z naturalnych właściwości ACL Windows. Jedną z takich właściwości jest to, iż po skasowaniu konta, czy grupy, w ACL pozostaje SID. Dzisiaj podpowiem, jak tych SIDów się pozbyć, by zwiększyć nieco przejrzystość naszych uprawnień i nieco poprawić wydajność serwerów plików.

Na początku zachęcam Was, do zapoznania się z projektem o nazwie SETACL, który do niedawna mogliśmy znaleźć na stronie sourceforge.net, a dzisiaj ma swoją własną stronę. Jest to narzędzie działające w GUI albo wierszu poleceń – my dzisiaj omawiamy to drugie :)
Program SETACL.EXE (dla Windows 32 i 64 bit) ściągniecie z:
http://files.helgeklein.com/downloads/SetACL/current/SetACL%20(executable%20version).zip

Jak znaleźć SIDy w katalogach na dysku?

Jak zwykle jest kilka sposobów, ale polecam wam właśnie SETACL, gdyż tutaj jednym poleceniem możecie odnaleźć te katalogi, do których przypisany jest SID:

setacl -on D:\ -ot file -actn list -lst oo:y;f:tab -rec cont

Wynik polecenia może być bardzo długi, więc może warto duży dysk skanować etapami (ścieżka po ścieżce). Jak zawsze, zachęcam do przekierowania wyniku do pliku za pomocą dopisku „>plik.txt” lub wyświetlania go etapami poleceniem „more”.

Jak skasować SIDy z katalogów?

Wszystkie SIDy, ze wszystkich domen, skasujemy poleceniem:

setacl -on D:\ -ot file -actn delorphanedsids

Gdybyście chcieli skasować tylko z wybranej domeny, pozostawiając na przykład SIDy kont lokalnych, to z pomocą przyjdzie nam program SUBINACL, którego już parę razy używaliśmy na naszym blogu:)

subinacl /subdirectories c:\* /cleandeletedsidsfrom=twoja_domena

Oczywiście, w miejscu “twoja_domena” podajemy nazwę swojej domeny :)

To tyle na dziś :) Warto dbać o “czystość” naszych serwerów plików, gdyż z przyrostem wpisów ACL, pogarsza się ich wydajność.
Przy okazji, zachęcam do odświeżenia sobie artykułu o tłumaczeniu nazwy konta na SID I Vice Versa.


Podobne Tematy:

  • Qba

    Subinacl nie usuwa sid-ów a setacl po usunięciu sidów z podkatalogu na którym wyłączona jest propagacja uprawnień włącza dziedziczenie i dodaje uprawnienia z katalogu nadrzędnego. Czyli inaczej – kupa. Dobrze że przetestowałem na boku bo miałbym w plecy 1,5 terabajta danych z chaosem w uprawnieniach.