Cum sa faci “replace” la permisiunile NTFS

By Andrei Ungureanu - Last updated: Monday, April 18, 2011 - Save & Share - Leave a Comment

Am stat cateva minute gandindu-ma la ce titlu sa pun. Poate si din cauza asta exista foarte putina informatie pe net despre acest subiect. Mai puteam sa-i spun ReACL sau ACL migration.

Ca sa explic putin, o sa dau cateva exemple.

1. File Server in domeniul A. Trebuie sa migrez serverul in domeniul B si din anumite motive translatarea cu ADMT nu functioneaza.

2. File Server standalone (nu radeti ca am vazut si scenariul asta) ce urmeaza a fi migrat la domeniu. Permisiunile sunt date pe grupuri si useri locali si vreau sa le translatez la grupuri de domeniu (pe care cumva va trebui sa le mapez la grupurile locale pentru a nu pierde permisiunile).

3. File Server membru in domeniu dar cu permisiuni date pe grupuri locale, ca deh asa au inteles unii MCSE strategia AGDLP.

Si scenariile mai pot continua dar e suficient deocamdata.

Pentru taskuri de genul asta ar cam fi cateva tool-uri:

Subinacl – un tool foarte puternic dar in acelasi timp plin de bug-uri. In special pe partea de migrare de ACL-uri. Pentru alte taskuri merge chiar bine.

SetACL – foarte interesant la prima vedere dar cu o sintaxa urata si cand vine vorba sa lucrezi cu anumite grupuri locale ii cam da cu virgula.

Sidwalker tools – campionul nostru la exercitiul de azi. Este cea mai buna varianta FREE pentru a translata permisiunile.

Are chiar si un MMC care arata cam asa:

image

image

image

image

image

Dupa ce am facut maparile din MMC putem exporta totul intr-un fisier de mapare:

image

Cum interfata grafica este destul de primitiva si daca avem multe obiecte este imposibil de folosit, ne folosim de ea doar ca sa generam un model al fisierului de mapare. Din momentul acesta tot ce aveti de facut este sa generati fisierul in formatul de mai sus. Vbscript e util dar si mai util e sa stiti Excel (eu nu stiu, dar am pe cine sa intreb la nevoie). Atentie ca o sa aveti nevoie si de SID-urile obiectelor.

image

Eu acum facand doar un test/demo o sa ma folosesc doar de ce am generat cu MMC-ul Sidwalker. Si tit ca test o sa iau un folder unde pun permisiuni pe doua grupuri locale".

image

Rulam Sidwalker:

image

O sa primim erori pentru fiecare entry in ACL caruia nu i-am mapat nimic – asta se datoreaza grupurilor Builtin dar care vreau sa ramana acolo neatinse.

Si iata si rezultatul:

image

Sidwalker poate scana tot sistemul si translata ACL-urile de pe fisiere, share-uri, printere, registry, mai exact cu o singura comanda poti translata tot ce se afla pe acel sistem.

Tineti minte acest tool si rugati-va ca Microsoft sa nu-l uite si sa-l updateze.

Posted in Active Directory, Windows Server • Tags: , , Top Of Page

Write a comment