schroeder750 10 Geschrieben 27. Juni 2008 Melden Teilen Geschrieben 27. Juni 2008 Hallo zusammen, habe eben schon mal die Bordsuche beansprucht, habe aber nix passendes gefunden. Bin gerade dabei, unseren Fileserver zu säubern, d.h. SIDs von nicht mehr existenten Usern (ja, es wurde leider auf dem Fileserver sehr viel auf User berechtigt, nicht nur auf Gruppen...) zu löschen. Das macht subinacl mit dem "cleandeleteditemsfrom"-Parameter sehr gut. Ich möchte jetzt nur folgendes per Script mit subinacl erreichen: - Löschen der kompletten ACLs über alle Verzeichnisse - sauberes Setzen von neuen ACLs über alle Verzeichnisse Das sauber neu setzen ist auch kein Problem, was ich nur nicht hinbekomme ist das vorherige Löschen ALLER ACLs. " subinacl /subdirectories D:\*.* /revoke=??? " funktioniert eben nur, wenn man an Stelle der ??? einen Benutzernamen oder eine Gruppe angibt. Wie bekomme ich es mit einer "Wildcard" hin, also etwas in der Art wie: " subinacl /subdirectories D:\*.* /revoke=* " Oder kennt jemand eine andere Möglichkeit, es mit subinacl hinzubekommen, daß man als erstes mal alle ACLs löscht ? Wäre top, wenn da jemand nen kleinen Tip für mich hätte... Danke schonmal im Voraus !! Grüsse schroeder750 Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 2. Juli 2008 Melden Teilen Geschrieben 2. Juli 2008 Moin, Das sauber neu setzen ist auch kein Problem, was ich nur nicht hinbekomme ist das vorherige Löschen ALLER ACLs. mach das doch einfach über cacls.exe. Gruß, Nils Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 2. Juli 2008 Melden Teilen Geschrieben 2. Juli 2008 Probiere es mit dem Schalter /cleandeletedsids. Mach das aber außerhalb der "Geschäftszeiten", je nach Struktur dauert das recht lange und frisst Performance. Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 3. Juli 2008 Autor Melden Teilen Geschrieben 3. Juli 2008 Hy Leute, danke schonmal für die Antworten !! @NilsK: mit cacls.exe habe ich bis dato noch nicht gearbeitet, hättest Du zufällig mal eine Beispielzeile da, die dafür sorgt, daß generell alle bestehenden ACLs gelöscht werden ? Ist immer recht mühsam, sich neben dem Tagesgeschäft in die Parameter einzuarbeiten. Wenn das Rad eh schon erfunden wurde... ;-) Wäre prima... @Rudman: den Switch /cleandeletedsids hatte ich schon ausgeführt (habe in meinem ursprünglichen Post dummerweise "cleandeleteditems" geschrieben, hatte aber diesen Switch gemeint). Der löscht ja generell mal alle "verwaisten" Einträge raus, was auch prima funktioniert hatte. Ich wollte aber eine Möglichkeit ALLE ACLs ins Nirvana zu schicken, auch die der gültigen Benutzer/Gruppen. Sozusagen ein Reset auf Null, um dann via Script sauber die gewünschten neuen Berechtigungen zu setzen. Inzwischen werden wir da aber etwas anders vorgehen. Unser Hauptproblem war, daß die User hier teilweise wirklich Vollzugriff hatten, was natürlich dazu führt, daß die Berechtigungen von den Usern verändert werden können. Völliger Mumpitz, ist aber geschichtlich hier so gewachsen, bevore ich die Abteilung übernommen habe. Ich werde zum richtigen Zeitpunkt einmal manuell mit durchreplizieren alle Berechtigungen entfernen (über die grafische Oberfläche incl. Durchreplizieren in alle Tiefen) und dann anschließend (via subinacl-Script und nur auf Gruppen) die neuen Berechtigungen setzen, für die User aber maximal "Ändern". Das reicht eigentlich völlig aus und mir kann keiner mehr die Berechtigungen verbiegen. Ergo muss ich auch kein Script basteln, welches über Nacht rein präventiv alle Berechtigungen löscht und sauber neue setzt... Ab diesem Zeitpunkt dürfte ja dann Ruhe sein... Grüsse und Danke nochmal !!! schroeder750 Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 3. Juli 2008 Melden Teilen Geschrieben 3. Juli 2008 mit cacls.exe habe ich bis dato noch nicht gearbeitet, hättest Du zufällig mal eine Beispielzeile da, die dafür sorgt, daß generell alle bestehenden ACLs gelöscht werden ? cacls /? ist eigentlich nicht schwer, oder? Aber weil du's bist: cacls C:\Pfad\*.* /T /C /G:Administratoren:F Da du die ACL ja nicht wirklich löschen willst (dann könntest du hinterher ja nicht mehr zugreifen), setzt dies erst mal Vollzugriff für die Admins und löscht alles andere. (Ist jetzt ungetestet, sollte aber so gehen.) Gruß, Nils Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 3. Juli 2008 Autor Melden Teilen Geschrieben 3. Juli 2008 Hy NilsK hast Recht, hätte man selbst auch raustüfteln können, oftmals ist es jedoch so, daß man von 3496 Parametren erstmal erschlagen wird und ne halbe Stunde rumprobiert in welcher Reihenfolge usw... Wie gesagt, speziell mit diesem Toll hab ich noch nie gearbeitet. Bist ein Engel, mein Dank wird Dir ewig nachschleichen !!! :D Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.