iT邦幫忙

1

Windows ACL權限模擬工具?

Ryan 2025-01-22 13:32:361368 瀏覽
  • 分享至 

  • xImage

Hi 各位好

想請問一下,關於Windows Fileserver上面有設定不少資料夾,以及賦予特定的權限,但有時候資料結構多且深,還有牽扯到繼承問題,也不太方便一直切換使用者帳號逐一測試,想請問,有沒有關於權限的模擬測試軟體。
目前有測試過一些指令,但碰到問題,像是"Domain User"或是其他群組,如果使用檢查名稱後比對就會失敗,所以想詢問一下有沒有好用的工具?可以切換用戶針對多個資料夾模擬有無權限?

權限有繼承不用怕,最怕是有的有,有的沒有,你得一個一個TRY
二樓給的是一個一個看,如果要測試所有的資料夾真的得下指令
先列出查詢的 USER 陣列,再列出 資料夾陣列
然後兩個陣列合併查詢列出所有資料夾的權限清單
假設USER 有一百個,資料夾總共一千個
那就會產生 10萬筆的資料,如果還要精細到檔案,別懷疑,真的有可能會這樣
一百萬個檔案就好,就有一億筆結果 ...
老實說,個人不太確定樓主要幹什麼,但是光看樓主的要求就覺得還是下指令一個一個查會比較保險
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
尼克
iT邦大師 1 級 ‧ 2025-01-22 14:11:44

AccessEnum v1.35
可以列出權限。

看更多先前的回應...收起先前的回應...
Ryan iT邦新手 1 級 ‧ 2025-01-22 14:26:48 檢舉

列出我已經有使用指令對照了,但他不能模擬使用者吧?

froce iT邦大師 1 級 ‧ 2025-01-22 16:01:14 檢舉

這會幫你掃描所有子資料,並且把有讀/寫權限的使用者/群組列出來,你只要看你需要的資料夾的權限就能知道某使用者能不能讀寫了,這比模擬還好用吧?

Ryan iT邦新手 1 級 ‧ 2025-01-22 16:16:14 檢舉

如果群組很多,有部門群組,有專案群組混用,逐一比對太花時間,所以才想有沒有類似的工具。

尼克 iT邦大師 1 級 ‧ 2025-01-22 16:45:58 檢舉

我還沒看過可以模擬,等待別人提出。

Ryan iT邦新手 1 級 ‧ 2025-01-22 18:20:27 檢舉

嗯,我是有查了一下,我也沒發現,突發奇想而已。

Powershell 的查詢範例
參考自 https://community.spiceworks.com/t/get-acl-for-folder-and-subfolder-but-exclude-disabled-users/949638/4
查詢某資料夾及其子資料夾的ACL清單

$FolderPath = "\\server\share"
$Users = Get-ADUser -Filter { Enabled -eq $True } | Select-Object SamAccountName

$Report = Get-ChildItem $FolderPath -Recurse -Force | Where-Object { $_.PSIsContainer } | ForEach-Object {
    $ACLs = Get-Acl $_.FullName | Select-Object -ExpandProperty Access
    foreach ($ACL in $ACLs) {
        $User = $ACL.IdentityReference.Value
        if ($Users -contains $User) {
            $Group = $ACL.FileSystemRights.Split(',')[0].Split('=')[1]
            $Type = $ACL.AccessControlType
            $Inherited = $ACL.IsInherited
            $Folder = $_.FullName
            [PSCustomObject]@{
                User      = $User
                Group     = $Group
                Type      = $Type
                Inherited = $Inherited
                Folder    = $Folder
            }
        }
    }
}

$Report | Export-Csv -Path "output.csv"
1
zero
iT邦好手 1 級 ‧ 2025-01-22 19:31:25

檔案總管內建的功能就可以模擬了,我想應該不會有人想開發吧!

https://ithelp.ithome.com.tw/upload/images/20250122/20022284iiPSlsWTsv.png

不管是加帳戶還是群組都能看到權限列表,通常是用帳戶去檢查,

嫌不夠底下還有一個包含群組成員資格的功能,它可以加群組加到你爽為止

https://ithelp.ithome.com.tw/upload/images/20250122/20022284JFbV9SU2ck.png

看更多先前的回應...收起先前的回應...
Ryan iT邦新手 1 級 ‧ 2025-01-24 21:02:02 檢舉

謝謝,我試試看。

Ryan iT邦新手 1 級 ‧ 2025-02-04 17:57:55 檢舉

我想得太美好了,我以為可以針對整個Tree往下測試。

zero iT邦好手 1 級 ‧ 2025-02-05 14:20:08 檢舉

你的問題其實是組織資訊架構問題,

這不是一般檔案系統要協助處理的東西

假設公司有10個專案或者團隊要使用到檔案共享系統

A方案:建一個資料夾當根目錄>底下建立10個專案資料夾

權限套用:根目錄一個權限表,底下10個專案自己的權限表

B方案:建立10個專案資料夾

權限套用:10個專案資料夾有自己的權限表

有管理經驗的人只會往B方案走

走A方案的人,遲早遇到你現在遇到的這種問題

Ryan iT邦新手 1 級 ‧ 2025-02-06 09:11:01 檢舉

實務上很難乾淨切分這兩種情境。

zero iT邦好手 1 級 ‧ 2025-02-06 14:11:37 檢舉

管理的便利性跟使用者的便利性本來就是要互相配合

老闆不懂就要去溝通,讓老闆知道AB方案的優缺點

如果老闆還是那副麻煩是麻煩在你身上,跟我無關

那要嘛就是自己吞,要嘛就是自己寫程式去爬了建表

但是資料只要有人使用就會變化,你能顧到何時?

這不是技術問題,這是資訊管理的問題了,如果還要走稽核

我想這100%不會過關吧,像千層糕的權限表稽核看都不用看

以前垃圾可以不分類大家隨便丟一起進焚化爐處理

現在垃圾還能不分類丟去給焚化爐嗎?

有沒有工具可以做這件事情?

可以再等等看有沒有人有資訊,我是覺得科技再進步

會有新的工具減輕管理需求,但是你這是倒退的需求

權限無法往下繼承,導致要爬每層資料的權限表出來

我覺得這不是常態的正常需求,應該有的機率不大。

我要發表回答

立即登入回答