Zoals zovelen werken wij in een Windows netwerkomgeving - momenteel Windows Server 2003 omgeving.
Wat onze F&P server betreft, werd de mappenstructuur origineel opgebouwd destijds onder NT4, vervolgens gemigreerd naar W2K server om nogmaals te migreren tot W2K3. Intussen zijn uiteraard diverse aanpassingen gebeurt: aanmaken, aanpassen, verwijderen van mappen, maar ook de security werd continu bijgewerkt (soms ad-hoc beleid).
Het komt erop neer dat we eigenlijk het overzicht (een beetje) kwijt zijn: wie heeft toegang tot welke mappen, of maw, de seurity-instellingen per map.
Ik vroeg me af of er geen tool bestaat die de Acces Control List in een matrix vorm kan gieten, van gans het netwerk? Dit zou dan als basis dienen om gans ons "systeem" eens grondig te herzien.
| Auteur | Bericht |
|---|---|
|
|
|
|
|
|
De bekende ACL-spaghetti dus.
Om de ACLS op te lijsten kan met verschillende tools: 1. Via het CACLS-commando, waarbij je een script moet maken om van eelke folder de ACLS op te vragen. Je moet dan wel nadien al die tekst gaan parsen om dat in een matrix te kunnen zetten, maar je kan er al heel wat mee. Een voorbeeld vind je op http://www.codeproject.com/KB/vbscript/VBScript_ACL_Crawl.aspx 2. De uitgebreide versie van CACLS, XCALCS geeft je wat meer mogelijkheden, o.a. om recursief door de folders te bladeren, maar het blijf nadien natuurlijk ook weer parsen van de gegevens. Info op http://support.microsoft.com/kb/825751 3. Je kan ook zelf een scriptje in elkaar knutselen en via WMI de ACLs opvragen en formatteren hoe je ze zelf wil Info op http://msdn.microsoft.com/en-us/library/aa390773(VS.85).aspx Voorbeeld op http://blog.svenlandgraf.nl/?p=12 Wat wij gedaan hebben is in onze e-policy de regel gezet dat access permissions bij de mappen van de verschillende diensten op het hoogste niveau ingesteld worden en geen afwijkende rechten toegestaan worden op onderliggende niveaus, en daarnaast nieuwe project- of uitwisselings-mappen aangemaakt. Bij het in voege treden van de e-policy hebben we dan alle rechten doorgekopieerd; je krijgt dan de eerste weken wel af en toe telefoon omdat er op subfolders specifieke rechten staan, maar de gebruikers worden het wel gauw gewoon. Voor de enkelingen die toch nog beveiligde data wilden (vooral diensthoofden die evaluatieverslagen willen opslaan) hebben we dan nog homedrives aangemaakt, en tegenwoordig krijgen we daar geen enkele klacht meer over... |
|
|
|
|
|
Dank John. Het is idd zoiets waarnaar ik op zoek was.
Wellicht past ook dit in het plaatje: http://www.computerperformance.co.uk/vbscript/vbscript_cacls.htm Er valt ook veel te zeggen over jullie e-policy: ik neem de tip mee! |
|
|