Logo faq-o-matic.net
Logo faq-o-matic.net

Wie halte ich die ACLs auf meinem Fileserver sauber?

15 Jan 2006
von veröffentlicht am15. Januar 2006, 16:51 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Administration, Sicherheit, Windows   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 26. September 2013

Wenn man einen oder mehrere Fileserver in Betrieb hat, dann fallen nach einiger Zeit in den ACLs verwaiste Einträge von Benutzerkonten oder Gruppenkonten an, die nicht mehr existieren. Wer sich als Administrator dann auch nicht an die von Microsoft vorgeschlagene A-G-DL-P-Strategie hält, macht das Chaos perfekt. Jeder kennt das: wenn man als Administrator unter Zeitdruck steht, fängt man auch einmal ganz schnell an zu „pfuschen“. Aber auch durch eine Migration können solche verwaisten Einträge entstehen. Wie bekommt man aber nun diese verwaisten Einträge wieder los?

Microsoft bietet hier ein Tool mit dem Namen „subinacl“ an , was sich kostenfrei auf der Microsoft-Webseite herunterladen lässt.

Download:
http://www.microsoft.com/downloads/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en
Dieses Tool ist unter Windows 2000, Windows XP und auch Windows 2003 Server einsetzbar.

Nehmen wir also an, dass ich einen Fileserver habe, der eine Freigabe „Daten“ hat, in der verschiedene weitere Ordner existieren. In diesen Ordnern wurden über die Jahre die ACLs modifiziert und eventuell auch Benutzer und Gruppen im Active Directory gelöscht. Dadurch existieren die oben genannten verwaisten ACL-Einträge.


(Verwaister ACL-Eintrag)

Jetzt kommt „subinacl“ ins Spiel. Dieses Tool stellt einen Schalter zur Verfügung, der sich „cleandeletedsidsfrom“ nennt. Damit ist es möglich, nicht in Benutzernamen auflösbare SIDs aus den ACLs zu entfernen. Dieser Schalter muss als Parameter den Namen der Domäne bekommen (/cleandeletedsidsfrom=Name der Domäne).
Für mein Szenario ergibt sich daraus folgende Kommandozeile:

subinacl /subdirectories c:\daten\*.* /cleandeletedsidsfrom=domaene

(Achtung! Wenn es sich hier um eine größere Struktur von Ordnern und Dateien handelt, dann sollte man dieses Tool in Zeiten einsetzen, wo nicht gearbeitet wird. Das Tool „Subinacl“ bremst natürlich die Geschwindigkeit des Datenträgers und belastet auch sehr den DC, der zum Abfragen bzw. Aufllösen der SIDs genutzt wird. Subinacl speichert die bereits aufgelösten SIDs zwischen, so dass diese nicht erneut vom DC abgefragt werden müssen.)

Wenn „Subinacl“ seine Arbeit getan hat, dann sollte man folgende Ausgabe in der CMD sehen:


(Ausgabe von „subinacl“)

Zum Schluss ein prüfender Blick in die Sicherheitseinstellungen des Ordners „Buchhaltung“.


(Verwaister ACE wurde von „subinacl“ entfernt)

Subinacl kann natürlich wesentlich mehr und ich empfehle jedem, mal einen Blick auf die Hilfe dieses Tool zu werfen.

Verwandte Beiträge:

  1. Clusterdatenträger mit geringer Downtime in einem 2008 R2 Fileserver-Cluster ersetzen
    Da unsere alte NetApp keinen Support mehr hatte, beschafften wir ein neues Modell. Nun stand ich vor der Herausforderung, den...
  2. Wie kann ich den Besitzer eines Ordners/einer Datei ändern?
    Die offizielle Lesart ist: Das Berechtigungssystem von Windows kennt für Ordner, Dateien und andere Objekte (z. B. ADS-Objekte) nur einen User...
  3. Seminar: Hyper-V sicher und sauber
    Im September und Oktober 2010 werde ich für heise Events an drei Terminen einen Workshop zu Hyper-V halten. Titel: “Hyper-V...
  4. Das lokale Admin-Passwort auf allen PCs ändern
    Windows bringt leider keine einfache Möglichkeit mit, das lokale Administratorpasswort auf allen Rechnern eines Netzwerks zentral zu ändern. Hier muss...
  5. Seminar: Hyper-V sicher und sauber
    Am 13. Juni 2012 werde ich in München wieder das beliebte Seminar “Hyper-V sicher und sauber” für die iX halten....
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=514
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!