我正在尝试找出为什么我可以在一个文件夹中写入内容,而根据我的最佳估计,我不应该能够写入。该文件夹与“所有人”共享,具有“完全控制权”,而文件的限制则更多。我最好的猜测是存在某种子组成员身份允许我写入,但我们的 Active Directory 中存在的组嵌套相当广泛。
是否有一个工具可以告诉我哪些 ACL 条目允许或禁止我在文件夹中写入文件?
这有效权限对话框有点帮助,但我需要的是像“NTFS ACL 跟踪工具”这样的东西,如果存在这样的东西的话。
答案1
尝试来自 sysinternals 的 AccessChk:
为了确保创建了安全的环境,Windows 管理员通常需要了解特定用户或组对资源(包括文件、目录、注册表项、全局对象和 Windows 服务)拥有哪些访问权限。AccessChk 可通过直观的界面和输出快速回答这些问题。
确信它会起作用。
答案2
你应该尝试使用访问枚举。
这将为您提供具有文件和文件夹的 acl 中的读写和拒绝条目的不同安全主体。它也是一种免费工具。
运行报告后,打开它并查看相关文件和文件夹的唯一条目。然后从那里查看有效权限。查找相当手动,但通过进行准备工作,您可以获得非常具体的信息。
答案3
听起来你希望 Windows 通过仅检查最窄的组来缩小这些广泛的权限。但事实并非如此。NTFS 权限是这样确定的:
- 默认情况下,启动时完全无访问权限。
- 积聚全部允许来自全部将它们组合成一大组您可以做的事情。
- 带走全部拒绝来自全部组(因此,任何地方的拒绝都会胜过其他一切)。
因此,如果您授予“Everyone”组完全控制权,而只允许其他组的权限,那么您在“Everyone”组的实际成员资格将赋予您完全访问权限。
答案4
如果您在 smb 共享中设置 acl,则必须在文件系统和共享菜单中设置权限。它可能仅在共享权限中设置为所有人。