Sicherheits-GAU beheben

[TruckerTom 10]

ich habe gerade festgestellt, dass bei einem unserer Kunden folgende Sicherheitskonfiguration existiert:

 

d:\home\benutzer1 gesetzte

Zugriffsrechte: admins, administratoren, benutzer1, system, aber auch JEDER ...

Ich bin fast ausgerastet als ich das gesehen habe.

Gott sei Dank ist das nicht bei jedem Ordner so, bei den Geschäftsführern z.B. nicht. *puuuhhhh *schweissvonstirnwisch

Aber: gibt es ein Tool oder batch oder irgendwas, das ich darüber laufen lassen kann, das mir generell die Rechte auf jeden Ordner auf "Domänen-Admins Voll, System Voll, Benutzername Voll" setzt und alles andere rauslöscht?

 

Danke

Thomas

[Rudman 10]

Hinzufügen inkls aller Unterordner.

Calcs Ordername /T /E /G name@domäne:V (vollzugriff) R (Lesen/ausführen) C ( Schreibrechte.

Löschen inkls aller Unterordner.

Cacls Ordnername /T /E /R name@domäne

 

Also auf ACL Ebene.

[TruckerTom 10]

sorry, ich verstehe gerade nur Bahnhof.

 

ACL-Ebene? Was bedeutet das?

 

Ausserdem ist das Problem ja, dass ich die einzelnen Ordnernamen nicht weiss.

 

Ok, ich kann nicht scripten, aber irgendwie stelle ich mir das so vor:

 

1. auslesen welche ordner es im Ordner "home" gibt

2. für jeden Ordner lösche alle Berechtigungen, und füge dann hinzu:

Gruppe mit Name "Domänen-Admins": Vollzugriff

Gruppe mit Name "System": Vollzugriff

Benutzer mit Name "Ordnername": Vollzugriff

3. schreib mir in eine Log-Datei, wenn es Ordner gegeben hat, wo es den Benutzernamen nicht mehr gibt.

 

Und diese Reihenfolge von mir, kann ich irgendwie mit den zwei Befehlen von Dir nicht lösen, sitze ich gerade auf der Leitung?

[Rudman 10]

D:\home\%username%, dort sind viele Ordner, sicherlich ja.

ACL Access Control List, dort steht drin wer wie berechtigt ist diesen Ordner zu nutzen.

 

Start->ausführen->cmd-> Enter d:

cacls Home /T /E /G Administrator@domäne:V damit hat der Administrator auf Home und Unterordner Vollzugriff.

[TruckerTom 10]

ok, damit kann ich drei Dinge abfangen:

1. domänen-admins die rechte geben

2. domänen-benuzter rechte löschen

3. jeder rechte löschen

 

cmd

d:

cd home

zu 1.: cacls * /T /E /G domänen-admins@domäne:F (den Wert V finde ich nicht wenn ich mir die Hilfe von cacls anschaue)

zu 2.: cacls * /T /E /R domänen-benutzer@domäne

zu 3.: cacls * /T /E /G jeder@domäne

 

Richtig?

 

Und wie schaffe ich es jetzt, dass der entsprechende Benutzer, also der der sich mit dem gleichen Namen anmeldet den der Ordner trägt, auf den Ordner Vollzugriff bekommt?

[B6n 10]

Und wie schaffe ich es jetzt, dass der entsprechende Benutzer, also der der sich mit dem gleichen Namen anmeldet den der Ordner trägt, auf den Ordner Vollzugriff bekommt?

 

 

Ich denke gar nicht. Da Du dem Benutzer auf seinem Ordner keinen Vollzugriff gewähren wirst. Es sein denn Du hast triftige Gründe dafür, mir fällt allerdings gerade keiner ein. Ansonsten könnte der Benutzer ja die Berechtigungen wieder ändern und deine ganze schöne Arbeit wäre dahin.

 

Eventuell geht irgendwas mit der Variable %USERNAME% z.b. %USERNAME%@domain.local

 

%USERNAME% = Name des Angemeldeten Benutzers

[TruckerTom 10]

ok, nachdem ich gerade den Weltuntergang überlebt habe (Golfballgrosse Hagelkörner) mache ich mich mal an die Arbeit, ich muss sie ja machen *ggg

 

 

Doch die Benutzer sollen (natürlich nur unterhalb des eigenen Ordners) Vollzugriff erhalten...

–

So, jetzt habe ich versucht die drei Befehle mal auszuführen, er bricht mittendrin mit "Zugriff verweigert" ab. Ich führe die Befehle als Domänen-Admin aus.

Was kann ich tun, um wenigstens heraus zu finden, an welcher Stelle er abbricht?

Das habe ich rausgefunden, in dem ich einfach per Hand auf jeden Ordner zugegriffen habe.

 

 

Jetzt wollte ich noch die teilweise vorhandenen "Jeder"-Rechte wegnehmen, dann bekomme ich aber die Meldung:

"Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt"

Woher kommt das?

Auch rausgefunden, "jeder" ist nicht Mitglied der Domäne...