質問:ディレクトリ構造(Windows 2003)を監査/検索し、親からアクセス許可を継承しない、または追加のユーザー/グループを追加したフォルダーを見つける良い方法を探しています。
バックストーリー
古いWindows 2003ファイルサーバーを2008 R2ボックスに移行しています。この古いサーバーはNT4から移行されました。現在のフォルダーのほとんどは、古い(非推奨?)Domain \ AdministratorsおよびDomain \ Usersグループを使用します。これらはADのままですが、2008 R2のアクセス許可では使用できません。
したがって、古いサーバーから新しいサーバーにすべての共有データをロボコピーする前に、最初に古い共有のアクセス許可を「近代化」する必要があります。ただし、過去数十年にわたって、一部の[文書化されていない]フォルダーのアクセス許可が変更され、親から継承されないか、ユーザーが追加されました。したがって、それらを見つける方法の私の探求!
回答:
Powershell(Win2003の場合:http : //support.microsoft.com/kb/968929/en-us)とこれにも追加のアドオンモジュール(http://gallery.technet.microsoft.com)を使用することをお勧めします。 / scriptcenter / 1abd77a5-9c0b-4a2b-acef-90dbb2b84e85)。
これは、最初に(startfolderから実行する場合)などでフォルダー構造の継承を取得するのに役立ちます。
get-childitem -Recurse | get-inheritance | export-CSV C:\Inheritance.csv -NoTypeInformation
必要に応じて、Excelまたは他のDBでフィルター処理できるcsv内のすべてのファイルとフォルダーを取得します。
NTFSSecurity Modulのその他の利点は、同様のPowershellスクリプトを使用して移行中に継承またはACLを変更できることです。
たとえば、次のコマンドを使用して、フォルダー(開始フォルダー)の継承を完全に削除できます。
get-childitem | Disable-Inheritance
または、すべてのサブフォルダー/ファイルに対して-recurseスイッチを再度追加します。
これが乾杯を願っています
SetACLを使用すると、これは非常に簡単です。次のように実行します。
SetACL -on "some path" -ot file -actn list -lst f:csv -rec cont
このコマンドは、継承が有効なディレクトリにACEが追加されたか、継承が無効にされて新しいACEが設定されたために、明示的な権限を持つオブジェクトのみから権限を印刷するようSetACLに指示します。
SetACLは、260文字を超えるパスを処理し、現在のアクセス許可に関係なく任意のディレクトリからACEを一覧表示します。つまり、読み取りアクセス権さえ持っていなくても、SetACLが表示し、アクセス許可を表示します(管理者権限が必要)。