タグ付けされた質問 「access-control-list」

NTFSドライブにアクセス許可を設定するときに誰かが大いに失敗し、すべてのアクセス許可をデフォルトにリセットする方法を探しています。OSは再インストールされますが、ユーザーディレクトリからデータを復旧しようとしています。 FSレベルで暗号化されるデータはありません。 それを達成する方法に関する推奨事項はありますか？

11 permissions  ntfs  access-control-list 

新しいWebサイトのIISアカウントを設定して、アクセス許可を変更できるようにしたいのですが。次のスクリプトがあります。 function Set-ModifyPermission ($directory, $username, $domain = 'IIS APPPOOL') { $inherit = [system.security.accesscontrol.InheritanceFlags]"ContainerInherit, ObjectInherit" $propagation = [system.security.accesscontrol.PropagationFlags]"None" $acl = Get-Acl $directory $user = New-Object System.Security.Principal.NTAccount($domain, $username ) $accessrule = New-Object system.security.AccessControl.FileSystemAccessRule($user, "Modify", $inherit, $propagation, "Allow") $acl.AddAccessRule($accessrule) set-acl -aclobject $acl $directory } しかし、実行すると、次のようなエラーが発生します。 Set-Acl：このワークステーションとプライマリドメイン間の信頼関係が失敗しました。 これはがIIS APPPOOL本物のドメインではないためだと思いますが、一種の偽アカウントの奇妙な接頭辞です。このアカウントを参照して、これを機能させるための正しい方法はありますか？

11 iis  iis-7  asp.net  powershell  access-control-list 

誤って作成された2つのADグループがありますが、代わりに1つのグループしかありませんでした。まったく同じユーザーが含まれています。ただし、これらのグループにはvariuosリソース（ファイル共有など）に対するさまざまなアクセス許可が割り当てられており、すべてを追跡して1つのグループのみを参照するようにリセットすることはできません。 2つのグループのうちの1つを削除して、そのSIDをもう1つのグループのSID履歴に追加すると、2つのグループを「マージ」できますか？これにより、残りのグループのメンバーは、削除されたリソースに権限が付与されているリソースにアクセスできますか？ 更新： ユーザーまたはグループのSIDの履歴にSIDを追加する簡単な方法はないようです。少なくとも、ADUCとADSIEditの両方でこれを行うことはできません。上記のトリックが機能する場合、どのようにこれを実際に達成できますか？

10 active-directory  access-control-list  groups  sid 

ファイルサーバーはIT業界では当たり前のことであり、グループを作成してクライアント上の共有フォルダーへのクライアントアクセスを管理するためのアクセス許可を適用する方法について、一般に受け入れられている慣行（ここでは「ベスト」という言葉を使うのをためらいます）があるかどうか知りたいです。ファイルサーバー。 私の現在の仕事では、ACLの数十のグループから個々のユーザーを直接ファイルシステムに置くだけに至るまで、これを行うためのさまざまな方法をかなり混乱させてしまいました。私の仕事は、混乱を解消し、会社全体でこれに対処するためのある種の標準化された方法（大規模な環境、15万人の従業員、9万人のクライアントコンピューター、数百のファイルサーバー）を考案することでした。 この問題についての私の理解から、保護されたリソースごとに必要なアクセスレベルごとに少なくとも1つのグループが必要であるようです。このモデルは、別のアクセスレベルをサポートする必要がない限り、ファイルシステムのアクセス許可に再度触れる必要がないという点で、最も柔軟性が高いようです。欠点は、複数の共有リソースで同じグループを再利用するよりも多くのグループを作成することです。 ここに私が何を意味するかを示す例があります： FILE01という名前のファイルサーバーに "Test Results"という共有があり、読み取り専用アクセス、読み取り/書き込みアクセス、およびフルコントロールが必要なユーザーがいます。1つの保護されたリソース* 3つのアクセスレベル= 3つのセキュリティグループ。AD環境では、これらをユニバーサルグループとして作成するため、フォレスト内の任意のドメインからユーザー/グループを簡単に追加できます。各グループは共有フォルダとアクセスレベルを一意に参照するため、グループ名にはこれらの「主要な」データが組み込まれ、権限は次のようになります。 "FILE01-Test Results-FC" -- Full Control "FILE01-Test Results-RW" -- Read & Write "FILE01-Test Results-RO" -- Read Only 通常、ビルトインSYSTEMアカウントと、フルコントロールアクセス権を持つビルトインAdministratorsも含まれます。この共有へのアクセス権を実際に誰が取得するかに対する変更は、ACLに触れる必要なく、グループメンバーシップを使用して処理できるようになりました（マネージャー、技術者、QAアナリストなどの特定のビジネスロールを表す「ロール」グループを追加するか、または個人のみ） 1回限りのアクセスのユーザー）。 2つの質問： 1）これは実際にアクセス許可を処理するための推奨または有効なアプローチですか、それともより単純でエレガントなソリューションが欠けていますか？私は特に、継承を使用するソリューションに興味がありますが、物事が変わったときにファイルシステムの大部分を再ACLする必要がないという柔軟性を保持しています。 2）環境内でファイルサーバーのアクセス許可とグループ構造をどのように処理していますか？大規模な環境でも作業している人にはボーナスポイント。

10 active-directory  filesystems  ntfs  access-control-list 

haproxy.confに次の行があります。 acl valid_domains hdr(Host) -i mysite.com images.mysite.com docs.mysite.com admin.mysite.com redirect location http://mysite.com/invalid_domain if !valid_domains サブドメインを一致させるにはどうすればよいですか？ 私は試した： acl valid_domains hdr(Host) -i *.mysite.com そして： acl valid_domains hdr(Host) -i [a-z]+.mysite.com ...しかし、どちらも機能しませんでした。 ありがとう

10 haproxy  access-control-list  regex 

ユーザーが午前6時から午後6時までしかディレクトリにアクセスできないように、その方法でアクセスを制限したいディレクトリがあるとします。PHPを使用して（これを使用してtime()%86400）これを行う方法を知っています。しかし、Apacheの組み込み関数（.htaccessまたはサーバーapache2.conf）または他のmodを使用して完全に実行できますか？

9 apache-2.4  access-control-list 

Powershellを使用して、フォルダーの所有者を再帰的に変更しようとしています。 私は基本的にこのコードを使用しています： $acct1 = New-Object System.Security.Principal.NTAccount('DOMAIN\Enterprise Admins') $profilefolder = Get-Item MyFolder $acl1 = $profilefolder.GetAccessControl() $acl1.SetOwner($acct1) set-acl -aclobject $acl1 -path MyFolder これにより、最初のレベルで所有権が変更されますが、サブフォルダーやファイルの所有権は変更されません。スコープをすべてのコンテンツに拡張する方法はありMyFolderますか？

9 powershell  ntfs  access-control-list  permissions 

私たちのいくつかの開発ワークステーションでは、「このアクセス制御リストは正規の形式ではないため、変更することはできません」という恐ろしいことがありました。特定のフォルダにアクセス許可を設定しようとすると、エラーが発生します。これらのACLを破損している原因を特定することはできません。 今のところ、私がそれを修正する唯一の方法は、破損したフォルダー/ファイルを右クリックし、[プロパティ]を選択して[セキュリティ]タブをクリックすることです。その後、Windowsは破損を認識し、修正を提案します。これは手動なので、ユーザーがいくつかの調査を行って、どのフォルダー/ファイルが破損しているかを調べる必要があるため、私はこれが好きではありません。 これを自動的に行うスクリプトまたはプログラムはどこにありますか？パラメータが表示されていますが、ファイル/フォルダのACLが破損しicaclsていることがわかり/verifyます。何かを修正することはできません。

9 windows  access-control-list 

ファイルシステムでの拡張アクセス許可のサポートに関するこの質問に基づいて、Exchangeを使用するNTFS上のActive Directoryと比較するのに最適なアクセス許可+ディレクトリとメールスタックは何ですか？ 私は、ディレクトリサービス用のOpenLDAP、および電子メールとカレンダー用のScalixに精通しています。この分野で他に良い競争相手はいますか？NovellのNetWareは10年前の私の答えでしたが、それがほとんどなくなったので、「perl-and-duct-tape」以外に、良い代替品は見当たりません。 すなわち-これら（または他の）ツールセットの統合パッケージはありますか？ この質問の要点は、高品質のカレンダー、電子メール、およびディレクトリサービス機能を備えた、完全にADフリーの環境がいかにもっともらしいかを確認することです。 Mac OS X、Linux、またはWindowsで実行できます。この分野で他の人が何をしたか/見た/使用したかを知りたいだけです。

9 active-directory  email  ldap  access-control-list 

次のようにディレクトリにいくつかのACLが定義されています。 # owner: root # group: root user::rwx group::r-- mask::r-x other::r-- default:user::r-- default:group::r-- default:mask::r-x default:other::r-- そのフォルダに作成された新しいファイルをu：apache：r--に、新しいディレクトリをu：apache：rxにしたいと思います。ACLを使用してそのインテントを指定するにはどうすればよいですか？ 私は試してみましたが-dm u:apache:rX、それはちょうどと比べて何も違うようではないようですrx overt htdocs # getfacl . # file: . # owner: root # group: root user::rwx user:apache:r-- group::r-- mask::r-x other::r-- default:user::r-- default:user:apache:r-- default:group::r-- default:mask::r-- default:other::r-- overt htdocs # setfacl -dm u:apache:rx . overt …

9 linux  access-control-list