ACL de répertoire explosée, je suis dans la panade :(

[Emerick]

Alors voilà, le problème est le suivant, j'ai réinstallé windows 2000, il a un bon bout de temps, et là je viens de me rendre compte d'un truc louche, sur une partition ntfs, j'ai plusieurs répertoires qui ont dans les propriétés de sécurité des références à des utilisateurs/groupes qui existaient sur mon ancien windows mais plus sur celui là.

Dans la liste des utilisateurs, ça m'affiche un genre de clé CLSID, et l'icone à côté est une tête avec un point d'interrogation rouge dessus.

Il se trouve que je ne peux plus rien faire sur ces répertoires, ni changer les permissions, ni les supprimer, etc.
Je précise, je suis admin sur la machine

J'ai essayé avec le programme cacls.exe, mais à chaque fois ça me dit que l'accès est refusé.

Une idée

[Franck78]

Dans ce cas normalement tu t'attribues "propriétaire
du dossier".
proprietes / param sécurité avancé

[Emerick]

En faisant ça, je reprend à peu près le contrôle, mais les fichiers ne peuvent toujours pas être supprimés.

En enlevant l'entrée qui pose problème (cf: plus haut), là je peux supprimer le fichier.
Et en modifiant les permissions pour "Tout le monde" je peux à nouveau supprimer le fichier.

Vraiment bizarre les ACL sous NT par rapport à Unix.

EDIT : voilà à quoi ressemblait ce que j'expliquais.

[Franck78]

J'ai aussi un dossier comme ça. Déplacable,
renomable, vide, toutes les perms.
Sur XP-pro. Réparation et autres
chkdsk:niet Insupprimable

[frenk]

Sous windows pour des raison de confidentialiter méme l'administrateur peux ce voir refuser l'accer à un répertoire.
par exemple par default les profils itinerant sont accessible que par le propriaitaire. et si l'admin s'aproprie le répertoire pour avoir des droits dessus, l'utilisateur ne poura charger sont profils. a moin de modiffier les GPO qui vont bien.

[Franck78]

La philosophie du truc sous NT4, c'était que si
l'administrateur s'approprie le répertoire pour s'accorder des droits, l'utilisateur pourra le savoir. Pourquoi ? Parcequ'on ne peut que s'approprier et non pas changer le proprio.
Donc l'utilsateur "devrait" s'en apercevoir qu'il n'est plus proprio.

Enfin ca ne dis pas comment virer le dossier
vérolé que j'ai (et qui ne me gène pas).

Sur l'image, les noms de comptes à rallonge
correspondent au SID de l'utilisateur. L'objet a disparu, mais pas les références à l'objet. Un des premiers nettoyage fait par un vrai système comme netware (depuis la v2, 15 ans)!

[MoiCVincent]

A tu essayé d'aller dans le dossier parent et de cocher la case :

Réinitialiser les autorisations sur tous les objets enfants et permettre la propagation des autorisations pouvant être héritées

C'est assez long mais j'ai resolu le probleme comme ca une fois !
Bonne chance !
@+

[Emerick]

Regardez plus haut, j'ai édité un post, j'ai expliqué comment j'ai résolu le problème.

Sinon, j'avais eu un prob plus ou moins similaire en développant une appli de gestion des ACL sous NT4, par erreur j'ai réussi à créer un fichier sans AUCUN droit, et il m'a été impossible de le supprimer même en session administrateur.

Par chance j'avais trouvé un petit programme sur les CD MSDN qui permettait de réinitialiser l'ACL, et c'était rentré dans l'ordre. J'aurai du le garder ce prog.

En tout cas, c'est plus pourri que sous Unix, parce que sous unix même si un utilisateur fait un 'chmod 000' sur un fichier, le root peut quand même le supprimer.

[hb]

j'ai une grosse problématique de migration d'ACL vers un cluster et à force de chercher des outils j'en ai trouvé un genial,mieux que XCALCS
http://sourceforge.net/ et tu cherches SETACL

il permet d'exporter la liste des ACLs dans un fichier type CSV
encuite tu edites le CSV avec EXCEL
ensuite tu re-integres les ACLs avec le fichier CSV modifier

j'ai meme modifier les ACLs des dossiers de mes chefs alors qu'ils sont les seuls à avoir les droits dessus... et ce sans appropriation

attention la syntaxe est un peu déroutante au debut, on ne peut re integre que le format SDDL, c'est à dire que le fichier ne contient que le SID et pas le nom réel

[Emerick]

j'ai une grosse problématique de migration d'ACL vers un cluster et à force de chercher des outils j'en ai trouvé un genial,mieux que XCALCS
http://sourceforge.net/ et tu cherches SETACL

il permet d'exporter la liste des ACLs dans un fichier type CSV
encuite tu edites le CSV avec EXCEL
ensuite tu re-integres les ACLs avec le fichier CSV modifier

j'ai meme modifier les ACLs des dossiers de mes chefs alors qu'ils sont les seuls à avoir les droits dessus... et ce sans appropriation

attention la syntaxe est un peu déroutante au debut, on ne peut re integre que le format SDDL, c'est à dire que le fichier ne contient que le SID et pas le nom réel

Voilà exactement ce qu'il me fallait