ACL de répertoire explosée, je suis dans la panade :(

Ce forum est destiné à accueillir vos posts concernant la sécurité relative aux logiciels microsoft. Ils peuvent aussi bien traiter des systèmes d'exploitation Windows (NT,WIN2K,WINXP), du serveur web IIS, de Microsoft SQL et ainsi de suite...

Modérateur: modos Ixus

ACL de répertoire explosée, je suis dans la panade :(

Messagepar Emerick » 27 Mars 2004 18:23

Alors voilà, le problème est le suivant, j'ai réinstallé windows 2000, il a un bon bout de temps, et là je viens de me rendre compte d'un truc louche, sur une partition ntfs, j'ai plusieurs répertoires qui ont dans les propriétés de sécurité des références à des utilisateurs/groupes qui existaient sur mon ancien windows mais plus sur celui là.

Dans la liste des utilisateurs, ça m'affiche un genre de clé CLSID, et l'icone à côté est une tête avec un point d'interrogation rouge dessus.

Il se trouve que je ne peux plus rien faire sur ces répertoires, ni changer les permissions, ni les supprimer, etc.
Je précise, je suis admin sur la machine :wink:

J'ai essayé avec le programme cacls.exe, mais à chaque fois ça me dit que l'accès est refusé.

Une idée :?:
Image

Il y a des jours où il ne faut pas m'énerver.
Et il y a des jours tous les jours. :-D
Avatar de l’utilisateur
Emerick
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 338
Inscrit le: 07 Sep 2003 00:00
Localisation: Bordeaux

Messagepar Franck78 » 27 Mars 2004 18:28

Dans ce cas normalement tu t'attribues "propriétaire
du dossier".
proprietes / param sécurité avancé
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Emerick » 27 Mars 2004 18:43

En faisant ça, je reprend à peu près le contrôle, mais les fichiers ne peuvent toujours pas être supprimés.

En enlevant l'entrée qui pose problème (cf: plus haut), là je peux supprimer le fichier.
Et en modifiant les permissions pour "Tout le monde" je peux à nouveau supprimer le fichier.

Vraiment bizarre les ACL sous NT :roll: par rapport à Unix.

EDIT : voilà à quoi ressemblait ce que j'expliquais.

Image
Dernière édition par Emerick le 27 Mars 2004 18:56, édité 3 fois au total.
Image

Il y a des jours où il ne faut pas m'énerver.
Et il y a des jours tous les jours. :-D
Avatar de l’utilisateur
Emerick
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 338
Inscrit le: 07 Sep 2003 00:00
Localisation: Bordeaux

Messagepar Franck78 » 27 Mars 2004 18:49

J'ai aussi un dossier comme ça. Déplacable,
renomable, vide, toutes les perms.
Sur XP-pro. Réparation et autres
chkdsk:niet Insupprimable :!:
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar frenk » 27 Mars 2004 19:05

:P
Sous windows pour des raison de confidentialiter méme l'administrateur peux ce voir refuser l'accer à un répertoire.
par exemple par default les profils itinerant sont accessible que par le propriaitaire. et si l'admin s'aproprie le répertoire pour avoir des droits dessus, l'utilisateur ne poura charger sont profils. a moin de modiffier les GPO qui vont bien.
Avatar de l’utilisateur
frenk
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 05 Août 2003 00:00
Localisation: France

Messagepar Franck78 » 27 Mars 2004 19:20

La philosophie du truc sous NT4, c'était que si
l'administrateur s'approprie le répertoire pour s'accorder des droits, l'utilisateur pourra le savoir. Pourquoi ? Parcequ'on ne peut que s'approprier et non pas changer le proprio.
Donc l'utilsateur "devrait" s'en apercevoir qu'il n'est plus proprio.

Enfin ca ne dis pas comment virer le dossier
vérolé que j'ai (et qui ne me gène pas).

Sur l'image, les noms de comptes à rallonge
correspondent au SID de l'utilisateur. L'objet a disparu, mais pas les références à l'objet. Un des premiers nettoyage fait par un vrai système comme netware (depuis la v2, 15 ans)!
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar MoiCVincent » 27 Mars 2004 20:27

A tu essayé d'aller dans le dossier parent et de cocher la case :

Réinitialiser les autorisations sur tous les objets enfants et permettre la propagation des autorisations pouvant être héritées

C'est assez long mais j'ai resolu le probleme comme ca une fois !
Bonne chance !
@+
Noubliez pas , On est sur terre pour vivre !
Image
Avatar de l’utilisateur
MoiCVincent
Contre-Amiral
Contre-Amiral
 
Messages: 395
Inscrit le: 08 Jan 2004 01:00
Localisation: Normandie

Messagepar Emerick » 27 Mars 2004 22:38

Regardez plus haut, j'ai édité un post, j'ai expliqué comment j'ai résolu le problème.

Sinon, j'avais eu un prob plus ou moins similaire en développant une appli de gestion des ACL sous NT4, par erreur j'ai réussi à créer un fichier sans AUCUN droit, et il m'a été impossible de le supprimer même en session administrateur.

Par chance j'avais trouvé un petit programme sur les CD MSDN qui permettait de réinitialiser l'ACL, et c'était rentré dans l'ordre. J'aurai du le garder ce prog. :?

En tout cas, c'est plus pourri que sous Unix, parce que sous unix même si un utilisateur fait un 'chmod 000' sur un fichier, le root peut quand même le supprimer.
Image

Il y a des jours où il ne faut pas m'énerver.
Et il y a des jours tous les jours. :-D
Avatar de l’utilisateur
Emerick
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 338
Inscrit le: 07 Sep 2003 00:00
Localisation: Bordeaux

Messagepar hb » 27 Mars 2004 22:56

j'ai une grosse problématique de migration d'ACL vers un cluster et à force de chercher des outils j'en ai trouvé un genial,mieux que XCALCS
http://sourceforge.net/ et tu cherches SETACL

il permet d'exporter la liste des ACLs dans un fichier type CSV
encuite tu edites le CSV avec EXCEL
ensuite tu re-integres les ACLs avec le fichier CSV modifier

j'ai meme modifier les ACLs des dossiers de mes chefs alors qu'ils sont les seuls à avoir les droits dessus... et ce sans appropriation

attention la syntaxe est un peu déroutante au debut, on ne peut re integre que le format SDDL, c'est à dire que le fichier ne contient que le SID et pas le nom réel
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar Emerick » 27 Mars 2004 23:16

hb a écrit:j'ai une grosse problématique de migration d'ACL vers un cluster et à force de chercher des outils j'en ai trouvé un genial,mieux que XCALCS
http://sourceforge.net/ et tu cherches SETACL

il permet d'exporter la liste des ACLs dans un fichier type CSV
encuite tu edites le CSV avec EXCEL
ensuite tu re-integres les ACLs avec le fichier CSV modifier

j'ai meme modifier les ACLs des dossiers de mes chefs alors qu'ils sont les seuls à avoir les droits dessus... et ce sans appropriation

attention la syntaxe est un peu déroutante au debut, on ne peut re integre que le format SDDL, c'est à dire que le fichier ne contient que le SID et pas le nom réel


Voilà exactement ce qu'il me fallait :biz:
Image

Il y a des jours où il ne faut pas m'énerver.
Et il y a des jours tous les jours. :-D
Avatar de l’utilisateur
Emerick
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 338
Inscrit le: 07 Sep 2003 00:00
Localisation: Bordeaux


Retour vers Logiciels Microsoft

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité