—————————-
تتناول_هذه المقالة العديد من الأدوات التي يمكنها حفظ مسؤولي Windows تركز على حدوث مشكلة أمنية كبيرة في الأذونات .
فيما يلي سيناريو خيالي يمكننا استخدامه لتوضيح استخدام أداة XCACLS. نحتاج إلى نقل أو نسخ 50 جيجا بايت من البيانات التي تتكون من عدة آلاف من الدلائل التي تحتوي على مئات الآلاف من الملفات الصغيرة من نظام تخزين إلى آخر. تحدث هذه الأنظمة لجزء من مجال Windows 2000 والأذونات شديدة الدقة في التعريف. نبدأ في تكرار تلك البيانات باستخدام أداة النسخ المتماثل أو المزامنة المفضلة ونذهب بعيدًا في المساء. عندما نعود في اليوم التالي ، تم نسخ كل شيء ويبدو كل شيء على ما يرام. هذا حتى تحاول الوصول إلى البيانات.
تم نسخ البيانات ، لكن لا يمكنني الوصول إليها: مشكلة أمان الأذونات
————————————————–
ما لم تكن تعرفه ، حتى الآن ، هو أن الدليل الجذر لمحرك الأقراص الذي نسخت البيانات إليه قد تم تعيين الأذونات الخاطئة له. بالإضافة إلى ذلك ، تم تكوين الوراثة بحيث تتم كتابة أي بيانات موضوعة على محرك الأقراص باستخدام أذونات الدليل الجذر. في هذه الحالة ، كان حسابًا قديمًا لم يعد موجودًا. صدق أو لا تصدق ، يمكن أن يحدث ذلك ، وسيعرف مسؤولو النظام ما أتحدث عنه. لقد تركت الآن مع محاولة معرفة ما يجب القيام به. هل أقوم بتهيئة محرك الأقراص الجديد وتغيير الأذونات والوراثة في الدليل الجذر بحيث تكون صحيحة والبدء من جديد؟ هل أقوم بإجراء التغييرات على محرك الأقراص الرئيسي بحيث يكون لديهم الأذونات الصحيحة والانتظار لساعات وساعات حتى يتم نشر الأذونات؟ لا ، هناك شيء آخر ،
يقوم XCALCS بسرعة بإعادة تعيين الأذونات على الدلائل والملفات
——————————-
لأن لدي مساحة محدودة في هذه المقالة ، سأستخدم XCACLS كأداة لتصحيح هذه المشكلة. ومع ذلك ، في هياكل الأذونات المعقدة ، ستحتاج على الأرجح إلى استخدام SUBINACL لإصلاح المشكلة. سأتحدث باختصار عن SUBINACL في نهاية المقال.
XCACLS كأداة سريعة جدًا يمكنها تعيين الأذونات وإزالتها وإضافتها وتغييرها على الملفات والدلائل. من أجل intance ، يستبدل الأمر التالي جميع حقوق الوصول الحالية والحسابات بأمر "dmiller" في الملف "file.txt" مع وصول للقراءة فقط: "xcalcs file.txt / Y / T / G domaindmiller: r". على الرغم من أن هذا أمر سهل ومفيد جدًا ، فماذا عن تغيير جميع الدلائل والملفات الخاصة بي ، والتي لدي الآلاف منها ، للسماح لحساب domaindmiller بالوصول الكامل؟ للقيام بذلك بطريقة سريعة جدًا ، يمكنك تنفيذ ما يلي من الدليل الجذر لمحرك الأقراص: "من أجل / d٪ g IN (*. *) DO xcacls“٪ g ”/ Y / T / G domaindmiller: f”. هذا سوف يمر عبر كل دليل ، دليل فرعي ، وملف ويستبدل الأذونات الحالية مع dmiller الذي يتمتع بوصول كامل إلى الكائن. ستلاحظ أنني وضعت "" حول٪ g في المثال. هذا غير مطلوب ،
ما هي الطرق الأخرى التي يمكنني بها استخدام XCACLS لتغيير أذونات الأمان
———————————————————-
لإعطائك بعض الأمثلة الإضافية المفيدة حول كيفية استخدام هذه الأداة ، ألق نظرة على اتبع طرق موجه الأوامر لاستبدال وتحديث وإزالة الحسابات والأذونات من عدد كبير من الدلائل والملفات.
يستبدل الأمر التالي جميع حقوق الوصول الحالية للحسابات بحسابات dmiller مع حقوق الوصول للقراءة فقط:
لـ / d٪ g IN (*. *) DO xcacls “٪ g” / Y / T / G domaindmiller: r
لا يحل الأمر التالي محل أذونات الحساب الحالية ، بل يضيف الحساب ، في المثال حساب المسؤول المحلي ، مع أذونات القراءة فقط:
لـ / d٪ g IN (*. *) DO xcacls “٪ g” / Y / E / T / G مسؤول: r
يزيل الأمر التالي أذونات "المسؤول" الخاصة بالحساب من جميع الدلائل والملفات والأدلة الفرعية: لـ / d٪ g IN (*. *) DO xcacls “٪ g” / Y / E / T / R مسؤول
يجب أن يقوم هذا الأمر بتحديث جميع الأدلة ومحتوياتها للسماح لمشرفي المجال بالوصول الكامل:
لـ / d٪ g IN (*. *) DO xcacls “٪ g” / Y / T / G “Domain Admins: f”
لقد أجريت اختبارًا على محطة عمل XP Pro الخاصة بي وتمكنت من تغيير الأذونات لما يقرب من 10000 دليل وملف في أقل من دقيقة واحدة. على أحد الخوادم الخاصة بي ، تمكنت من تحقيق زيادة في السرعة بنسبة 500٪. إنه سريع للغاية.
SUBINACL أكثر تعقيدًا ولكن الإنسان يستطيع حقًا أن ينقذ اليوم
————————————————–
لا يمكنني الخوض في تفاصيل حول هذه الأداة في هذه المقالة ولكن سأخبرك بما يمكنها فعله. ومرة أخرى ، إنها تفعل ذلك بسرعة كبيرة. باستخدام نفس السيناريو على النحو الوارد أعلاه ، لنفترض أنه كان عليك إصلاح الأذونات لآلاف من أدلة الصفحة الرئيسية. باستخدام SUBINACL ، يمكنك بالفعل الانتقال إلى الدلائل والملفات الأصلية . واستخدام الأداة لإنشاء ما يعرف ."ملف التشغيل" ، وهو ملف نصي يحتوي على الحساب الصحيح والأذونات من الملفات المصدر . ثم استخدام نفس الملف لإخبار SUBINACL لإصلاح الأذونات على نظام التخزين الهدف ، النظام الذي يحتوي على أذونات مخادعة. إنه المنقذ تمامًا إذا وجدت نفسك في هذا النوع من المأزق.
تحقق أيضًا من "CACLS". هذا الأمر متأصل في نظام التشغيل Windows XP Professional.
الخلاصة
———-
هذه الأدوات موجودة في مجموعة أدوات موارد خادم Windows 2000 و 2003 ، ولكن العديد منها موجود أيضًا في بيئة Windows XP. تحقق منها إذا كنت لا تعرف عنها بالفعل. حتى إذا لم يكن لديك أي فائدة لها في الوقت الحالي ، فقد يوفر لك ذلك ساعات من العمل الشاق والضغط في حالة حدوث مشكلة أذونات مستقبلية.