Access Point

0
VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)

Изменение NTFS прав в каталогах домена

admin 18.06.2014

Делается это с помощью утилиты dsacls

В примере эмитируется ситуация, когда в следствии изменения разрешения на запрет чтения для группы  «Прошедшие проверку» пропал доступ к корню домена и конфигурации.

При этом в оснастке «Active Directory — пользователи и компьютеры» появляется ошибка:

Данные из Active Directory — пользователи и компьютеры %HOSTNAME% недоступны из контроллера домена %DCNAME% по причине:
Указанное значение или атрибут службы каталогов не существует.

Пример для домена ad.apmode.ru:

Удаляем все pзапрет для группы «Прошедшие проверку» (Название группы можно глянуть в выводе dsacls DC=ad,DC=apmode,DC=ru)
dsacls DC=ad,DC=apmode,DC=ru /R «Прошедшие проверку»

Добавляем с разрешением на чтение 
dsacls DC=ad,DC=apmode,DC=ru /G «Прошедшие проверку»:GR


Аналогично для конфигурации
dsacls CN=Configuration,DC=ad,DC=apmode,DC=ru /R «Прошедшие проверку»
dsacls CN=Configuration,DC=ad,DC=apmode,DC=ru /G «Прошедшие проверку»:GR

 

В примере эмитируется полная потеря прав для домена ad.apmode.ru:

Стать владельцем:

dsacls DC=ad,DC=apmode,DC=ru /takeownership

Сброс ACL на значение по умолчанию, для каталога и подкаталогов

Для домена
dsacls DC=ad,DC=apmode,DC=ru /S /T 

Для конфигурации
dsacls CN=Configuration,DC=ad,DC=apmode,DC=ru /S /T

 

Аналогично можно сделать для конкретного объекта в Active Directory, а так же схемы.

Leave a Comment

Login to your account

Can't remember your Password ?

Register for this site!