XCACLS, SUNINACL, y otras herramientas de la recuperación
Este artículo es acerca de varias herramientas que pueden ahorrar a los administradores de Windows que saben lo que en el caso de un gran problema de permisos de seguridad a gran escala conlleva.
Aquí hay un escenario ficticio que podemos utilizar para ilustrar el uso de la herramienta XCACLS. Tenemos que mover o copiar un valor de 50 GB de datos que se compone de varios miles de directorios que contienen cientos de miles de pequeños archivos de un sistema de almacenamiento a otro. Estos sistemas a parte de un dominio de Windows 2000 y los permisos son en la definición. Partimos de que la replicación de datos mediante una replicación de favoritos o herramienta de sincronización. Cuando volvemos al día siguiente, todo lo que ha copiado y todo se ve bien. Eso es hasta que intenta tener acceso a los datos.
Los datos se copian, pero que no se pueden usar: Problema de permisos de seguridad
Lo que no sabía, hasta ahora, es que el directorio raíz de la unidad que ha copiado los datos tenía los permisos mal asignados. Además, se ha configurado de tal manera que todos los datos que se colocan en la unidad son escritos con los permisos del directorio raíz. En este caso, se trata de una antigua cuenta que ya no existe. Créalo o no, que puede pasar, y administradores del sistema sabrá lo que estoy hablando. Ahora lo que queda es tratar de averiguar qué hacer. ?Cómo puedo formatear el disco, cambiar los permisos y dejar en el directorio raíz para que sean correctos y empezar todo de nuevo? ¿Cómo puedo hacer los cambios en la unidad de raíz por lo que tienen los permisos correctos y esperar horas y horas hasta que los permisos se propaguen? No, no hay otro, de manera muy rápida de resolver este problema con XCACLS u otra herramienta llamada Subinacl.
XCALCS restablece rápidamente permisos sobre directorios y ficheros
Voy a utilizar XCACLS como la herramienta para corregir este problema. Sin embargo, en estructuras complejas de los permisos, lo más probable es que desee utilizar SUBINACL para solucionar el problema. Voy a hablar brevemente de SUBINACL al final del artículo.
XCACLS es una herramienta que muy rápido puede configurar, quitar, agregar y cambiar los permisos sobre los archivos y directorios. Para el comando siguiente sustituye a todos los derechos de acceso existentes y las cuentas con el de “dmiller” en el archivo “fichero.txt” con acceso de sólo lectura: “xcalcs file.txt /Y /T /G domain\dmiller:r” . A pesar de que es bastante fácil y útil, lo que trata de cambiar todos mis directorios y archivos, que tengo miles, para permitir que el dominio\dmiller para tener acceso completo. Para hacer esto de una manera muy rápida puede ejecutar lo siguiente desde el directorio raíz de la unidad: “for /d %g IN (*.*) DO xcacls “%g” /Y /T /G domain\dmiller:f”. Esto va a ir a través de cada directorio, subdirectorio, y el archivo y reemplazar los permisos actuales con dmiller acceso completo al objeto. Usted tendra que poner “” alrededor de la g% en el ejemplo. Esto no es necesario, pero si tiene los directorios que tienen nombres con espacios en ellos tendrá que tener el “”.
¿De qué otras formas puedo usar XCACLS para cambiar los permisos de seguridad
Para dar algunos ejemplos adicionales de cómo puede utilizar esta herramienta echar un vistazo a los siguientes métodos del sistema de sustitución y la actualización y la eliminación de cuentas y permisos de un gran número de directorios y archivos.
El comando siguiente sustituye a todos los derechos de acceso existentes de una cuenta dmiller con la de leer con los derechos de acceso sólo:
for /d %g IN (*.*) DO xcacls “%g” /Y /T /G domain\dmiller:r
El siguiente comando no sustituye a los permisos de una cuenta existente, en cambio, agrega la cuenta, en el ejemplo de la cuenta del administrador local, con permisos de lectura solamente:
for /d %g IN (*.*) DO xcacls “%g” /Y /E /T /G administrator:r
El siguiente comando elimina la cuenta “administrador”, los permisos de todos los directorios, archivos y subdirectorios:
for /d %g IN (*.*) DO xcacls “%g” /Y /E /T /R administrator
Este comando debe actualizar todos los directorios y sus contenidos para permitir el acceso Administradores de dominio completo:
for /d %g IN (*.*) DO xcacls “%g” /Y /T /G “Domain Admins:f”
Hice una prueba en mi estación de trabajo XP Pro y fue capaz de cambiar los permisos de aproximadamente 10000 directorios y archivos en menos de 1 minuto. En uno de mis servidores he podido conseguir un aumento del 500% en la velocidad. Es tremendamente rápido.
SUBINACL es más complejo
No puedo entrar en detalles acerca de esta herramienta en este artículo, pero te diré lo que puede hacer. Y de nuevo, lo hace muy, muy rápido. Utilizando el mismo escenario que el anterior, digamos que había que corregir los permisos de miles de directorios de origen. En Subinacl, usted puede ir a los directorios y los archivos originales, utilice la herramienta para crear lo que se llama un “juego de archivos”, un archivo de texto que contiene la cuenta de derecha y los permisos de los archivos de origen, a continuación, utilice ese mismo archivo para contar SUBINACL para fijar los permisos en el sistema de almacenamiento de destino, el de permisos.
También puedes ver “cacls”. Este comando es inherente a Windows XP Professional.
Conclusión
Estas herramientas están contenidas en el Windows 2000 y 2003 Kit de recursos de servidor, sin embargo, varios de ellos también existen en Windows XP. Comprobar si no sabemos acerca de ellos. Incluso si usted no tiene ningún uso para ellos ahora puede ahorrar horas de duro trabajo y estrés en el caso de un problema en el futuro con los permisos.