> Tech > Changer d’ACE (2)

Changer d’ACE (2)

Tech - Par iTPro - Publié le 24 juin 2010
email

L'idée est d'appliquer l'une ou l'autre de ces options à  un arbre de répertoires. Subinacl examine ensuite chaque ACE NTFS, en remplaçant tous les SID de l'ancien domaine par leurs SID correspondants dans le nouveau domaine. Supposons que Mary ait un accès complet, William un accès en lecture et Amy

Changer d’ACE (2)

des permissions de modification
sur le même dossier. Bien que
le domaine ENGINEERING identifie
Mary, William et Amy par leurs SID, le
domaine connaît également leurs noms d’utilisateurs : Mary, William et
Amy, respectivement. Quand le domaine
ENGINEERING trouve l’ACE qui
dit « La personne avec le SID untel a le
contrôle complet », Subinacl examine
le SID et voit qu’il provient du domaine
ENGINEERING. Subinacl contacte
alors le DC (domain controller) dans le
domaine ENGINEERING et demande
« Quel est le nom d’utilisateur pour le
SID untel ? » Ce à  quoi le DC répond
« Mary ». Subinacl contacte alors un DC
dans le domaine ALLOFUS et demande
« Avez-vous des comptes avec le noms
d’utilisateur Mary ? ». En présumant
que le nouveau DC en a, Subinacl supprime
ensuite l’ancien ACE de contrôle
complet qui fait référence au SID de
Mary dans le domaine ENGINEERING
et en crée un nouveau qui donne le
contrôle complet au SID qui correspond
au nouveau compte de Mary
dans le domaine ALLOFUS. Subinacl
répète cette opération pour chaque
ACE qu’il trouve sur une structure de
répertoire entière, tant que le nom
d’utilisateur dans le nouveau domaine
correspond au nom d’utilisateur dans
l’ancien domaine.

La syntaxe du paramètre /changedomain
est la suivante :

subinacl [object] /changedomain=
olddomainname=newdomainname

où object est le type et le nom de la rubrique
pour laquelle vous voulez changer
les ACE et olddomainname et newdomainname
sont les noms des
anciens et nouveaux domaines, respectivement.
Nous avons vu dans l’article
de janvier 2003 que le type d’objet
peut être un fichier (/file), un sous-répertoire
(/subdirectory), une clé de registre
(/keyreg), un share (/share) ou
toute autre valeur. Donc, par exemple,
pour examiner chaque fichier et dossier
dans le lecteur C et pour changer
les éventuels SID du domaine ENGINEERING
en leurs SID correspondants
dans le domaine ALLOFUS, on utilisera
la commande :
subinacl /subdirectories c:\*
/changedomain=engineering=allofus

Le paramètre /migratedomain a la
même syntaxe et le même comportement
que /changedomain, à  une exception
près : au lieu de remplacer les
ACE qui font référence à  l’ancien domaine
par des ACE qui font référence
au nouveau domaine, l’option /migratedomain
complète les ACE qui font référence
à  l’ancien domaine par les ACE
qui font référence au nouveau domaine.
Autrement dit, si un compte de
l’ancien domaine a un accès de
contrôle complet sur un dossier et si
l’on exécute l’option /changedomain,
le compte de l’ancien domaine n’aura
plus accès à  ce dossier. Seul le compte
du nouveau domaine aura l’accès de
contrôle complet au dossier. Mais si
l’on exécute /migratedomain, le
compte de l’ancien domaine et celui
du nouveau ont tous deux le contrôle
d’accès au dossier.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro - Publié le 24 juin 2010