Supposons que vous ayez un certain nombre de fichiers auxquels une seule employée - Laurie - peut accéder. Laurie démissionne et est remplacée par Janet, laquelle a besoin d'accéder à tous ces fichiers. La solution de ce problème est parfois appelée re-ACLing parce qu'elle oblige à modifier les ACL du
Remplacer, supprimer et nettoyer les SID
fichier un à un à partir de la GUI –
très très embêtant. (Je suppose que
vous possédez les fichiers. Dans le cas
contraire, vous devez en prendre possession
– puis user votre souris à faire
le re-ACLing à partir de la GUI.) Alors
qu’avec Subinacl, vous pouvez faire la
même chose dans une seule ligne :
subinacl /file * /replace example\laurie=example\janetCette commande examine tous les ACE sur tous les fichiers du répertoire courant et remplace le SID de Laurie par le SID de Janet dans chaque ACE qui fait référence à Laurie. Vous pouvez même utiliser un SID de remplacement provenant d'un autre domaine, à la condition que les deux domaines se fassent mutuellement confiance.
Supposons qu'au lieu de remplace le SID de Laurie par celui de Janet, vous vouliez supprimer tous les ACE qui font référence à Laurie. Vous pouvez alors utiliser l'option /revoke de Subinacl. Ainsi, pour supprimer toutes les traces de Laurie dans le lecteur C:d'un serveur, tapez
subinacl /subdirectories c:\* /revoke=example\laurieSubinacl possède aussi une option presque identique, /suppresssid, dotée d'une fonction supplémentaire. Avec ce commutateur, quand le compte utilisateur révoqué possède le fichier, Subinacl remplace le propriétaire du fichier par le groupe Everyone.
Il vous est peut-être arrivé d'examiner
la liste de permissions d'un fichier
et de voir, à la place de l'icône utilisateur
habituelle, la silhouette d'une tête
avec le nom Account Unknown? Cette
icône signifie que le compte qui bénéficiait
de la permission a été supprimé.
Supposons qu'au lieu de désactiver le
compte utilisateur de Laurie, vous
l'ayez supprimé. Quand vous ouvrez la
GUI ACL sur un fichier qui avait un ACE
pour Laurie, Windows Explorer voit un
ACE avec un SID particulier - celui provenant
de l'ancien compte de Laurie -
et interpelle le DC (domain controller)
: « Eh ! J'ai obtenu ce SID... Quel est
le nom humain de ce compte ? » (Vous
constaterez peut-être ce comportement
sur un domaine occupé : quand
vous ouvrez la boîte de dialogue
Properties d'un fichier et allez à l'onglet
Security, vous voyez d'abord des
SID puis, après quelques secondes, les
SID sont remplacés par des noms de
comptes. Le délai résulte du temps
qu'il faut au serveur pour demander au
DC d'examiner les noms de comptes et
le temps qu'il faut au DC pour répondre.)
Comme le compte de Laurie
est supprimé, il n'existe pas de nom à
associer au SID spécifié - d'où le label
Account Unknown. Au bout d'un certain
temps, les ACL de votre entreprise
risquent d'être surchargés par ces reliquats.
Subinacl peut les nettoyer avec l'option /cleandeletedsidsfrom (qui
doit préciser le domaine) :
subinacl /subdirectories c:\* /cleandeletedsidsfrom=example
Téléchargez cette ressource
Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
