> Tech > Remplacer, supprimer et nettoyer les SID

Remplacer, supprimer et nettoyer les SID

Tech - Par iTPro - Publié le 24 juin 2010
email

Supposons que vous ayez un certain nombre de fichiers auxquels une seule employée - Laurie - peut accéder. Laurie démissionne et est remplacée par Janet, laquelle a besoin d'accéder à  tous ces fichiers. La solution de ce problème est parfois appelée re-ACLing parce qu'elle oblige à  modifier les ACL du

Remplacer, supprimer et nettoyer les SID

fichier un à  un à  partir de la GUI –
très très embêtant. (Je suppose que
vous possédez les fichiers. Dans le cas
contraire, vous devez en prendre possession
– puis user votre souris à  faire
le re-ACLing à  partir de la GUI.) Alors
qu’avec Subinacl, vous pouvez faire la
même chose dans une seule ligne :

subinacl /file * /replace
example\laurie=example\janet
Cette commande examine tous les ACE sur tous les fichiers du répertoire courant et remplace le SID de Laurie par le SID de Janet dans chaque ACE qui fait référence à  Laurie. Vous pouvez même utiliser un SID de remplacement provenant d'un autre domaine, à  la condition que les deux domaines se fassent mutuellement confiance.

Supposons qu'au lieu de remplace le SID de Laurie par celui de Janet, vous vouliez supprimer tous les ACE qui font référence à  Laurie. Vous pouvez alors utiliser l'option /revoke de Subinacl. Ainsi, pour supprimer toutes les traces de Laurie dans le lecteur C:d'un serveur, tapez

subinacl /subdirectories c:\*
/revoke=example\laurie
Subinacl possède aussi une option presque identique, /suppresssid, dotée d'une fonction supplémentaire. Avec ce commutateur, quand le compte utilisateur révoqué possède le fichier, Subinacl remplace le propriétaire du fichier par le groupe Everyone.

Il vous est peut-être arrivé d'examiner la liste de permissions d'un fichier et de voir, à  la place de l'icône utilisateur habituelle, la silhouette d'une tête avec le nom Account Unknown? Cette icône signifie que le compte qui bénéficiait de la permission a été supprimé.
Supposons qu'au lieu de désactiver le compte utilisateur de Laurie, vous l'ayez supprimé. Quand vous ouvrez la GUI ACL sur un fichier qui avait un ACE pour Laurie, Windows Explorer voit un ACE avec un SID particulier - celui provenant de l'ancien compte de Laurie - et interpelle le DC (domain controller) : « Eh ! J'ai obtenu ce SID... Quel est le nom humain de ce compte ? » (Vous constaterez peut-être ce comportement sur un domaine occupé : quand vous ouvrez la boîte de dialogue Properties d'un fichier et allez à  l'onglet Security, vous voyez d'abord des SID puis, après quelques secondes, les SID sont remplacés par des noms de comptes. Le délai résulte du temps qu'il faut au serveur pour demander au DC d'examiner les noms de comptes et le temps qu'il faut au DC pour répondre.) Comme le compte de Laurie est supprimé, il n'existe pas de nom à  associer au SID spécifié - d'où le label Account Unknown. Au bout d'un certain temps, les ACL de votre entreprise risquent d'être surchargés par ces reliquats. Subinacl peut les nettoyer avec l'option /cleandeletedsidsfrom (qui doit préciser le domaine) :

subinacl /subdirectories c:\*
/cleandeletedsidsfrom=example

Téléchargez gratuitement cette ressource

Cloud hybride : 4 Stratégies de réussite

Cloud hybride : 4 Stratégies de réussite

Que vous souhaitiez développer ou renforcer votre approche du Cloud hybride, évaluer les meilleures options ou encore enrichir votre processus de prise de décision, découvrez dans ce Guide, 4 stratégies de Cloud hybride alignées avec vos objectifs business & technologiques.

Tech - Par iTPro - Publié le 24 juin 2010