Legge inn en indexs bruker i flere mapper samtidig

[Elianya]

Hei. Jeg er nyansatt lærling i en IKT-bedrift og har ikke så god peiling enda, så jeg trenger noen tips her.

 

Lederen min ville at jeg skulle finne ut hvordan hun kunne legge til en index bruker i over 1000 mapper, uten å gjøre det manuelt. Altså, å legge inn samme brukeren til alle hjemområdene under en sikker sone i nettverket, uten at de rettighetene til som allerede er der ikke blir endret på, at det kun kommer en ny bruker inn i hvert av hjemområdene. Hun ønsker ikke å manuelt legge inn brukeren i én og én mappe, da dette ville bli veldig tidkrevende. Er det noen enkel måte å gjøre det på?

 

Har googlet mye, men finner ikke noe spesielt.

 

Foreløpig har jeg prøvd å markere flere mapper som allerede har tilgangsrettigheter, og dele dem med en bruker til, men jeg har jo ikke snøring på om jeg har gjort noe som helst riktig. Under avanserte sikkerhetsinstillinger på mappene så havnet den "nye" brukeren jeg la inn under "tillatelser", men den eksisterende brukeren ligger under "delt ressurs".

 

Er dette riktig, eller er jeg helt på bærtur?

[conundrum]

Jeg er ikke sikker på hva du mener med en "index-bruker", men jeg antar at det er snakk om en vanlig brukerkonto?

 

Det er to nivåer med tillatelser på Windows-systemer: tillatelsene i selve filsystemet (under "Security" eller "Sikkerhet" på filen eller mappens egenskaper), og det eldgamle tillatelsessystemet for utdelte mapper i nettverket (under "Deling" eller "Sharing"). Det siste systemet bør du ikke bruke i det hele tatt, men bare gi alle "full tilgang" på det nivået (iflg. Microsofts offisielle anbefalinger).

 

Når det gjelder selve rettighetstildelingen, så husk at filer og mapper i utgangspunktet arver tillatelser fra overordnet mappe. Det betyr f.eks. at lesetilgang på en mappe kalt "Rapporter" også gir lesetilgang til alle filene i mappen, samt alle undermapper og filer i disse. Hvis noen av de 1000 mappene ligger i et hierarki, holder det å gi rettigheter til den øverste mappen.

 

Unntaket er dersom arving av rettigheter er spesifikt deaktivert, noe som typisk er tilfellet for hjemmekataloger. Da må du lage en liste over alle mappene ("dir /b > mapper.txt" burde gjøre susen) og deretter bruke for-kommandoen til å tildele rettigheter på alle mappene med f.eks. icacls-kommandoen. Du må sannsynligvis først ta eierskap over mappene med takeown-kommandoen.

 

Merk: Det er generelt ikke anbefalt å tildele rettigheter til enkeltbrukere, fordi det a) veldig fort blir uoversiktlig (=rot) med masse spesifikke tillatelser i filsystemet, b) etterhvert blir umulig å vite hva brukeren har eller ikke har tilgang til, og c) er vanskelig å endre i ettertid dersom brukeren ikke lenger skal ha disse tillatelsene, eller en annen skal overta rollen/stillingen/funksjonen.

 

Det du bør gjøre, er å opprette en gruppe, melde brukeren inn i gruppen, og så gi gruppen de aktuelle rettighetene. Da kan du også gi gruppen et navn eller en beskrivelse som indikerer hvilke rettigheter den er tildelt.

[Unubtan1um]

hva conundrum sa!! plus tror nok du må utpå skripting for å få dette til.

 

Kanskje batch sammen med Icacls (http://technet.microsoft.com/en-us/library/cc753525.aspx) og en text file som input for mappene som denne gruppen skal ha rettigheter til.

 

Hvet at dette kan virke "skremmende" med førte øyekast, men det er ikke så ill enår du først er i gang.

 

Vil anbefalle å starte med å sette rettigheter på lokale maskin med lokal bruker konto slik at du er sikker på at det funker før du gjøre det i live envirement.

[conundrum]

plus tror nok du må utpå skripting for å få dette til.

 

Det skulle strengt tatt holde med en one-liner, dersom det er snakk om samtlige underkataloger i hjemmeområdet.

for /d %a in (*.*) do ( takeown /f %a /r & icacls %a /grant <bruker/gruppe>:F & icacls %a /setowner %a)

Den siste icacls-kommandoen er et forsøk på å endre eierskapet tilbake til den opprinnelige eieren (strengt tatt ikke nødvendig), og den vil bare fungere dersom katalogene heter nøyaktig det samme som brukerkontoen som normalt skal eie dem (typisk tilfellet for hjemmekataloger).

 

For de som ikke er vant til kommandolinjen, vil nok dette se temmelig gresk ut. Da kan det være greit å ta det gradvis, ett steg av gangen, og jeg støtter absolutt ditt forslag om å opprette en test-filstruktur der man kan prøve og feile uten at det får konsekvenser.

[Elianya]

Jeg er ikke sikker på hva du mener med en "index-bruker", men jeg antar at det er snakk om en vanlig brukerkonto?

 

Det er to nivåer med tillatelser på Windows-systemer: tillatelsene i selve filsystemet (under "Security" eller "Sikkerhet" på filen eller mappens egenskaper), og det eldgamle tillatelsessystemet for utdelte mapper i nettverket (under "Deling" eller "Sharing"). Det siste systemet bør du ikke bruke i det hele tatt, men bare gi alle "full tilgang" på det nivået (iflg. Microsofts offisielle anbefalinger).

 

Når det gjelder selve rettighetstildelingen, så husk at filer og mapper i utgangspunktet arver tillatelser fra overordnet mappe. Det betyr f.eks. at lesetilgang på en mappe kalt "Rapporter" også gir lesetilgang til alle filene i mappen, samt alle undermapper og filer i disse. Hvis noen av de 1000 mappene ligger i et hierarki, holder det å gi rettigheter til den øverste mappen.

 

Unntaket er dersom arving av rettigheter er spesifikt deaktivert, noe som typisk er tilfellet for hjemmekataloger. Da må du lage en liste over alle mappene ("dir /b > mapper.txt" burde gjøre susen) og deretter bruke for-kommandoen til å tildele rettigheter på alle mappene med f.eks. icacls-kommandoen. Du må sannsynligvis først ta eierskap over mappene med takeown-kommandoen.

 

Merk: Det er generelt ikke anbefalt å tildele rettigheter til enkeltbrukere, fordi det a) veldig fort blir uoversiktlig (=rot) med masse spesifikke tillatelser i filsystemet, b) etterhvert blir umulig å vite hva brukeren har eller ikke har tilgang til, og c) er vanskelig å endre i ettertid dersom brukeren ikke lenger skal ha disse tillatelsene, eller en annen skal overta rollen/stillingen/funksjonen.

 

Det du bør gjøre, er å opprette en gruppe, melde brukeren inn i gruppen, og så gi gruppen de aktuelle rettighetene. Da kan du også gi gruppen et navn eller en beskrivelse som indikerer hvilke rettigheter den er tildelt.

Takk for svar

 

Arving er deaktivert, da dette er hjemområder i kommunen, innen helse etc. Derfor inneholder mappene sensitive personopplysninger etc.

Brukeren de vil gi tilgang til mappene, er en som skal kryptere informasjonen i mappene osv, for høyest mulig sikkerhet.

 

Jeg er helt grønn på script og det andre dere snakker om her.. Kanskje jeg ender med å melde inn brukeren manuelt.

Når man oppretter nye hjemområder til brukere nå, legger denne "index" brukeren seg automatisk inn.

[Dapp47]

 

Jeg er ikke sikker på hva du mener med en "index-bruker", men jeg antar at det er snakk om en vanlig brukerkonto?

 

Det er to nivåer med tillatelser på Windows-systemer: tillatelsene i selve filsystemet (under "Security" eller "Sikkerhet" på filen eller mappens egenskaper), og det eldgamle tillatelsessystemet for utdelte mapper i nettverket (under "Deling" eller "Sharing"). Det siste systemet bør du ikke bruke i det hele tatt, men bare gi alle "full tilgang" på det nivået (iflg. Microsofts offisielle anbefalinger).

 

Når det gjelder selve rettighetstildelingen, så husk at filer og mapper i utgangspunktet arver tillatelser fra overordnet mappe. Det betyr f.eks. at lesetilgang på en mappe kalt "Rapporter" også gir lesetilgang til alle filene i mappen, samt alle undermapper og filer i disse. Hvis noen av de 1000 mappene ligger i et hierarki, holder det å gi rettigheter til den øverste mappen.

 

Unntaket er dersom arving av rettigheter er spesifikt deaktivert, noe som typisk er tilfellet for hjemmekataloger. Da må du lage en liste over alle mappene ("dir /b > mapper.txt" burde gjøre susen) og deretter bruke for-kommandoen til å tildele rettigheter på alle mappene med f.eks. icacls-kommandoen. Du må sannsynligvis først ta eierskap over mappene med takeown-kommandoen.

 

Merk: Det er generelt ikke anbefalt å tildele rettigheter til enkeltbrukere, fordi det a) veldig fort blir uoversiktlig (=rot) med masse spesifikke tillatelser i filsystemet, b) etterhvert blir umulig å vite hva brukeren har eller ikke har tilgang til, og c) er vanskelig å endre i ettertid dersom brukeren ikke lenger skal ha disse tillatelsene, eller en annen skal overta rollen/stillingen/funksjonen.

 

Det du bør gjøre, er å opprette en gruppe, melde brukeren inn i gruppen, og så gi gruppen de aktuelle rettighetene. Da kan du også gi gruppen et navn eller en beskrivelse som indikerer hvilke rettigheter den er tildelt.

Takk for svar

 

Arving er deaktivert, da dette er hjemområder i kommunen, innen helse etc. Derfor inneholder mappene sensitive personopplysninger etc.

Brukeren de vil gi tilgang til mappene, er en som skal kryptere informasjonen i mappene osv, for høyest mulig sikkerhet.

 

Jeg er helt grønn på script og det andre dere snakker om her.. Kanskje jeg ender med å melde inn brukeren manuelt.

Når man oppretter nye hjemområder til brukere nå, legger denne "index" brukeren seg automatisk inn.

 

 

Jeg hadde hvertfall opprettet en gruppe for å slippe og måtte gjøre den jobben der om igjen nestegang du får beskjed om at det kommer en ny bruker som trenger de samme tilgangene.

 

Du bare oppretter en gruppe i AD og legger brukeren til. Så gir du denne gruppen tilgang istedenfor brukeren.

[sogndal94]

Kva OS blir det kjøyrt på Kontroller(og forrest nivå) og klient?

Standard måten å gjere dette på er via ei gruppe, som nemdt tidligare.

Dette er vel noko dykk har lært tidligare på IKT-serv?

[Elianya]

Kva OS blir det kjøyrt på Kontroller(og forrest nivå) og klient?

Standard måten å gjere dette på er via ei gruppe, som nemdt tidligare.

Dette er vel noko dykk har lært tidligare på IKT-serv?

Går gjennom windows server 2008. Resten er jeg litt usikker på, fikk bare beskjed om å finne ut hvordan man la til en bruker i 1000mapper uten å gjøre det manuelt. Og arving av rettigheter etc. var ikke en mulighet.

 

Som sagt kan jeg ikke lage grupper, da hver eneste bruker kun skal ha tilgang til sitt eget hjemområde. Det omhandler sensitive personopplysninger, så det må være sikkert og grundig.

Endret 28. august 2014 av Elianya

[conundrum]

Arving er deaktivert, da dette er hjemområder i kommunen, innen helse etc.

 

Makes sense. Arving er vanligvis deaktivert på hjemmeområder uansett.

 

Brukeren de vil gi tilgang til mappene, er en som skal kryptere informasjonen i mappene osv, for høyest mulig sikkerhet.

 

Det gir mening at en konto tildeles rollen som har med kryptering å gjøre. Normalt gir ikke mening at denne rollen ikke tildeles en gruppe, med dette ser ut som en tjenestekonto som ikke er tildelt en spesiell person og bare benyttes til denne funksjonen, så da er det forsåvidt OK. Rotete, men greit nok.

 

Jeg er helt grønn på script og det andre dere snakker om her.. Kanskje jeg ender med å melde inn brukeren manuelt.

 

Du må ikke finne på å gjøre dette manuelt. Det vil ta ti ganger lenger tid å gjøre det, enn å:

• lære seg litt scripting/kommandolinjebruk
• prøve ut kommandoene på et testmappesett
• utføre selve oppgaven

Og dessuten lærer man ingenting av timer med meningsløs busywork-museklikking i et Explorer-vindu.

 

Scripting og kommandolinje er ikke spesielt vanskelig, og man kan gjøre ting med et par tastetrykk som ville krevd hundrevis eller tusenvis av museklikk. Microsoft fokuserer stadig mer på kommandolinjen PowerShell, og ikke uten grunn.

 

Men gode, gamle CMD, også kjent som "DOS-vinduet" er heller ikke dum. Ta f.eks. denne kommandoen:

for %a in (*.docx) do winword.exe "%a" /mFilePrintDefault

"For"-kommandoen lager en sløyfe, en "loop", der variabelen "%a" stadig endrer verdi etter kriteriene i parentesene. Som standard vil "for"-kommandoen anta at man refererer til filer i gjendende arbeidskatalog.

 

Hvis dette kjøres i en mappe med et antall filer som heter noe med ".docx" (stjernen er et jokertegn), vil kommandoen bak "do" bli kjørt én gang for hver fil. Hver gang vil Word (winword.exe) bli startet, og sendt en spesialkommando ("/mFilePrintDefault") som gjør dokumentet skrives ut til standardskriver. (OK, man må nok angi hele filbanen tin winword.exe, men for enkelhets skyld utelot jeg den.)

 

Det kan stå hva som helst bak "do", både interne kommandoer og referanser til andre programmer (som f.eks. Word).

 

To the task at hand: Det du må gjøre for å legge til denne "index"-brukeren i en hjemmemappe (uansett om man bruker kommandoer eller Explorer), er:

1. Ta eierskap på mappen (siden den eies av brukeren), slik at du kan endre rettighetene
2. Gi "index"brukeren de aktuelle rettighetene (les + skriv høres ut som et minimum)
3. Evt. tilbakestille eierskapet til den opprinnelige eieren

Dersom arving fra selve hjemmemappen er aktivert (noe det skal være på hjemmeområder), er dette alt som skal til. Du bør også vurdere å endre eierskapet tilbake til den aktuelle brukeren.

 

Hvis dette området heter f.eks. "F:\Home", vil kommandoene bli som følger:

f:\
cd \Home

(Skifter til F:-stasjonen og mappen "\Home" som gjeldende arbeidskatalog)

for /d %a in (*.*) do takeown /f "%a"

(Parameteret /d bak "for" betyr "directories", altså mapper. %a vil loope gjennom alle mappenavnene i gjeldende katalog, og kjøre "takeown /f" på alle sammen.)

for /d %a in (*.*) do icacls "%a" /grant index:F

(Den noe merkelig navngitte kommandoen "icacls" manipulerer Access Control Lists, altså rettighetene, på filer og mapper. "/grant index:F" gir brukeren "index" rettigheten "Full Access".)

for /d %a in (*.*) do icacls "%a" /setowner "%a"

(Hvis dette er et typisk Windows-nettverk, har hjemmemappene det samme navnet som brukeren. Dermed vil ovenstående kommando tilbakestille eierskapet til originalbrukeren.)

 

Og det skulle være det hele. Dette må selvsagt testes før man prøver det "live", og det kan du lett gjøre ved å opprette en testbruker og bare angi det spesifikke navnet i "for"-kommandoen:

for /d %a in (testbruker) do takeown /f "%a"
 
for /d %a in (testbruker) do icacls /f "%a" /grant annentestbruker:F

for /d %a in (testbruker) do icacls /f "%a" /setowner "%a"

Hvis alt ser greit ut i Explorer etterpå, er du klar til å gjøre dette på alle kontoene. Sørg for å gjøre dette like etter at backup er kjørt, i tilfelle du gjør noe galt underveis. (Det rådet gjelder forsåvidt også dersom dette skulle gjøres manuelt.)

[Snylter]

Nå bør vel gjerne brukerne ikke ha ownership til disse mappene, så dersom de har det vil det være positivt å fjerne det slik jeg ser det.

 

Eierskapet bør en sentral administrator ha, brukerne bør heller ikke ha full tilgang men bare modify til egen hjemmekatalog.