Restauration d'ACL avec XCACLS

15 Jun 2007 18:32:21 -0400, Eric - Lucifer <lucifer@hell.com> a écrit:

Bonjoir à tous.

Dans ma boite, je configure les machines XP Pro SP2 en appliquant une image
Ghost type réalisée à partir d'une machine "témoin" (généralement la
première reçue d'un lot identique). Les machines ont une partition pour le
système (C:) et une pour les données et applications (D:)
Malheureusement, je viens de m'apercevoir d'une grosse coquille dans la
restitution des ACL sur C: : Il ne reste que "Tout le monde" en contrôle
total ! Tout le reste, %computername%Administrateurs, System, Createur

la pagaille en enfer voyez-vous ça !

Voici la ligne de commande que j'utilise :
xcacls.vbs C: /E /P %COMPUTERNAME%Utilisateurs:X;X

Je ne suis pas sur de pouvoir t'aider de façon très pointu.
Mais voici ce que je te propose. Indique nous.

1) L'état actuel de l'acl en faute (et celle du répertoire parent)
2) Le résultat souhaité en format ACL
3) La commande complète passée à xcacls
4) Le message de retour

On y verra surement plus clair.


Crest

"Crest Teethgel" <crest@teethgel> a écrit dans le message de news:
op.tt0xmehr1vz4pt@localhost...

15 Jun 2007 18:32:21 -0400, Eric - Lucifer <lucifer@hell.com> a écrit:

Bonjoir à tous.

Dans ma boite, je configure les machines XP Pro SP2 en appliquant une
image
Ghost type réalisée à partir d'une machine "témoin" (généralement la
première reçue d'un lot identique). Les machines ont une partition pour
le
système (C:) et une pour les données et applications (D:)
Malheureusement, je viens de m'apercevoir d'une grosse coquille dans la
restitution des ACL sur C: : Il ne reste que "Tout le monde" en contrôle
total ! Tout le reste, %computername%Administrateurs, System, Createur

la pagaille en enfer voyez-vous ça !

Voici la ligne de commande que j'utilise :
xcacls.vbs C: /E /P %COMPUTERNAME%Utilisateurs:X;X

Je ne suis pas sur de pouvoir t'aider de façon très pointu.
Mais voici ce que je te propose. Indique nous.

1) L'état actuel de l'acl en faute (et celle du répertoire parent)
2) Le résultat souhaité en format ACL
3) La commande complète passée à xcacls
4) Le message de retour

On y verra surement plus clair.


Crest

Bonsoir et merci pour la réponse.

Voici les infos demandés :
1) Etat actuel de l'acl en faute => La racine c: de la partition systeme
(contenant l'install de XP) ne présente que "tout le monde" en contrôle
total pour les dossiers, les sous-dossiers et les fichiers. Ainsi, avec
l'héritage par défaut, tous les dossiers, sous-dossiers et fichiers sous c:
sont dans le même état. Plus de groupe [nom_de_la_machine]administrateurs,
plus de System,... Bref, comme décrit dans mon post originel.

2) Le résultat souhaité en format ACL (qu'entends-tu par format ACL ?) =>
Remettre à la racine c: les acl "par défaut". A savoir :
- [nom_de_la_machine]administrateurs en contrôle total sur ce dossiers, les
sous-dossiers et le fichiers (autorisations standards)
- SYSTEM en "contrôle total" sur ce dossiers, les sous-dossiers et le
fichiers (autorisations standards)
- Createur Propriétaire en "contrôle total" sur ce dossiers, les
sous-dossiers et le fichiers (autorisations spéciales : toutes
autorisations cochées)
- Supprimer les autorisations de "Tout le monde"
- [nom_de_la_machine]utilisateurs en "lecture et exécution" sur ce dossier,
les sous-dossiers et le fichiers (autorisations spéciales : Parcours du
dossier/exécuter le fichier + liste du dossier/lecture de données +
attributs étendus + Autorisation de lecture)
- [nom_de_la_machine]utilisateurs en "création de dossier/ajout de données"
sur ce dossiers et les sous-dossiers (autorisations spéciales : création de
dossier/ajout de données)
- [nom_de_la_machine]utilisateurs en "création de fichiers/écriture de
données" sur les sous-dossiers seulement (autorisations spéciales : création
de fichiers/écriture de données)

3) La commande complète passée à xcacls :
-- Chaque commande est passée indépendemment et dans l'ordre --
xcacls.vbs C: /T /P %COMPUTERNAME%/Administrateurs:F /P SYSTEM:F /P
"CREATOR OWNER":F;987654321
xcacls.vbs C: /E /R "Tout le monde"
xcacls.vbs C: /E /P %COMPUTERNAME%Utilisateurs:X;X /P
%COMPUTERNAME%Utilisateurs:X;22

4) Les messages de retour :

* 1er appel xcacls.vbs pour administrateurs, system et createur
propriétaire - Ok, pas de soucis :
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. Tous droits réservés.

Starting XCACLS.VBS (Version: 5.2) Script at 17/06/2007 03:14:58

Startup directory:
"J:Script ACL"

Arguments Used:
Filename = "C:"
/T (Traverse Directories)
/P (Replace rights)
CREATOR OWNER:F;987654321
MACHINE1/Administrateurs:F
SYSTEM:F

- Changing /P user/group: "CREATOR OWNER" to "CREATEUR PROPRIETAIRE"
- Changing /P user/group: "MACHINE1/Administrateurs" to
"BUILTINAdministrateurs"
- Changing /P user/group: "SYSTEM" to "AUTORITE NTSYSTEM"

**************************************************************************
Directory: C:
Replacing NTFS rights (F access for Files Only) for "CREATEUR PROPRIETAIRE"
Replacing NTFS rights (987654321 access for This Folder Only) for "CREATEUR
PROP
RIETAIRE"
Replacing NTFS rights (F access for This Folder, Subfolders and Files) for
"BUIL
TINAdministrateurs"
Replacing NTFS rights (F access for This Folder, Subfolders and Files) for
"AUTO
RITE NTSYSTEM"
Completed successfully.
**************************************************************************
Operation Complete
Elapsed Time: 4,984375 seconds.

Ending Script at 17/06/2007 03:15:03

* 2eme appel pour supprimer "Tout le monde" - Erreur alors que le groupe
existe :
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. Tous droits réservés.

Starting XCACLS.VBS (Version: 5.2) Script at 17/06/2007 03:19:28

Startup directory:
"J:Script ACL"

Arguments Used:
Filename = "C:"
/E (Edit ACL leaving other users intact)
/R (Revoke rights)
Tout le monde

Can't find Account: "MACHINE1TOUT LE MONDE"
Could not find /R user/group: "Tout le monde" removing from list.
Error: No Groups or Names entered were found, exiting script.

Operation Complete
Elapsed Time: 4,65625 seconds.

Ending Script at 17/06/2007 03:19:33

* 3eme appel pour ajouter le groupe "utilisateurs" - Pas d'erreur mais ce
n'est pas le résultat attendu :
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. Tous droits réservés.

Starting XCACLS.VBS (Version: 5.2) Script at 17/06/2007 03:23:42

Startup directory:
"J:Script ACL"

Arguments Used:
Filename = "C:"
/E (Edit ACL leaving other users intact)
/P (Replace rights)
MACHINE1Utilisateurs:X
MACHINE1Utilisateurs:W
MACHINE1Utilisateurs:7

- Changing /P user/group: "MACHINE1Utilisateurs" to "BUILTINUtilisateurs"
- Changing /P user/group: "MACHINE1Utilisateurs" to "BUILTINUtilisateurs"
- Changing /P user/group: "MACHINE1Utilisateurs" to "BUILTINUtilisateurs"

**************************************************************************
Directory: C:
Replacing NTFS rights (X access for This Folder, Subfolders and Files) for
"BUIL
TINUtilisateurs"
Replacing NTFS rights (W access for This Folder, Subfolders and Files) for
"BUIL
TINUtilisateurs"
Replacing NTFS rights (7 access for Files Only) for "BUILTINUtilisateurs"
Completed successfully.
**************************************************************************

Operation Complete
Elapsed Time: 5,296875 seconds.

Ending Script at 17/06/2007 03:23:47

Voilà. En espérant avoir clarifié la situation et que l'on puisse m'aider à
obtenir le résultat souhaité.

cordialement,

Eric

2) Le résultat souhaité en format ACL (qu'entends-tu par format ACL ?) =>

Je faisais reference a l'output de la commande xcacls (ex. xcacls.exe c:)

Mais ca va tu as bien répondu.
Je vais prendre un peu de temps pour te répondre...


Crest

"Crest Teethgel" <crest@teethgel> a écrit dans le message de news:
op.tt2xzkx61vz4pt@localhost...

2) Le résultat souhaité en format ACL (qu'entends-tu par format ACL ?) =>

Je faisais reference a l'output de la commande xcacls (ex. xcacls.exe
c:)

Mais ca va tu as bien répondu.
Je vais prendre un peu de temps pour te répondre...


Crest

Merci pour ton aide. J'ai continué mes essais toujours infructueux
concernant les permissions du groupe utilisateurs.
Il n'y a vraiment que cette partie qui me pose des problèmes.

J'attends avec impatience ta réponse.

Eric

Bonjour Eric

18 Jun 2007 06:40:58 -0400, Eric - Lucifer <lucifer@hell.com> a écrit:

Merci pour ton aide. J'ai continué mes essais toujours infructueux
concernant les permissions du groupe utilisateurs.
Il n'y a vraiment que cette partie qui me pose des problèmes.

J'attends avec impatience ta réponse.

Ce que je crois qui fait défaut pour le second appel
est dû au fait que l'usager "Tout le monde" ne tolère pas
de préfixe. Donc "BUILTINTout le monde" ou
"MACHINE1Tout le monde" sont illégals.

Pour le troisième appel mentionner une seule fois
BUILTINUtilisateurs:X;X me semble suffisant.
Pour respectivement accès et héritage en "EXecute (Special access)".

Il me semble également que le drapeau /T pourrait être
utilisé dans les 2 cas pour parcourrir toute l'arborescence
en une seule passe.


Cher lucifer@hell.com pourrais-tu m'accorder un gain
important à la lotterie si celà est toujours dans tes cordes.


Merci à l'avance

Crest

"Crest Teethgel" <crest@teethgel> a écrit dans le message de news:
op.tt4rszgw1vz4pt@localhost...

Bonjour Eric

Ce que je crois qui fait défaut pour le second appel
est dû au fait que l'usager "Tout le monde" ne tolère pas
de préfixe. Donc "BUILTINTout le monde" ou
"MACHINE1Tout le monde" sont illégals.

Exact. Il faut mettre le groupe "Tout le monde" tel quel. Je m'en suis
aperçu en continuant mes essais.

Pour le troisième appel mentionner une seule fois
BUILTINUtilisateurs:X;X me semble suffisant.
Pour respectivement accès et héritage en "EXecute (Special access)".

Oui, c'est la conclusion à laquelle je m'attendais. Les ACL positionnés par
défaut par le système sont plus compliquées que çà mais cela revient au même
en fin de compte. Je me suis focalisé sur les autorisations spéciales que je
ne parvenais pas à refaire tels qu'à l'origine.

Je vais voir s'il y a des implications (failles) de sécurité si j'utilise
simplement BUILTINUtilisateurs:X;X. Dans tous les cas, ce sera toujours
moins grave que "Tout le monde" en contrôle total...
Ce qui m'inquiète le plus ce sont les possibles interactions avec des
applications spéciales qui demanderaient des permissions étendues pour les
utilisateurs. Mais çà, je crois que je gèrerai au coup par coup.

Il me semble également que le drapeau /T pourrait être
utilisé dans les 2 cas pour parcourrir toute l'arborescence
en une seule passe.

Pas certain que ce soit une bonne idée. Je travaille directement sous la
racine C:. Il y a un héritage "naturel" des ACL sur les sous-dossiers. Si je
force la récursivité, je risque de coller des permissions bancales sur des
dossiers systèmes qui devraient rester "protégés".

Je pense notamment aux dossiers protégés par XP. Le remède ne sera-t-il pas
pire que le mal ?

Cher lucifer@hell.com pourrais-tu m'accorder un gain
important à la lotterie si celà est toujours dans tes cordes.

:-) Visiblement, mon pseudo t'interpelle ! Il fait, en fait, référence à mon
site web perso (aller, un peu de pub gratuite : http://www.infernoweb.net).
Comme je contribue sur pas mal d'autres newsgroup, je ne change pas de
profil en fonction du group. Alors je colle Eric (mon prénom) à mon pseudo.

Ceci mis à part, si tes conseils sur mon problème me permettent de me
dépatouiller de la mouise où je suis, je m'arrangerai pour sacrifier une
vierge pour te conférer un gain conséquent à la lotterie. ;-)

Merci à l'avance

C'est moi qui te remercie de ton aide bien plus substentielle.

Crest

Amicalement,

Eric