Re: [ml] Cambiare i Security-ID di windows 2003

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2005 ml@sikurezza.org
Soggetto: Re: [ml] Cambiare i Security-ID di windows 2003
Mittente: Fabio Panigatti
Data: Tue,  1 Feb 2005 18:50:08 +0100 (CET)

> FABIO Panigatti> Mi pare sia proprio quello che cerco... ODIO gli 
> snap-in, non so mai se un tool esiste o se e' uno snapin =))))

Lo snap-in "sidwalker security manager" e' comodo ma fondamentalmente 
superfluo: serve soltanto per creare il file con le mappature da dare
in pasto a sidwalk per l'esecuzione dei cambiamenti. Il file e' comma
separated, con 6 campi di interpretazione abbastanza intuitiva: te ne
crei uno con mmc per vedere com'e' fatto e poi gli altri te li potrai
fare anche a mano, eventualmente con l'aiuto di showaccs.

> Avere una utility che mi faccia vedere le assegnazioni di diritti orfane 
> non sarebbe male, 

Si puo' fare con lo stesso sidwalk.exe. Basta fare un dry run con dei
file csv di mappatura usando l'opzione /t e poi dare un'occhiatina al
file di log: per ogni file o risorsa per cui non esiste una mappatura
verra' notificato un errore nel file di log con il nome della risorsa
e il sid per cui non c'e' mappatura. Greppando gli errori troverai il
subset delle risorse/sid orfani.

> getsid e showaccs che fanno? dopo mi vado a leggere i readme... ops, 
> pardon, volevo dire i chm.

getsid serve a confrontare i sid di due utenti su due server diversi.

showaccs serve per interrogare le risorse (file, cartelle, stampanti,
condivisioni, ecc) per vederne acl e sid. La parte che ti puo' essere
utile e' la possibilita' di creare (con /m) uno scheletro per il file
delle mappature da usare in sidwalk. Crea solo "meta'" file, rispetto
allo snap-in mmc e quindi il primo e' meglio che tu lo faccia con mmc
per vedere come dovrebbe essere fatto, anche se e' banale.

Ti conviene fare un po' di prove su un subset delle risorse, tipo una
cartella di test contenente file con associati dei sid ben assortiti.
Ti crei i file delle mappature con lo snap-in o showaccs, poi provi a
applicarli con sidwalk, vedi gli output e correggi il tiro dove serve
e alla fine vai in produzione. 

La documentazione microsoft e' scarna ma un'occhiatina gliela si puo'
dare.


Fabio

Data:
- precedente: R: R: [ml] postfix ed exchange, m.brogioni
- successivo: [ml] VPN o PCAnywhere?, xs
- indice

Argomento:
- precedente: Re: [ml] Re: postfix ed exchange, Skull
- successivo: Re: [ml] Cambiare i Security-ID di windows 2003, Matteo Mancini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005