Windows ACL权限模拟工具？

Hi 各位好

想请问一下，关于Windows Fileserver上面有设定不少资料夹，以及赋予特定的权限，但有时候资料结构多且深，还有牵扯到继承问题，也不太方便一直切换使用者帐号逐一测试，想请问，有没有关于权限的模拟测试软件。目前有测试过一些指令，但碰到问题，像是"Domain User"或是其他群组，如果使用检查名称后比对就会失败，所以想询问一下有没有好用的工具？可以切换用户针对多个资料夹模拟有无权限？

2 个回答

0

尼克

iT邦大师 1 级 ‧ 2025-01-22 14:11:44

AccessEnum v1.35
可以列出权限。

• 
  6

看更多先前的...收起先前的...

Ryan

iT邦新手 1 级 ‧
2025-01-22 14:26:48

列出我已经有使用指令对照了，但他不能模拟使用者吧？

列出我已经有使用指令对照了，但他不能模拟使用者吧？

修改

froce

iT邦大师 1 级 ‧
2025-01-22 16:01:14

这会帮你扫描所有子资料，并且把有读/写权限的使用者/群组列出来，你只要看你需要的资料夹的权限就能知道某使用者能不能读写了，这比模拟还好用吧?

这会帮你扫描所有子资料，并且把有读/写权限的使用者/群组列出来，你只要看你需要的资料夹的权限就能知道某使用者能不能读写了，这比模拟还好用吧?

修改

Ryan

iT邦新手 1 级 ‧
2025-01-22 16:16:14

如果群组很多，有部门群组，有专案群组混用，逐一比对太花时间，所以才想有没有类似的工具。

如果群组很多，有部门群组，有专案群组混用，逐一比对太花时间，所以才想有没有类似的工具。

修改

尼克

iT邦大师 1 级 ‧
2025-01-22 16:45:58

我还没看过可以模拟，等待别人提出。

我还没看过可以模拟，等待别人提出。

修改

Ryan

iT邦新手 1 级 ‧
2025-01-22 18:20:27

嗯，我是有查了一下，我也没发现，突发奇想而已。

嗯，我是有查了一下，我也没发现，突发奇想而已。

修改

穷嘶发发发

iT邦高手 1 级 ‧
2025-01-23 09:03:14

Powershell 的查询範例
参考自 https://community.spiceworks.com/t/get-acl-for-folder-and-subfolder-but-exclude-disabled-users/949638/4
查询某资料夹及其子资料夹的ACL清单

$FolderPath = "\\\\server\\share"
$Users = Get-ADUser -Filter { Enabled -eq $True } | Select-Object SamAccountName

$Report = Get-ChildItem $FolderPath -Recurse -Force | Where-Object { $_.PSIsContainer } | ForEach-Object {
    $ACLs = Get-Acl $_.FullName | Select-Object -ExpandProperty Access
    foreach ($ACL in $ACLs) {
        $User = $ACL.IdentityReference.Value
        if ($Users -contains $User) {
            $Group = $ACL.FileSystemRights.Split(\',\')[0].Split(\'=\')[1]
            $Type = $ACL.AccessControlType
            $Inherited = $ACL.IsInherited
            $Folder = $_.FullName
            [PSCustomObject]@{
                User      = $User
                Group     = $Group
                Type      = $Type
                Inherited = $Inherited
                Folder    = $Folder
            }
        }
    }
}

$Report | Export-Csv -Path "output.csv"

Powershell 的查询範例<br /> 参考自 https://community.spiceworks.com/t/get-acl-for-folder-and-subfolder-but-exclude-disabled-users/949638/4<br /> 查询某资料夹及其子资料夹的ACL清单<br /> ```<br /> $FolderPath = "\\\\server\\share"<br /> $Users = Get-ADUser -Filter { Enabled -eq $True } | Select-Object SamAccountName</p> <p>$Report = Get-ChildItem $FolderPath -Recurse -Force | Where-Object { $_.PSIsContainer } | ForEach-Object {<br /> $ACLs = Get-Acl $_.FullName | Select-Object -ExpandProperty Access<br /> foreach ($ACL in $ACLs) {<br /> $User = $ACL.IdentityReference.Value<br /> if ($Users -contains $User) {<br /> $Group = $ACL.FileSystemRights.Split(',')[0].Split('=')[1]<br /> $Type = $ACL.AccessControlType<br /> $Inherited = $ACL.IsInherited<br /> $Folder = $_.FullName<br /> [PSCustomObject]@{<br /> User = $User<br /> Group = $Group<br /> Type = $Type<br /> Inherited = $Inherited<br /> Folder = $Folder<br /> }<br /> }<br /> }<br /> }</p> <p>$Report | Export-Csv -Path "output.csv"<br /> ```

修改

1

zero

iT邦好手 1 级 ‧ 2025-01-22 19:31:25

档案总管内建的功能就可以模拟了,我想应该不会有人想开发吧!

不管是加帐户还是群组都能看到权限列表,通常是用帐户去检查,

嫌不够底下还有一个包含群组成员资格的功能,它可以加群组加到你爽为止

• 
  5

看更多先前的...收起先前的...

Ryan

iT邦新手 1 级 ‧
2025-01-24 21:02:02

谢谢，我试试看。

谢谢，我试试看。

修改

Ryan

iT邦新手 1 级 ‧
2025-02-04 17:57:55

我想得太美好了，我以为可以针对整个Tree往下测试。

我想得太美好了，我以为可以针对整个Tree往下测试。

修改

zero

iT邦好手 1 级 ‧
2025-02-05 14:20:08

你的问题其实是组织资讯架构问题，

这不是一般档案系统要协助处理的东西

假设公司有10个专案或者团队要使用到档案共享系统

A方案:建一个资料夹当根目录>底下建立10个专案资料夹

权限套用:根目录一个权限表,底下10个专案自己的权限表

B方案:建立10个专案资料夹

权限套用:10个专案资料夹有自己的权限表

有管理经验的人只会往B方案走

走A方案的人,迟早遇到你现在遇到的这种问题

你的问题其实是组织资讯架构问题，</p> <p>这不是一般档案系统要协助处理的东西</p> <p>假设公司有10个专案或者团队要使用到档案共享系统</p> <p>A方案:建一个资料夹当根目录>底下建立10个专案资料夹</p> <p>权限套用:根目录一个权限表,底下10个专案自己的权限表</p> <p>B方案:建立10个专案资料夹</p> <p>权限套用:10个专案资料夹有自己的权限表</p> <p>有管理经验的人只会往B方案走</p> <p>走A方案的人,迟早遇到你现在遇到的这种问题

修改

Ryan

iT邦新手 1 级 ‧
2025-02-06 09:11:01

实务上很难乾净切分这两种情境。

实务上很难乾净切分这两种情境。

修改

zero

iT邦好手 1 级 ‧
2025-02-06 14:11:37

管理的便利性跟使用者的便利性本来就是要互相配合

老闆不懂就要去沟通,让老闆知道AB方案的优缺点

如果老闆还是那副麻烦是麻烦在你身上,跟我无关

那要嘛就是自己吞,要嘛就是自己写程式去爬了建表

但是资料只要有人使用就会变化,你能顾到何时?

这不是技术问题,这是资讯管理的问题了,如果还要走稽核

我想这100%不会过关吧,像千层糕的权限表稽核看都不用看

以前垃圾可以不分类大家随便丢一起进焚化炉处理

现在垃圾还能不分类丢去给焚化炉吗?

有没有工具可以做这件事情?

可以再等等看有没有人有资讯,我是觉得科技再进步

会有新的工具减轻管理需求,但是你这是倒退的需求

权限无法往下继承,导致要爬每层资料的权限表出来

我觉得这不是常态的正常需求,应该有的机率不大。

管理的便利性跟使用者的便利性本来就是要互相配合</p> <p>老闆不懂就要去沟通,让老闆知道AB方案的优缺点</p> <p>如果老闆还是那副麻烦是麻烦在你身上,跟我无关</p> <p>那要嘛就是自己吞,要嘛就是自己写程式去爬了建表</p> <p>但是资料只要有人使用就会变化,你能顾到何时?</p> <p>这不是技术问题,这是资讯管理的问题了,如果还要走稽核</p> <p>我想这100%不会过关吧,像千层糕的权限表稽核看都不用看</p> <p>以前垃圾可以不分类大家随便丢一起进焚化炉处理</p> <p>现在垃圾还能不分类丢去给焚化炉吗?</p> <p>有没有工具可以做这件事情? </p> <p>可以再等等看有没有人有资讯,我是觉得科技再进步</p> <p>会有新的工具减轻管理需求,但是你这是倒退的需求</p> <p>权限无法往下继承,导致要爬每层资料的权限表出来</p> <p>我觉得这不是常态的正常需求,应该有的机率不大。<br />

修改