Secretul consta in cativa parametri ai comenzilor XCOPY si ROBOCOPY. Pe care dintre ele le folositi, depinde de alegerea fiecaruia pentru ca ambele stiu sa copieze ACL-urile fisierelor.

La XCOPY parametrul este /O:

Iar la ROBOCOPY este /SEC (bineinteles ca se poate si cu /COPYALL sau /COPY:DATS).

Spor!

Ca sa explic putin, o sa dau cateva exemple.

1. File Server in domeniul A. Trebuie sa migrez serverul in domeniul B si din anumite motive translatarea cu ADMT nu functioneaza.

2. File Server standalone (nu radeti ca am vazut si scenariul asta) ce urmeaza a fi migrat la domeniu. Permisiunile sunt date pe grupuri si useri locali si vreau sa le translatez la grupuri de domeniu (pe care cumva va trebui sa le mapez la grupurile locale pentru a nu pierde permisiunile).

3. File Server membru in domeniu dar cu permisiuni date pe grupuri locale, ca deh asa au inteles unii MCSE strategia AGDLP.

Si scenariile mai pot continua dar e suficient deocamdata.

Pentru taskuri de genul asta ar cam fi cateva tool-uri:

- Subinacl – un tool foarte puternic dar in acelasi timp plin de bug-uri. In special pe partea de migrare de ACL-uri. Pentru alte taskuri merge chiar bine.

- SetACL – foarte interesant la prima vedere dar cu o sintaxa urata si cand vine vorba sa lucrezi cu anumite grupuri locale ii cam da cu virgula.

- Sidwalker tools – campionul nostru la exercitiul de azi. Este cea mai buna varianta FREE pentru a translata permisiunile.

Are chiar si un MMC care arata cam asa:

Dupa ce am facut maparile din MMC putem exporta totul intr-un fisier de mapare:

Cum interfata grafica este destul de primitiva si daca avem multe obiecte este imposibil de folosit, ne folosim de ea doar ca sa generam un model al fisierului de mapare. Din momentul acesta tot ce aveti de facut este sa generati fisierul in formatul de mai sus. Vbscript e util dar si mai util e sa stiti Excel (eu nu stiu, dar am pe cine sa intreb la nevoie). Atentie ca o sa aveti nevoie si de SID-urile obiectelor.

Eu acum facand doar un test/demo o sa ma folosesc doar de ce am generat cu MMC-ul Sidwalker. Si tit ca test o sa iau un folder unde pun permisiuni pe doua grupuri locale".

Rulam Sidwalker:

O sa primim erori pentru fiecare entry in ACL caruia nu i-am mapat nimic – asta se datoreaza grupurilor Builtin dar care vreau sa ramana acolo neatinse.

Si iata si rezultatul:

Sidwalker poate scana tot sistemul si translata ACL-urile de pe fisiere, share-uri, printere, registry, mai exact cu o singura comanda poti translata tot ce se afla pe acel sistem.

Tineti minte acest tool si rugati-va ca Microsoft sa nu-l uite si sa-l updateze.

Incepand cu Windows 2008, in consola Active Directory Users and Computers exista o optiune care protejeaza OU-urile de la stergerea accidentala:

Iata ce se intampla cand vrem sa-l stergem:

Ca sa puteti sterge un OU, trebuie sa debifati  “protect object from accidental deletion”. E bine gandita optiunea; am intalnit cazuri in care unii admini au sters containere intregi cu toate obiectele din ele si a trebuit sa apelez la restore din backup.

Dar ce facem daca folosim Windows 2003? Nici o problema, exista solutie si aici.

Setam Deny pe Delete si Delete Subtree in Advanced security settings.

Iar pe containerul parinte (in cazul meu e domain root) setam Deny pe Delete All Child Objects.

Iata ce se intampla cand incercam sa stergem Organizational Unit-ul.

Operatiunea afecteaza doar OU-ul Test_Delete, fara a afecta obiectele din el (inclusiv OU-uri) si recomand a fi setat pe containerele top level cu foarte multe obiecte.