Wie halte ich die ACLs auf meinem Fileserver sauber? 19. November 2009

Wenn man einen oder mehrere Fileserver in Betrieb hat, dann fallen nach einiger Zeit in den ACLs verwaiste Einträge von Benutzerkonten oder Gruppenkonten an, die nicht mehr existieren. Wer sich als Administrator dann auch nicht an die von Microsoft vorgeschlagene A-G-DL-P-Strategie hält, macht das Chaos perfekt. Jeder kennt das: wenn man als Administrator unter Zeitdruck steht, fängt man auch einmal ganz schnell an zu “pfuschen”. Aber auch durch eine Migration können solche verwaisten Einträge entstehen. Wie bekommt man aber nun diese verwaisten Einträge wieder los?

Microsoft bietet hier ein Tool mit dem Namen “subinacl” an , was sich kostenfrei auf der Microsoft-Webseite herunterladen lässt.

Download:
http://www.microsoft.com/downloads/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en
Dieses Tool ist unter Windows 2000, Windows XP und auch Windows 2003 Server einsetzbar.

Nehmen wir also an, dass ich einen Fileserver habe, der eine Freigabe “Daten” hat, in der verschiedene weitere Ordner existieren. In diesen Ordnern wurden über die Jahre die ACLs modifiziert und eventuell auch Benutzer und Gruppen im Active Directory gelöscht. Dadurch existieren die oben genannten verwaisten ACL-Einträge.

roeder-subinacl-1
(Verwaister ACL-Eintrag)

Jetzt kommt “subinacl” ins Spiel. Dieses Tool stellt einen Schalter zur Verfügung, der sich “cleandeletedsidsfrom” nennt. Damit ist es möglich, nicht in Benutzernamen auflösbare SIDs aus den ACLs zu entfernen. Dieser Schalter muss als Parameter den Namen der Domäne bekommen (/cleandeletedsidsfrom=Name der Domäne).
Für mein Szenario ergibt sich daraus folgende Kommandozeile:

subinacl /subdirectories c:\daten\*.* /cleandeletedsidsfrom=domaene

(Achtung! Wenn es sich hier um eine größere Struktur von Ordnern und Dateien handelt, dann sollte man dieses Tool in Zeiten einsetzen, wo nicht gearbeitet wird. Das Tool “Subinacl” bremst natürlich die Geschwindigkeit des Datenträgers und belastet auch sehr den DC, der zum Abfragen bzw. Auflösen der SIDs genutzt wird. Subinacl speichert die bereits aufgelösten SIDs zwischen, so dass diese nicht erneut vom DC abgefragt werden müssen.)

Wenn “Subinacl” seine Arbeit getan hat, dann sollte man folgende Ausgabe in der CMD sehen:

roeder-subinacl-2
(Ausgabe von “subinacl”)

Zum Schluss ein prüfender Blick in die Sicherheitseinstellungen des Ordners “Buchhaltung”.

roeder-subinacl-3
(Verwaister ACE wurde von “subinacl” entfernt)

Subinacl kann natürlich wesentlich mehr und ich empfehle jedem, mal einen Blick auf die Hilfe dieses Tool zu werfen.

Comments are closed.