Многие системные администраторы в своей практике сталкиваются с файлопомойками, на которых их коллеги нерадивые назначали права к файлам и папкам напрямую пользователю, а не группе доступа. А пользователей со временем удаляли из домена. Как итог имеем гору файлов и папок, у которых в разделе безопасность мы видим гору sid ов. Чтобы побороть данную проблему предлагаю небольшой powershell скрипт
# Каталог в котором выполнять проверку
$folder="D:\DT$\data"
# Получаем список всех файлов, папок и подпапок
$resc = gci -recurse $folder
# Построчно обрабатываем полученный массив
foreach($r in $resc){
# Получаем acl лист объекта, в случае ошибки выводим путь до проблемного файла/папки
try {$acl = (Get-Item $r.fullname ).GetAccessControl('Access') } catch { "error path" + $r.fullname }
# Отсортируем явно назначенные и содержащие в названии кусок SID
$acesToRemoves = $acl.Access | ?{ $_.IsInherited -eq $false -and $_.IdentityReference -like "S-1-*"}
# На случай если несколько таких потеряшек у объекта
foreach ( $acesToRemove in $acesToRemoves){
# Отфильтровываем пустые переменные дабы избежать ошибок
if ($acesToRemove){
$r.fullname # Выводим с чем работаем
# Удаляем sid из acl листа и применяем новый acl на папку/файл
$acl.RemoveAccessRuleAll($acesToRemove)
Set-Acl -AclObject $acl $r.fullname
}
}
}Ну, к сожалению ничего не идеально в этом мире, да и пользователи любят поэмы сочинять в названиях файлов. Остается только безотказный способ
ищем проблемные объекты при помощи утилиты AccessEnum https://learn.microsoft.com/ru-ru/sysinternals/downloads/accessenum и чистим ручками
