- PR -

権限により削除できないファイルの削除

1|2 次のページへ»
投稿者投稿内容
しずく
会議室デビュー日: 2006/08/29
投稿数: 7
投稿日時: 2007-01-22 18:38

Domain Usersでログインする際にWHSを使用し
C:\Documents and Settings\All Usersの
スタートアップをからファイル削除を行いたいのですが
権限の関係で削除が出来ません。

一時的にDomain Adminを追加することで削除は可能になるかと
思いますがセキュリティのこともありますので
出来ればDomain Usersで削除を行いたいと考えております。

何かよい方法はありませんでしょうか?

よろしくお願いいたします。
Edosson
ぬし
会議室デビュー日: 2004/04/30
投稿数: 675
投稿日時: 2007-01-22 19:09
引用:

しずくさんの書き込み (2007-01-22 18:38) より:

思いますがセキュリティのこともありますので

こう書いていらっしゃるんだから、
権限を持つユーザーで行うか、または、ユーザーに必要な権限を与えるか、
いずれかの方法しかないってことは、わかってらっしゃるんですよね。
これ以外の方法があったら、それこそセキュリティになりませんよ。
Keisuke
常連さん
会議室デビュー日: 2007/01/19
投稿数: 20
投稿日時: 2007-01-22 19:09
該当端末は1台でしょうか?
複数台でしょうか?

また削除したいファイルは1つですか?
複数ですか?

私だったらrunasコマンドで、一時的に権限変更し削除するバッチを作成し、
ログインスクリプトに組み込んで削除する方法を取ると思います。

正確にはrunasコマンドだけではパスワードを求められてしまうので
RunasXというツールを組み込んで行います。
ue
ぬし
会議室デビュー日: 2005/05/07
投稿数: 581
お住まい・勤務地: 広島市
投稿日時: 2007-01-22 19:10
こんばんは。

引用:

一時的にDomain Adminを追加することで削除は可能になるかと
思いますがセキュリティのこともありますので
出来ればDomain Usersで削除を行いたいと考えております。

既定では、Domain Admin でなくても、ローカルの Power Users グループに所属していれば削除できます。

私が思いつく中で最善の方法は、件のファイルからアクセス許可の継承を取り除くことです。
アクセス許可の継承をやめた上で Domain Users グループに削除する権限を付与すれば良いと思います。
_________________
上本亮介 (ue) @ わんくま同盟
Microsoft MVP for VSTO (Jul 2008 - Jun 2009)
Hello Another World!
.NET 勉強会 / ヒーロー島
しずく
会議室デビュー日: 2006/08/29
投稿数: 7
投稿日時: 2007-01-22 19:50
Edossonさま、返答ありがとうございます。
ログインスクリプト等で一時的に権限を別のものに移し
作業が出来ないかと思い質問させていただきました。

Keisukeさま、返答ありがとうございます。
該当端末は約500台で業務で使用するシステムへの
ショートカット1個を削除したいです。
runasコマンドは調べたのですがパスワードを
求められる点が問題だったのでRunasXを調べてみます。ありがとうございました。

ueさま、返答ありがとうございます。
ファイルからアクセス許可の継承を取り除く等の作業は
一度、変更できる権限でのログイン後に可能になるかと思います。
今回は対象が複数台ありますので一括での作業を行いたいです。
当方の説明不足でした。申し訳ありません。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-01-22 21:05
引用:
私だったらrunasコマンドで、一時的に権限変更し削除するバッチを作成し、
ログインスクリプトに組み込んで削除する方法を取ると思います。

正確にはrunasコマンドだけではパスワードを求められてしまうので
RunasXというツールを組み込んで行います。


これ、user に password 教えているのと一緒です。
その logon script どこにどうやって置かれているかわかっていますか?

やるなら、startup script でしょう。
[追記]
一応補足しておきますが、startup script を利用するなら password を script に書き込むなんてこと必要ありませんから。
[/追記]

あと、対象の host がわかっているなら、server 側から管理共有使って、file を消しこむ script 書いてやったほうがよっぽどいいでしょう。

まあ、当然 OS が立ち上がっていないと消せないので、実行結果を log にでも履いておいて、失敗した host に対し複数回実行すればいいわけですし。

[もういっちょ追記]
RunasX とかこの手の tool を作成する人への指摘ですが、こういうの作る前になぜ Runas で command line で password を指定できないようになっているのか改めて考えて見ることをお勧めします。
[/もういっちょ追記]
[ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2007-01-22 22:21 ]

[ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2007-01-22 22:35 ]
Keisuke
常連さん
会議室デビュー日: 2007/01/19
投稿数: 20
投稿日時: 2007-01-23 09:01
logon scriptの保管場所は分かってますよ。
script内にパスワードを直書きということも当然分かってますよ。
実際に作業するときにはRunasXにて一時的に管理者権限を持たし、もちろんパスワード指定のバッチファイルはEXE化してパスワードは隠蔽した状態で処理を行いますよ。

指摘はありがたいですが、拡張ツールを使用する事の危険性を分かった上で、
その対策をとった上で使用しています。

実装方法の一部を提示したまでです。
dellgate
大ベテラン
会議室デビュー日: 2004/02/20
投稿数: 198
投稿日時: 2007-01-23 13:28
ユーザーログオン時という部分にこだわらなくて良いのであれば
スタートアップスクリプトで行えると思います。


1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)